4. Memory Acquisition
LIVE ANALYSIS
Analisi di un Live System
Live System: Sistema in fase di attività
In tali sistemi potrebbero esserci prove che
sarebbero difficili da acquisire nel caso il
sistema venisse spento
POST MORTEM ANALYSIS
Analisi di un Dead System
Dead System: Sistema non in fase di attività
In tali sistemi i dati in RAM e Cache sono persi
4
5. Memory Acquisition
❑ Processo di acquisizione di un Memory dump
❑ Memory dump: istantanea del contenuto della
memoria RAM
❑ Un Memory dump può essere acquisito da tool esterni
Tuttavia, talvolta, è il sistema operativo stesso a produrlo
5
6. Memory Acquisition
❑ Memory dump in formato RAW
❑ Memory dump prodotti automaticamente dal S.O. [in
sistemi Windows-based]:
❏ Memory dump prodotto in seguito ad un grave
crash di sistema
❏ Memory dump prodotto dal processo di ibernazione
6
7. Memory Acquisition
DumpIt
DumpIt è utilizzabile su sistemi a 32 bit (x86) e
su sistemi a 64 bit (x64). Esso è un tool con
interfaccia a linea di comando, capace di
acquisire memory dump, in formato RAW, e di
effettuare la comparazione tramite una
funzione di hash
FTK Imager
FTK (Forensic Toolkit) Imager è un software
sviluppato da AccessData che permette di
creare immagini forensi e memory dump di
differenti supporti
7
8. Memory Analysis
❑ Processo di analisi di un Memory dump
❑ Essa viene fatta attraverso i seguenti tool:
❏ Volatility
❏ Bulk Extractor
8
9. Memory Acquisition
Bulk Extractor
Esso estrae informazioni utili senza analizzare il
file system o le strutture del file system. I
risultati possono essere facilmente ispezionati,
analizzati o elaborati con strumenti
automatizzati. Attraverso Bulk Extractor si
possono individuare ed estrarre diverse
tipologie di dati tra i quali:
❑ Numero di carta di credito
❑ Indirizzi e-mail
❑ URL
❑ Ricerche online
❑ Informazioni di Siti Web
❑ Profili di social network
Volatility
Volatility è un framework open source. Esso
permette di estrarre specifiche informazioni dal
memory dump, su cui si sta conducendo
l’analisi, tramite l’utilizzo dei plugin. Supporta
diversi formati di memory dump tra i quali:
❑ Formato RAW (estensione .dd, .img,
.dmp, .mem, ...)
❑ Memory dump automaticamente
prodotti da sistemi Windows-based
(relativi a crash/ibernazioni)
❑ Memory dump acquisiti da Virtual
Machine
9
11. Web Browser Forensics
I browser web sono oggi
giorno utilizzati non più
esclusivamente sui PC, ma
anche sugli smartphone,
sui tablet ecc.
11
Fonte: https://favpng.com/png_view/iphone-mobile-browser-iphone-web-browser-ipad-maxthon-png/fxsuxvpi
13. Web Browser Forensics
Non è possibile fornire una
soluzione universale per
l’analisi di più browser
13
Fonte: https://www.pngitem.com/middle/ihwTJho_solution-png-7-png-image-transparent-png/
14. Web Browser Forensics | Obiettivi
❑ Cronologia di navigazione
❑ Password memorizzate
❑ Cookie di sessione
❑ Cache
14
Fonte: https://www.kindpng.com/imgv/wbTwbm_goals-png-clipart-goal-icon-png-transparent-png/
16. The Onion Router
❑ Tor è un progetto open-source sviluppato da “The Free
Haven Project”
❑ Tor è una rete di tunnel virtuali e questo suo sistema
garantisce alle persone e alle organizzazioni privacy e
sicurezza su Internet
❑ Protocollo utilizzato: onion routing
Garantisce privacy del mittente e del ricevente
16
20. Virtual Machine Utilizzate
Edizione Windows 10 Pro
Versione 1709
Build 16299.98
Tipo S.O. 64-bit
20
Edizione Kali Rolling
Versione 2020.2
Tipo S.O. 64-bit
21. Accesso a TOR
Una volta cliccato su Start
Tor browser si aprirà il
browser Tor con il motore di
ricerca DuckDuckGo
21
22. Ricerca Pagine
Sito Web Attività Account Utilizzato
https://www.cybersecurity360.it/
Scroll pagina e apertura di
una sezione “Ransomware”
https://www.gazzetta.it/
Scroll pagina e apertura di
una sezione “Serie A”
https://thehackernews.com/
Scroll pagina e apertura di
una sezione “Cyber Attacks”
https://outlook.live.com/owa/
Accesso a hotmail ed
apertura di un’email ricevuta
giorap94@hotmail.it
22
25. Dump Memoria
25
Tramite il tasto “Browse” si
specifica dove memorizzare il
file relativo al memory dump
Qui specifichiamo il nome
del file relativo al memory
dump
Spuntando l’opzione
“Include pagefile”
acquisiamo anche il file di
paging
Mediante il tasto “Capture
Memory” avviamo il
processo di creazione del
memory dump
26. Analisi dei file estratti
26
Nome file memdump.mem pagefile.sys
Dimensione 2.15 GB 1.21 GB
❑ Volatility: pslist, pstree, netscan
❑ Bulk Extractor: ricerca mediante apposite stringhe
❑ Page Brute: ricerca di stringhe all’interno dell’output
27. Volatility | imageinfo
27
Al fine di analizzare, in
maniera più accurata
possibile il memory dump,
è necessario conoscere il
profilo del sistema
operativo, ossia, la tipologia,
versione, ecc.
