http://apura.com.br

Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert @Apura_Oficial @dimmit Desafio Forense ICCyber 2012

Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!

Sobre o Desafio: 4 • As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com

HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters + d a d o s + c o m p l e x i d a d e Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams Este desafio vai abranger a Investigação em vários meios digitais

Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.

Sobre o Desafio 7 • O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!!

Sleuthkit 8 • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!!

Sleuthkit 9 • Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1

Sleuthkit 10 • Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1

Sleuthkit 11 • Comando istat – fornece informações sobre um Inode • Uso # istat 8 x 512 = 4096 = 4k

Sleuthkit 12 • Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1

Sleuthkit 13 • Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1

Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f $ volatility pslist –f Volatility

Volatility – listar as conexões estabelecidas $ volatility connscan –f Volatility

python volatility sockscan –f Volatility

Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f -p Volatility Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C $ strings –a

Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha Wireshark

Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP Stream.. Wireshark

Steghide - esteganografia $ steghide --embed -ef -cf -p $ steghide --extract -sf

Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes