Leonardo Musumeci

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Durante un incidente informatico in un’azienda protetta da antimalware, Host IPS e Windows GPO; atti ad impedire l’esecuzione di materiale pericoloso, abbiamo notato qualcosa di sospetto nella rete e sembrava venisse utilizzato per far trapelare informazioni. Cosa dobbiamo fare per avere indizi su ciò che sta accadendo?
La memory forensics ci può aiutare. Effettuiamo una prima immagine della memoria utilizzando il software MDD di Mantech (http://www.mantech.com/msma/mdd.asp):

Dopo aver effettuato l’immagine, useremo uno strumento che possa essere in grado di sondare in maniera più approfondita ciò che contiene, in modo da ottenere le prove utili per il caso. Si userà Volatility framework (https://www.volatilesystems.com/default/volatilità). Un software open source in Python che è in grado di analizzare le immagini della memoria di Windows XP e raccogliere informazioni: come i socket creati, la lista dei processi, la lista delle DLL caricate, le connessioni attive, l’indirizzo di memoria, i file aperti e le chiavi di registro per ogni processo. Ecco come si usa: digitiamo python volatility :

src=”http://manuel.santander.name/sans/volatility_usage.jpg” alt=”" />

Otteremo la lista dei processi, ora cerchiamo di trovare qualcosa di strano. Digitiamo python volatility pslist memory.dmp-f :

Abbiamo trovato qualcosa. PID 2316 sembra essere un netcat. Vediamo se c’è qualche trasferimento in corso, grazie ad un controllo delle connessioni attive sull’ host, digitiamo python volatility connections -f memory.dmp :

Nessun trasferimento in corso. Netcat potrebbe essere in ascolto? Verifichiamo ogni socket creato digitando python volatility sockscan memory.dmp-f :

Abbiamo trovato qualcosa! Netcat sembra essere in ascolto sulla porta TCP 1234 (Protocollo 6).

È possibile verificare i numeri di protocollo qui .

Dove sta scrivendo? Proviamo ad aprire i file digitando python volatility file memory.dmp-f :

Sembra essere in attesa di un file di Excel. Proporrò altri casi nei prossimi post.

Manuel Humberto Peláez Santander è Chief Information Security Officer dell’ Empresas públicas Medellín ESP .

Possiede GCFA, GCIA, GNET, GCFW, GCIH e GSEC.

Fonte : Memory forensics: A practical example

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Le informazioni ricavate dai metadati dei documenti possono essere una valida fonte di informazioni per gli investigatori ed il loro valore è indiscusso. I documenti creati utilizzando Microsoft Office compaiono spesso nel corso delle indagini. Parecchi script e software permettono di leggere il formato proprietario dei documenti creati utilizzando Office 2003 e versioni precedenti, di conseguenza non c’è altro da aggiungere per quanto riguarda questi strumenti. Ma non ci sono molti software che possano leggere i metadati nel nuovo formato che utilizza Office 2007 , OpenXML. Così ho deciso di esaminarlo un po’ più accuratamente.

Microsoft ha già pubblicato un documento che descrive abbastanza bene la struttura di OpenXML [ 1 ]. In sostanza un documento creato in OpenXML, è un file compresso con il noto formato ZIP, in modo che possa essere facilmente aperto con qualsiasi software che faccia uso di tale formato (ad esempio, modificando il nome del documento da document.docx a document.zip e utilizzando un software che legga il formato ZIP).

All’interno del file ZIP sono presenti alcune strutture predefinite di file, generalmente file XML che descrivono il documento ed il suo contenuto, facilmente leggibili tramite librerie standard disponibili nei linguaggi di scripting come Perl.

Secondo quanto detto da Microsoft, all’interno dell’archivio ZIP viene creata una cartella chiamata “_rels”. Questa cartella contiene un file chiamato “. Rels” che definisce le relazioni all’interno dell’archivio. Questo dovrebbe essere il primo luogo utile per effettuare il parse del documento. All’interno del file .rels si trovano i tag che definiscono le relazioni del documento:

<Relationship Id="someID" Type="relationshipType" Target="targetPart"/>

I metadati sono memorizzati in file che contengono un tipo di “proprietà * “, generalmente nota come “proprietà core” e “proprietà estesa”. Questi file sono in genere memorizzati secondo il percorso seguente:

• DocProps / core.xml
• DocProps / app.xml
  
  Questi file contengono, quindi, le informazioni effettive dei metadati: chi ha creato il documento, ultimo file salvato, ecc. Per essere in grado di visualizzare i metadati di tali informazioni è necessario estrarre ed effettuare il parse dei documenti.

  A questo proposito ho creato uno script read_open_xml.pl , che effettua il parse dei contenuti del file .rels per individuare i metadati e successivamente estrarli e stamparli sullo schermo. Ecco un esempio di come possa essere utilizzato:

  ./read_open_xml.pl test.docx

  ==========================================================================
   cmd line: ./read_open_xml.pl test.docx
  ==========================================================================
  
  Document name: test.docx
  Date: Tue Jun  9 16:51:23 GMT 2009
  
  --------------------------------------------------------------------------
  File Metadata
  --------------------------------------------------------------------------
   title = my company template
   subject = Document template
   creator = Kristinn Gudjonsson
   keywords = template, word
   description =
   lastModifiedBy = Kristinn Gudjonsson
   revision = 3
   lastPrinted = 2008-08-15T10:14:00Z
   created = 2008-08-15T10:14:00Z
   modified = 2008-08-15T10:14:00Z
   category = template
  --------------------------------------------------------------------------
  Application Metadata
  --------------------------------------------------------------------------
   Template = my_template.dot
   TotalTime = 0
   Pages = 2
   Words = 159
   Characters = 908
   Application = Microsoft Word 12.1.2
   DocSecurity = 0
   Lines = 7
   Paragraphs = 1
   ScaleCrop = false
   Manager = Some dude
   Company = My Company
   LinksUpToDate = false
   CharactersWithSpaces = 1115
   SharedDoc = false
   HyperlinksChanged = false
   AppVersion = 12.0258
  
  copyright, Kristinn Gudjonsson, 2009

  Lo script legge anche la codifica dei caratteri dei documenti XML e ne codifica l’output.

  Lo script è stato creato per essere usato con Linux, grazie ad alcune modifiche che ho apportato, dovrebbe funzionare anche con sistemi operativi Windows (è stato testato su Win XP SP3 con ActivePerl 5,10).

  È possibile scaricare la versione per Windows qui .

  La versione per Windows e per Linux non sono state ancora testate, quindi potrebbero essere ancora instabili ( alcune informazioni per l’installazione sono contenute all’interno dello script stesso)

  Fonte : Office 2007 Metadata

Flash possiede l’equivalente dei cookie ed è difficile da eliminare :

A differenza dei tradizionali

cookie del browser, i cookie di Flash sono relativamente sconosciuti agli utenti del web e non sono controllabili tramite la gestione della privacy del browser.
Di conseguenza, se un utente pensa di essersi liberato dagli oggetti traccianti, molto probabilmente non è così.

Ma cos’è ancora più meschino?

L’articolo sostiene che numerosi servizi utilizzino la memorizzazione occulta dei dati per ripristinare i cookie tradizionali che un utente ha eliminato, questa tecnica viene chiamata ‘re-spawning’, in omaggio ai videogame dove gli zombie tornano in vita anche dopo essere stati “uccisi”. Quindi, anche se un utente si libera di un cookie tracciante appartenente ad un sito, l’ID univoco di quel determinato cookie verrà assegnato ad un nuovo cookie utilizzando i dati flash come “backup”.

Fonte: Flash Cookies

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

L’obiettivo di Xplico è estrarre dalla cattura del traffico internet, i dati delle applicazioni. Ad esempio, da un file pcap, Xplico estrae ogni mail
( protocolli POP, IMAP ed SMTP ), tutti i contenuti HTTP, ogni chiamata VoIP (SIP), FTP, TFTP e così via. Xplico non è un analizzatore di protocollo di rete. Xplico è un Network Forensic Analysis Tool (NFAT) open source, rilasciato sotto la GNU General Public License (si veda la licenza per ulteriori dettagli).