34. Bulk Extractor
34
Il tool consente di estrarre
varie informazioni su un
certo file dato in input tra
cui numeri di carta di
credito, indirizzi email, URL,
ecc.
35. Bulk Extractor | packets.pcap
35
Indirizzo IP
da ricercare
Data per la quale si
supponga sia stato
utilizzato l’IP
specificato prima
Invio Query
Risultato Query
39. 39
Bulk Extractor | email_histogram.txt
❑ Molte occorrenze email estratte da questo file
❑ Tra le evidenze spicca l’email usata per accedere a
login.live.com (giorap94@hotmail.it)
❑ Sono state trovate anche gran parte delle email che
hanno interagito con l’email presa in esame
40. 40
Bulk Extractor | ip_histogram.txt
❑ Fornisce molte occorrenze di indirizzi IP
❑ IP individuato precedentemente 137.74.32.26
❑ Tale IP corrisponde come abbiamo visto ad un nodo TOR
43. 43
Analisi del pagefile.sys
❑ L’analisi di tale file verrà fatta mediante il tool Page Brute
❑ Analizza il file pagefile.sys mediante firme basate su
YARA
❑ Il risultato del tool sarà una cartella contenente tante
directory quante sono le firme su cui si ha avuto un
match positivo con le firme date in input insieme al file
di paging
44. Page Brute
44
Il risultato di tale comando
è contenuto nella cartella
PAGE_BRUTE-2020-06-23-
04-46-45-RESULTS e ci
mostra la creazione di tre
cartelle contenente i
blocchi che hanno avuto
un riscontro con le regole
YARA di default
49. Google Chrome
Il browser più veloce ed
utilizzato dalla popolazione
mondiale
Il 69,8% della popolazione
utilizza chrome
49Fonte: https://www.tomshw.it/smartphone/qual-e-il-browser-piu-utilizzato-nel-2020/
51. Analisi degli artefatti di Chrome
❑ Esamineremo il contenuto della cartella Default
❑ In tale cartella sono memorizzati gli artefatti
❑ Tutti gli artefatti dell’utente vengono memorizzati sul
disco del dispositivo utilizzato da quest’ultimo
51
52. La cronologia
Il file History è un database
contenente la cronologia di
navigazione degli utenti. Ad
esempio, contiene tabelle
relative alle URL visitate, ai
download, alle keyword di
ricerca ecc
52
54. MyLastSearch
Tale utility effettua una
scansione dei file di cache e
della cronologia del
browser, individuando tutte
le query di ricerca
effettuate mediante i
motori di ricerca
54
55. I Cookie
File che i siti web creano
per archiviare informazioni
di navigazione degli utenti.
Tipicamente, vengono
utilizzati per analizzare il
traffico web e sono
necessari per le funzionalità
di un sito
55
Fonte: https://www.pngegg.com/en/png-zxbdl
56. I Cookie | Tipi
❑ First party cookies:
❏ cookie impostati dal dominio del sito
❑ Third party cookies:
❏ cookies impostati da un sito web diverso da quello che
si sta attualmente visitando
56
61. Accedere ai cookie
Selezionando un cookie, ci
vengono fornite
informazioni relative al
nome, contenuto, dominio,
percorso, l’ora di creazione,
scadenza, ecc.
