Uma abordagem prática sobre Computação Forense

Dando continuidade aos posts sobre investigação e perícia em acesso remoto não autorizado, vamos abordar o LogMeIn, outro software de acesso remoto bastante popular. A versão do LogMeIn Client utilizado é a versão 1.3.831 (para Windows) e 4.1.4831 (para MAC).

O LogMeIn efetua o registro das ações do host remoto de duas formas, dependendo do sistema operacional. Em sistemas Windows, o LogMeIn registra as conexões no Log de Eventos e as ações no arquivo LogMeIn.log. No Mac OS, os registros são realizados na pasta de logs do sistema, conforme veremos a seguir:

Windows

%SystemDrive%\ProgramData\LogMeIn

MAC OSX

$HOME/Library/Logs/LogMeIn

O log de Eventos armazena registros com o status do serviço LogMeIn Guardian (evento 100/106), conexão e desconexão com endereço IP (102 e 202/105 e 205). O arquivo LogMeIn.log também registra tais eventos além de informações mais completas sobre a conexão.

Para a análise dos logs do LogMeIn, também utilizo o Glogg ou o LogExpert, ainda que não gere arquivos de grandes tamanhos.

Para o LogMeIn pesquise por linhas com os seguintes conteúdos:

.*Session - .*Logging in as.*
.*Session - .*Logging in successfully.*
.*Session - .*[File Transfer] Read directory contents of.*
.*Session - .*[File Transfer] Read directory contents of.*
.*Session - .*[File Transfer] Read ".*
.*Session - .*[File Transfer] Disconnected.*
.*Session - .*[File Transfer].*Client IP.*

Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota. Minha recomendação é para que se examine todas as linhas do log em torno de conexões suspeitas.

Até o próximo.

Um crescente número de queixas de acesso indevido a computadores, realizados de forma remota, que resultam em perda de dados, acesso a informações privilegiadas, interrupção de serviços, alterações de registros e um grande elenco de outros prejuízos, tem elevado o número de solicitações de perícia buscando identificar o meio e o autor do acesso.

Em alguns posts farei referência aos ataques através de softwares de acesso remoto,  em boa parte das vezes instalados por pessoas próximas, técnicos de TI, funcionários insatisfeitos, entre outros.

Os softwares de acesso remoto são utilitários legítimos, desenvolvidos de forma a facilitar a manutenção à distância, realização de conferências, etc., entretanto são frequentemente utilizados indevidamente. A quantidade de programas é grande e nos ateremos àqueles que mais demandam perícia

TeamViewer

Em um caso recente, uma empresa registrou ocorrência relatando que em uma determinada data, vários servidores foram desativados prejudicando os negócios da empresa. As investigações iniciais mostraram que a empresa fazia manutenção dos servidores através do TeamViewer e que, eles próprios desconfiavam que a ferramenta havia sido utilizada indevidamente para o ataque.

O TeamViewer produz registros das atividades do utilitário, gravadas no equipamento alvo, nas seguintes pastas:

Windows

%SystemDrive%\%ProgramFiles%\TeamViewer\VersionX (X = versão do TeamViewer)
%HomeDrive%\%HomePath%\AppData\Roaming\TeamViewer
%HomeDrive%\%HomePath%\AppData\Local\Temp\TeamViewer\VersionX

Linux (Debian)

/var/log/teamviewer

MAC OS

$HOME/Library/Logs/TeamViewer

Os arquivos que armazenam as informações de conexão são:

Connections_incoming.txt – Arquivo que registra as conexões entrantes composto pelas colunas de informação Team Viewer ID, Usuário remoto, Data login, Data Logout, Usuário local, Tipo de conexão, ID da sessão.

TeamViewerX_Logfile.log e TeamViewerX_Logfile_OLD.log, que representa o arquivo de log anterior após certo prazo decorrido – Estes arquivos registram as ações de conexão entre o host remoto e o host local, mostrando toda atividade gerada entre os dois computadores, inclusive arquivos transferidos, endereço IP do host remoto, etc.

Para a análise dos logs do TeamViewer, utilizo o Glogg ou o LogExpert, que já citei anteriormente, no post sobre expressões regulares e exatamente por aceitá-las, tornam-se extremamente úteis nessa tarefa, ainda que o TeamViewer não gere arquivos de log de grandes tamanhos.

Através dos programas citados procure por linhas contendo:

Receive.CMD_SESSIONMODE - Para o início de uma sessão;
client hello received from - Criptografando a sessão;
Receive.CMD_MEETING_AUTHENTICATION - Autenticando;
CmdUDPPing.PunchReceived - Identifica o endereço IP do host remoto;
CFileTransferThreadServer started - Iniciando uma sessão de transferência;
Mostra pasta - Pastas visualizadas pelo host remoto;
Processando transferência de arquivos - Preparando o envio de arquivos;
Enviar arquivo "Caminho do arquivo\Nome do arquivo" - Enviando o arquivo;
Transferência de arquivos concluída - Concluindo a transferência do arquivo;

Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota.

