Respostas ao desafio forense – Nível #1

Respostas ao desafio forense – Nível #1

Este post é a resposta para as perguntas do Desafio Forense. Se você não fez ainda, tenta fazer, confere aqui no DESAFIO FORENSE e mostre do que você é capaz!

Conforme comentado, as respostas do desafio seriam publicado um mês depois de lançado, para assim dar tempo a quem quise-se desenvolver tranquilamente. (A pedidos, atrasei por 2 semanas a liberação das respostas)

Para fácil organização, as respostas serão por NÍVEL/PERGUNTA. Nesta postagem todas as perguntas do nível #1

Qual o HASH (sha256) do disco da imagem?

A resposta esta na pagina do download do arquivo. Para não haver divergências nas respostas, todas as maquinas virtuais que foram disponibilizada foi gerado o HASH 256 do arquivo .VMDK. 

Ou tambem digitando sha256sum (arquivo.vmdk) depois do download. Neste caso, você corre o risco de ter baixado corrompido.

RESPOSTA
d89aaecafb6b150656e2be7287e6f2ef1ee1d0e9be90836a8e5bc393c8d046ec

Qual o número de série do volume do disco C:\?

Essa é o tipo de pergunta que dá para responder de forma bem fácil e rapida digitando “vol” na linha de cmd é você tem o número de série do volume. 

Mas e quando não é possível dar boot na maquina virtual ou caso queira observar de outra forma? Aqui entra o Bios Parameter Block que descreve a disposição física de uma armazenamento de dados de volume. A tabela BPB é grande, mas para este em especifico devemos o observar o bloco 0x48 do arquivo “$boot” do Sistema Operacional. 

Com a ajuda do FTK Imager, podemos montar a unidade e observar o arquivo $boot em modo Hexadecimal. 

Mas espera…. o volume não era “80B2-2054” e no arquivo esta “5420B280″… sim, de fato, nesse caso, deve se ler de tras para frente, que terá o resultado “Human Readable”

RESPOSTA
80B2-2054

Qual o nome do arquivo que esta na MFT Number Recoder de 66279?

Tabela MFT é utilizado pela partição NTFS para organizar os arquivos. Nela contem o registro de todos os arquivos do computador como também a localização física dela no HD. Há pelo menos uma entrada na MFT para cada arquivo em um volume NTFS, incluindo o próprio arquivo $MFT.

Claro que essa pergunta pode ser até díficil no inicio, mas ela é bem simples. Basta extrair o arquivo $MFT com o FTK Imager e tratar ela com o Parser da sua escolha. Eu prefiro o “Mft2Csv” disponível aqui: https://github.com/jschicht/Mft2Csv

Extração do arquivo com o FTK:

Fazendo um “parse” no arquivo com Mft2Csv

Usando um pouquinho da ajuda do linux com o comando HEAD (para imprimeira apenas a primeira linha, para eu saber o cabeçalho) e com a ajuda do grep procurei exatamente o valor da pergunta. Logo, tenho a resposta do nome do arquivo da pergunta. Se quiser, pode abrir o arquivo também em seu editor de texto favorito. Se for um arquivo grande…. melhor rever essa ideia!

RESPOSTA
payload.bat

Qual o HOSTNAME do computador do Meliante?

Obter o hostname do computador é relativamente fácil. Você vai precisar extrair a HIVE SYSTEM e fazer o “parser”. Eu particularmente uso o RegRipper, pode obter aqui: https://github.com/keydet89/RegRipper2.8 

Executamos então: rip.exe SYSTEM -p compname

RESPOSTA
RECPDSK03

Qual o usuário do SID 1004?

Não é o SID da Era do Gelo, é o Security IDentifier, é um identificador único do sistema operacional. Por exemplo, por padrão o SID 500 é o usuário “Administrador” o SID 501 é o “Convidado”. Os usuários são iniciados a partir do 1001….1002….1010….etc

A resolução dessa pergunta esta no registro SAM do windows. Também é possível obter de outros lugares. (mais a frente é demonstrado)

Executando: rip.exe SAM -p samparse

RESPOSTA
joao.topete

Qual e a senha do Administrador? Qual era o HASH/NTLM da senha do usuário SID 1001?

