– root@injetionsec:~#

Metadados, selfie ?!

12.06.2015 (6:51 pm) – Filed under: Forense ::

Estranho esse título ….eheheheh… isso mesmo, se vocês não acompanharam essa semana; achei interessante comenta essa notícia galera,veja abaixo.

aq0dfousd

O que o terrorista fez, tirou uma selfie e logo depois de alguns dias a base do ISIS foi bombardeada !!!

Pelo simples fato de que a foto contém informações interessante mas muitos não sabem; quando tiradas elas geram diversas informações são os metadados ou EXIF. Os dados EXIF (Exchangeable image file) são padrões que especificam formatos de imagem, audio e outros dados utilizados por  qualquer dispositivo de processamento de imagem[1]. Mas muito não sabem podemos encontrar nesses metadados alguns informações como marca, modelo e nome do dispositivo que tirou a foto, informações de cores, informações de GPS(localização), e etc .

** Mas lembrando que o governo americano e exercito tem ferramentas mais complexas para esse tipo de localização que são mais apuradas.

Mas você pode usar algumas dessas técnicas para analisar as imagens, fiz em 2013 um post retratando de forma bem simples “Análise Gps / Extração Dados Em Imagens” .

 

Referencias :
[1]http://fdtk.com.br/wiki/tiki-index.php?page=exifprobe

Dump de memória & tools password cracker

04.04.2015 (6:53 pm) – Filed under: Forense ::

————————-[ – ]
1 – Explicando ferramentas de dump de memoria
____ 1.1 – Volatitity
____ 1.2 – DumpIt
____ 1.3 – LiME
2 – Volatitity e alguns comandos
____ 2.1 – imageinfo
____ 2.2 – hivelist
____ 2.3 – hashdump
____ 2.4 – psscan
3 – Dicas ferramentas crack password
____ 3.1 – john the ripper
____ 3.2 – hashcat
____ 3.3 – ophcrack
————————-[ – ]

____ ____

› › › 1 – Explicando ferramentas de dump de memoria

1.1 – Volatitity[1]: ferramenta escrita em python para extrair imagens voláteis dos discos em memoria RAM

1.2 – DumpIt[2] : também age da mesma forma extraindo o dump completo da memoria RAM,o despejo de memória será um pouco maior do que o tamanho de sua memória RAM instalada, se sua máquina te 4 GB de RAM irá produzir cerca de um arquivo de 5 GB.

C:\Program Files\dump_men> Dumplt.exe

1.3 – LiME[3]: também tem esse mesmo principio utilizado em GNU/Linux e Android

Os analistas de malware usam dump de memória em suas engenharia reversa de softwares maliciosos com isso podem analisar depois como os processos foram executados na maquina, quais redes teve acesso ao host, senhas e outras informações triviais.

› › › 2 – Volatitity E Alguns Comandos

2.1 – imageinfo

Usando o voltatitity para determinar algumas infos do sistema, mais comandos[0][6] :

volatility imageinfo -f nome_arquivo.raw

O volatitity nos informa que o SO rodando ali é o Win7SP1x86 , podemos tomar como prova executando o “systeminfo”

2.2 – hivelist

Nós agora vamos listar onde esta os itens mais importantes localizados no dump de memória. Em seguida, vamos extrair os hashes da com esse mesmo dump senha do despejo de memória. Para fazer isso, precisamos saber alguns locais de memória é onde estão as chaves de SAM.

volatility hivelist -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

2.3 – hashdump

Olhamos no despejo acima e anote os números da primeira coluna que correspondem a SYSTEM e ao SAM . Em seguida, a depois redirecionamos a saída do hashes da senhas em um arquivo .txt

volatility.exe hashdump -f nome_arquivo.raw –profile=Win7SP1x86 -y 0x8781a250 -s 0x8ca0089d0 > saida.txt
** dois traços antes profile

2.4 – psscan

Enumera os processos

volatility.exe psscan -f nome_arquivo.raw –profile=Win7SP1x86
** dois traços antes profile

› › › 3 – Dicas ferramentas crack password

Se você estiver usando senhas de 14 caracteres (senhas LM), você pode executá-los através de um cracker de senha como John the Ripper, Ophcrack, hashcat, pwdump7,caim, ophcrack, ou ainda pode usar cracking onlines, podemos usar Rainbow tables do Ophcrack de 7,5 GB[4]

3.1- John the Ripper: pode ser baixado[5]
john ./saida.txt –format=nt –wordlist=/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de format e wordlist

3.2 – Hashcat : Se encontra no diretório pentest/passwords/hashcat

–hash-mode=NUM number of hash-mode
0 = MD5 200 = MySQL
1 = md5($pass.$salt) 300 = MySQL4.1/MySQL5
2 = md5($salt.$pass) 400 = MD5(WordPress)
3 = md5(md5($pass)) 400 = MD5(phpBB3)
4 = md5(md5(md5($pass))) 500 = MD5(Unix)
5 = vBulletin v3.8.5
30 = md5($username.0.$pass)
31 = md5(strtoupper(md5($pass)))
100 = SHA1 1400 = SHA256
101 = sha1($pass.$salt) 1600 = MD5(APR)
102 = sha1($salt.$pass) 1700 = SHA512
103 = sha1(sha1($pass)) 1800 = SHA-512(Unix)
104 = sha1(sha1(sha1($pass)))
105 = sha1(strtolower($username).$pass)

root@bt:# ./hashcat-cli32.bin –hash-mode 105 /root/hash
/Downloads/passwords/wordlists/packwordlist.txt
** dois traços antes de hash

