Anti-Forensics

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Anti-Forensics

Notapor vlan7 » Vie Jul 11, 2008 11:12 pm

Ya que nuestro compañero el vikingo esta haciendo un buen trabajo en analisis forense de sistemas de archivos, me he animado a escribir algo sobre el otro lado, anti-forensics.

Empecemos.

"Puedo tomar cualquier MAQUINA y hacerla culpable o no culpable"
Vinnie Liu

El cifrado y la estenografia pueden proteger tus datos. Esto es ya de sobra conocido asi que no dire nada.

Otro metodo seguramente conocido. Sobreescribir los datos. Cualquier wipe deberia funcionar, pero para los mas paranoicos, el mas estricto es uno que hicieron los chicos del THC, que cumplia con el analisis presentado en el siguiente documento ya clasico:

Secure Deletion of Data from Magnetic and Solid-State Memory

Peter Gutmann
Department of Computer Science
University of Auckland
pgut001@cs.auckland.ac.nz

This paper was first published in the Sixth USENIX Security Symposium Proceedings, San Jose, California, July 22-25, 1996
Published under the Creative Commons license.

http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

La NSA considera un borrado seguro aquel que hace 30 y pico pasadas sobreescribiendo el disco. De todas formas a mi me parece exagerado. Yo no conozco manera de recuperar un disco del que se ha hecho siquiera 1 pasada de sobreescritura. Pero para los mas paranoicos ahi queda eso.

Bueno, ya esta bien, empecemos a hablar de asuntos serios.

Los forenses se basan muchas veces en la fecha de ultima modificacion de un archivo para deducir evidencias de backdoors, archivos troyanizados, etc.

Empecemos por Linux. Pongo como ejemplo el sistema de archivos ext3, el cual desarrollo una china muy guapa, pero eso es otro tema. ¿Linux es open source no? Bien, abramos /usr/src/linux/include/linux/ext3_fs.h

Pasteemos la parte relevante.

struct ext3_inode {
__u16 i_mode; /* File mode */
__u16 i_uid; /* Low 16 bits of Owner Uid */
__u32 i_size; /* Size in bytes */
__u32 i_atime; /* Access time */
__u32 i_ctime; /* Creation time */
__u32 i_mtime; /* Modification time */
__u32 i_dtime; /* Deletion Time */
241: __u16 i_gid; /* Low 16 bits of Group Id */


Hay mas, pero solo nos interesa ese trozo. Y de ese trozo, las 2 lineas en negrita. Tenemos 2 llamadas que podemos usar para modificar esos "stamps"

Código: Seleccionar todo
#include <sys/types.h>
#include <utime.h>
int utime(const char * filename, const struct utimbuf * buf);

#include <sys/time.h>
int utimes
(const char * filename, const struct timeval times[2]);


O podemos usar el The Defiler's Toolkit. Incluso podriamos usar el comando touch...

¿Y en windows? El proyecto Metasploit (http://www.metasploit.com/projects/antiforensics) ha desarrollado una utilidad muy maja llamada Timestomp. Es valida para NTFS. Y creo que solo para NTFS. Fuera de Metasploit tambien existe Timestamp con a.

Un inciso sobre esto. En Windows podemos evitar que se actualice la fecha de ultima modificacion de un archivo. HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate Lo ponemos a 1 y ya podemos modificar lo que queramos que la fecha de ultima modificacion no se vera alterada. Gracias Microsoft. Me han dicho que esto esta a 1 por defecto en Vista, no lo he podido comprobar, pero me parece raro.

Pasemos pagina. Hablemos ahora de esconder datos. ¿A que me refiero con esconder datos? Pues a esteganografia no, me refiero a guardar datos en sitios anormales del disco.

Linux. Podemos guardar datos en swap. Luego dicen que la swap no es importante. Tambien nos decian de canijos "el contenido de la RAM se pierde nada mas apagar el ordenador". Hace 3 meses o asi lei que un tio decia que era posible averiguar que datos habia en la RAM hasta pocos minutos despues de apagar el equipo. Era todo muy teorico y muy electronico. Ni siquiera recuerdo donde lo lei, pero parecia serio. Al grano. Linux swap. Podemos crear en la swap un segmento marcado como paginas_invalidas, bad_pages creo que dicen los guiris, y guardar nuestros datos a partir de ahi. La herramienta que yo conozco se llama Bigboo.

Seguimos en Linux. Algunos sistemas de archivos como ext2, asumen demasiadas cosas. En ext2 el i-nodo de la raiz es el numero 2, y ext2 ejemplo asume que no pueden existir bloques defectuosos antes del i-nodo de la raiz. Y algunas herramientas forenses, por lo menos el The Coroner's Toolkit ese famoso y The Sleuth Kit en UNIX asumen lo mismo y no miran ahi. Bien, creemos un bad block en el i-nodo 1 del disco. Por ejemplo, con Runefs, que forma parte de The Defiler's Toolkit.

