Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Unidad V. Disoluciones quimica de las disoluciones
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de almacenamiento remoto
1. Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
Análisis Forense en Servicios de Almacenamiento Remoto
2. @localhost # whoami
Alexandre Rodríguez Domoslawsky
CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM
e-mail: arodriguez@isecauditors.com
Analista de seguridad
Hacking ético
Análisis forense
Incidentes de seguridad
Análisis Forense en Servicios de Almacenamiento Remoto
3. Objetivos de la presentación
• Analizar las principales tecnologías de almacenamiento remoto
– ¿Que información se almacena localmente?
• Credenciales
• Ficheros de configuración
• Arquitectura del servicio (servidores tiempo, back-end, front –end)
• Cifrado, ofuscado, texto plano
• Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?
– ¿Qué sucede en la transferencia y sincronización de archivos?
• Conexiones cifradas
• ¿Cómo se sincronizan los archivos?
• Credenciales
Análisis Forense en Servicios de Almacenamiento Remoto
7. Almacenamiento – Servicios
• A mayor demanda, mayor oferta
https://www.preceden.com/timelines/47418-evolution-of-cloud-storage
Análisis Forense en Servicios de Almacenamiento Remoto
8. Cloud – Problemas de seguridad
• Vulnerabilidades Software
– Confidencialidad
– Disponibilidad
– Integridad
Análisis Forense en Servicios de Almacenamiento Remoto
9. Cloud – Problemas de seguridad
• Empleo por parte de los usuarios
– Privacidad
– Fugas de información
Análisis Forense en Servicios de Almacenamiento Remoto
10. Cloud – Problemas de seguridad
• Nuevos desafíos
– Distribución de Malware
– RAT
– Ofuscación
Análisis Forense en Servicios de Almacenamiento Remoto
11. Cloud – Desafíos para el análisis forense
• Tecnología que ves
– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?)
• Aspectos legales del reversing
– Cifrado de las comunicaciones
• Como se sincroniza
– Sólo parte de la solución
• Data Carving
• Diferentes modos de acceso
Análisis Forense en Servicios de Almacenamiento Remoto
12. Cloud – Desafíos para el análisis forense
• .. Y que no ves
– “There’s no cloud, is someone else’s computer”
Análisis Forense en Servicios de Almacenamiento Remoto
14. Análisis Servicios de Almacenamiento - Entorno
• Entorno
– Windows 7 32 bits
– Firefox
– Virtual Box
– DropBox Windows
– Google Drive Windows
• Cuentas de correo
– evidenciaelectronica2015@Gmail.com
– evidenciaelectronica2015@Hotmail.com
– Usuario del sistema con contraseña
Análisis Forense en Servicios de Almacenamiento Remoto
15. Análisis Forense – Metodología
1. Backup del registro original de Windows
2. Backup del sistema de ficheros original
3. Instalación del servicio remoto
4. Monitorización del sistema de ficheros durante la instalación
o Archivos temporales
o Logs
5. Identificación de las modificaciones del registro de Windows
o Nuevos valores en claves existentes (NTUser)
