Shell is only the Beginning

Recientemente tuve la oportunidad de entrevistar a Chema Alonso de Informatica64 donde conversamos sobre los nuevos cambios a FOCA y me dio la grata sorpresa de que hay una nueva versión de FOCA la misma es FOCA Forensic la cual esta pronta a salir, la misma toma las experiencia y código que han estado puliendo por mucho tiempo para el análisis de la metadato en documentos e imágenes para el uso de análisis forense.

En la manera en que trabaja la herramienta al hacer una imagen de un sistema y la mista ser montada en manera de lectura solamente sea atreves de la red o local en una maquina de análisis se lanza la herramienta la cual nos lleva a la pantalla de creación de proyecto

 

En la misma se graba la fecha y hora de cuando se esta creando el proyecto de manera de documentación de la cadena de evidencia, se le da un nombre y se entra cualquier apunte pertinente como lo seria como se obtuvo, nombre del cliente, numero de caso, persona o compañía conduciendo el análisis ..etc. Luego de selecciona el lugar donde se tiene la imagen de disco montada:

Luego se selecciona que tipo de documento se quiere que se analice:

Luego escogemos el tipo de cifrado que se usara para validación de integridad de los archivos, esto es de gran importancia cuando la información que se genere pueda ser usada en un caso legal, yo en lo personal recomiendo el uso de SHA1 por que un abogado que sea listo puede mencionar o poner en duda MD5 por lo ataques que han surgido contra el mismo y como cuerpos de  estándar como el NIST lo ha abandonado poniendo en duda el cifrado. En la versión completa se puede seleccionar el que busque también dentro de archivos comprimidos seleccionando la opción de búsqueda en los mismos.

Después FOCA nos preguntara si queremos correr de manera recursiva la búsqueda de documentos apoyados para extracción de metadato.

Una vez se conteste se comenzara a buscar los archivos y se analizaran. Una vez se termine de buscar y extraer la data podemos empezar a ver la misma y explorar lo que se ha colectado

Como se puede ver la imagen nos separa los tipos de archivos , sus cantidades y espacio ocupado por los mismos, en la parte de resumen podemos ver los datos que fueron extraídos de los archivos los cuales nos sirven para afinar la búsqueda de información según el propósito de la investigación, en la parte de contraseñas la herramienta extrae las contraseñas de archivos ICA y RDP las cuales pueden servir para poder expandir la búsqueda de evidencia al igual de lugares donde el archivo puedo ser almacenado e impreso, esto hace que la herramienta sea perfecta para búsquedas iniciales ya que el encontrar todos los puntos donde los documentos han podido residir nos da la ventaja de pedir ordenes de búsqueda y expandir una investigación donde antes uno hubiera estado limitado a la data local y a lo que se hubiera podido extraer del registro de Windows en las llaves MRU (Most Recently Used) donde esa data podría ser obviada si el usuario uso otro método de transporte que el acceso directo de una carpeta compartida o sistema de correo de Windows.

En la pantalla de Timeline en la herramienta es donde esta el verdadero poder para el investigador forense

En el timeline se puede filtrar por nombre de usuario, por nombre de archivo, por fecha, por tipo de archivo y la parte donde veo mucho valor al ser usada con la fecha es el tipo de evento

Una vez se tiene la data que uno encuentra pertinente para la investigación la misma se puede crear un reporte para compartir con otros y si se conoce bien de programación se puede tener un archivo en formato XML que es perfecto para procesamiento y alimentación a otras herramientas.

 

 

Como se puede ver la herramienta será de gran uso para investigadores forenses y manejadores de incidentes. Una de las cosas que mas me gusta de Informatica64 y el trabajo que hacen es el que requieren que se tome el curso de la herramienta para poder tener las versiones Pro, esto garantiza el mejor uso de la misma y los datos producidas por las misma y a su vez obtienen información de como mejorar la misma a la misma vez que cementa la confianza de sus usuarios con la misma.

Para los que no me conoces yo soy uno de los miembros del equipo de desarrollo de Metasploit en en lado comunitarios por mucho tiempo y por ellos en adicion que muchos de mis módulos se encuentran como parte de la versión de código abierto de Metasploit también tengo una serie de plugins y módulos los cuales están en constante trabajo y mejora los cuales no tengo intensión al momento de contribuir al proyecto por razones de que las reglas del mismo no lo permiten o que se encuentran aun en desarrollo y no están terminados pero funcionales. Para poder usar los mismos con cualquier copia de Metasploit que estén corriendo sobre OS X o sobre Linux pueden hacer lo siguiente para bajar los mismos y ponerlos como parte de su perfil personal de Metasploit. Comenzamos con crear una carpeta donde los proyectos van a residir:

mkdir ~/Development

Luego hacemos una copia de los repositorios y le damos nombres mas sencillos a los mismos:

cd ~/Deveolpment
git clone https://github.com/darkoperator/Metasploit-Plugins.git msf_plugins
git clone https://github.com/darkoperator/Meterpreter-Scripts.git msf_modules

Ahora podemos crear vínculos a nuestra carpeta de configuración de nuestro usuario de Metasploit:

ln -s ~/Development/msf_plugins/ ~/.msf4/plugins
ln -s ~/Development/msf_modules/ ~/.msf4/modules

Ahora solo tenemos que usar Git para mantener los mismos al día navegando a cada carpeta y haciendo un:

git pull

En entradas futuras estaré cubriendo en detalles estos módulos y plugins. Les recomiendo que me sigan en mi GitHub https://github.com/darkoperator de manera de que puedan seguir los cambios que ocurren con el proyecto y con cada entrada en el Blog que bajen la ultima versión con un git pull ya que cada vez que estoy en el proceso de escribir uno no puedo resistir añadirle mas cosas y corregir problemas al darle mayor atención al uso de los mismos.

Por mucho tiempo mi blog y contenido de mi pagina ha sido en ingles, principalmente por que en mi carrera en especial en Puerto Rico donde vivo has sido bien pocos los que e conocido que estén interesados en el mundo de hackeo ético que compartan mi pasión por penetración de sistemas. Pero últimamente con el podcast que hago en castellano de Pauldotcom he podido conocer tanto gente local y fuera de Puerto Rico con quien compartir ideas y conocimiento. Por ello hoy comienzo mi blog en español donde estaré compartiendo mis intereses. Espero que el mismo sea de su agrado y que podamos creer la comunidad aun mas.