Anlisis Forense a sistemas Android

Pentester: Rafael Gmez Del ngel Director de N3XAsec Docente de la certificacin: FDM Forense Investigador de dispositivos mviles.

info@n3xasec.com

www.n3xasec.com

Que es la informtica forense?

Es una ciencia perteneciente a la seguridad informtica, la cual se encarga de recuperar, recolectar y preservar todo tipo de informacin ya sea voltil o no voltil.

Conservacin de la evidencia y su lnea del tiempo

Cuando se realiza un anlisis forense de deben tomar en cuanta los siguientes aspectos
Cul es la escena del crimen ? En que condiciones se encuentra ? Cul es nuestro objeto de anlisis?

LINEA DEL TIEMPO

Versiones de Android en el mercado

Celulares
Android 2.2 Android 2.3 Android 4

Tabletas Android 3 Android 3.2

GPS Dispositivos de pulso Automviles Cmaras fotogrficas Televisiones Etc.

Arquitectura de Android

Tipos de memoria y gestores de arranque

Memoria RAM: Es la que se encargara de almacenar informacin voltil como la cache de inicio de sesin de algn mensajero.
Memoria NAND : Es aquella que trabaja bajo el sistema de archivos yaffs2, y almacena informacin valiosa como contraseas, mensajes sms, informacin del GPS etc, se relaciona directamente con informacin de la actividad del hardware como la antena 3G, Bluetooth, GPS, conexin a datos. Memoria SD: es la que almacenara informacin relacionada con el usuario tales como, fotografas, videos, historial de conversaciones, backup de configuracin etc. SIM: Es la que se encarga de almacenar informacin til para realizar la conexin con el proveedor de servicios, tambin puede almacenar informacin como mensajes sms y el directorio telefnico.

Preparando nuestro laboratorio

Debemos entender que para analizar el sistema de archivos YAFFS2 debemos instalar el interprete, pero como lo logramos ?
1.-Escoger nuestra distribucin preferida de Linux, preferentemente una que este encaminada a la auditora forense o el pentest, como lo es CAINE o Backtrack 2.-Recompilar el kernel para agregar el soporte para dicho sistema de archivos. 3.- Instalar un ambiente de desarrollo para Android, como lo es el SDK y Un Ide como Netbeans.

Laboratorio

Ventaja de emular la imagen de Android

AFLogical

Logs

Rooteando la versin de Android

La obtencin del acceso root en la terminal es primordial ya que nos ayudara a la ejecucin de comandos arbitrariamente

Terminal emulator

La conocen?

Tcnicas para evadir la proteccin de pantalla

Smudge Attack

El cuerpo humano en el transcurso del da secreta cierto tipo de aceites en los dedos, los cuales bajo la luz ultravioleta estos aceites resaltan

Ataque de fuerza bruta

Screen lock bypass App

Esta herramienta nos permite realizar un ataque de fuerza bruta para desbloquear la contrasea numerica del dispositivo.

Es muy invasiva Corremos el riesgo de tronar la memoria RAM El dispositivo debe estar rooteado

Identificacin de particiones y ficheros

Identificando los puntos de montaje del sistema

/dev/block/mtdblock1 /system, /dev/block/mtdblock9 /data, /dev/block/mtdblock8 /cache los cuales corresponden al sistema, y de color amarillo /dev/block/vold /179:1 /mnt/sdcard correspondiente a la tarjeta SD externa del telfono montada en /mnt/sdcard.

Puntos de montaje

Creando la imagen forense

Una de las reglas de la seguridad informtica es la integridad de los datos, por ende al momento de generar una imagen forense se debe asegurar que sea una imagen bit a bit del dispositivo, esto con el fin de al momento de realizar la auditoria sea sea lo menos invasivo posible.

Con el comando dd obtenerla imagen.

sera posible

Hash MD5

ImgAir

Bsqueda por lnea de comandos

Ahora analizaremos las carpetas contenidas en la imagen data. Realizaremos un ejemplo de una simple bsqueda de strings, en este caso ser el numero 228 el cual es la clave lada de la localidad ,con el siguiente comando:

strings -a ./mtd9.dd| grep 228 > numeros.txt La extraccin automatiza de archivos nos ayudara en la bsqueda de correlaciones a archivos de alguna extensin requerida, con esto podremos seguir con la obtencin de metadatos funcionales para nuestra investigacin.