o Nuevas claves
6. Identificación de las modificaciones del sistema de ficheros
o Archivos de configuración locales
7. Ejecución del servicio
o Data carving
o Comunicaciones
o RAM
Análisis Forense en Servicios de Almacenamiento Remoto
16. Análisis Forense – Herramientas
Registro
RegShot, Registry Explorer, Reg App, Regedit
Sistema de ficheros
Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager
Cifrado
Dropbox Magnetic Forensics, OpenSSL
Comunicaciones
Wireshark, netstat
RAM
IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py
Análisis Forense en Servicios de Almacenamiento Remoto
17. Dropbox – ¿Qué es?
• Todo empezó en 2008
• Muy popular, 400 millones
• Multiplataforma y diferentes accesos
• Cuentas free (2GB-16gB) y profesionales (1TB-5TB)
• Delta Encoding (ahorro de ancho de banda)
• Transferencia segura (SSL y AES-256)
• PRISM
Análisis Forense en Servicios de Almacenamiento Remoto
18. Dropbox – Instalación
• La instalación se realiza bajo el profile del usuario y
carpeta de programas
– C:usersaroddomDropbox
– C:Program FilesDropbox
• C:UsersaroddomAppDataLocalDropbox
– Carpeta de configuración del servicio
• C:UsersaroddomAppDataRoamingDropbox
– Proceso de instalación y transferencia de ficheros
Análisis Forense en Servicios de Almacenamiento Remoto
19. Dropbox – Proceso de instalación
• C:UsersaroddomAppDataRoamingDropboxinstallerl
– 562e408d : archivo cifrado
• C:ProgramDataDropboxUpdateLog
– Cifrado, mismo que .dbx
Análisis Forense en Servicios de Almacenamiento Remoto
20. Dropbox – Proceso de instalación
• Archivos Prefetch
– C:WindowsPrefetchDropbox.exe-B2C17CD4.pf
– C:WindowsPrefetchDropbox.exe-F5354AA9.pf
– C:WindowsPrefetchDropboxclient_3.10.8..exe-DD1118F8.pf
– C:WindowsPrefetchDropboxcrashhandler.exe-62E2DC11.pf
– C:WindowsPrefetchDropboxinstaller.exe-7CFC3536.pf
– C:WindowsPrefetchDropboxupdate.exe-3D36B2FC.pf
– C:WindowsPrefetchDropboxupdate.exe-661A090C.pf
– C:WindowsPrefetchDropboxupdateondemand.exe-D912AE5B.pf
Actualización
Aspecto visual
Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto
21. Dropbox – Proceso de instalación
• Claves de Registro
– 884 nuevos valores y 391 nuevas claves
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallDropbox
– HKLMSOFTWAREDropbox
– HKLMSOFTWAREDropboxUpdateUpdateClientState
– HKLMSOFTWAREMicrosoftCurrentVersionExplorerShellIconOverlayIdentifier
sDropBoxExt[1 .. 8]
Ruta de instalación
Fecha de instalación
Versión del software
Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto
22. Dropbox – Configuración local
• C:UsersaroddomAppDataLocalDropbox
– Host y Host.dbx, Carpeta local ofuscada en base64
• QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94
• C:UseraroddomDropbox
– Cifrados, Instance_db || Instance1
• instance.dbx
• deleted.dbx
• Filecache.dbx
• Sigstore.dbx
Análisis Forense en Servicios de Almacenamiento Remoto
Ficheros locales
Hora local de modificación, borrado y
creación
Ficheros borrados
23. Dropbox – Servicio Online
• Archivos borrados
– Guardados por un máximo de 30 días (wipe local)
– Archivos locales, son equivalentes a cualquier otro fichero
Análisis Forense en Servicios de Almacenamiento Remoto
24. Dropbox – Conexiones de red
• Conexiones cifradas
– Servidores archivo configuración
• C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent
– Todas las conexiones SSL
• 80, 443
Análisis Forense en Servicios de Almacenamiento Remoto
25. Dropbox – Servicio Online
• Conexiones establecidas
– Navegadores y hora
– Sistema operativo y nombre de equipo
Análisis Forense en Servicios de Almacenamiento Remoto
26. Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• Authenticate
• Mail
Análisis Forense en Servicios de Almacenamiento Remoto
27. Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• Value / secure / expires
Análisis Forense en Servicios de Almacenamiento Remoto
28. Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• pwd / user
• .dbx
• Updated /deleted
Análisis Forense en Servicios de Almacenamiento Remoto
29. Dropbox – Análisis de RAM
• Es posible obtener
– Dirección de correo
– Servidores NTP
– Listado de ficheros creados / borrados
– Direcciones de red locales
– Rutas de carpetas locales
Análisis Forense en Servicios de Almacenamiento Remoto
30. Dropbox – Servicio Online
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• password / pwd
• mail
• .dbx
Usuario
Análisis Forense en Servicios de Almacenamiento Remoto
31. Dropbox – Desinstalación
• Información que permanece
– NtuserDropbox (valores borrados)
– Archivos prefetch
– Ficheros locales sincronizados (carve)
– LNK files
– Navegador (cache e historia)
– Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto
32. Google Drive - ¿Qué es?
• 2012
• 500 millones de usuarios, @gmail.com
• Cuentas free (15gB) y profesionales (hasta 30TB)
• Microsoft y Apple
• SSL, pero no por defecto
Análisis Forense en Servicios de Almacenamiento Remoto
33. Google Drive – Instalación
• La instalación se realiza en la carpeta de programas
– C:Program FilesGoogleDrive
– C:UsersaroddomGoogle Drive
• C:UsersaroddomAppDataLocalGoogleDrive
– Carpeta de configuración del servicio
Análisis Forense en Servicios de Almacenamiento Remoto
34. Google Drive – Proceso de Instalación
• Archivos Prefetch
– C:WindowsPrefetchGoogleDrive_sync_1.25.523.2491.C456FGHexe.pf
– C:WindowsPrefetchGoogleUpdate.exe-12AG5F28.pf
Actualización
Aspecto visual
Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto
35. Google Drive – Proceso de Instalación
• Claves de Registro
– 896 nuevos valores y 577 nuevas claves
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallGoogleDrive
– HKLMSOFTWAREGoogleDrive
– NTUSERSOFTWAREClassesGoogleDrive
– NTUSERSOFTWAREGoogleDrive
Ruta de instalación
Fecha de instalación
Versión del software
Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto
36. Google Drive – Configuración Local
• C:UsersaroddomAppDataLocalGoogleDrive
– Sync_config.db, SQLITE3
Versión del cliente instalado
Email
Path
Análisis Forense en Servicios de Almacenamiento Remoto
37. Google Drive – Configuración Local
• C:UsersaroddomAppDataLocalGoogleDrive
– Snapshot.db, SQLITE3 – cloud_entry & Local_entry
Ficheros (Timestamp, size, url)
Análisis Forense en Servicios de Almacenamiento Remoto
38. Google Drive – Configuración Local
• Después de borrar ficheros
– Snapshot.db, SQLITE3 – cloud_entry & local_entry
Si la posición de la tabla aun no ha sido escrita de nuevo, la
información persiste
Análisis Forense en Servicios de Almacenamiento Remoto
39. Google Drive – Configuración Local
• Archivos temporales
– C:UsersaroddomAppDataGoogleDriveTempDataHttpCache
Email de usuario
• 6cc-RunAsync-_OnLogin-3-hkegge
Análisis Forense en Servicios de Almacenamiento Remoto
40. Google Drive – Configuración Local
• Registro de actividad – sync_log.log
– Ficheros sincronizados
o Strings : Create / delete / modify
Análisis Forense en Servicios de Almacenamiento Remoto
41. Google Drive – Conexiones de red
• Conexiones cifradas (información sensible) y no
cifradas
– Servidores archivo configuración
• C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent
– Puertos en uso
• 443, 522 ( alive y time stamp)
Análisis Forense en Servicios de Almacenamiento Remoto
42. Google Drive – Servicio Online
• Archivos borrados
– Fichero, pre-visualización y timestamp
Análisis Forense en Servicios de Almacenamiento Remoto
43. Google Drive – Servicio Online
• Time line
– Dispositivo
– Usuario
– Timestamp de los archivos
– Cuenta compartida
Análisis Forense en Servicios de Almacenamiento Remoto
44. Google Drive – Análisis de RAM
• Cliente googledrive_sync
– Strings de búsqueda
• User / password / mail
• Path
• Direcciones de red
Paths locales
Análisis Forense en Servicios de Almacenamiento Remoto
45. Google Drive – Análisis de RAM
• Servicio online
– Strings de búsqueda
• Value / secure / expires
• Mail / user / password
Usuario
Análisis Forense en Servicios de Almacenamiento Remoto
46. Google Drive – Desinstalación
• Información que permanece
– NtuserGoogleDrive (valores borrados)
– Archivos prefetch
– Ficheros de configuración borrados (carve)
– Ficheros locales permanecen
• Sync_log, ..
– LNK files
– Navegador (cache e historia)
– Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto
47. Conclusiones
• Información que permanece en los sistemas locales
• Aproximación local similar a cualquier análisis forense
tradicional
– Importa la memoria volátil
– Reversing y de-ofuscación
• Nivel de seguridad incrementado desde las versiones
iniciales
Análisis Forense en Servicios de Almacenamiento Remoto
48. Siguientes pasos
• Sincronización entre múltiples dispositivos en red local
LAN-sync (Dropbox).
• Investigación acerca de dispositivos móviles y sistemas
de ficheros menos empleados
• Arquitectura de la nube
Análisis Forense en Servicios de Almacenamiento Remoto
49. Referencias
Cloud Storage Forensics, 2013, Mattia Epiffani
Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.
https://www.magnetforensics.com/free-tool-dropbox-decryptor/
Cloud Storage Forensics, 2011, Darren Quick et al
The Challenges in Cloud Computing Forensics, 2010, George Grispos et al
http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html
Looking inside the (Drop) box Dhiru Kholia et al
Análisis Forense en Servicios de Almacenamiento Remoto
50. Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
51. Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88