Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline

  • 319 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
319
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
16
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Timeline e SupertimelineAnalisi temporale dell’attività di un PC con DEFT 7Creative Commons Attribuzione-Non opere derivate 2.5Dr. Paolo Dal Checcopaolo@dalchecco.itDEFTCON 2012 - TorinoFriday, March 30, 2012
  • 2. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itLa cosiddetta “timeline”• Con “timeline” ci si riferisce a un documento,un elenco, una lista di attività (manuali oautomatiche) avvenute sul PC ordinata pergiorno e ora esatta in cui sono avvenute• I formati di visualizzazione possono esserediversi, alcuni testuali, altri grafici, alcuni idealiper ricerche altri per display su videoFriday, March 30, 2012
  • 3. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itUn esempio naif di “timeline”• 2012 03 30 10:16 GMT+2 computer acceso• 2012 03 30 10:23 GMT+2 documento “deftcon-slides.key” aperto• 2012 03 30 10:35 GMT+2 aperta pagina web “www.facebook.com/DEFTlinux”• 2012 03 30 12:01 GMT +2 documento “deftcon-slides.key” salvato• 2012 03 30 12:12 GMT +2 inserita USB keyVERBATIM con s/n 234cb42a73• 2012 03 30 12:18 GMT +2 PDF “deftcon-slides.pdf” creato• 2012 03 30 12:22 GMT +2 documento “deftcon-slides.key” cancellato• 2012 03 30 12:25 GMT+2 computer spento• 2012 03 30 14:30 GMT+2 computer acceso• 2012 03 30 14:35 GMT +2 driver schermo esterno PC avviato• 2012 03 30 14:37 GMT +2 PDF “deftcon-slides.pdf” aperto su chiavetta conVOL ID0x3bd2cd22• 2012 03 30 15:00 GMT +2 computer spentoFriday, March 30, 2012
  • 4. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itCosa vogliamo ottenere• Vogliamo avere con immediatezza lo storico ordinato di:• inserimento periferiche USB, utilizzo driver• creazione, apertura, salvataggio e cancellazione file edocumenti, valutandone le tempistiche (copia massiva)• data di scatto delle fotografie o di documenti con exif• date rilevanti Office/PDF (creazione, stampa,salvataggio, autore, etc...)• esecuzione programmi• avvio e spegnimento del computer• login/logout utentiFriday, March 30, 2012
  • 5. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itCosa vogliamo ottenere• Vogliamo avere con immediatezza lo storico ordinato di:• file ‘lnk’ di Windows (che mantengono info e S/N sulleperiferiche su cui risiedevano i file aperti, comprese USBesterne)• navigazione internet (Chrome, Firefox, Explorer, Opera, Safari,etc...)• eventi di sistema (errori, notifiche, violazioni, etc...)• log antivirus• traffico di rete• cestino e punti di ripristino di Windows• log webserver Apache/IIS• Skype chatFriday, March 30, 2012
  • 6. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itTimeline vs Supertimeline• Timeline tradizionale: esaminati soltanto itimestamp dei file ricavati dal filesystemanche per taluni file cancellati (creazione,modifica, accesso, entry modified) ma non ilcontenuto dei file stessi, che viene ignorato• Supertimeline: si aggiungono ai timestampdel filesystem anche i dati (che chiameremometadati) estratti e parsificati dall’interno didiverse tipologie di file (registro, eventi, link,prefetch, exif, etc...) anche cancellatiFriday, March 30, 2012
  • 7. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itTimeline vs Supertimeline• Timeline tradizionale: limitata ma veloce dafare, si può fare anche offline estraendo unsolo metafile ($MFT) dal sistema, permettedaily/hourly summary, feedback immediato• Supertimeline: completa ed esauriente mapiù lunga da fare, soprattutto se ci sonotanti file esistenti o cancellati, difficile farlaoffline senza avere l’intero discoFriday, March 30, 2012
  • 8. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itTimeline• Useremo i tool fls/mactime della suite TSK,The Sleuth Kit di Brian Carrier• Esistono diverse alternative, più o menoscomode, open/gratuite/commerciali• fls è la più usata, anche perchè utilizzata dalfrontend Autopsy inserito in diverci LiveCDFriday, March 30, 2012
