Reto Ciberbullyng

DragonJar I

Alejandro Ramos Computer Hacking Forensic Investigator

SecurityByDefault.com

Yo. Ego - presentación

Manager del TigerTeam de SIA

Profesor en el MOSTIC de la Universidad

Europea de Madrid (Hardening Linux y Análisis

Forense)

Editor de SecurityByDefault.com

Blah Blah…

EJEMPLO - Cyberbullying

Concurso – Reto Forense Dragon Jar I

Se obtiene una imagen (VM) del equipo de un

sospechoso de ciber-acoso

Se solicita un análisis forense del equipo para

confirmar la sospecha.

Imágenes disponibles en:

http://www.dragonjar.org/resultado-del-primer-reto-

forense-de-la-comunidad-dragonjar.xhtml

Adquisición de imagen

Por tratarse de un Vmware:

◦ Se añade un disco duro virtual > al original

◦ Se arranca con un livecd tipo CAINE/DEFT

◦ Se crea partición FAT32 y se formatea

(mkfs.vfat)

◦ Se monta sobre /mnt

◦ Se genera la imagen: guymager

dcfldd

Adquisición

Información básica

Registrado: Scarface

XP SP3

AMD Athlon 512Mb

Usuario: Administrador

Uso horario GMT+5

Fecha de instalación

HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion

UnixTime: 1260862666

= 15 Dec 2009

Software instalado

TrueCrypt

Windows Live

IrfanView

Procesos en ejecución

No se detecta malware

Ni procesos extraños

Servicios en ejecución

No se detecta malware

Ni servicios extraños

Análisis de arranque

No se detecta malware

Ni servicios extraños

Drivers instalados

Driver de truecrypt instalado

Aplicaciones ejecutadas – Prefetch

Aplicaciones ejecutadas – Prefetch

Aplicación Funcionalidad

S-TOOLS Estenografía

TIMESTOMP Anti-forense, modificación de

fechas

TRUECRYPT Cifrado de volúmenes y discos

Archivos recientes C:\Documents and Settings\Admin\Reciente

Búsqueda de ADS

AlternateStremView (nirsoft)

Archivo: Scarface.jpg contine: «oculto»

«oculto» es un ejecutable de «Steganos

LockNote»

Busqueda de archivos TrueCrypt

Búsqueda con fecha

Tamaño de archivo

Busqueda de aplicación TrueCrypt

No se encuentra TrueCrypt en «Inicio» ni

en «Archivos de programa»

Se busca en el registro «Uninstall»:

HKLM\Software\Microsoft\Windows\Curr

entVersion\Uninstall\

Búsquedas en Internet

MyLastSearch de Nirsoft

Búsquedas en Google de contenido

sexual infantil

Archivos temporales de Internet

Uso de index.dat Analyzer para facilitar el

proceso

Se detectan búsquedas de sexo infantil en

Google

Se detecta navegación de imágenes con

contenido sexual

index.dat Analyzer

http://www.systenance.com/indexdat.php

Imágenes pedófilas en la cache

Uso de irfanview para ver imágenes

cacheadas

Se detecta pornografía infantil

Cache del navegador El usuario se registra en el portal

Se obtiene usuario y correo electrónico

Cache del navegador

Se comparte contenido pornográfico

Cache del navegador Contraseña y comentarios

Cache del navegador

Usuario añadido en hotmail ¿victima?

Cache del Navegador

Se obtiene contraseña del portal

imgsrc.ru

Búsquedas en el Historial

Se encuentran referencias a imágenes

«sexy (n).jpg» en «Mis imágenes»

Los ficheros ya no existen

Búsquedas en el Historial

Referencias a los archivos anteriores en

«Z:»

Historial de MSN

No hay registros de MSN

No hay archivos en «Mis archivos

recibidos»

Se encuentran imágenes en la cache de

MSN

Contactos MSN

C:\Documents and

Settings\Administrador\Configuración

local\Datos de programa\Microsoft\Windows

Live Contacts\{2b8788be-f69b-4265-9430-

326604e4a5c0}\DBStore\contacts.edb

Disco Duro

Disco duros - interfaces

Estructura disco duro

• A Pista

• B Sector

• C Sector de una pista

• D Cluster

Sector / Cluster

Cluster es la mínima unidad de

almacenamiento para el sistema operativo

Los clusters se componen de sectores. El

mínimo es un cluster = un sector

Los sectores pueden estar marcados

como defectuosos y no ser usados.

Espacio Slack

1. Fichero ocupa: 768Bytes

2. Un cluster son 4 sectores

3. El sector 2 es ocupado parcialmente y dependiendo del SO

puede sobrescribirse o no el espacio libre

4. El resto de sectores no se sobrescribe quedando datos no

eliminados

Busqueda en «slack space»

Busqueda en «slack space»

Camila

¿LockNote?

Se obtienen las credenciales de imgsrc.ru

(ya obtenidas)

TrueCrypt

La contraseña esta cacheada en memoria

y no es necesaria

Aunque haciendo pruebas, se puede

averiguar que es «Scarface»

Línea temporal 19/12/2009 – 21:06:15 21:08:52

Obtención de datos High School Music

19/12/2009 – 21:16:04 21:20:44

Conversación MSN con Natalia

19/12/2009 – 21:35:14

Se suben imagen de Natalia«luna.jpg» a imgsrc.ru

19/12/2009 – 23:04:07 – 23:13:54

Conversación MSN con Camila

19/12/2009 – 23:38:41

Imagen «sexy 1.jpg» de Camila subida a imgsrc.ru

20/12/2009 – 2:59:43

Archivos copiados a volumen cifrado TrueCrypt

¿PREGUNTAS?

Gracias

Alejandro Ramos

www.securitybydefault.com