Espacio indefinido. No se como traducir unallocated. Bien, algunas herramientas forenses solo examinan la parte del disco que esta particionada, olvidandose de la parte sin particionar. ¿Herramientas capaces de alojar datos en el espacio "unallocated" entre particiones? StegFS para Linux. Slacker de Metasploit para Win.

¿Estabamos hablando de esconder no? Sigamos. Con TrueCrypt podemos crear un segundo sistema de archivos oculto en el visible. ¿Esto por que? Porque si eres detenido y te obligan a cantar la contraseña de TrueCrypt, siempre tienes en ese sistema de archivos oculto en el habitual la informacion realmente sensible. Asi que aun te quedan esperanzas de que lo descubierto sea suficiente para tus interrogadores.

Aun hay mas. ext3 todos sabemos que es ext2+journaling. Waffen FS puede almacenar datos en el espacio reservado para journaling.

Mas comentarios breves sobre Linux. Ky FS puede guardar datos escondiendolos en directorios.

En Linux, The Defiler's Toolkit puede almacenar datos y marcar esos bloques como bad. Eso evadia a un viejo The Coroner's Toolkit, pero no a una version de 2006 o asi. The Sleuth Kit tambien es capaz de analizar datos en bad sectors.

Vayamonos a Win. NTFS. NTFS tiene una caracteristica que se llama Alternate Stream Date (ASD). ¿Que quiere decir esto? En la practica esto nos permite crear archivos en archivos. Veamoslo con un ejemplo:

c:\ type backdoor.exe >%systemroot%\notepad.exe:backdoor_muy_mala.exe

notepad.exe seguira igual. Mismo tamaño, mismo contenido. Para ejecutar nuestra backdoor:

c:\> start .\..\..\..\..\..\..\..\%systemroot%\notepad.exe:backdoor_muy_mala.exe

Y bueno, estoy cansado, esto sobre anti-forensics en sistemas de archivos por hoy. Tiene mas chicha esto, hay analisis forense en trafico de red (y anti-forense, ¿alguien recuerda Loki de phrack? Era bello eh...), hay metodos de ataque anti-forense activos como dejar de antemano el menor numero de huellas posibles, buscad en google. O acciones tan simples como usar una live-CD, o montar una particion como read-only...

Pero antes tan solo nombrar una herramienta muy maja que forma parte de Metasploit: Transmogrify. Sirve para evadir analisis de archivos modificados. Evadir al mitico tripwire. Sobre esto solo terminar con una frase: Es posible crear 2 archivos diferentes con el mismo hash MD5. ¿Y esto para que nos sirve? ¿Vosotros que pensais, que utilidad tiene esto en anti-forense?

Suerte,
Última edición por vlan7 el Dom Jun 10, 2012 9:18 pm, editado 4 veces en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Vie Jul 11, 2008 11:31 pm

Hola risperdal

Impresionante la cantidad de informacion que has incluido en tan pocas lineas. Muchas gracias!!

Sin haber tenido tiempo de masticarlo bien, y para esa ultima herramienta que mencionas, ¿quizas nos ayudase el fuzzy hashing?

http://ssdeep.sourceforge.net/

Saludos

PD: Prometo leerme tu mensaje mas a fondo.
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Arakiss » Sab Jul 12, 2008 8:34 pm

Hola:

Risperdal excelente manual,te lo agradezco un monton y ahora lanzo un pregunta.Segun tengo entendido para realizar una operacion de "borrado seguro" utlizando metodos DoD aplicando la operacion y sobreescribiendo los sectores 5 veces,no hay manera santa de recuperar dichos datos.¿Me equivoco,o es cierto?

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor SLaYeR » Dom Jul 13, 2008 2:11 am

Hola!

Igual digo una burrada, pero me parece que el estándar militar americano para la eliminación segura de datos, el Método Gutman, requiere unas 35 pasadas.

Esto es lo que he encontrado sobre estándares de eliminación de datos:

Estándares:
– DoD 5220-22.M (3,7)
– RCMP TSSIT OPS-II
– Método Gutman: 35 pasadas
– OTAN: 7 pasadas
– ISO 17799:2005, punto 10.7.2

Aparte, claro esta, después de esto los discos se destruyen con prensas hidráulicas, incinerándolos... etc.

Salu2!
ImagenImagen "Happy Hacking". Richard Stallman

Cuando la oscuridad nuble tu mente, que la paranoia sea tu guía.

Déjate caer por mi blog
SLaYeR
-<|:·þ
-<|:·þ
 
Mensajes: 2022
Registrado: Lun Sep 12, 2005 9:02 pm
Ubicación: Cuando crees que me ves cruzo la pared...

Notapor NeTTinG » Lun Jul 14, 2008 1:19 pm

Hola:

Muy interesante, risperdal. ;)

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor vlan7 » Sab Jul 19, 2008 1:01 am

Hola tios.

Sobre la herramienta que mencionas neofito, no la conocia, gracias, la probare y a ver que tal. Esto es como policias y ladrones, lo que uno avanza lo viola el otro y asi continuamente en un ciclo sin final.

Sobre lo que dijo Arakiss, comentar que fuentes serias, como por ejemplo el paper que nombre del Peter Guttman afirman que es posible. Pero sin hardware dedicado, sin maquinas dedicadas yo por lo menos no conozco manera humana (o computacional jeje) de recuperar un disco al que se le han hecho siquiera 4 wipes. Pero eso ya toca la electronica, y quizas sepais ya los que me conozcais por algun que otro hilo que la electronica jamas fue lo mio. Si alguien puesto en electronica se anima a comentar sobre el tema bienvenido :) Ah, ni que decir tiene que esas maquinas tienen que valer un paston.

Por lo demas me alegro de que os haya gustado, a ver si me animo y sigo escribiendo alguna cosa mas sobre el tema.

Suerte!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Vic_Thor » Sab Jul 19, 2008 11:15 am

Lo de las fechas en Win... se llama TimeStomp ;)

Y os recomiendo que busquéis también una cosa llamada slacker... puedes esconder archivos en áreas slack :badgrin: INCLUSO LOS TROCEA....

Buen aporte risperdal
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor vlan7 » Mar Jul 22, 2008 7:29 pm

Vic_Thor escribió:Lo de las fechas en Win... se llama TimeStomp ;)


Corregido Vic_Thor, gracias. Lo que ocurre es que tambien existe otra utilidad fuera del proyecto Metasploit que se llama Timestamp.

Vic_Thor escribió:Y os recomiendo que busquéis también una cosa llamada slacker... puedes esconder archivos en áreas slack :badgrin: INCLUSO LOS TROCEA....


Si que es majo el slacker si, ya lo habia nombrado ;)

Vic_Thor escribió:Buen aporte risperdal

Gracias :)

Y bueno, ya que se ha puesto de moda este tema en Wadalbertia, a ver si me animo a escribir sobre algo que no se haya escrito. Tengo en mente analisis forense de ext2, ext3, ufs1, ufs2, comentar analisis forense en RAID (que complica un poco la cosa), algo mas de anti-forensics. No se como empezar, pero una posibilidad seria un post para cada parte, y hacerlo rollo analisis forense-que anti forensics lo habria evitado-que analisis forense podria evidenciar aun con ese anti-forensics-... y asi hasta que nadie sepamos mas jejeje todo con casos practicos. Dadme tiempo tios.

Suerte!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor BastardCoder » Vie Oct 24, 2008 8:48 am

La verdad que sumamente intersante, pero hay cosas que no me cuadran como lo de la ram, la ram necesita ser refrescada constantemente para que no pierda datos, dado que sus condensadores (los cuales guardan el estado 0 o 1) se descargan a los pocos ms y hay que refrescar.

Hace poco salio un video de recuperar la contrasela del Boot de TrueCrypt congelando la ram y poniendola en otro portatil, una tecnica tambien para flipar.

Un saludo
BastardCoder
:-)
:-)
 
Mensajes: 22
Registrado: Mar Oct 21, 2008 2:40 pm

Notapor Arakiss » Sab Oct 25, 2008 7:57 pm

Hola:

BastardCoder escribió:La verdad que sumamente intersante, pero hay cosas que no me cuadran como lo de la ram, la ram necesita ser refrescada constantemente para que no pierda datos, dado que sus condensadores (los cuales guardan el estado 0 o 1) se descargan a los pocos ms y hay que refrescar.


Cierto lo que dices pero no estamos hablando del mismo tipo de memorias,en este hilo hablaba de las memorias RAM que como bien ha dicho risperdal el tiempo que tarda en desaparecer la informacion oscila entre unos segundos y varios minutos.

Hace poco salio un video de recuperar la contrasela del Boot de TrueCrypt congelando la ram y poniendola en otro portatil, una tecnica tambien para flipar.


Si le hechas un vistazo al video de la pagina de donde creo que saco la informacion risperdal te podras dar cuenta que estan hablando de lo mismo que tu has mencionado.

Saludos
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor neofito » Mar Ago 25, 2009 11:49 pm

Siento revivir el tema, pero he pensado que este es el mejor lugar para darle un repaso a timestomp:

http://neosysforensics.blogspot.com/200 ... iempo.html

Se agredecen correcciones y/o sugerencias :)

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor vlan7 » Lun Sep 14, 2009 2:31 pm

Muy buen documento neofito!!

neofito escribió:De hecho, bajo Windows Vista, esta funcionalidad viene aplicada por defecto.


Asi que era verdad lo que me habian contado... vaya putada con el Vista...

Gracias por compartirlo!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

cron