3.3- Ophcrack:

-g = disable gui
-d = the directory with the rainbow tables
-t = the tables to use
-f = the file with the hashes

root@bt:# ophcrack -g -d ./download/ rainbow/tables/ -t ./download/tables/ -f /admin/ hashes /test-list.txt

 

ate o próximo tópico =)

 

Referências:

[0] Comandos volatility
[1] https://code.google.com/p/volatility/
[2] http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
[3] https://github.com/504ensicsLabs/LiME
[4] http://ophcrack.sourceforge.net/tables.php
[5] http://www.backtrack-linux.org/wiki/index.php/JTR_cluster
[6] https://code.google.com/p/volatility/wiki/CommandReference23

 

[Criando] ADS algumas técnicas

27.11.2013 (8:52 pm) – Filed under: Forense ::

Apos uma introdução vamos facilitar as coisas galera você não precisa do metasploit instalado para brincar com  o ADS,vamos utilizar o DOS do windão mesmo 😉  com alguns  comandos básicos para ocultar um arquivo de texto dentro do outro (.txt), veja abaixo:

ads_001

O segundo comando  informa o nome do arquivo sucedido por um sinal de “:”  assim o nome do arquivo oculto,podemos aplicar esses mesmo conceitos em diretórios é para executáveis.

ads_002 ads_003

 

Agora vamos  examinar um cenário em que um atacante compromete o sistema remoto e, em seguida, deixa um backdoor plantando netcat na máquina,então ele não quer criar um arquivo visível pois assim sera visível de ser detectado, com isso o atacante pretende usar o recurso ADS para esconder seus arquivos. Ele executa um comando para ocultar habilmente o Netcat (nc.exe)  integrado na calculadora(calc.exe).

o001

Além disso o atacante muda o nome do arquivo  de nc.exe para o processo svchost.exe com isso pode passar despercebido pelos administradores,agora vamos executar os seguintes comandos.

o002.1

A opção / B permite que o invasor execute o comando sem abrir uma nova janela isso poderia alertar o usuário de que algo esta ocorrendo de diferente.

Com isso  o atacante liga uma shell na porta 2222 e com isso tem acesso ao sistema a qualquer hora através do telnet na porta 2222.

Como você pode ver a partir do instantâneo, não há nenhuma mudança no tamanho do calc.exe. A única mudança visível é na data de modificação e hora do programa calc.exe que e impersebivel por muitos usuários. 

O utilitário sfc.exe não faz nada,ele é usado com o recurso Proteção de arquivo do Windows (WFP).

Utilizamos o netstat para mostrar que a porta 2222 estava realmente escutando mesmo na mesma.E mesmo que o ouvinte feche a conexão ela será restabelecida graças a opção-L de Netcat.

o002

Podemos ver também no gerenciador do windows o nosso backdoor,veja abaixo

o003

Bom galera e isso , no próximo tópico vamos ver as ferramentas para encontrar ADS no sistema.

Deft, distribuição linux para forense

26.11.2013 (5:53 pm) – Filed under: Forense ::

Hoje falamos de Deft , um SO para  análise forense e que chega a sua versão 8.

Ele se concentra não só a análise forense em discos rígidos, mas também em rede forense e até mesmo dispositivos móveis. Em sua verão 8 o Deft é baseado no Ubuntu 12.10, e tem uma versão do kernel 3.5.0-30. Como qualquer livecd agora, e com a opção de instalar no seu disco rígido.As seguintes categorias de ferramentas incluídas no menu principal são:
iuo

 
  • Anlysis  ferramentas de análise de diferentes tipos 
  • Antimalware – Procure por rootkits, vírus, malware e PDFs maliciosos.
  • Data Recovery– Recuperação de Arquivo
  • Hashing – Scripts que permitem a realização de cálculo de hashes de certos algoritimos (SHA1, SHA256, MD5 …)
  • Imagaging – Aplicativos que podemos usar para  clonar discos rígidos ou outras fontes.
  • Mobile Forensics  – Análise de celulares como Blackberry, Android, iPhone, bem como informações sobre os bancos de dados SQLite típicos dispositivos móveis utilizados pelos aplicativos.
  • Network Forense – Ferramentas para analise de rede
  • OSINT – Aplicativos  que facilitam a obtenção de informações associadas a usuários e sua atividade.
  • Password Recovery  senhas de recuperação do BIOS, arquivos compactados, desktop, brute force, etc –
  • Reporting Tools – Finalmente, nesta seção você vai encontrar ferramentas que facilitem as tarefas de elaboração de relatórios e obtenção de provas que vai nos ajudar a documentar forense. Screenshot, notas de cobrança, atividade desktop registro, etc.
Nesse link tem pacotes completos e nessa  última versão, não existe um manual, mas podemos dar uma olhada no manual da versão 7 , embora seu uso é bastante simples.Inclui o DART 2 uma suite para gestão e resposta a incidentes de sistemas operacionais Windows, incluindo uma ferramenta e  aplicativos para este sistema operacional.Você pode baixar a distribuição em diferentes formatos ,veja vários links  de downloads  .