Obs.: A versão utilizada como referência era 10.0.41404

Até o próximo.

Os contatos por e-mail sobre os posts do WhatsApp não param. Muitos perguntas e as dúvidas crescem. Fiz este post para responder a algumas destas questões sobre a extração de mensagens deste app e suas  características.

A extração de mensagens do WhatApp pela perícia forense criminal normalmente é realizada com dispositivos destinados para a análise de dispositivos móveis como as soluções da Cellebrite, Paraben, Micro Systemation, Compelson, entre outras, o que torna a vida dos peritos um pouco menos difícil. Mas quando não temos tais ferramentas, temos de apelar para a criatividade e engenhosidade sem perder de foco as boas práticas. E então?

1. Fiz o backup das mensagens. É possível descriptografá-las e extraí-las sem a chave de criptografia? Não. Não adianta ter os arquivos criptografados sem a chave de criptografia. Exceto para os arquivos Crypt5 que podem ser abertos através do WhatsApp Viewer utilizando o endereço de e-mail Gmail da conta principal de seu dispositivo (Veja em Configurações\Conta\”1º endereço de e-mail do Gmail”).
2. Como faço para extrair a chave de criptografia do dispositivo? Se o acesso como root estiver habilitado vá até a pasta /data/data/com.whatsapp/files/key. Caso não possua este acesso, utilize a técnica explicada nos posts anteriores.
3. Onde ficam os arquivos de backup das mensagens? Os arquivos ficam localizados na pasta /WhatsApp/Database. Esta pasta é visível pelo gerenciador de arquivos em dispositivos com e sem cartão de memória. Não necessita acesso root para acessá-los.
4. Funciona com iOS, Windows e Blacberry? Não. As técnicas aqui abordadas só funcionam no Android.
5. O WhatsApp Viewer mostra vídeos, imagens e áudios? Só pequenas imagens daquelas anexadas nas mensagens. Copie o conteúdo de toda a pasta \WhatsApp\Media, pois lá estarão os arquivos de media originais.

Até a próxima.

Voltando ao último post sobre o Registro do Windows, a figura utilizada para ilustrar mostrava o seguinte:

A chave exibida na ilustração, HKLM\SYSTEM\CurrentControlSet\Control\Windows possuía o valor ShutdownTime, com dados do tipo REG_BYNARY, ou seja, dados binários, gravados em formato hexadecimal, cujo conteúdo era “9f e8 88 c4 b7 b7 ce 01”, que convertido para o formato 64 bit Hex Value: Little Endian teremos a data de 22/09/2013 17:18:34 UTC. Quando extraímos as hives do registro do Windows para análise externa com o Mitec Registry Recovery, por exemplo, iremos nos deparar com uma configuração um pouco diferente das chaves.

Como podemos ver não há mais a chave CurrentControlSet e sim as chaves ControlSet001, ControlSet002 e ControlSet003. Todas possuem a chave Control\Windows e o valor ShutdownTime. Então qual destas chaves vale? O que são estas chaves e o que guarda cada uma delas?

A chave HKLM\SYSTEM\CurrentControlSet\Control\Windows aponta para uma das três e indica a última configuração válida do sistema (HKLM\SYSTEM\CurrentControlSet) enquanto as demais (HKLM\SYSTEM\ControlSet001 e HKLM\SYSTEM\ControlSet 002) são cópias de backup mantidas pelo sistema.

Para saber a chave que armazenava a última configuração válida, examine a chave HKLM\SYSTEM\Select, que possui quatro valores cujos dados REG_DWORD indicam a chave configurada. O valor da última carga do sistema é o Current, o valor da última configuração que falhou na inicialização é a Failed, a última configuração válida conhecida é a LastKnowGood, e o valor Default normalmente aponta para o mesmo dado do Current, como vemos abaixo.

No caso específico do último post vemos que o valor Current, indica o dado 0x2, ou seja a última vez que o sistema foi utilizado foi a ControlSet002.

Confuso? Lembre-se que quando visualizamos o registro do Windows de um equipamento ligado, veremos sempre a chave CurrentControlSet, enquanto se examinamos a hive de um registro extraída de um dispositvo de armazenamento de dados de um equipamento suspeito, teremos que consultar a chave HKLM\SYSTEM\Select para difinir as chaves utilizadas na última vez que esteve ligado. Para saber mais clique aqui.

Até a próxima.

Foram muitos os contatos sobre o post do WhatsApp, muitos com dúvidas e queixas sobre o funcionamento do método. Então, com a chegada da nova versão do WhatsApp com Crypt8, do novo script do Abinash Bishoyi versão 2.2 e da nova versão do WhatsApp Viewer, resolvi atualizar o post anterior e detalhar um pouco mais a operação, para tentar ajudar aqueles que não conseguiram efetivar a extração. O WhatsApp implementou algumas alterações na sua última versão (arquivos Crypt8), desabilitando a permissão de backup com o ADB. Já existe opções para burlar esta dificuldade, como veremos adiante, então vamos nos concentrar nos arquivos de backup Crypt7 e Crypt8. Não é possível descriptografar os arquivos sem ter acesso a chave de criptografia, portanto não basta copiar o conteúdo da pasta WhatsApp.

