Forensic / Malware

Rzuciłem okiem ostatnio na pewne narzędzie, które służyło do "zabezpieczania" środowiska pracy użytkownika. Nie wdając się w szczegóły procesy uruchomione w tym środowisku miały pewne dodatkowe ograniczenia, na przykład odnośnie uruchamiania innych procesów (lista dozwolonych), zapisywania danych, kopiowania plików. Gdy widzę takie rozwiązanie zawsze przede wszystkim zastanawiam się nad tym, jak je można obejść. Do tego dobrze jest wiedzieć (przynajmniej w przybliżeniu) jak to coś działa. Nie miałem na to zbyt wiele czasu, ale szybkie zbadanie sprawy przy pomocy Process Monitor pokazało, że "chronione" procesy ładują dodatkowe biblioteki. Moja pierwsza hipoteza zakłada więc API Hooking. Tylko jak łatwo ją potwierdzić?

Tym razem kontynuacja wpisu (Prawie) każde szyfrowanie można złamać, która dotyczy śladów, jakie pozostawiają w systemie Windows narzędzia do szyfrowania. Konkretnie dwa: TrueCrypt oraz FreeOTFE, przy czym w przypadku FreeOTFE skupię się na FreeOTFE Explorer. W obu przypadkach skupię się na kontenerach, a nie szyfrowaniu dysków.

Przemek podzielił się dziś informacją o kolejnym wyzwaniu w ramach Honeynet Project Challenges: Challenge 2 of the Forensic Challenge 2010 - browsers under attack. Na szybko rzuciłem na nie okiem, wygląda ciekawie - warto poświęcić mu chwilę czasu.

Kilka narzędzi, które mogą się przydać:

• Wireshark,
• NetworkMiner,
• Netgrok,
• Malzilla,

Przy okazji przypominam o wyzwaniu dostępnym w ramach Network Forensics Puzzle Contest : Puzzle #4: The Curious Mr. X. Zostało jeszcze trochę czasu, a nagroda może być interesująca.

Powodzenia!

Małe nawiązanie do wpisu o książce Przydrożne Krzyże. W pewnej chwili agentka prowadząca śledztwo dochodzi do wniosku, że istotne informacje mogą znajdować się na dysku laptopa, który niestety był zalany słoną (morską) wodą. Co robi "specjalista od komputerów"? Wymontowuje dysk z laptopa i osusza go przy pomocy suszarki. Cóż, mam pewne wątpliwości, czy jest to najlepsza metoda, patrz Jak skutecznie zabezpieczyć dane?, konkretnie punkt 5. Gdy dane zaleje woda:

(...)
Nie należy osuszać, ani dopuścić do samoistnego wyschnięcia zalanego nośnika danych. Osuszenie i uruchomienie tego elementu może spowodować bezpowrotną utratę zapisanych na nim informacji.
(...)
Prawdopodobieństwo utraty informacji wzrasta w przypadku kontaktu nośnika ze słoną lub silnie zabrudzoną wodą. Dla zwiększenia szans odzyskania danych należy zanurzyć nośnik w wodzie destylowanej, po czym zawinąć ten element w wilgotny ręcznik, włożyć go do worka antyelektrostatycznego i wysłać do laboratorium odzyskiwania danych.
(...)

Oczywiście można założyć, że porada ta jest nieco naciągana po to, by dać firmom zajmującym się odzyskiwaniem danych więcej zarobić, w końcu trzeba (...) wysłać do laboratorium odzyskiwania danych (...), ale czasami trzeba dać sobie spokój ze spiskową teorią dziejów i spiskiem wielkich korporacji. W każdym razie ja przyjmuję tę poradę do wiadomości i gdyby spotkało mnie takie zdarzenie, raczej nie próbowałbym odzyskiwać danych z dysku przy pomocy suszarki...

Analiza plików zawartych w katalogu Prefetch pozwala na ustalenie jakie programy były uruchamiane w systemie, kiedy były uruchomione pierwszy, a kiedy ostatni raz. Pojawiło się ostatnio ciekawe narzędzie wspomagające analizę zawartości katalogu Prefetch: WinPrefetchView. Pozwala ono uzyskać nieco więcej informacji, niż jest to możliwe przy pomocy Windows File Analyzer. To tak w ramach ciekawostki :)

Co prawda dzieliłem się już tymi wpisami, ale co tam:

• Forensic Practical Exercise #3,
• Forensic Practical Exercise #3 - SOLVED,

Tym razem zadanie jest dość "proste", chodzi(ło) o odzyskanie utraconego pliku (JPEG), w którym zapisany był bardzo istotny numer konta. Namierzenie nagłówka pliku nie nastręczało wielu problemów, dość szybko jednak okazywało się, że plik jest zapisany w kilku fragmentach i... No właśnie, nie miałem cierpliwości "składać" tego pliku do kupy, choć zadanie to jest zdecydowanie łatwiejsze niż ewentualne odzyskiwanie kontenera TrueCrypt w przypadku podobnej awarii.

Wpis ten jest zainspirowany pytaniem o czas czyszczenia dysku przy pomocy dd. Czas ten można dość dobrze określić przy pomocy prostych eksperymentów.

Kiedyś już pokazywałem mały network forensic na podstawie Network Forensics Puzzle Contest. Dostępne jest (właściwie było, przegapiłem) kolejne zadanie: Puzzle #2: Ann Skips Bail. Fajna zabawa, choć niezbyt wymagająca... Co prawda The MOST ELEGANT solution wins, ale czy zgrabne wykorzystanie dostępnych narzędzi nie jest eleganckim rozwiązaniem? :)

Jakiś czas temu pisząc o identyfikatorach globalnych i pośrednich zadałem pytanie całkiem niezwiązane z tematem:

Pytanie dodatkowe nie związane z tematem: kiedy (prawdopodobnie) powstał ten post? Co za tym przemawia?

Temat chyba nikogo nie zainteresował, nie każdy jest tak nienormalny jak ja, ale co tam, odpowiem sam sobie - może komuś się przyda.

Wymieniony post zawiera ten obrazek. Przy odwołaniu do niego serwer zwraca następującą odpowiedź:

HTTP/1.1 200 OK
Server: IdeaWebServer/v0.60
Date: Thu, 12 Nov 2009 21:33:10 GMT
Content-Type: image/png
Content-Length: 71467
Connection: Keep-Alive
Last-Modified: Wed, 05 Aug 2009 20:21:52 GMT
Expires: Fri, 13 Nov 2009 21:33:11 GMT

Odpowiedź na zadane pytanie sugeruje nagłówek Last-Modified.

Pliki zawierające dane zaszyfrowane przy pomocy TrueCrypt (czyli właściwie kontener/wolumen) są, co do zasady, nie do odróżnienia od losowych danych. Informacje typu TrueCrypt is now Detectable są nie do końca ścisłe: TrueCrypt Volumes Still Undetectable. Sytuacji tej również nie zmieniają w istotny sposób narzędzia TCHunt czy EDD. W pewnym stopniu losowość kontenerów TrueCrypt może być ich wyróżnikiem, bo czym w zasadzie może być plik wielkości 4 GiB, który zawiera całkowicie losowe śmieci? Fakt, może i nie można udowodnić wprost, że jest to kontener TC, ale czasami wystarczy samo podejrzenie. "Nierozpoznawalność" wolumenu TC jest problemem gdy system plików, na którym kontener jest zapisany, ulegnie uszkodzeniu w taki sposób, że informacja o plikach na dysku zostanie utracona. Co w takim przypadku?