Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.
-
Upload
zenaida-montealegre -
Category
Documents
-
view
108 -
download
0
Transcript of Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.
![Page 1: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/1.jpg)
ANTIFORENSICS Y LA
ALQUIMIA DE LOS BITS
juancrui © 2014
![Page 2: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/2.jpg)
http://about.me/juancrui
1981. Memoria: 1680 bytes = 1.6 Kb
![Page 3: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/3.jpg)
Nuevos alquimistas
![Page 4: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/4.jpg)
Fe
Au
![Page 5: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/5.jpg)
Bits
Au
![Page 6: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/6.jpg)
Técnicas antiforensics
El objetivo es ponérselo difícil al perito y generar dudas en la investigación
• Información está pero no se ve• Sobresaturación• Borrado seguro o sobrescritura
con información falsa
![Page 7: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/7.jpg)
Supuestos de un caso
• Se localiza la técnica antiforensics y la información
• Solo se localiza la técnica• No se localiza la técnica no acceso a
la información
![Page 8: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/8.jpg)
Técnicas Antiforensics
Ocultación
Modificación
Eliminación
Creación
![Page 9: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/9.jpg)
Modificación
• Aplicaciones como Decaf Vs COFEE• Manipulación de logs y/o metadatos• Cifrado• Splitting Files + Encryption• Esteganografía
Crear error en base a como se investiga
![Page 10: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/10.jpg)
Creación
• MAFIA• Sobresaturación de información• Colisión MD5• Ofuscación
Generar “info” distorsionar la escena
![Page 11: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/11.jpg)
Eliminación
• Wipeado (varias pasadas)• Destrucción física
Si no está, no se encuentra!
![Page 12: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/12.jpg)
Ocultación
• Slacks• Alternate Data Stream• Bad Blocks (Inode 1)• Unallocated spaces• Particiones eliminadas u ocultas
Tools no detectan la “info” no recuperación
![Page 13: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/13.jpg)
Otras
No cac
he
thumbn
ails
VPN’sDesactivar Puntos
restauración
Bit Shifting
Active kill disk
Desacti
var
hibernación
Cambia
r
atrib
utos
MAC
Fake information
TOR
Packers
truecrypt
Protectme
eePROM BIOS
Firmware
Rootkits
![Page 14: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/14.jpg)
FirmwareNVIDIA: nvflash
![Page 15: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/15.jpg)
ADSFlujos alternativos de datos
NTFS permite guardar flujos alternativos junto al principal con solo especificar un nombre interno
Fichero[:flujo[:tipo]]
![Page 16: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/16.jpg)
ADSNotas
• Flujo principal es :$DATA• Tantos ADS como memoria disponible• Política es que el usuario no use ADS ==>
“<“ y “>”• “:” ==> confusión ==> solución rutas
absolutas• Hash no varía por ADS’s• Al comprimir perdemos ADS’s salvo rar• MIME y Base64 ignora ADS
![Page 17: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/17.jpg)
ADSNotas
• Transferencias FTP, HTTP ignora los ADS• Copia de NTFS a NTFS, redes Samba
ADS
En fichero En carpeta En Partición
En imagen de disco
En fichero borrado
![Page 18: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/18.jpg)
ADSUtiles
• Lads : http://www.heysoft.de/en/software/lads.php• Streams: http://technet.microsoft.com/en-us/sysinternals/bb897440• Copy_ads: http://www.dmares.com/maresware/html/copy_ads.htm• ADS Spy: http://www.bleepingcomputer.com/download/ads-spy/• AlternateSreteamView:
http://www.nirsoft.net/utils/alternate_data_streams.html• DIR /R
![Page 19: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/19.jpg)
RETO• USB NTFS sin contenido aparente
![Page 20: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/20.jpg)
Análisis más en profundidad se detectan 2 ADS en particiones
• G::$BadClus de tipo rar
• G::$ de 100Mb
![Page 21: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/21.jpg)
$BadClus contiene en su interior:
• Si se extrae directamente se pierden los posibles ADS que contuviera
• Extraer con “rar x $BadClus .”
Y contiene un ADS: “?”
![Page 22: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/22.jpg)
ADS “$ “El símbolo detrás del $ es necesario para poder extraerlo
![Page 23: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/23.jpg)
Con streams visualizamos $á, pero …
El símbolo detrás del $ es necesario para poder extraerlo
Ya lo tendríamos extraído ahora hay que determinar los tipos de ficheros que son
![Page 24: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/24.jpg)
file2
File2 no tiene signatura conocida si probamos con tchunt por si fuera un contenedor cifrado tipo truecrypt nos da positivo … pero ¿y la clave?
