Análisis Forense en Servicios de Almacenamiento Remoto

Transcripción

Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
[email protected]
www.isecauditors.com
@localhost # whoami
Alexandre Rodríguez Domoslawsky
CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM
e-mail: [email protected]
 Analista de seguridad
 Hacking ético
 Análisis forense
 Incidentes de seguridad
Objetivos de la presentación
•
Analizar las principales tecnologías de almacenamiento remoto
– ¿Que información se almacena localmente?
•
•
•
•
•
Credenciales
Ficheros de configuración
Arquitectura del servicio (servidores tiempo, back-end, front –end)
Cifrado, ofuscado, texto plano
Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?
– ¿Qué sucede en la transferencia y sincronización de archivos?
• Conexiones cifradas
• ¿Cómo se sincronizan los archivos?
• Credenciales
Índice
1. Introducción
2. Dropbox
• Ficheros
• RAM
• Servicio online
3. Google Drive
• Ficheros
• RAM
• Servicio online
4. Conclusiones
Almacenamiento – Necesidad
• Cada vez requerimos mas espacio
Almacenamiento – Necesidad
• Estamos mas interconectados
Almacenamiento – Servicios
• A mayor demanda, mayor oferta
https://www.preceden.com/timelines/47418-evolution-of-cloud-storage
Cloud – Problemas de seguridad
• Vulnerabilidades Software
– Confidencialidad
– Disponibilidad
– Integridad
• Empleo por parte de los usuarios
– Privacidad
– Fugas de información
• Nuevos desafíos
– Distribución de Malware
– RAT
– Ofuscación
Cloud – Desafíos para el análisis forense
• Tecnología que ves
– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?)
• Aspectos legales del reversing
– Cifrado de las comunicaciones
• Como se sincroniza
– Sólo parte de la solución
• Data Carving
• Diferentes modos de acceso
Cloud – Desafíos para el análisis forense
• .. Y que no ves
– “There’s no cloud, is someone else’s computer”
Índice
1. Introducción
2. Dropbox
• Ficheros
• RAM
• Servicio online
3. Google Drive
• Ficheros
• RAM
• Servicio online
4. Conclusiones
Análisis Servicios de Almacenamiento - Entorno
•
Entorno
–
–
–
–
–
Windows 7 32 bits
Firefox
Virtual Box
DropBox Windows
Google Drive Windows
• Cuentas de correo
– [email protected]
– [email protected]
– Usuario del sistema con contraseña
Análisis Forense – Metodología
1.
2.
3.
4.
Backup del registro original de Windows
Backup del sistema de ficheros original
Instalación del servicio remoto
Monitorización del sistema de ficheros durante la instalación
o
o
5.
Identificación de las modificaciones del registro de Windows
o
o
6.
Nuevos valores en claves existentes (NTUser)
Nuevas claves
Identificación de las modificaciones del sistema de ficheros
o
7.
Archivos temporales
Logs
Archivos de configuración locales
Ejecución del servicio
o
o
o
Data carving
Comunicaciones
RAM
Análisis Forense – Herramientas
 Registro
 RegShot, Registry Explorer, Reg App, Regedit
 Sistema de ficheros
 Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager
 Cifrado
 Dropbox Magnetic Forensics, OpenSSL
 Comunicaciones
 Wireshark, netstat
 RAM
 IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py
Dropbox – ¿Qué es?
•
Todo empezó en 2008
•
Muy popular, 400 millones
•
Multiplataforma y diferentes accesos
•
Cuentas free (2GB-16gB) y profesionales (1TB-5TB)
•
Delta Encoding (ahorro de ancho de banda)
•
Transferencia segura (SSL y AES-256)
•
PRISM
Dropbox – Instalación
• La instalación se realiza bajo el profile del usuario y
carpeta de programas
– C:\users\aroddom\Dropbox
– C:\Program Files\Dropbox
• C:\Users\aroddom\AppData\Local\Dropbox
– Carpeta de configuración del servicio
• C:\Users\aroddom\AppData\Roaming\Dropbox
– Proceso de instalación y transferencia de ficheros
Dropbox – Proceso de instalación
• C:\Users\aroddom\AppData\Roaming\Dropbox\installer\l
– 562e408d : archivo cifrado
• C:\ProgramData\Dropbox\Update\Log
– Cifrado, mismo que .dbx
• Archivos Prefetch
–
–
–
–
–
–
–
–
C:\Windows\Prefetch\Dropbox.exe-B2C17CD4.pf
C:\Windows\Prefetch\Dropbox.exe-F5354AA9.pf
C:\Windows\Prefetch\Dropboxclient_3.10.8..exe-DD1118F8.pf
C:\Windows\Prefetch\Dropboxcrashhandler.exe-62E2DC11.pf
C:\Windows\Prefetch\Dropboxinstaller.exe-7CFC3536.pf
C:\Windows\Prefetch\Dropboxupdate.exe-3D36B2FC.pf
C:\Windows\Prefetch\Dropboxupdate.exe-661A090C.pf
C:\Windows\Prefetch\Dropboxupdateondemand.exe-D912AE5B.pf
 Actualización
 Aspecto visual
 Imágenes de librerías en uso
• Claves de Registro
–
–
–
–
–
–
884 nuevos valores y 391 nuevas claves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox
HKLM\SOFTWARE\Dropbox\
HKLM\SOFTWARE\DropboxUpdate\Update\ClientState\
HKLM\SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifier
s\DropBoxExt[1 .. 8]




Ruta de instalación
Fecha de instalación
Versión del software
Fecha de última actualización y sincronización
Dropbox – Configuración local
• C:\Users\aroddom\AppData\Local\Dropbox
– Host y Host.dbx, Carpeta local ofuscada en base64
• QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94
• C:User\aroddom\Dropbox
– Cifrados, Instance_db\ || Instance1\
•
•
•
•
instance.dbx
deleted.dbx
Filecache.dbx
Sigstore.dbx
Ficheros locales
Hora local de modificación, borrado y
creación
Ficheros borrados
Dropbox – Servicio Online
• Archivos borrados
– Guardados por un máximo de 30 días (wipe local)
– Archivos locales, son equivalentes a cualquier otro fichero
Dropbox – Conexiones de red
• Conexiones cifradas
– Servidores archivo configuración
• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
– Todas las conexiones SSL
•
80, 443
• Conexiones establecidas
– Navegadores y hora
– Sistema operativo y nombre de equipo
Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• Authenticate
• Mail
• Value / secure / expires
• pwd / user
• .dbx
• Updated /deleted
• Es posible obtener
–
–
–
–
–
Dirección de correo
Servidores NTP
Listado de ficheros creados / borrados
Direcciones de red locales
Rutas de carpetas locales
• password / pwd
• mail
• .dbx
 Usuario
Dropbox – Desinstalación
• Información que permanece
–
–
–
–
–
–
Ntuser\Dropbox (valores borrados)
Archivos prefetch
Ficheros locales sincronizados (carve)
LNK files
Navegador (cache e historia)
Pagefile.sys & Hiberfile.sys
Google Drive - ¿Qué es?
• 2012
• 500 millones de usuarios, @gmail.com
• Cuentas free (15gB) y profesionales (hasta 30TB)
• Microsoft y Apple
• SSL, pero no por defecto
Google Drive – Instalación
• La instalación se realiza en la carpeta de programas
– C:\Program Files\Google\Drive
– C:\Users\aroddom\Google Drive
• C:\Users\aroddom\AppData\Local\Google\Drive
– Carpeta de configuración del servicio
Google Drive – Proceso de Instalación
• Archivos Prefetch
–
–
C:\Windows\Prefetch\GoogleDrive_sync_1.25.523.2491.C456FGHexe.pf
C:\Windows\Prefetch\GoogleUpdate.exe-12AG5F28.pf
 Actualización
 Aspecto visual
 Imágenes de librerías en uso
Google Drive – Proceso de Instalación
• Claves de Registro
–
–
–
–
–
–
896 nuevos valores y 577 nuevas claves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google\Drive
HKLM\SOFTWARE\Google\Drive
NTUSER\SOFTWARE\Classes\GoogleDrive\
NTUSER\SOFTWARE\Google\Drive




Ruta de instalación
Fecha de instalación
Versión del software
Fecha de última actualización y sincronización
Google Drive – Configuración Local
– Sync_config.db, SQLITE3
 Versión del cliente instalado
 Email
 Path
– Snapshot.db, SQLITE3 – cloud_entry & Local_entry
 Ficheros (Timestamp, size, url)
• Después de borrar ficheros
– Snapshot.db, SQLITE3 – cloud_entry & local_entry
 Si la posición de la tabla aun no ha sido escrita de nuevo, la
información persiste
• Archivos temporales
– C:\Users\aroddom\AppData\Google\Drive\TempData\HttpCache
 Email de usuario
• 6cc-RunAsync-_OnLogin-3-hkegge
• Registro de actividad – sync_log.log
– Ficheros sincronizados
o Strings : Create / delete / modify
Google Drive – Conexiones de red
• Conexiones cifradas (información sensible) y no
cifradas
– Servidores archivo configuración
• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
– Puertos en uso
• 443, 522 ( alive y time stamp)
Google Drive – Servicio Online
• Archivos borrados
– Fichero, pre-visualización y timestamp
Google Drive – Servicio Online
• Time line
–
–
–
–
Dispositivo
Usuario
Timestamp de los archivos
Cuenta compartida
Google Drive – Análisis de RAM
• Cliente googledrive_sync
• User / password / mail
• Path
• Direcciones de red
 Paths locales
Google Drive – Análisis de RAM
• Servicio online
• Value / secure / expires
• Mail / user / password
 Usuario
Google Drive – Desinstalación
• Información que permanece
–
–
–
–
Ntuser\Google\Drive (valores borrados)
Archivos prefetch
Ficheros de configuración borrados (carve)
Ficheros locales permanecen
• Sync_log, ..
– LNK files
– Navegador (cache e historia)
– Pagefile.sys & Hiberfile.sys
Conclusiones
• Información que permanece en los sistemas locales
• Aproximación local similar a cualquier análisis forense
tradicional
– Importa la memoria volátil
– Reversing y de-ofuscación
• Nivel de seguridad incrementado desde las versiones
iniciales
Siguientes pasos
• Sincronización entre múltiples dispositivos en red local
LAN-sync (Dropbox).
• Investigación acerca de dispositivos móviles y sistemas
de ficheros menos empleados
• Arquitectura de la nube
Referencias

Cloud Storage Forensics, 2013, Mattia Epiffani

Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.

https://www.magnetforensics.com/free-tool-dropbox-decryptor/

Cloud Storage Forensics, 2011, Darren Quick et al

The Challenges in Cloud Computing Forensics, 2010, George Grispos et al

http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html

Looking inside the (Drop) box Dhiru Kholia et al
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28,
[email protected]
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
[email protected]
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28,
[email protected]
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
[email protected]

Análisis Forense en Servicios de Almacenamiento Remoto

Transcripción

Documentos relacionados

SEMEFO - Transparencia

Especificaciones Toyota Corolla XEI Plus