Obtencin de datos de la cuenta asociada con la bsqueda de strings @

Obteniendo datos acerca de cuenta blogger del celular a auditar

La informacin de validacin de las cuentas de los usuarios as como su proteccin esta a cargo del software de las empresas que brindan dichos servicios, cuando se realiza una auditora forense el auditor puede se capaz de obtener informacin aparentemente confidencial o privada. Al analizar el archivo picasa.db de com.cooliris.media, nos encontramos que hace uso de una llave de autentificacin para acceder a informacin de imgenes subidas a la cuenta de blogger vinculada con la cuenta de correo nosferatu.security@gmail.com

Nos muestra la vinculacin entre la cuenta de correo y el servidor picasa o blogger.

Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informtica

Empezando a rastrar esta conexin que se realiza a travs del protocolo http se obtuvo que dicha llave de autentificacin es usada para acezar a imgenes subidas por el usuario, con esta llave de autentificacin podemos a acceder a descargar informacin del servidor de blogger para saber cundo y a qu hora fue subida una foto.

Apreciamos con un editor hexadecimal la llave de autentificacin vinculada con el blog Seguridad e Inseguridad informtica

Empezando a rastrar esta conexin que se realiza a travs del protocolo http se obtuvo que dicha llave de autentificacin es usada para acezar a imgenes subidas por el usuario, con esta llave de autentificacin podemos a acceder a descargar informacin del servidor de blogger para saber cundo y a qu hora fue subida una foto.

Muestra un archivo .xml que se descargo del servidor, obteniendo fecha y hora de publicacin ,esto nos puede ayudar a una lnea del tiempo.

Analizando software Wasthapp

Este crea una serie de backups donde de tanta informacin almacenada conserva datos como: El momento en el que fue extrada la memoria sd, niveles de batera crticos, etc. Esto se vuelve til al momento de realizar una lnea del tiempo, claro en caso de ser pertinente y servible la informacin.

Dentro de data/data/com.whastapp/databases encontraremos 2 archivos .db wa.db y msgstore. Estos contienen una variedad de informacin, wa.db contiene la lista de contactos guardados en la agenda e indica si est guardado en el telfono o en la tarjeta sim

mostrando un nmero telefnico el nombre del contacto y el lugar de almacenamiento, en este caso esta en tarjeta sim

Rompiendo la encriptacin AES-192-ECB

whastapp tambin guarda un backup de este archivo pero aqu si lo en cripta con un hash AES-192-ECB esta encriptacin es fcil de romper obteniendo la key que en este programa utiliza una estndar, lamentablemente y afortunadamente no utiliza alguna variante nica en el dispositivo para generar el cifrado como lo puede ser la direccin mac de la tarjeta de red o el nmero de serie del telfono.

openssl enc -d -aes-192-ecb -in Archivo.db.crypt -out Salida.db -k 346a23652a46392b4d73257c67317e352e3372482177652c

Archivo msgstore.db.cryp en formato hexadecimal, se pueden apreciar los bits encriptados.

Archivo SQLITE desencriptado

Contactos

Obteniendo SMS Borrados

SMS Borrado hace meses

Este mensaje obtenido tiene de igual modo meses de haber sido borrado y en su defecto permanece casi intacto esto nos sugiere la idea de que existen sectores de memoria que aun no han sido sobrescritos.

Analizando el uso de las Radiofrecuencias.

Bluetooth
Wireless GSM GPS

Meta datos Informacin almacenada en una evidencia, donde nos proporciona una pista de donde o con que fue cometido el DELITO

Rastreando Longitud y Latitud

Anlisis Forense a sistemas Android

Pentester: Rafael Gmez Del ngel Director de N3XAsec Docente de la certificacin: FDM Forense Investigador de dispositivos mviles.

Gracias !!
Informes de la certificacin
info@n3xasec.com

www.n3xasec.com