Signatures:
![Page 25: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/25.jpg)
Documento
Al abrirlo con MSWord:
Se observa una frase firmada y una imagen de una tabla periódica compatible con el nombre del documento
A buscar la clave (o las claves)
![Page 26: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/26.jpg)
Parametrizamos fondo y texto con el mismo color
NTUuODQ1
Clave 1
![Page 27: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/27.jpg)
La imagen de la tabla periódica ¿puede tener esteanografía?
NTguOTMz
Clave 2
![Page 28: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/28.jpg)
Las propiedades del “doc” en su registro Asunto encontramos algo similar
NTguNjkz
Clave 3
![Page 29: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/29.jpg)
Las propiedades avanzadas del “doc” en su registro “Referencia” encontramos otra posible clave
NjMuNTQ2
Clave 4
![Page 30: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/30.jpg)
Analicemos el tipo del fichero:
http://mark0.net/onlinetrid.aspx
Estamos ante un fichero “docx” y no un “doc”. El docx no deja de ser un empaquetado
![Page 31: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/31.jpg)
Si desempaquetamos el docx:
Podemos observar cosas curiosas:
•2 imágenes •3 temas
![Page 32: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/32.jpg)
NjUuMzgw
Clave 5
Visualizando la imagen
../word/media/image2.png:
![Page 33: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/33.jpg)
NjkuNzIz
Clave 6
Y los metadatos IPTC de la
imagen ../word/media image2.png:
![Page 34: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/34.jpg)
NzIuNjMw
Clave 7
Y las propiedades en el registro comentario
de la imagen ../word/media/image1.png :
![Page 35: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/35.jpg)
NzQuOTIx
Clave 8
Lo mismo con los temas: El tema
../word/theme/theme2.xml es un fichero de ¡texto!
![Page 36: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/36.jpg)
El tema ../word/theme/theme3.xml es un fichero “cbz”
con tres imágenes y un fichero oculto sin nombre
![Page 37: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/37.jpg)
NzguOTcx
Clave 9
El fichero oculto de ../word/theme/theme3.xml
es un fichero “de texto”
![Page 38: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/38.jpg)
También “tabla periodica.doc” tiene ADS
Con algunos programas de tratamiento de ADS nos sale el símbolo “?” pero este no nos funciona
![Page 39: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/39.jpg)
Otros programas ni nos muestran el nombre
![Page 40: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/40.jpg)
El de Nirsoft © si que nos muestra: ☺= [ALT]+1
![Page 41: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/41.jpg)
NzkuOTAx
Clave 10
Visualizamos el contenido
![Page 42: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/42.jpg)
¿Y qué tenemos hasta ahora? ¿Paramos?
Probando en el contenedor Truecrypt nos da negativo
NTUuODQ1
NTguOTMz
NTguNjkz
NjMuNTQ2
NjUuMzgw
NjkuNzIz
NzIuNjMw
NzQuOTIx
NzguOTcx
NzkuOTAx¿Falta alguna
más?
¿Hay que operar con ellas?
¿Ofuscación?
¿Alguna relación?
![Page 43: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/43.jpg)
Si decodificamos de Base64 a ASCII
Obtenemos:
NTUuODQ1 55.845
NTguOTMz 58.933
NTguNjkz 58.693
NjMuNTQ2 63.546
NjUuMzgw 65.380
NjkuNzIz 69.723
NzIuNjMw 72.630
NzQuOTIx 74.921
NzguOTcx 78.971
NzkuOTAx 79.901
![Page 44: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/44.jpg)
Debemos ponernos en el cerebro del autor
![Page 45: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/45.jpg)
Los números son muy semejantes a los pesos atómicos de la tabla periódica del documento
Y si los ordenamos por orden numérico veremos la relación y el siguiente de la tabla:
El siguiente es el “KRYPTON”
y en base64: ODMuNzk4
![Page 46: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/46.jpg)
Si desciframos el contenedor Truecrypt obtendremos el secreto:
![Page 47: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/47.jpg)
Una bonita reliquia de un manual de Alquimia
![Page 48: Juancrui © 2014. 1981. Memoria: 1680 bytes = 1.6 Kb.](https://reader038.fdocuments.net/reader038/viewer/2022103113/5528bde3497959977d8fa7d8/html5/thumbnails/48.jpg)
http://about.me/juancrui
¿Alguna pregunta?