Caratteristiche di Xplico

• Protocolli supportati: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, …
• Port Independent Protocol Identification (PIPI) per ogni protocollo dell’applicazione
• Multithreading
• Dati di output ed informazioni in un database e/o file SQLite o MySQL
• I dati riassemblati da Xplico sono associati ad un file XML che identifica in modo univoco il flusso ed il pcap contenente i dati riassemblati
• Elaborazione in tempo reale (dipende dal numero di flussi, i tipi di protocolli e le prestazioni del computer – RAM, CPU, tempo di accesso dell’hard disk, … -)
• ricostruzione TCP con ACK di verifica per ogni pacchetto ACK, o verifica soft ACK
• Reverse DNS lookup da pacchetti DNS contenuti nel file di input (pcap), ma non da server DNS esterno
• Nessun limite di dimensione per i dati in ingresso, o il numero di file in entrata (l’unico limite è la dimensione del disco)
• IPv4 e IPv6 sostegno
• Modularità. Ogni componente di Xplico è modulare. L’interfaccia di input, il protocollo di decodifica (Dissector) e l’interfaccia di uscita (dispatcer) sono tutti moduli
• Capacità di creare facilmente qualsiasi tipo di dispatcher con cui organizzare i dati estratti, secondo le modalità più opportune ed utili

È possibile scaricare Xplico 0.5.2 qui:

xplico-0.5.2.tgz

Oppure per saperne di più qui .

Fonte: Darknet

Questo post è stato tradotto, previa autorizzazione, di SANS Computer forensics

I dispositivi mobili odierni sono un’arma a doppio taglio: creano nuovi rischi per la sicurezza ma allo stesso tempo forniscono preziose fonti di prova agli investigatori della digital forensics. Le capacità sempre crescenti di tali dispositivi, li rendono sempre più simili ai personal computer, che ci accompagnano durante la nostra esplorazione del mondo. Gli investigatori possono utilizzare le informazioni memorizzate per ricostruire i nostri movimenti, le comunicazioni e altri dettagli personali.

Se si ha la necessità di estrarre informazioni da telefoni cellulari, smartphone e altri dispositivi mobili, o se si è preoccupati per la sicurezza dei propri dati; in questo post sono presenti alcune informazioni importanti.

Bypassare i codici di sicurezza : gli investigatori della digital forensics sono in grado di estrarre il codice di sicurezza di alcuni dispositivi mobili protetti, utilizzando strumenti specializzati.
La schermata seguente mostra il codice di sicurezza “12345″ recuperato da un Nokia 6230 utilizzando .XRY (l’identificativo dell’abbonato è stato rimosso).

Essere in grado di aggirare i meccanismi di sicurezza, consente agli investigatori di acquisire i dati tramite il software forense.

Safe SIM Card: Inserire una carta SIM in maniera errata in un telefono cellulare, distrugge alcuni dati utili in memoria.
Per evitare simili problemi, gli investigatori sono in grado di creare Safe SIM Card, progettate per l’analisi forense.

Acquisizione Live : La rimozione della batteria prima di eseguire un’acquisizione forense, può distruggere prove preziose.
In alcuni casi, per garantire che tutte le prove disponibili siano preservate, l’investigatore lascerà il dispositivo portatile acceso fino a quando l’acquisizione forense non potrà essere effettuata; prendendo le precauzioni necessarie, atte ad impedire che i dati possano essere modificati.

Trusted Time Source: anche se il clock sul dispositivo non è impostato correttamente, alcuni time stamp possono essere corretti; visto che sono generati dal sistema sul core network. Ad esempio, il timestamp di un messaggio SMS ricevuto, è stabilito dallo Short Message Service Center, non dal telefono cellulare.

Localizzazione degli spostamenti : Alcuni dispositivi memorizzano le informazioni basate sulla posizione geografica, associate ad alcuni mezzi di comunicazione ed azioni, sul dispositivo stesso.
Gli investigatori possono recuperare tali informazioni per rilevarne la posizione in un determinato momento. Ad esempio, la seguente schermata mostra i metadati exif estratti utilizzando JPEGsnoop da una fotografia digitale scattata utilizzando un dispositivo mobile G1. Questi metadati includono la data e l’ora della foto e le coordinate GPS della località (i dettagli relativi allla località sono stati eliminati ).

Recupero dei dati eliminati : Quando l’utente cancella il log delle chiamate, può essere recuperabile con relativa facilità. Quindi anche se i log delle chiamate non vengono visualizzati, gli investigatori potrebbero essere in grado di visualizzare i dettagli delle chiamate effettuate, ricevute e perse, utilizzando strumenti facilmente reperibili.

Getting Physical : Gli investigatori possono recuperare grandi quantità di dati cancellati da diversi dispositivi mobili, tramite l’acquisizione e l’analisi dell’intero contenuto della memoria. Questa schermata mostra l’acquisizione della memoria fisica di un Nokia 6610, tramite l’applicazione di Sarasoft, Twister flasher box.

Per imparare queste ed altre tecniche relative alla forensics dei dispositivi mobili, iscrivetevi al SEC563 Mobile Device forensics di Baltimora, 27-31 luglio ( Iscrivetevi qui ).