Este em especifico eram duas perguntas:

1- Qual era a senha do administrador?
2- Qual era o HASH do usuário principal?

Ambas perguntas, são a mesma resposta, no entanto, uma delas precisará ir um pouco mais. É importante refrescar a memória que as senhas são armazenadas nas HIVES (SYSTEM e SAM), utilizando um protocolo proprietário da Microsoft conhecido por NTLM (NT LAN Manager) que é um conjunto de protocolos de segurança da Microsoft que fornece autenticação, integridade e confidencialidade aos usuários. NTLM é o sucessor do protocolo de autenticação no Lan Manager (LANMAN)

E como podemos extrair as HASH destes usuários. Existem várias formas de conseguir o mesmo resultado, em prefiro utilizar o pwdump (source: https://github.com/moyix/creddump). Você vai precisar extrair as HIVES (system e sam) da maquina original (c:\windows\system32\config) e executar:

python pwdump.py SYSTEM SAM

Note que no resultado abaixo, temos:

usuario:sid:lm:ntlm:::

Então, nosso HASH é os ultimos digitos.

Então, para a segunda pergunta qual era o HASH do usuário principal

RESPOSTA
e43d695ddb07fe0f5acf6e7b609adf9e

E a resposta para a primeira pergunta…. vai precisar de um pouco de sorte, para que essa senha já esteja em um Hash Table. Neste desafio, propositalmente coloquei senhas que você vai encontrar em qualquer Hash Table.

Você deve estar dizendo que o HASH do Administrador do computador não era esse. Note que a pergunta era “Qual era a senha do administrador?”. Cabe ao perito verificar quem era o administrador. Com a ajuda do REG RIPPER podemos observar na imagem abaixo que o usuário “Administrador” esta desativado e a direita um segundo usuário chamado “admin” no grupo de “Admin Users”. 

RESPOSTA
!@#password

Quando foi a ultima vez que o usuario meliante.silva fez login no horário local? (Resposta no formato: HH:MM:SS) (Horário Local = Fuso Horário)

A resposta também é obtida no registro do Windows, com samparse e timezone

RESPOSTA
10:19:47

Os eventos do Windows foram excluídos, parece que propositalmente. Quando isso aconteceu (horário local)?

Os “eventos” do Windows é o maior “X9” que conheço. Ele também é o melhor amigo do analista, pois lá diz tudo que acontece de bom e ruim com a maquina.

Essa pergunta é simples, basta extrair o arquivo SECURITY.EVTX e abrir no seu computador, e procurar o evento correto.

RESPOSTA
16:13:49

Que usuário excluiu os arquivos de LOG?

A resposta esta na pergunta anterior! Excluído pelo SID 1003. E conforme já foi perguntado quem era o SID 1003!

RESPOSTA
admin

Qual o total de Clusters do disco C:\

De forma fácil, podemos executar o fsutil fsinfo ntfsinfo c:  e temos a resposta:

Mas e quando não podemos ligar o computador? Ou não queira contaminar? Essa foi a sugestão do “shrimpgo” o primeiro finalizador do evento, e claro, novamente meus Parabens! 

$ sudo ntfscluster -i /dev/nbd1p2
...
bytes per sector        : 512
bytes per cluster       : 4096
sectors per cluster     : 8
bytes per volume        : 34252779520
sectors per volume      : 8362495
clusters per volume     : 1045311
initialized mft records : 149504
mft records in use      : 77212
mft records percentage  : 51
bytes of free space     : 21793918976
sectors of free space   : 42566248
clusters of free space  : 5320781
percentage free space   : 63
bytes of user data      : 12198252544
sectors of user data    : 23824712
clusters of user data   : 2978089
percentage user data    : 35
bytes of metadata       : 260608000
sectors of metadata     : 509000
clusters of metadata    : 63625
percentage metadata     : 0
- Obter o valor de "clusters per volume" e converter em hex.
RESPOSTA
0x7f99ff

Respostas para o nível #2

Agora que encerramos o primeiro nível (básico), vamos para o nível #2 (intermediario). Segue aqui

About The Author

Related posts

Leave a Reply