61
62. I Cookie
❑ Non esiste una struttura fissa per i cookie, per cui l’analista
forense potrebbe trovarsi in difficoltà quando li va ad
analizzare
❑ La soluzione migliore è utilizzare strumenti di
visualizzazione dei cookie come ChromeCookiesView, in
modo da ottenere informazioni più dettagliate sui cookie
62
66. Password in Chrome
Cliccando sull’icona
dell’occhio ci viene chiesta
la password di sistema che
in un’investigazione si
presume non abbiamo
purtroppo
66
67. ChromePass
Con questo tool aggiriamo
il problema e visualizziamo
in chiaro le password
contenute nel file Login
Data di Chrome
67
68. Il file Top Sites
Questo file contiene i siti
che l’utente visita più
frequentemente. Mediante
DB Browser for SQLite
possiamo notare che
mostra semplicemente
l’URL, il nome ed il rank dei
siti più visitati dall’utente
68
69. Il file Preferences
Questo tipo di file, che non
va confuso con i preferiti
(file bookmarks), contiene i
settaggi personalizzati del
browser definiti dall’utente
69
70. I Preferiti
I preferiti o segnalibri sono
URI (Uniform Resource
Identifier) che indicano
fondamentalmente dei
collegamenti alle pagine
web preferite, salvate
dall’utente
70
71. I Preferiti
Per ottenere maggiori
dettagli come data di
aggiunta del sito tra i
preferiti ecc, è possibile
aprire il file Bookmarks
presente nella cartella
Default mediante un editor
testuale
71
72. I Preferiti
Per interpretare il campo
date_added che
corrisponde alla data di
aggiunta ai preferiti del sito
si può utilizzare il tool
DCode
72
73. La cache
La cache memorizza in
maniera trasparente i dati
dei siti web visitati in modo
da velocizzare successive
richieste degli stessi
73
Fonte: https://www.heelpbook.net/2018/attivazione-browser-caching-apache-nginx-iis/
76. Risultati finali | Google Chrome
76
Evidenze
ChromeHistoryView 200
MyLastSearch 80
ChromeCookiesView 288
ChromePass 4
DB Browser for SQLite 2
ChromeCacheView 1113
Totale 1687
77. Evidenze individuate
❑ Il file History fornisce all’investigatore forense informazioni
sufficienti a ricostruire una timeline delle possibili attività
dell’utente
❑ La cache dimostra che effettivamente l’utente ha visitato
determinati siti
❑ Queste informazioni sono essenziali nell’ambito di frodi
elettroniche o casi di non ripudiabilità
77
79. Microsoft Edge
Microsoft ha deciso di
intraprendere una nuova
strada abbandonando
EdgeHTML e progettando
una nuova versione del
browser Edge basata su
Chromium
79
81. Microsoft Edge | Obiettivi
❑ Rendere il browser “libero” dal sistema operativo
❑ Rendere Edge un progetto Open Source
❑ Contribuire con altri team di sviluppo per garantire
un’applicazione solida
❑ Aumentare la compatibilità dei siti web sviluppati
81
82. Browser Forensics Edge
❑ Ogni browser può differire da un altro in termini di
estrazione di evidenze digitali
❑ L’investigatore forense deve essere in grado di “processare”
le diverse tipologie di browser
❑ Vedremo come estrarre artefatti da Edge Chromium nelle
prossime slides
82
85. ChromeHistoryView
Lanciando il tool e
selezionando l’URL di
interesse, è possibile risalire
ad informazioni più precise
come ad esempio la data e
l’ora di visita al sito
85
88. Selezionare See all cookies
and site data e,
successivamente verrà
mostrato l’elenco dei
cookie memorizzati dal
browser
Edge Chromium | I Cookie
88
89. Infine, per accedere alle
informazioni dei cookie,
basta selezionare il cookie
di interesse
Edge Chromium | I Cookie
89
90. Per un’analisi più
“approfondita” dei cookie, è
possibile aprire il file
Cookies presente nella
cartella Default del browser
Edge Chromium mediante
il tool ChromeCookiesView
Edge Chromium | I Cookie
90
91. Funzione anti-tracciamento
❑ Nuova modalità di anti-tracciamento implementata nel
nuovo Edge Chromium
❑ Caso d’esempio la visita ad una sezione del sito
www.corriere.it
91
92. Selezioniamo tutti i cookie
e poi clicchiamo sul tasto
Delete Selected Cookies
Edge Chromium | I Cookie
92
93. Nel caso del filtro
Balanced, visitando una
pagina del sito il corriere,
mediante il tool
ChromeCookieView sono
stati individuati 68 cookie
Edge Chromium | I Cookie
93
94. Nel caso del filtro Basic,
visitando una pagina del
sito il corriere, mediante il
tool ChromeCookieView
sono stati individuati 156
cookie
Edge Chromium | I Cookie
94
95. Nel caso del filtro Strict,
visitando una pagina del
sito il corriere, mediante il
tool ChromeCookieView
sono stati individuati 60
cookie
Edge Chromium | I Cookie
95
97. La cache del browser Edge
è situata nella cartella
C:UsersNomeUtenteApp
DataLocalMicrosoftEdge
UserDataDefaultCache
Edge Chromium | La Cache
97
98. È possibile accedere alle
informazioni dei file data
mediante un editor
esadecimale
Edge Chromium | La Cache
98
99. Per ottenere informazioni
più dettagliate sui dati di
cache, possiamo rifarci al
tool ChromeCacheView
Edge Chromium | La Cache
99
100. Inoltre, altre informazioni di
cache sui siti consultati
dall’utente, sono ottenibili
aprendo il file delle icone
Favicons presente nella
cartella Default mediante
DB Browser for SQLite
Edge Chromium | La Cache
100
101. Dal file Login Data è
possibile accedere ad
informazioni circa le
credenziali di accesso ai siti
web visitati come
username e password ecc..
Edge Chromium | Dati di accesso
101
102. Per visualizzare tutte le
password memorizzate dal
browser, basta compiere
due passaggi
Edge Chromium | Dati di accesso
102
104. A questo punto è quindi
possibile visualizzare le
password che l’utente ha
scelto di far memorizzare al
browser
Edge Chromium | Dati di accesso
104
105. Per essere in grado di
rilevare le password
mediante tale tool, occorre
specificare il percorso della
cartella Default del browser
Edge da cui il tool estrarrà e
decodificherà le password
Edge Chromium | Dati di accesso
105
106. Immettiamo il percorso
della cartella Default di
Edge e successivamente
clicchiamo su OK
Edge Chromium | Dati di accesso
106
107. A questo punto ci verranno
mostrate tutte le info
relative a email e password
in chiaro salvate sul
browser dell’utente
Edge Chromium | Dati di accesso
107
108. Edge Chromium | estrarre ulteriori informazioni
❑ Bookmarks e Bookmarks.bak
❏ contiene i collegamenti ai siti web preferiti dall’utente.
Sono importanti perché aiutano a capire a quale tipo di
contenuto l’utente incriminato è interessato
maggiormente
❑ Preferences
❏ contiene i settaggi personalizzati del browser definiti
dall’utente
108
109. Edge Chromium | estrarre ulteriori informazioni
❑ Top Sites
❏ tale file contiene informazioni sui siti a cui l’utente
accede più frequentemente
❑ Shortcuts
❏ contiene le “scorciatoie” suggerite dal browser nella
barra di ricerca quando l’utente ricerca il sito di
interesse
109
110. Edge Chromium | estrarre ulteriori informazioni
❑ Current Session e Current Tabs
❏ contengono informazioni circa la sessione di
navigazione attiva ed i relativi siti web aperti sulle
schede del browser
❑ Last Session e Last Tabs
❏ questi due file contengono informazioni circa l’ultima
sessione di navigazione trascorsa sul browser
110
111. Edge Chromium | estrarre ulteriori informazioni
❑ History Provider Cache
❏ come il file History, contiene ulteriori informazioni circa
la cronologia di navigazione, sui cookie di sessione ecc.
111
112. Risultati finali | Microsoft Edge
112
Evidenze
ChromeHistoryView 33
ChromeCookiesView 114
ChromeCacheView 2489
DB Browser for SQLite
[Favicons]
11
DB Browser for SQLite
[Login Data]
3
ChromePass 3
Totale 2650
113. Evidenze individuate
❑ Il file History fornisce all’investigatore forense informazioni
sufficienti a ricostruire una timeline delle possibili attività
dell’utente
❑ Grazie anche agli altri file analizzati si può dimostrare la
gran parte delle azioni che l’utente ha compiuto attraverso
il browser, evidenziando un eventuale abuso
113
114. Riferimenti Bibliografici
Cybercrimine: Memory Forensics del browser TOR, utilizzato
per navigare nel Deep Web
❑ Capitolo 2, 3 e 4
114
Browser Forensics di Microsoft Edge basato su Chromium: il
nuovo browser di default di Microsoft Windows 10
❑ Capitolo 3 e 4