  • 9. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itTool alternativi ma “scomodi”• FTK Imager, di AccessData [accessdata.com/support/adownloads#FTKImager]• NTFSwalk, di TzWorks [www.tzworks.net/prototype_page.php?proto_id=12]• AnalyzeMFT, di David Kovar [www.integriography.com/]• mft.pl, di Harlan Karvey [code.google.com/p/winforensicaanalysis]• MFTView, della Sanderson Forensics[www.sandersonforensics.com]• Encase [www.guidancesoftware.com/]• X-Ways Forensics [www.x-ways.net/forensics]Friday, March 30, 2012
  • 10. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Suite TSK, con fls credo file in formatobodyfile• Converto il bodyfile in CSV• Creo daily summary con attività giornalierafls -o 63 -r -m C: /dev/sda > c-timeline.bodymactime -y -m -d -i day c-timeline-daily.csv -zEurope/Rome -b c-timeline.body > c-timeline.csvTimeline con daily summaryFriday, March 30, 2012
  • 11. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Il daily summary serve perrilevare anomalie sui giorni• Nell’esempio, cominceremo ad esaminare il giorno 4marzo 2010, dove rileviamo 62.239 movimentazioni difile• Possibile anche hourly summary, con analisi oraria,nell’esempio rileviamo pesante attività tra le ore 11 e 12Timeline con daily summaryFriday, March 30, 2012
  • 12. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Otteniamo (i dati provegono dall’$MFT) data dicreazione/accesso/salvataggio/entry modified,dimensione, numero di inode e percorso sulfilesystem quando disponibile• Sappiamo se un file esisteva ma è stato cancellatoe in tal caso anche se l’area disco è stata riscrittaTimeline con daily summaryFriday, March 30, 2012
  • 13. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Interfaccia grafica alla suite TSK• Creo un caso, imposto timezone, inserisco immagini/dischi (/dev/sda)• Utile per fare preview di file anche cancellati (ricavati da MFTtable)• Utile per fare keyword search su raw disk, estrazione stringhe,estrazione spazio non allocato, organizzazione file per tipo,ricupero di tutti i file cancellati (a livello MFT)• Preview raw a livello di settoreMenù > DEFT > Analysis Tools > AutopsyNo cmdline? AutopsyFriday, March 30, 2012
  • 14. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itInterfaccia grafica AutopsyFriday, March 30, 2012
  • 15. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline• Aggiungiamo ai timestamp del filesystem anche imetadati contenuti nei file per creare la nostra lineatemporale• utilizzeremo il tool open source log2timeline,scritto in perl dal ricercatore Kristinn Gudjonsson• framework composto da 4 moduli: front-end,librerie condivise, modulo input e modulo output• Ultima versione 0.62 (DEFT 7.1) diversi plugin• log2timeline-sift: cmdline tool che cerca diautomatizzare il mounting delle evidenze e il parsingFriday, March 30, 2012
  • 16. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: metadati e plugin• altiris 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file• analog_cache 0.1 Parse the content of an Analog cache file• apache2_access 0.3 Parse the content of a Apache2 access log file• apache2_error 0.2 Parse the content of a Apache2 error log file• chrome 0.3 Parse the content of a Chrome history file• encase_dirlisting 0.2 Parse the content of a CSV file that is exported from Encase (dirlist)• evt 0.2 Parse the content of a Windows 2k/XP/2k3 Event Log• evtx 0.5 Parse the content of a Windows Event Log File (EVTX)• exif 0.4 Extract metadata information from files using ExifTool• ff_bookmark 0.3 Parse the content of a Firefox bookmark file• ff_cache 0.2 Parse the content of a Firefox _CACHE_00[123]_ file• firefox2 0.3 Parse the content of a Firefox 2 browser history• firefox3 0.8 Parse the content of a Firefox 3 history file• ftk_dirlisting 0.3 Parse the content of a CSV file that is exported from FTK Imager (dirlist)• generic_linux 0.3 Parse content of Generic Linux logs that start with MMM DD HH:MM:SSFriday, March 30, 2012
  • 17. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: metadati e plugin• iehistory 0.8 Parse the content of an index.dat file containg IE history• iis 0.5 Parse the content of a IIS W3C log file• ibsatxt 0.4 Parse the content of a ISA text export log file• jp_ntfs_change 0.1 Parse the content of a CSV output file from JP (NTFS Change log)• l2t_csv 0.1 Parse the content of a body file in the l2t CSV format• mactime 0.6 Parse the content of a body file in the mactime format• mcafee 0.3 Parse the content of log files from McAfee AV engine• mcafeefireup 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file• mcafeehel 0.1 Parse the content of a McAfee HIPS event.log file• mcafeehs 0.1 Parse the content of a McAfee HIPShield log file• mft 0.1 Parse the content of a NTFS MFT file• mssql_errlog 0.2 Parse the content of an ERRORLOG file produced by MS SQL server• ntuser 1.0 Parses the NTUSER.DAT registry file• openvpn 0.1 Parse the content of an openVPN log file• opera 0.2 Parse the content of an Operas global history fileFriday, March 30, 2012
  • 18. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: metadati e plugin• oxml 0.4 Parse the content of an OpenXML document (Office 2007 documents)• pcap 0.5 Parse the content of a PCAP file• pdf 0.3 Parse some of the available PDF document metadata• prefetch 0.7 Parse the content of the Prefetch directory• proftpd_xferlog 0.1 Parse the content of a ProFTPd xferlog log file• recycler 0.6 Parse the content of the recycle bin directory• restore 0.9 Parse the content of the restore point directory• safari 0.3 Parse the contents of a Safari History.plist file• sam 0.1 Parses the SAM registry file• security 0.1 Parses the SECURITY registry file• setupapi 0.5 Parse the content of the SetupAPI log file in Windows XP• skype_sql 0.1 Parse the content of a Skype database• software 0.1 Parses the SOFTWARE registry file• sol 0.5 Parse the content of a .sol (LSO) or a Flash cookie fileFriday, March 30, 2012
  • 19. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: metadati e plugin• squid 0.5 Parse the content of a Squid access log (http_emulate off)• symantec 0.1 Parse the content of a Symantec log file• syslog 0.2 Parse the content of a Linux Syslog log file• system 0.1 Parses the SYSTEM registry file• tln 0.5 Parse the content of a body file in the TLN format• volatility 0.2 Parse the content of aVolatility output files (psscan2, sockscan2, ...)• win_link 0.7 Parse the content of a Windows shortcut file (or a link file)• wmiprov 0.2 Parse the content of the wmiprov log file• xpfirewall 0.4 Parse the content of a XP Firewall logEsistono software commerciali equivalenti? :-)©Friday, March 30, 2012
  • 20. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: moduli e liste!Friday, March 30, 2012
  • 21. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itSupertimeline: output!• Useremo CSV perchè veloce da gestire e idealeper integrare le diverse fonti di dati/metadatiFriday, March 30, 2012
  • 22. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Monto il disco in modalità read only• Importanti i parametri speciali per file disistema e ADS:• show_sys_files• streams_interface=windowsmount -oro,show_sys_files,streams_interface=windows/dev/sda1 mnt/cMontiamo il disco in readonlyFriday, March 30, 2012
  • 23. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itMontiamo l’immagne in readonly• Diversi tipi di immagini: raw, split raw, aff, split aff, ewf, split ewf• Possibile operare anche su dischi fisici• Si possono montare tutti i tipi di immagini usati nellacomputer forensics o i dischi tramite i seguenti tool:• affuse (raw, split raw)• xmount (raw, split raw, aff, ewf)• mount [-o loop] (raw)• mount_ewf.py [ewf]mount -o ro,loop,show_sys_files,offset=$((512*63)) /mnt/raw/nps-2009-domexusers.dd /mnt/cFriday, March 30, 2012
  • 24. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Si notano alcuni file di metadati NTFS ($Boot,$MFTMirr, etc...)• Alcuni metafile non si vedono ma si possonoaccedere direttamente ($MFT, $UsnJrnl:$J) epotranno servirciAlcuni strani file...Friday, March 30, 2012
  • 25. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Uso regripper per identificare Sistema Operativo etimezone• Utile nel caso in cui il preprocessor di log2timelinefallisse la detection e quindi la scelta dei moduli/plugincd /opt/regripper./rip.pl -r /mnt/c/WINDOWS/system32/config/software -p winver./rip.pl -r /mnt/c/WINDOWS/system32/config/system -p timezoneIdentifico versione di OSFriday, March 30, 2012
  • 26. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• A volte utile usare parametri “-p” e “-f winxp”• l2t_process può filtrare per keyword (blacklist/whitelist), timestomping (MFT con millisecondia 0), date o evidenziare scostamenti time/number MFT tramite scatter plot dellacartella /windows/system32log2timeline -r -z Europe/Rome /mnt/c/ -m C: -w c-log2t.csvcat c-log2t.csv > supertimeline-unsorted.csvl2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csvSupertimeline dei file presentiFriday, March 30, 2012
