LIOS #FF: a tool for IOS Forensics

Anuncio
SbD
LIOS #FF: a tool for IOS Forensics
Lorenzo Martínez R. (@lawwait)
!
!
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
[root@localhost ~]# whoami
•
•
•
•
•
•
•
•
•
•
13 años experiencia profesional en seguridad
Integradores -> Fabricantes -> Empresario && formador
CTO && Founder www.securizame.com
Perito Informático Forense
CISSP, CISA
Editor de SecurityByDefault
Herramientas: Securewin, amispammer, scalparser
Twitter: @lawwait, @securizame, @secbydefault
Email: lorenzo@securizame.com
Web: www.securizame.com
www.securitybydefault.com
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Busca las 0xFF diferencias
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
¿Por qué analizar IOS?
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
• Dos particiones HFS+ (Hierarchical FileSystem+)
– Boot/firmware
• Sólo lectura (excepto update y JB)
• S.O y apps básicas
– Datos de usuario y apps
• Árbol de directorios y ficheros (Formato UNIX)
• Tipos de ficheros fundamentales
– SQLite (Agenda, Calendario, Llamadas, SMS,...)
– PList (NextStep y XML)
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Adquisición de datos
• Desde un Backup de iTunes
– Cifrado / sin cifrar
• Directamente desde el dispositivo
– Con contraseña de (des)bloqueo
– Herramienta: iExplorer
• Desde un dispositivo con Jailbreak
– SSH + dd
- En todos ellos, AIRPLANE MODE o Jaula de Faraday © Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Backup de iTunes: ¿Dónde?
• Windows 7 -> <carpeta usuario>\AppData\Roaming
\Apple Computer\MobileSync\Backup\<UDID>
• Windows XP -> <carpeta usuario>\Application Data
\Roaming\Apple Computer\MobileSync\Backup
\<UDID>
• Mac OS X -> <carpeta usuario>/Library/Application
Support/MobileSync/Backup/<UDID>
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Herramientas libres
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Backup de iTunes: Ficheros
• Herramientas Necesarias:
–
–
–
–
–
listManifest.py
SQLite Database Browser
PListEdit Pro
Iphone Data Protection
BinaryCookieReader.py
• Status.plist -> Info del último backup
• Info.plist y Manifest.plist -> Info del iDevice: Serial
number, versión de IOS e iTunes, datos de sincronización
(mail, calendarios, contactos,…), apps instaladas
• Manifest.mbdb -> Metadatos de los ficheros del backup
• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
BinaryCookieReader.py
•
•
•
•
Aplicaciones guardan cookies
Larga duración
Quedan en el backup
Formato Binario
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
iPhone Analyzer
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
iPhone Backup Analyzer
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
iExplorer (Unregistered version)
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
iFunBox
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Herramientas comerciales
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Ubicación de ficheros importantes
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Acceso directo a sistema de ficheros
• /private/var/mobile/Media/DCIM
– /100Apple -> IMG_*
– /999Apple -> Imágenes anteriores
•
•
•
•
•
•
•
/private/var/mobile/Library/Keyboard/dynamic-text.dat
/private/var/Keychains/key-chain-2.db
/private/var/mobile/Library/Notes/notes.sqlite
/private/var/mobile/Library/SMS/sms.db
/private/var/mobile/Library/Mail/
/private/var/mobile/Library/Maps/History.plist
/private/var/mobile/Media/Recordings
– Recordings.db
– *.m4a
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Acceso directo a sistema de ficheros
/private/var/mobile/Library/VoiceMail/
/private/var/mobile/Library/Cookies/cookies.binarycookies
/private/var/mobile/Library/Caches/RecentSearches.plist*
/private/var/mobile/Library/AddressBook/
AddressBook.sqlitedb
• /private/var/Library/CallHistory/call_history.db
• /private/var/Library/Calendar/Calendar.sqlitedb
• /private/var/Library/Caches/locationd/consolidated.db
•
•
•
•
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
LIOS #FF: Lawwait IOS Forensics Framework
• Lenguaje de scripting: Perl
• Inicialmente, herramienta de clasificación de ficheros
de un backup
• Luego, selección de ficheros ‘Juicy’
• Lios.pl & Lios_report.pl
– Tratamiento de datos en un periodo de fechas
– Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber,
Notas de voz, Safari, Cámara
– Timeline!!!
– Otros: Binary Cookies, Dynamic Dictionary, Fotos
eliminadas, Contactos,...
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
LIOS #FF: Lawwait IOS Forensics Framework
• Problemas encontrados
– EPOCH vs. CFAbsoluteTime
– Cambios en las versiones de IOS
– Nombres de tablas inexistentes en diferentes versiones de Apps
• Roadmap
– Modularidad/Plugins, API
– Wechat, Mail, Skype, Spotbros, Shazam, ficheros Mapsdata,
navegación de otros browsers, alarmas, etc...
– Informes exportables en PDF
– Paquetizado para Windows/Mac
– Integración con otras herramientas
– Recuperación de registros borrados
– Informe/Log de actividad, hashes, etc,...
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
LIOS #FF: Lawwait IOS Forensics Framework
• Clientes... Actuales y próximos...
– Perito Informático Forense en ANCITE (www.ancite.es)
– Grupo de Delitos Telemáticos GDT Guardia Civil
– Brigada Investigación Tecnológica BIT - Policía Nacional
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
¿Conoces a Edward Snowden?
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
No me lo creo... a verlo!
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Conclusiones
• Manipulación ficheros en crudo vs. Herramientas
“homologadas”
• Low cost o home made != Malo
• LIOS:
– Clasificación de ficheros “por tipo”
– Ficheros “jugosos”
– Report:
• Información visual
• Aplicaciones típicas, pero no estándar
• Escalabilidad
• Timeline
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
Email me: lorenzo@securizame.com
Twitter: @lawwait @securizame @secbydefault
© Todos los derechos reservados
Descargar