Si tratta di un corso tecnico intensivo, con numerosi esercizi pratici per familiarizzare con il funzionamento interno dei vari dispositivi mobili e mostrare vantaggi e limiti dei vari approcci e strumenti. Non solo dimostreremo lo stato dell’arte per quanto riguarda gli strumenti e le tecniche della mobile forensics; ma sveleremo lentamente i vari livelli delle prove digitali per mostrare ciò che accade dietro le quinte. In questo modo, otterremo una conoscenza più approfondita delle informazioni necessarie alle indagini.

Eoghan Casey è founding partner di cmdLabs (http://www.cmdlabs.com/), autore del libro “Digital Evidence and Computer Crime” e coautore di “Malware Forensics”.
Ha partecipato ad una vasta gamma di indagini digitali, inclusi casi di intrusioni di rete, frode, crimini violenti, furto d’identità ed attività criminali on-line. Ha testimoniato in materia civile e penale, ha presentato relazioni tecniche e documenti prodotti in giudizio, relativamente alla computer forensics ed in casi di criminalità informatica.

Fonte: Top 7 ways investigators catch criminals using Mobile Device Forensics

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

Un altro primato e ancora una volta la Cina è in prima linea! Recentemente abbiamo segnalato una società cinese che ha condiviso il suo enorme database di malware ed ora un gruppo di imprese cinesi è riuscito a sviluppare il primo worm SMS !

É un concetto veramente interessante, abusare della procedura di Symbian Express Signing . Mi ricorda i bei tempi dei worm via email, che si auto-propagavano, quando i server aziendali erano inondati di email, perché in azienda tutti inviavano lo stesso allegato a tutti i contatti della rubrica.

Ora, con l’integrazione delle applicazioni sui cellulari, è possibile farlo anche con questi dispositivi.

F-Secure Security Labs, recentemente ha dichiarato che tre aziende cinesi – Xiamen Jinlonghuatian Technology, ShenZhen ChenGuangWuXian Technology, e XinZhongLi Tianjin – hanno creato il worm ‘Sexy Space’ o YXE Worm (Worm: SymbOS / Yxe.D) e l’hanno inviato ai telefoni con sistema operativo Symbian, tramite la procedura di express signing.

“Questo è il primo worm della storia che sfrutta i messaggi di testo”, ha detto Chia Wing Fei, security response senior manager di F-Secure.
“Per il momento, i nostri laboratori hanno confermato soli pochi report dalla Cina e dal Medio Oriente.”

La prima fase del processo di autenticazione di Symbian è effettuata automaticamente utilizzando un motore antivirus, ha detto Chia; ha aggiunto inoltre che, una volta che l’applicazione è stata inviata e controllata, vengono selezionati alcuni campioni casuali per l’audit umano.

Quindi cosa succederà? Servirà un antivirus per il cellulare? Beh… quello già esiste (ad esempio Kaspersky Mobile Security ).

Sono sicuro che gli sviluppatori Symbian rafforzeranno il sistema operativo ed anche la procedura di autenticazione. Si tratta di un settore che sicuramente attrarrà l’attenzione del pubblico, che usa il cellulare sempre più ( PayPal, ad esempio, ha appena sviluppato un’applicazione per iPhone ) ed il mobile banking sta guadagnando sempre maggiore popolarità.

Tuttavia, ha osservato, la maggior parte delle applicazioni non possono essere controllate dagli esseri umani attraverso la procedura di autenticazione.

Chia ha detto che un utente malintenzionato può quindi inserire un link che punta al sito web del worm in un messaggio di testo ed invitare l’utente a scaricare il worm facendo clic sul link. Una volta attivato, ha aggiunto, il worm si installa sul dispositivo ed invia messaggi di testo a tutti i contatti della rubrica.

“Questi messaggi sono inviati a vostro nome e dal vostro telefono cellulare. Ciò significa che si pagherà per ogni SMS inviato dal worm.
Il costo tipico per un messaggio di testo potrebbe essere di 5 centesimi. Se si dispone di 500 contatti nel telefono, l’infezione costerebbe 500 volte 5 centesimi “, ha osservato Chia.

Potrebbe costare un po’ di soldi essere infettati e certamente causare grattacapi a voi ed ai vostri amici.

Nessuno ama lo spam giusto? Soprattutto quando è al servizio di alcuni malware auto-replicanti .

Fonte: Network World