  • 27. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Utile se non si ha tempo di fare timeline/supertimeline• log2timeline ultima versione lo elabora in automatico• Si può elaborare in laboratorio con diversi tool,compreso log2timeline• Se non si ha tempo di usare fls/autopsy, acquisire MFTe parsificare in laboratoriocat -c /mnt/c/$MFT > mft.bin(oppure)icat -o 63 /dev/sda 0 > mft.binEsporto $MFT per il laboratorioFriday, March 30, 2012
  • 28. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Se il journaling è attivo, il file contienetimestamp di creazione, modifica ecancellazione dei file presenti sul disco• Si può elaborare in laboratorio con diversitool, commerciali e non e integrare tramiteapposito plugin nella supertimelinecat /mnt/c/$Extend/$UsnJrnl:$J > usnjrnl.binEsporto journal NTFSFriday, March 30, 2012
  • 29. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Si recupero tutti i file con struttura nota cancellati• Operazione in genere lunga, da fare in laboratorio• Tutti e tre i tool supportano custom config• Scalpel e Foremost supportano custom config più avanzato• Disponibile GUI (Menu’ > DEFT > Carving Tools > Hb4most)cd carvingphotorec /dev/sdavi /etc/foremost.confforemost -o carving -i /dev/sdavi /opt/hb4/scalpel.confscalpel -v /opt/hb4/scalpel.conf -o carving -i /dev/sdaCarving e recupero datiFriday, March 30, 2012
  • 30. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.it• Prassi poco nota ma dagli ottimi risultati• Estrarre tramite carving e applicare log2timeline suquanto ricuperato• Verranno parsificati registro, eventi, immagini, documenti,link, navigazione Internet e molti altri metadati chealtrimenti non sarebbero stati inclusi nella supertimelinelog2timeline -r -z Europe/Rome ./carving -m C: -w c-log2t-carve.csvcat *.csv > supertimeline-unsorted.csvl2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csvDr. Paolo Dal Checco - paolo@dalchecco.itIntegrazione nella supertimelineFriday, March 30, 2012
  • 31. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: documenti office• 10/29/2008,09:15:00,PST8PDT,MACB,OXML,Open XML Metadata,created,domex1,-,, -Application: Microsoft Office Word -AppVersion: 12.0000,2 […]10/29/2008,09:15:00,PST8PDT,MACB,OXML,Open XML Metadata,modified,domex1,-,, -Application: Microsoft Office Word -AppVersion: 12.0000,2 […]Friday, March 30, 2012
  • 32. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: Windows lnk• 09/18/2008,09:44:24,PST8PDT,.A..,LNK,Shortcut LNK,Access,-,-,C:/Program Files/Google/Picasa3/Picasa3.exe […]09/18/2008,09:44:24,PST8PDT,..CB,LNK,ShortcutLNK,Created,-,-,C:/Program Files/Google/Picasa3/Picasa3.exe […]10/21/2008,08:11:48,PST8PDT,M...,LNK,ShortcutLNK,Modified,-,-,C:/Program Files/Google/Picasa3/Picasa3.exe […]Friday, March 30, 2012
  • 33. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: Navigazione web• 10/20/2008,15:42:24,PST8PDT,.ACB,WEBHIST,Internet Explorer,time1,Administrator,-,visitedhttp://www.google.com/search?hl=en&q=pidgin&aq=f […]10/20/2008,15:42:55,PST8PDT,M...,WEBHIST,Internet Explorer,time2,Administrator,-,visited http://sourceforge.net/project/downloading.php?groupname=pidgin&filename=pidgin-2.5.2.exe&use_mirror=internap […]Friday, March 30, 2012
  • 34. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: Filesystem• 10/21/2008,11:13:04,PST8PDT,.A..,FILE,NTFS $MFT,$FN [.A..] time,-,-,C:/Documents and Settings/All Users/Documents/pidgin-2.5.2.exe […]10/21/2008,11:04:08,PST8PDT,.A..,FILE,NTFS $MFT,$FN [.A..] time,-,-,C:/Documentsand Settings/All Users/Documents/Thunderbird Setup 2.0.0.17.exe […]Friday, March 30, 2012
  • 35. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: Esecuzione programmi• 10/29/2008,19:44:34,,MACB,REG,UserAssistkey,Time ofLaunch,domex2,REALISTIC_XP,UEME_RUNPATH:C:/Program Files/Mozilla Thunderbird/thunderbird.exe, [Count: 2] […]10/30/2008,00:50:43,PST8PDT,MACB,PRE,XPPrefetch,Lastrun,-,REALISTIC_XP,AIM6.EXE-34DC5725.pf:AIM6.EXE was executed,AIM6.EXE-34DC5725.pf -[AIM6.EXE] was executed - run count [5] […]Friday, March 30, 2012
  • 36. DEFTCON 2012 - TorinoDr. Paolo Dal Checco - paolo@dalchecco.itEsempio: Avvio e spegnimento PCFriday, March 30, 2012