Este post é a resposta para as perguntas do Desafio Forense. Se você não fez ainda, tenta fazer, confere aqui no DESAFIO FORENSE e mostre do que você é capaz!
Conforme comentado, as respostas do desafio seriam publicado um mês depois de lançado, para assim dar tempo a quem quise-se desenvolver tranquilamente. (A pedidos, atrasei por 2 semanas a liberação das respostas)
Para fácil organização, as respostas serão por NÍVEL/PERGUNTA. Nesta postagem todas as perguntas do nível #1
Qual o HASH (sha256) do disco da imagem?
A resposta esta na pagina do download do arquivo. Para não haver divergências nas respostas, todas as maquinas virtuais que foram disponibilizada foi gerado o HASH 256 do arquivo .VMDK.
Ou tambem digitando sha256sum (arquivo.vmdk) depois do download. Neste caso, você corre o risco de ter baixado corrompido.
Qual o número de série do volume do disco C:\?
Essa é o tipo de pergunta que dá para responder de forma bem fácil e rapida digitando “vol” na linha de cmd é você tem o número de série do volume.
Mas e quando não é possível dar boot na maquina virtual ou caso queira observar de outra forma? Aqui entra o Bios Parameter Block que descreve a disposição física de uma armazenamento de dados de volume. A tabela BPB é grande, mas para este em especifico devemos o observar o bloco 0x48 do arquivo “$boot” do Sistema Operacional.
Com a ajuda do FTK Imager, podemos montar a unidade e observar o arquivo $boot em modo Hexadecimal.
Mas espera…. o volume não era “80B2-2054” e no arquivo esta “5420B280″… sim, de fato, nesse caso, deve se ler de tras para frente, que terá o resultado “Human Readable”
Qual o nome do arquivo que esta na MFT Number Recoder de 66279?
Tabela MFT é utilizado pela partição NTFS para organizar os arquivos. Nela contem o registro de todos os arquivos do computador como também a localização física dela no HD. Há pelo menos uma entrada na MFT para cada arquivo em um volume NTFS, incluindo o próprio arquivo $MFT.
Claro que essa pergunta pode ser até díficil no inicio, mas ela é bem simples. Basta extrair o arquivo $MFT com o FTK Imager e tratar ela com o Parser da sua escolha. Eu prefiro o “Mft2Csv” disponível aqui: https://github.com/jschicht/Mft2Csv
Extração do arquivo com o FTK:
Fazendo um “parse” no arquivo com Mft2Csv
Usando um pouquinho da ajuda do linux com o comando HEAD (para imprimeira apenas a primeira linha, para eu saber o cabeçalho) e com a ajuda do grep procurei exatamente o valor da pergunta. Logo, tenho a resposta do nome do arquivo da pergunta. Se quiser, pode abrir o arquivo também em seu editor de texto favorito. Se for um arquivo grande…. melhor rever essa ideia!
Qual o HOSTNAME do computador do Meliante?
Obter o hostname do computador é relativamente fácil. Você vai precisar extrair a HIVE SYSTEM e fazer o “parser”. Eu particularmente uso o RegRipper, pode obter aqui: https://github.com/keydet89/RegRipper2.8
Executamos então: rip.exe SYSTEM -p compname
Qual o usuário do SID 1004?
Não é o SID da Era do Gelo, é o Security IDentifier, é um identificador único do sistema operacional. Por exemplo, por padrão o SID 500 é o usuário “Administrador” o SID 501 é o “Convidado”. Os usuários são iniciados a partir do 1001….1002….1010….etc
A resolução dessa pergunta esta no registro SAM do windows. Também é possível obter de outros lugares. (mais a frente é demonstrado)
Executando: rip.exe SAM -p samparse
Qual e a senha do Administrador? Qual era o HASH/NTLM da senha do usuário SID 1001?
Este em especifico eram duas perguntas:
1- Qual era a senha do administrador?
2- Qual era o HASH do usuário principal?
Ambas perguntas, são a mesma resposta, no entanto, uma delas precisará ir um pouco mais. É importante refrescar a memória que as senhas são armazenadas nas HIVES (SYSTEM e SAM), utilizando um protocolo proprietário da Microsoft conhecido por NTLM (NT LAN Manager) que é um conjunto de protocolos de segurança da Microsoft que fornece autenticação, integridade e confidencialidade aos usuários. NTLM é o sucessor do protocolo de autenticação no Lan Manager (LANMAN)
E como podemos extrair as HASH destes usuários. Existem várias formas de conseguir o mesmo resultado, em prefiro utilizar o pwdump (source: https://github.com/moyix/creddump). Você vai precisar extrair as HIVES (system e sam) da maquina original (c:\windows\system32\config) e executar:
python pwdump.py SYSTEM SAM
Note que no resultado abaixo, temos:
usuario:sid:lm:ntlm:::
Então, nosso HASH é os ultimos digitos.
Então, para a segunda pergunta qual era o HASH do usuário principal
E a resposta para a primeira pergunta…. vai precisar de um pouco de sorte, para que essa senha já esteja em um Hash Table. Neste desafio, propositalmente coloquei senhas que você vai encontrar em qualquer Hash Table.
Você deve estar dizendo que o HASH do Administrador do computador não era esse. Note que a pergunta era “Qual era a senha do administrador?”. Cabe ao perito verificar quem era o administrador. Com a ajuda do REG RIPPER podemos observar na imagem abaixo que o usuário “Administrador” esta desativado e a direita um segundo usuário chamado “admin” no grupo de “Admin Users”.
Quando foi a ultima vez que o usuario meliante.silva fez login no horário local? (Resposta no formato: HH:MM:SS) (Horário Local = Fuso Horário)
A resposta também é obtida no registro do Windows, com samparse e timezone
Os eventos do Windows foram excluídos, parece que propositalmente. Quando isso aconteceu (horário local)?
Os “eventos” do Windows é o maior “X9” que conheço. Ele também é o melhor amigo do analista, pois lá diz tudo que acontece de bom e ruim com a maquina.
Essa pergunta é simples, basta extrair o arquivo SECURITY.EVTX e abrir no seu computador, e procurar o evento correto.
Que usuário excluiu os arquivos de LOG?
A resposta esta na pergunta anterior! Excluído pelo SID 1003. E conforme já foi perguntado quem era o SID 1003!
Qual o total de Clusters do disco C:\
De forma fácil, podemos executar o fsutil fsinfo ntfsinfo c: e temos a resposta:
Mas e quando não podemos ligar o computador? Ou não queira contaminar? Essa foi a sugestão do “shrimpgo” o primeiro finalizador do evento, e claro, novamente meus Parabens!
$ sudo ntfscluster -i /dev/nbd1p2 ... bytes per sector : 512 bytes per cluster : 4096 sectors per cluster : 8 bytes per volume : 34252779520 sectors per volume : 8362495 clusters per volume : 1045311 initialized mft records : 149504 mft records in use : 77212 mft records percentage : 51 bytes of free space : 21793918976 sectors of free space : 42566248 clusters of free space : 5320781 percentage free space : 63 bytes of user data : 12198252544 sectors of user data : 23824712 clusters of user data : 2978089 percentage user data : 35 bytes of metadata : 260608000 sectors of metadata : 509000 clusters of metadata : 63625 percentage metadata : 0 - Obter o valor de "clusters per volume" e converter em hex.
Respostas para o nível #2
Agora que encerramos o primeiro nível (básico), vamos para o nível #2 (intermediario). Segue aqui!