[introdução] Alternate Data Stream – ADS, arquivos ocultos

25.11.2013 (1:26 pm) – Filed under: Forense ::

Vamos dar uma introdução nesse post do Alternate Data Stream – ADS , onde essa técnica é usada  em rootkits, este recurso (é do próprio file system)  e foram introduzidos no sistema de arquivos NTFS do Windows a partir de Windows NT 3.1. Este recurso não está bem documentado ea maioria dos usuários, incluindo os desenvolvedores não tem consciência disso.

Muitos aplicativos usam ADS para armazenar atributos de um arquivo em si. Por exemplo, se criarmos um documento do Word como a imagem abaixo

98i7uyg

Vemos um resumo que contém as informações de metadados,sobre os dados contidos no arquivo. Os metadados inclui o autor do documento, contagem de palavras,  e assim por diante. Esta informação resumo é anexado ao arquivo via ADS.

“Quando você lê o conteúdo de um arquivo em um volume não-NTFS você é capaz de acessar apenas um fluxo de dados. Conseqüentemente, você não vê o  verdadeiro e conteúdo “original” desse arquivo. Tal fluxo principal não tem nome e é o único que um sistema de arquivos NTFS não pode manipular. No entanto, quando você cria um arquivo em um volume NTFS, as coisas podem ser diferentes. “, abaixo vemos a estrutura de um arquivo multi-stream

78767pod

Algumas coisas que devemos saber do ADS

  •  Não há limite para o tamanho dos fluxos e pode haver mais do que uma sequência ligada a um arquivo normal. ADS não são visíveis no Explorer ou via linha de comandos, seu tamanho também não é relatada pelo Windows!
  • Streams pode ser anexado não só para os arquivos, mas também para pastas e unidades!
  • O conteúdo de uma ADS não deve ser considerado limitado a simplesmente dados de texto.
  • São usados em  anti-spyware/malware.
  • Proteção de arquivos do Windows impede a substituição de arquivos protegidos do sistema, mas isso não impede que um usuário com as permissões apropriadas de adicionar ADS aos arquivos do sistema. O System File Checker (sfc.exe) irá verificar se os arquivos protegidos do sistema não foram substituídos, mas não irá detectar ADS.
  • Microsoft Windows não fornece ferramentas ou utilitários  para detectar a presença de ADS.
  • Os arquivos contendo ADS pode ser enviado através de uma rede local desde que a unidade de destino está no formato NTFS.
  • Em certos casos, os fluxos são usadas para explorar servidores remotos web.Se um script do lado do servidor, como PHP ou ASP é executado em um servidor web que não é corrigido corretamente, o codigo-fonte do arquivo ASP / PHP pode ser visto usando uma URL como esta: http://www.xyzw.org/index.asp::$DATA

Essa é uma vulnerabilidade crítica de código-fonte do lado do servidor poderia revelar informações sensíveis, incluindo como o site foi codificado e como a informação estão ocorrendo. Esta informação pode ser usada pelo atacante para lançar um ataque específico no servidor.

No próximo post de ADS vamos ver algumas técnicas de como usar -lo ,veja aqui

Análise GPS / extração dados em imagens

29.10.2013 (11:54 am) – Filed under: Forense ::

A maioria das fotos que existem com esse tipo de dado são de telefones inteligentes e / ou câmeras de última geração mas  muitas pessoas que têm esses telefones, não sabem sobre essa opção de GPS.Com essa análise forense de fotografia vc vai observar hora, data, hora, local, nome câmera,se a imagem foi editada e todas as outras opções definidas na mesma, pegando alguns dados reais.

1o – baixe o exiftool

Image-ExifTool-9.30

2o – execute os seguintes comandos
tar -vzxf Image-ExifTool-9.30.tar.gz
cd Image-ExifTool-9.30 /
perl Makefile.PL
make test
sudo make install

3o – depois de instalado e com uma imagem veja os comandos
Ps.: com comando man exiftool vc pode ver mais funçoes 

./exiftool -a ~/Downloads/teste.jpg

4o – Percebemos algumas informações veja….veja abaixo:

Captura_de_tela-3-300x168

5o- Se a câmera tivesse dados GPS iria aparecer algo como:

GPS Latitude
GPS Longitude
GPS Position: Latitude + Longitude

Depois e só jogarmos as s coordenadas no Google Maps que vai  te dar a localização onde a foto foi tirada caso haja.

Ferramentas Úteis

Ver e remover dados EXIF on-line
http://www.verexif.comhttp://regex.info/exif.cgi/

Remover EXIF com python
http://stackoverflow.com/questions/19786301/python-remove-exif-info-from-images-_/

=)