A solução apresentada a seguir só funciona para o Android, versão 4.0 ou posterior, visto que é utilizada a funcionalidade de realização de backup via USB. Não é necessário fazer root no dispositivo. Para que seja possível realizar a operação de cópia, abra o dispositivo e carregue as configurações do sistema. Selecione a opção “Opções do Programador” (“Developer options”) ou “Programador” (“Developer”). Caso você esteja utilizando um celular que não apresente esta opção, acesse “Sobre o dispositivo” (“About phone” ou “About device”) ou “Sobre” (“About”) e toque de 7 a 10 vezes na opção “Número de compilação” (“Build number” para o Samsung)  ou “Número da versão”. Retorne e encontrará “Opções do programador” habilitada. Selecione “Opções do programador” e marque a opção “Depuração USB” (“USB debugging”). Conecte o dispositivo móvel e aguarde ele carregar todos os drivers.

CRYPT7

Obtendo a chave de criptografia e os arquivos de mensagem

NO LINUX – O Abinash Bishoyi oferece um shell script para extrair a chave e os arquivos criptografados.

PRÉ-REQUISITOS: Java, Phyton, ADB e o script do Abinash Bishoyi. 

EXECUTANDO A EXTRAÇÃO: Crie uma pasta com um nome qualquer (Ex.: /home/user/WHATSAPP) e extraia o conteúdo do arquivo do script para ela. Conecte o dispositivo via USB, ative o “USB debugging” e execute o script WhatsAppKeyExtract.sh. Aceite a solicitação de backup e os arquivos serão extraídos para a pasta “extracted” situada na pasta onde você extraiu os arquivos do script (/home/user/WHATSAPP/extracted).

NO WINDOWS – Temos duas opções: O script de Abinash Bishoyi (Requer Java) ou o script do WhatCrypt (Não requer Java).

PRÉ-REQUISITOS: Java, ADB e o script do Abinash Bishoyi ou do WhatCrypt.

EXECUTANDO A EXTRAÇÃO: Caso opte pelo script de Abinash Bishoyi, instale o Java. Então crie uma pasta com um nome qualquer (Ex.: C:\WHATSAPP) e extraia o conteúdo do arquivo do script para ela. Em seguida vá até a pasta que você criou e execute o arquivo “WhatsAppCryptKeyExtract.bat”. Os arquivos serão extraídos para a pasta “C:\WHATSAPP/extracted”. Caso opte pelo script do WhatCrypt, crie a pasta para extrair o arquivo baixado e em seguida vá até ela e execute o arquivo “WhatsAppCryptKeyExtractor.bat”. Os arquivos serão extraídos para a pasta “C:\WHATSAPP/extracted”.

Utilize o site do WhatCrypt para abrir os arquivos, ou então o WhatsApp Viewer na versão 1.7. Ambos suportam os arquivos Crypt5, Crypt7 e Crypt8. Opcionalmente você pode utilizar o app do WhatsCrypt (Veja no site deles). Será preciso ativar nas configurações, na opção “Segurança” (“Security”), “Fontes desconhecidas” (“Unknown sources”) e então executar o app baixado. Ele oferece a opção de descriptografar os arquivos e disponibilizá-lo para ser visualizado por um dos métodos citados (WhatCrypt ou WhatsApp Viewer).

CRYPT8

O WhatsApp desabilitou a permissão de backup pelo ADB de seus arquivos no app manifesto, entretanto já existe uma solução para contornar esta dificuldade, fazendo com que o método mostrado acima continue funcionando.

PRÉ-REQUISITOS: Java, Windows Vista, 7 ou 8, desinstalar versões anteriores. (Obs.: Não exclua o cache ou dados, apenas desinstale e instale o novo, aceitando a recuperação das mensagens anteriores)

1. Baixe o arquivo WhatsAppADBPatch.zip;
2. Baixe a última versão do WhatsApp do site oficial (WhatsApp.apk)
3. Extraia o arquivo WhatsAppADBPatch.zip preservando sua estrutura de diretórios;
4. Copie o arquivo WhatsApp.apk para a pasta onde você extraiu oWhatsAppADBPatch.zip;
5. Arraste o arquivo WhatsApp.apk sobre o arquivo ADBPatch.bat;
6. Instale o arquivo WhatsApp_Patched.apk criado, no dispositivo;
7. Execute a extração vista anteriormente pelo método que desejar

OBS.: O procedimento acima foi testado em um Moto X 2ª geração com Android 5. Veja a galeria de imagens abaixo: