Análisis Forense en Servicios de Almacenamiento Remoto

(1)

Su Seguridad es Nuestro Éxito

C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48

C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 [email protected] www.isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88

(2)

@localhost # whoami

Alexandre Rodríguez Domoslawsky

CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM

e-mail: [email protected]

Analista de seguridad

 Hacking ético

 Análisis forense

 Incidentes de seguridad

(3)

Objetivos de la presentación

• Analizar las principales tecnologías de almacenamiento remoto

– ¿Que información se almacena localmente?

• Credenciales

• Ficheros de configuración

• Arquitectura del servicio (servidores tiempo, back-end, front –end) • Cifrado, ofuscado, texto plano

• Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?

– ¿Qué sucede en la transferencia y sincronización de archivos?

• Conexiones cifradas

• ¿Cómo se sincronizan los archivos? • Credenciales

(4)

Índice

1. Introducción

2. Dropbox

• Ficheros • RAM • Servicio online

3. Google Drive

4. Conclusiones

(5)

Almacenamiento – Necesidad

• Cada vez requerimos mas espacio

(6)

Almacenamiento – Necesidad

• Estamos mas interconectados

(7)

Almacenamiento – Servicios

• A mayor demanda, mayor oferta

https://www.preceden.com/timelines/47418-evolution-of-cloud-storage Análisis Forense en Servicios de Almacenamiento Remoto

(8)

Cloud – Problemas de seguridad

• Vulnerabilidades Software

– Confidencialidad – Disponibilidad – Integridad

(9)

Cloud – Problemas de seguridad

• Empleo por parte de los usuarios

– Privacidad

– Fugas de información

(10)

Cloud – Problemas de seguridad

• Nuevos desafíos

– Distribución de Malware – RAT

– Ofuscación

(11)

Cloud – Desafíos para el análisis forense

• Tecnología que ves

– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?)

• Aspectos legales del reversing

– Cifrado de las comunicaciones

• Como se sincroniza

– Sólo parte de la solución

• Data Carving

• Diferentes modos de acceso

(12)

Cloud – Desafíos para el análisis forense

• .. Y que no ves

– “There’s no cloud, is someone else’s computer”

(13)

Índice

1. Introducción

2. Dropbox

3. Google Drive

4. Conclusiones

(14)

Análisis Servicios de Almacenamiento - Entorno

• Entorno – Windows 7 32 bits – Firefox – Virtual Box – DropBox Windows

– Google Drive Windows

• Cuentas de correo

– [email protected]

– Usuario del sistema con contraseña

(15)

Análisis Forense – Metodología

1. Backup del registro original de Windows 2. Backup del sistema de ficheros original 3. Instalación del servicio remoto

4. Monitorización del sistema de ficheros durante la instalación

o Archivos temporales o Logs

5. Identificación de las modificaciones del registro de Windows

o Nuevos valores en claves existentes (NTUser) o Nuevas claves

6. Identificación de las modificaciones del sistema de ficheros

o Archivos de configuración locales

7. Ejecución del servicio

o Data carving o Comunicaciones o RAM

(16)

Análisis Forense – Herramientas

 Registro

 RegShot, Registry Explorer, Reg App, Regedit

 Sistema de ficheros

 Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager

 Cifrado

 Dropbox Magnetic Forensics, OpenSSL

 Comunicaciones

 Wireshark, netstat

 RAM

 IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py

(17)

Dropbox – ¿Qué es?

• Todo empezó en 2008

• Muy popular, 400 millones

• Multiplataforma y diferentes accesos

• Cuentas free (2GB-16gB) y profesionales (1TB-5TB) • Delta Encoding (ahorro de ancho de banda)

• Transferencia segura (SSL y AES-256) • PRISM

(18)

Dropbox – Instalación

• La instalación se realiza bajo el profile del usuario y

carpeta de programas

– C:\users\aroddom\Dropbox – C:\Program Files\Dropbox

• C:\Users\aroddom\AppData\Local\Dropbox

– Carpeta de configuración del servicio

• C:\Users\aroddom\AppData\Roaming\Dropbox

– Proceso de instalación y transferencia de ficheros Análisis Forense en Servicios de Almacenamiento Remoto

(19)

Dropbox – Proceso de instalación

• C:\Users\aroddom\AppData\Roaming\Dropbox\installer\l

– 562e408d : archivo cifrado

• C:\ProgramData\Dropbox\Update\Log

– Cifrado, mismo que .dbx

(20)

Dropbox – Proceso de instalación

• Archivos Prefetch

– C:\Windows\Prefetch\Dropbox.exe-B2C17CD4.pf – C:\Windows\Prefetch\Dropbox.exe-F5354AA9.pf – C:\Windows\Prefetch\Dropboxclient_3.10.8..exe-DD1118F8.pf – C:\Windows\Prefetch\Dropboxcrashhandler.exe-62E2DC11.pf – C:\Windows\Prefetch\Dropboxinstaller.exe-7CFC3536.pf – C:\Windows\Prefetch\Dropboxupdate.exe-3D36B2FC.pf – C:\Windows\Prefetch\Dropboxupdate.exe-661A090C.pf – C:\Windows\Prefetch\Dropboxupdateondemand.exe-D912AE5B.pf  Actualización  Aspecto visual

 Imágenes de librerías en uso

(21)

Dropbox – Proceso de instalación

• Claves de Registro

– 884 nuevos valores y 391 nuevas claves

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox – HKLM\SOFTWARE\Dropbox\ – HKLM\SOFTWARE\DropboxUpdate\Update\ClientState\ – HKLM\SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifier s\DropBoxExt[1 .. 8]  Ruta de instalación  Fecha de instalación  Versión del software

 Fecha de última actualización y sincronización

(22)

Dropbox – Configuración local

• C:\Users\aroddom\AppData\Local\Dropbox

– Host y Host.dbx, Carpeta local ofuscada en base64

• QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:User\aroddom\Dropbox

– Cifrados, Instance_db\ || Instance1\

• instance.dbx • deleted.dbx • Filecache.dbx • Sigstore.dbx

Análisis Forense en Servicios de Almacenamiento Remoto

Ficheros locales

_{Hora local de modificación, borrado y}

creación

(23)

Dropbox – Servicio Online

• Archivos borrados

– Guardados por un máximo de 30 días (wipe local)

– Archivos locales, son equivalentes a cualquier otro fichero Análisis Forense en Servicios de Almacenamiento Remoto

(24)

Dropbox – Conexiones de red

• Conexiones cifradas

– Servidores archivo configuración

• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

– Todas las conexiones SSL

• 80, 443

(25)

Dropbox – Servicio Online

• Conexiones establecidas

– Navegadores y hora

– Sistema operativo y nombre de equipo

(26)

Dropbox – Análisis de RAM

• Análisis del volcado RAM de memoria del proceso

– Strings de búsqueda

• Authenticate • Mail

(27)

Dropbox – Análisis de RAM

• Análisis del volcado RAM de memoria del proceso

• Value / secure / expires

(28)

Dropbox – Análisis de RAM

• Análisis del volcado RAM de memoria del proceso

• pwd / user • .dbx

• Updated /deleted

(29)

Dropbox – Análisis de RAM

• Es posible obtener

– Dirección de correo – Servidores NTP

– Listado de ficheros creados / borrados – Direcciones de red locales

– Rutas de carpetas locales

(30)

Dropbox – Servicio Online

• Análisis del volcado RAM de memoria del proceso

• password / pwd • mail

• .dbx

 Usuario

(31)

Dropbox – Desinstalación

• Información que permanece

– Ntuser\Dropbox (valores borrados) – Archivos prefetch

– Ficheros locales sincronizados (carve) – LNK files

– Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys

(32)

Google Drive - ¿Qué es?

• 2012

• 500 millones de usuarios, @gmail.com

• Cuentas free (15gB) y profesionales (hasta 30TB)

• Microsoft y Apple

• SSL, pero no por defecto

(33)

Google Drive – Instalación

• La instalación se realiza en la carpeta de programas

– C:\Program Files\Google\Drive

– C:\Users\aroddom\Google Drive

• C:\Users\aroddom\AppData\Local\Google\Drive

– Carpeta de configuración del servicio

(34)

Google Drive – Proceso de Instalación

• Archivos Prefetch

– C:\Windows\Prefetch\GoogleDrive_sync_1.25.523.2491.C456FGHexe.pf – C:\Windows\Prefetch\GoogleUpdate.exe-12AG5F28.pf  Actualización  Aspecto visual

 Imágenes de librerías en uso

(35)

Google Drive – Proceso de Instalación

• Claves de Registro

– 896 nuevos valores y 577 nuevas claves

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google\Drive – HKLM\SOFTWARE\Google\Drive – NTUSER\SOFTWARE\Classes\GoogleDrive\ – NTUSER\SOFTWARE\Google\Drive  Ruta de instalación  Fecha de instalación

 Versión del software

 Fecha de última actualización y sincronización Análisis Forense en Servicios de Almacenamiento Remoto

(36)

Google Drive – Configuración Local

• C:\Users\aroddom\AppData\Local\Google\Drive

– Sync_config.db, SQLITE3

Versión del cliente instalado Email

Path

(37)

Google Drive – Configuración Local

• C:\Users\aroddom\AppData\Local\Google\Drive

– Snapshot.db, SQLITE3 – cloud_entry & Local_entry

Ficheros (Timestamp, size, url)

(38)

Google Drive – Configuración Local

• Después de borrar ficheros

– Snapshot.db, SQLITE3 – cloud_entry & local_entry

 Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste

(39)

Google Drive – Configuración Local

• Archivos temporales

– C:\Users\aroddom\AppData\Google\Drive\TempData\HttpCache

 Email de usuario

• 6cc-RunAsync-_OnLogin-3-hkegge

(40)

Google Drive – Configuración Local

• Registro de actividad – sync_log.log

– Ficheros sincronizados

o Strings : Create / delete / modify

(41)

Google Drive – Conexiones de red

• Conexiones cifradas (información sensible) y no

cifradas

– Servidores archivo configuración

• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

– Puertos en uso

• 443, 522 ( alive y time stamp)

(42)

Google Drive – Servicio Online

• Archivos borrados

– Fichero, pre-visualización y timestamp

(43)

Google Drive – Servicio Online

• Time line

– Dispositivo – Usuario

– Timestamp de los archivos – Cuenta compartida

(44)

Google Drive – Análisis de RAM

• Cliente googledrive_sync

• User / password / mail • Path

• Direcciones de red

 Paths locales

(45)

Google Drive – Análisis de RAM

• Servicio online

• Value / secure / expires • Mail / user / password



Usuario

(46)

Google Drive – Desinstalación

• Información que permanece

– Ntuser\Google\Drive (valores borrados) – Archivos prefetch

– Ficheros de configuración borrados (carve) – Ficheros locales permanecen

• Sync_log, ..

– LNK files

– Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys

(47)

Conclusiones

• Información que permanece en los sistemas locales

• Aproximación local similar a cualquier análisis forense

tradicional

– Importa la memoria volátil – Reversing y de-ofuscación

• Nivel de seguridad incrementado desde las versiones

iniciales

(48)

Siguientes pasos

• Sincronización entre múltiples dispositivos en red local

LAN-sync (Dropbox).

• Investigación acerca de dispositivos móviles y sistemas

de ficheros menos empleados

• Arquitectura de la nube

(49)

Referencias

 Cloud Storage Forensics, 2013, Mattia Epiffani

 Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.

 https://www.magnetforensics.com/free-tool-dropbox-decryptor/

 Cloud Storage Forensics, 2011, Darren Quick et al

 The Challenges in Cloud Computing Forensics, 2010, George Grispos et al

 http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html

 Looking inside the (Drop) box Dhiru Kholia et al

(50)

C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

[email protected]

www.isecauditors.com

(51)

C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

[email protected]

www.isecauditors.com