Análisis Forense en Servicios de Almacenamiento Remoto
Transcripción
Análisis Forense en Servicios de Almacenamiento Remoto
Su Seguridad es Nuestro Éxito Análisis Forense en Servicios de Almacenamiento Remoto C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88 [email protected] www.isecauditors.com Análisis Forense en Servicios de Almacenamiento Remoto @localhost # whoami Alexandre Rodríguez Domoslawsky CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM e-mail: [email protected] Analista de seguridad Hacking ético Análisis forense Incidentes de seguridad Análisis Forense en Servicios de Almacenamiento Remoto Objetivos de la presentación • Analizar las principales tecnologías de almacenamiento remoto – ¿Que información se almacena localmente? • • • • • Credenciales Ficheros de configuración Arquitectura del servicio (servidores tiempo, back-end, front –end) Cifrado, ofuscado, texto plano Cuando se desinstala el servicio, ¿que información sigue residiendo localmente? – ¿Qué sucede en la transferencia y sincronización de archivos? • Conexiones cifradas • ¿Cómo se sincronizan los archivos? • Credenciales Análisis Forense en Servicios de Almacenamiento Remoto Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto Almacenamiento – Necesidad • Cada vez requerimos mas espacio Análisis Forense en Servicios de Almacenamiento Remoto Almacenamiento – Necesidad • Estamos mas interconectados Análisis Forense en Servicios de Almacenamiento Remoto Almacenamiento – Servicios • A mayor demanda, mayor oferta https://www.preceden.com/timelines/47418-evolution-of-cloud-storage Análisis Forense en Servicios de Almacenamiento Remoto Cloud – Problemas de seguridad • Vulnerabilidades Software – Confidencialidad – Disponibilidad – Integridad Análisis Forense en Servicios de Almacenamiento Remoto Cloud – Problemas de seguridad • Empleo por parte de los usuarios – Privacidad – Fugas de información Análisis Forense en Servicios de Almacenamiento Remoto Cloud – Problemas de seguridad • Nuevos desafíos – Distribución de Malware – RAT – Ofuscación Análisis Forense en Servicios de Almacenamiento Remoto Cloud – Desafíos para el análisis forense • Tecnología que ves – Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?) • Aspectos legales del reversing – Cifrado de las comunicaciones • Como se sincroniza – Sólo parte de la solución • Data Carving • Diferentes modos de acceso Análisis Forense en Servicios de Almacenamiento Remoto Cloud – Desafíos para el análisis forense • .. Y que no ves – “There’s no cloud, is someone else’s computer” Análisis Forense en Servicios de Almacenamiento Remoto Índice 1. Introducción 2. Dropbox • Ficheros • RAM • Servicio online 3. Google Drive • Ficheros • RAM • Servicio online 4. Conclusiones Análisis Forense en Servicios de Almacenamiento Remoto Análisis Servicios de Almacenamiento - Entorno • Entorno – – – – – Windows 7 32 bits Firefox Virtual Box DropBox Windows Google Drive Windows • Cuentas de correo – [email protected] – [email protected] – Usuario del sistema con contraseña Análisis Forense en Servicios de Almacenamiento Remoto Análisis Forense – Metodología 1. 2. 3. 4. Backup del registro original de Windows Backup del sistema de ficheros original Instalación del servicio remoto Monitorización del sistema de ficheros durante la instalación o o 5. Identificación de las modificaciones del registro de Windows o o 6. Nuevos valores en claves existentes (NTUser) Nuevas claves Identificación de las modificaciones del sistema de ficheros o 7. Archivos temporales Logs Archivos de configuración locales Ejecución del servicio o o o Data carving Comunicaciones RAM Análisis Forense en Servicios de Almacenamiento Remoto Análisis Forense – Herramientas Registro RegShot, Registry Explorer, Reg App, Regedit Sistema de ficheros Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager Cifrado Dropbox Magnetic Forensics, OpenSSL Comunicaciones Wireshark, netstat RAM IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – ¿Qué es? • Todo empezó en 2008 • Muy popular, 400 millones • Multiplataforma y diferentes accesos • Cuentas free (2GB-16gB) y profesionales (1TB-5TB) • Delta Encoding (ahorro de ancho de banda) • Transferencia segura (SSL y AES-256) • PRISM Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Instalación • La instalación se realiza bajo el profile del usuario y carpeta de programas – C:\users\aroddom\Dropbox – C:\Program Files\Dropbox • C:\Users\aroddom\AppData\Local\Dropbox – Carpeta de configuración del servicio • C:\Users\aroddom\AppData\Roaming\Dropbox – Proceso de instalación y transferencia de ficheros Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Proceso de instalación • C:\Users\aroddom\AppData\Roaming\Dropbox\installer\l – 562e408d : archivo cifrado • C:\ProgramData\Dropbox\Update\Log – Cifrado, mismo que .dbx Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Proceso de instalación • Archivos Prefetch – – – – – – – – C:\Windows\Prefetch\Dropbox.exe-B2C17CD4.pf C:\Windows\Prefetch\Dropbox.exe-F5354AA9.pf C:\Windows\Prefetch\Dropboxclient_3.10.8..exe-DD1118F8.pf C:\Windows\Prefetch\Dropboxcrashhandler.exe-62E2DC11.pf C:\Windows\Prefetch\Dropboxinstaller.exe-7CFC3536.pf C:\Windows\Prefetch\Dropboxupdate.exe-3D36B2FC.pf C:\Windows\Prefetch\Dropboxupdate.exe-661A090C.pf C:\Windows\Prefetch\Dropboxupdateondemand.exe-D912AE5B.pf Actualización Aspecto visual Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Proceso de instalación • Claves de Registro – – – – – – 884 nuevos valores y 391 nuevas claves HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox HKLM\SOFTWARE\Dropbox\ HKLM\SOFTWARE\DropboxUpdate\Update\ClientState\ HKLM\SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifier s\DropBoxExt[1 .. 8] Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Configuración local • C:\Users\aroddom\AppData\Local\Dropbox – Host y Host.dbx, Carpeta local ofuscada en base64 • QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:User\aroddom\Dropbox – Cifrados, Instance_db\ || Instance1\ • • • • instance.dbx deleted.dbx Filecache.dbx Sigstore.dbx Ficheros locales Hora local de modificación, borrado y creación Ficheros borrados Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Servicio Online • Archivos borrados – Guardados por un máximo de 30 días (wipe local) – Archivos locales, son equivalentes a cualquier otro fichero Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Conexiones de red • Conexiones cifradas – Servidores archivo configuración • C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content – Todas las conexiones SSL • 80, 443 Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Servicio Online • Conexiones establecidas – Navegadores y hora – Sistema operativo y nombre de equipo Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Authenticate • Mail Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • Value / secure / expires Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • pwd / user • .dbx • Updated /deleted Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Análisis de RAM • Es posible obtener – – – – – Dirección de correo Servidores NTP Listado de ficheros creados / borrados Direcciones de red locales Rutas de carpetas locales Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Servicio Online • Análisis del volcado RAM de memoria del proceso – Strings de búsqueda • password / pwd • mail • .dbx Usuario Análisis Forense en Servicios de Almacenamiento Remoto Dropbox – Desinstalación • Información que permanece – – – – – – Ntuser\Dropbox (valores borrados) Archivos prefetch Ficheros locales sincronizados (carve) LNK files Navegador (cache e historia) Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto Google Drive - ¿Qué es? • 2012 • 500 millones de usuarios, @gmail.com • Cuentas free (15gB) y profesionales (hasta 30TB) • Microsoft y Apple • SSL, pero no por defecto Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Instalación • La instalación se realiza en la carpeta de programas – C:\Program Files\Google\Drive – C:\Users\aroddom\Google Drive • C:\Users\aroddom\AppData\Local\Google\Drive – Carpeta de configuración del servicio Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Proceso de Instalación • Archivos Prefetch – – C:\Windows\Prefetch\GoogleDrive_sync_1.25.523.2491.C456FGHexe.pf C:\Windows\Prefetch\GoogleUpdate.exe-12AG5F28.pf Actualización Aspecto visual Imágenes de librerías en uso Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Proceso de Instalación • Claves de Registro – – – – – – 896 nuevos valores y 577 nuevas claves HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google\Drive HKLM\SOFTWARE\Google\Drive NTUSER\SOFTWARE\Classes\GoogleDrive\ NTUSER\SOFTWARE\Google\Drive Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive – Sync_config.db, SQLITE3 Versión del cliente instalado Email Path Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive – Snapshot.db, SQLITE3 – cloud_entry & Local_entry Ficheros (Timestamp, size, url) Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Configuración Local • Después de borrar ficheros – Snapshot.db, SQLITE3 – cloud_entry & local_entry Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Configuración Local • Archivos temporales – C:\Users\aroddom\AppData\Google\Drive\TempData\HttpCache Email de usuario • 6cc-RunAsync-_OnLogin-3-hkegge Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Configuración Local • Registro de actividad – sync_log.log – Ficheros sincronizados o Strings : Create / delete / modify Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Conexiones de red • Conexiones cifradas (información sensible) y no cifradas – Servidores archivo configuración • C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content – Puertos en uso • 443, 522 ( alive y time stamp) Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Servicio Online • Archivos borrados – Fichero, pre-visualización y timestamp Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Servicio Online • Time line – – – – Dispositivo Usuario Timestamp de los archivos Cuenta compartida Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Análisis de RAM • Cliente googledrive_sync – Strings de búsqueda • User / password / mail • Path • Direcciones de red Paths locales Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Análisis de RAM • Servicio online – Strings de búsqueda • Value / secure / expires • Mail / user / password Usuario Análisis Forense en Servicios de Almacenamiento Remoto Google Drive – Desinstalación • Información que permanece – – – – Ntuser\Google\Drive (valores borrados) Archivos prefetch Ficheros de configuración borrados (carve) Ficheros locales permanecen • Sync_log, .. – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys Análisis Forense en Servicios de Almacenamiento Remoto Conclusiones • Información que permanece en los sistemas locales • Aproximación local similar a cualquier análisis forense tradicional – Importa la memoria volátil – Reversing y de-ofuscación • Nivel de seguridad incrementado desde las versiones iniciales Análisis Forense en Servicios de Almacenamiento Remoto Siguientes pasos • Sincronización entre múltiples dispositivos en red local LAN-sync (Dropbox). • Investigación acerca de dispositivos móviles y sistemas de ficheros menos empleados • Arquitectura de la nube Análisis Forense en Servicios de Almacenamiento Remoto Referencias Cloud Storage Forensics, 2013, Mattia Epiffani Dark Clouds on the Horizon, 2011, Martin Mulazzani et al. https://www.magnetforensics.com/free-tool-dropbox-decryptor/ Cloud Storage Forensics, 2011, Darren Quick et al The Challenges in Cloud Computing Forensics, 2010, George Grispos et al http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html Looking inside the (Drop) box Dhiru Kholia et al Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, [email protected] Cundinamarca - Bogotá www.isecauditors.com (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88 [email protected] www.isecauditors.com Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, [email protected] Cundinamarca - Bogotá www.isecauditors.com (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88 [email protected] www.isecauditors.com