http://apura.com.br

Sandro Süffert, CTO Jacomo Picolini

http://apura.com.br http://team-cymru.com

http://blog.suffert.com @teamcymru

@suffert @Apura_Oficial @dimmit

Desafio Forense ICCyber 2012

Agradecimentos:

• Jacomo Piccolini – Team Cymru

• Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback

• Guilherme Venere (desafio.exe)

• Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA)

• Você!

Sobre o Desafio:

4

• As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012

• Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética!

• Novidades serão publicadas nos endereços

• http://www.apura.com.br/ • http://blog.suffert.com

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads

Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams

Este desafio vai abranger a Investigação em vários meios digitais

Sobre o Desafio Forense ICCYBER 2012

O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip

O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas.

As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.

Sobre o Desafio

7

• O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la.

• Ao participar do desafio você concorda automaticamente com as regras.

• Boa Sorte!!!!

Sleuthkit

8

• O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais.

• http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema

• Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit.

• Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio.

• Lembre-se existem MUITOS outros comandos e ferramentas!!!

Sleuthkit

9

• Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1

Sleuthkit

10

• Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1

Sleuthkit

11

• Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode>

8 x 512 = 4096 = 4k

Sleuthkit

12

• Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode>

Sleuthkit

13

• Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor>

Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>

Volatility

Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>

Volatility

python volatility sockscan –f <memory-image.bin>

Volatility

Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid>

Volatility

Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>

Abrindo um arquivo .pcap no wireshark:

$ wireshark file.pcap

Decodificando base64:

$ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d

usuario:senha

Wireshark

Extraindo arquivos transmitidos com o wireshark:

Analyze > Follow TCP Stream..

Wireshark

Steghide - esteganografia

$ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>

Vamos iniciar o Desafio!

Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1

Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes