sbd - innovarioja.tv · 2014. 2. 20. · –wechat, mail, skype, spotbros, shazam, ﬁcheros...

SbD

© Todos los derechos reservados

LIOS #FF: a tool for IOS ForensicsLorenzo Martínez R. (@lawwait)

!

!

LIOS #FF: A tool for IOS Forensics


[root@localhost ~]# whoami• 13 años experiencia profesional en seguridad• Integradores -> Fabricantes -> Empresario && formador• CTO && Founder www.securizame.com • Perito Informático Forense• CISSP, CISA• Editor de SecurityByDefault• Herramientas: Securewin, amispammer, scalparser• Twitter: @lawwait, @securizame, @secbydefault• Email: [email protected]• Web: www.securizame.com www.securitybydefault.com



Busca las 0xFF diferencias



¿Por qué analizar IOS?



• Dos particiones HFS+ (Hierarchical FileSystem+)– Boot/firmware

• Sólo lectura (excepto update y JB)

• S.O y apps básicas

– Datos de usuario y apps

• Árbol de directorios y ficheros (Formato UNIX)

• Tipos de ficheros fundamentales– SQLite (Agenda, Calendario, Llamadas, SMS,...)– PList (NextStep y XML)



Adquisición de datos

• Desde un Backup de iTunes– Cifrado / sin cifrar

• Directamente desde el dispositivo– Con contraseña de (des)bloqueo

– Herramienta: iExplorer

• Desde un dispositivo con Jailbreak– SSH + dd

- En todos ellos, AIRPLANE MODE o Jaula de Faraday -



Backup de iTunes: ¿Dónde?

• Windows 7 -> <carpeta usuario>\AppData\Roaming\Apple Computer\MobileSync\Backup\<UDID>

• Windows XP -> <carpeta usuario>\Application Data\Roaming\Apple Computer\MobileSync\Backup\<UDID>

• Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID>



Herramientas libres



Backup de iTunes: Ficheros

• Herramientas Necesarias:– listManifest.py– SQLite Database Browser– PListEdit Pro– Iphone Data Protection– BinaryCookieReader.py

• Status.plist -> Info del último backup• Info.plist y Manifest.plist -> Info del iDevice: Serial

number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas

• Manifest.mbdb -> Metadatos de los ficheros del backup• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)



BinaryCookieReader.py

• Aplicaciones guardan cookies

• Larga duración

• Quedan en el backup

• Formato Binario



iPhone Analyzer



iPhone Backup Analyzer



iExplorer (Unregistered version)



iFunBox



Herramientas comerciales



Ubicación de ficheros importantes



Acceso directo a sistema de ficheros

• /private/var/mobile/Media/DCIM – /100Apple -> IMG_*– /999Apple -> Imágenes anteriores

• /private/var/mobile/Library/Keyboard/dynamic-text.dat

• /private/var/Keychains/key-chain-2.db• /private/var/mobile/Library/Notes/notes.sqlite• /private/var/mobile/Library/SMS/sms.db• /private/var/mobile/Library/Mail/• /private/var/mobile/Library/Maps/History.plist• /private/var/mobile/Media/Recordings

– Recordings.db– *.m4a

• /private/var/mobile/Media/DCIM – /100Apple -> IMG_*– /999Apple -> Imágenes anteriores

• /private/var/mobile/Library/Keyboard/dynamic-text.dat



Acceso directo a sistema de ficheros

• /private/var/mobile/Library/VoiceMail/• /private/var/mobile/Library/Cookies/cookies.binarycookies• /private/var/mobile/Library/Caches/RecentSearches.plist*• /private/var/mobile/Library/AddressBook/

AddressBook.sqlitedb• /private/var/Library/CallHistory/call_history.db• /private/var/Library/Calendar/Calendar.sqlitedb• /private/var/Library/Caches/locationd/consolidated.db



LIOS #FF: Lawwait IOS Forensics Framework• Lenguaje de scripting: Perl

• Inicialmente, herramienta de clasificación de ficheros de un backup

• Luego, selección de ficheros ‘Juicy’

• Lios.pl & Lios_report.pl – Tratamiento de datos en un periodo de fechas– Llamadas, SMS, Calendario, Notas, Whatsapp, Line, Viber,

Notas de voz, Safari, Cámara

– Timeline!!!

– Otros: Binary Cookies, Dynamic Dictionary, Fotos eliminadas, Contactos,...



LIOS #FF: Lawwait IOS Forensics Framework• Problemas encontrados– EPOCH vs. CFAbsoluteTime

– Cambios en las versiones de IOS

– Nombres de tablas inexistentes en diferentes versiones de Apps

• Roadmap– Modularidad/Plugins, API

– Wechat, Mail, Skype, Spotbros, Shazam, ficheros Mapsdata, navegación de otros browsers, alarmas, etc...

– Informes exportables en PDF

– Paquetizado para Windows/Mac

– Integración con otras herramientas

– Recuperación de registros borrados

– Informe/Log de actividad, hashes, etc,...



LIOS #FF: Lawwait IOS Forensics Framework

– Perito Informático Forense en ANCITE (www.ancite.es)

– Grupo de Delitos Telemáticos GDT Guardia Civil

– Brigada Investigación Tecnológica BIT - Policía Nacional

• Clientes... Actuales y próximos...



¿Conoces a Edward Snowden?



No me lo creo... a verlo!



Conclusiones

• Manipulación ficheros en crudo vs. Herramientas “homologadas”

• Low cost o home made != Malo• LIOS: – Clasificación de ficheros “por tipo”– Ficheros “jugosos”– Report: • Información visual• Aplicaciones típicas, pero no estándar• Escalabilidad• Timeline



Email me: [email protected]

Twitter: @lawwait @securizame @secbydefault

sbd - innovarioja.tv · 2014. 2. 20. · –wechat, mail, skype, spotbros, shazam, ﬁcheros...

Documents