1.
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88
Análisis Forense en Servicios de Almacenamiento Remoto

2.
@localhost # whoami
Alexandre Rodríguez Domoslawsky
CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM
e-mail: arodriguez@isecauditors.com
Analista de seguridad
 Hacking ético
 Análisis forense
 Incidentes de seguridad
Análisis Forense en Servicios de Almacenamiento Remoto

3.
Objetivos de la presentación
• Analizar las principales tecnologías de almacenamiento remoto
– ¿Que información se almacena localmente?
• Credenciales
• Ficheros de configuración
• Arquitectura del servicio (servidores tiempo, back-end, front –end)
• Cifrado, ofuscado, texto plano
• Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?
– ¿Qué sucede en la transferencia y sincronización de archivos?
• Conexiones cifradas
• ¿Cómo se sincronizan los archivos?
• Credenciales
Análisis Forense en Servicios de Almacenamiento Remoto

4.
Índice
1. Introducción
2. Dropbox
• Ficheros
• RAM
• Servicio online
3. Google Drive
• Ficheros
• RAM
• Servicio online
4. Conclusiones
Análisis Forense en Servicios de Almacenamiento Remoto

5.
Almacenamiento – Necesidad
• Cada vez requerimos mas espacio
Análisis Forense en Servicios de Almacenamiento Remoto

6.
Almacenamiento – Necesidad
• Estamos mas interconectados
Análisis Forense en Servicios de Almacenamiento Remoto

7.
Almacenamiento – Servicios
• A mayor demanda, mayor oferta
https://www.preceden.com/timelines/47418-evolution-of-cloud-storage
Análisis Forense en Servicios de Almacenamiento Remoto

8.
Cloud – Problemas de seguridad
• Vulnerabilidades Software
– Confidencialidad
– Disponibilidad
– Integridad
Análisis Forense en Servicios de Almacenamiento Remoto

9.
Cloud – Problemas de seguridad
• Empleo por parte de los usuarios
– Privacidad
– Fugas de información
Análisis Forense en Servicios de Almacenamiento Remoto

10.
Cloud – Problemas de seguridad
• Nuevos desafíos
– Distribución de Malware
– RAT
– Ofuscación
Análisis Forense en Servicios de Almacenamiento Remoto

11.
Cloud – Desafíos para el análisis forense
• Tecnología que ves
– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?)
• Aspectos legales del reversing
– Cifrado de las comunicaciones
• Como se sincroniza
– Sólo parte de la solución
• Data Carving
• Diferentes modos de acceso
Análisis Forense en Servicios de Almacenamiento Remoto

12.
Cloud – Desafíos para el análisis forense
• .. Y que no ves
– “There’s no cloud, is someone else’s computer”
Análisis Forense en Servicios de Almacenamiento Remoto

13.
Índice
1. Introducción
2. Dropbox
• Ficheros
• RAM
• Servicio online
3. Google Drive
• Ficheros
• RAM
• Servicio online
4. Conclusiones
Análisis Forense en Servicios de Almacenamiento Remoto

14.
Análisis Servicios de Almacenamiento - Entorno
• Entorno
– Windows 7 32 bits
– Firefox
– Virtual Box
– DropBox Windows
– Google Drive Windows
• Cuentas de correo
– evidenciaelectronica2015@Gmail.com
– evidenciaelectronica2015@Hotmail.com
– Usuario del sistema con contraseña
Análisis Forense en Servicios de Almacenamiento Remoto

15.
Análisis Forense – Metodología
1. Backup del registro original de Windows
2. Backup del sistema de ficheros original
3. Instalación del servicio remoto
4. Monitorización del sistema de ficheros durante la instalación
o Archivos temporales
o Logs
5. Identificación de las modificaciones del registro de Windows
o Nuevos valores en claves existentes (NTUser)
o Nuevas claves
6. Identificación de las modificaciones del sistema de ficheros
o Archivos de configuración locales
7. Ejecución del servicio
o Data carving
o Comunicaciones
o RAM
Análisis Forense en Servicios de Almacenamiento Remoto

16.
Análisis Forense – Herramientas
 Registro
 RegShot, Registry Explorer, Reg App, Regedit
 Sistema de ficheros
 Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager
 Cifrado
 Dropbox Magnetic Forensics, OpenSSL
 Comunicaciones
 Wireshark, netstat
 RAM
 IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py
Análisis Forense en Servicios de Almacenamiento Remoto

17.
Dropbox – ¿Qué es?
• Todo empezó en 2008
• Muy popular, 400 millones
• Multiplataforma y diferentes accesos
• Cuentas free (2GB-16gB) y profesionales (1TB-5TB)
• Delta Encoding (ahorro de ancho de banda)
• Transferencia segura (SSL y AES-256)
• PRISM
Análisis Forense en Servicios de Almacenamiento Remoto

18.
Dropbox – Instalación
• La instalación se realiza bajo el profile del usuario y
carpeta de programas
– C:usersaroddomDropbox
– C:Program FilesDropbox
• C:UsersaroddomAppDataLocalDropbox
– Carpeta de configuración del servicio
• C:UsersaroddomAppDataRoamingDropbox
– Proceso de instalación y transferencia de ficheros
Análisis Forense en Servicios de Almacenamiento Remoto

19.
Dropbox – Proceso de instalación
• C:UsersaroddomAppDataRoamingDropboxinstallerl
– 562e408d : archivo cifrado
• C:ProgramDataDropboxUpdateLog
– Cifrado, mismo que .dbx
Análisis Forense en Servicios de Almacenamiento Remoto

20.
Dropbox – Proceso de instalación
• Archivos Prefetch
– C:WindowsPrefetchDropbox.exe-B2C17CD4.pf
– C:WindowsPrefetchDropbox.exe-F5354AA9.pf
– C:WindowsPrefetchDropboxclient_3.10.8..exe-DD1118F8.pf
– C:WindowsPrefetchDropboxcrashhandler.exe-62E2DC11.pf
– C:WindowsPrefetchDropboxinstaller.exe-7CFC3536.pf
– C:WindowsPrefetchDropboxupdate.exe-3D36B2FC.pf
– C:WindowsPrefetchDropboxupdate.exe-661A090C.pf
– C:WindowsPrefetchDropboxupdateondemand.exe-D912AE5B.pf
 Actualización
 Aspecto visual
 Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto

21.
Dropbox – Proceso de instalación
• Claves de Registro
– 884 nuevos valores y 391 nuevas claves
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallDropbox
– HKLMSOFTWAREDropbox
– HKLMSOFTWAREDropboxUpdateUpdateClientState
– HKLMSOFTWAREMicrosoftCurrentVersionExplorerShellIconOverlayIdentifier
sDropBoxExt[1 .. 8]
 Ruta de instalación
 Fecha de instalación
 Versión del software
 Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto

22.
Dropbox – Configuración local
• C:UsersaroddomAppDataLocalDropbox
– Host y Host.dbx, Carpeta local ofuscada en base64
• QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94
• C:UseraroddomDropbox
– Cifrados, Instance_db || Instance1
• instance.dbx
• deleted.dbx
• Filecache.dbx
• Sigstore.dbx
Análisis Forense en Servicios de Almacenamiento Remoto
Ficheros locales
Hora local de modificación, borrado y
creación
Ficheros borrados

23.
Dropbox – Servicio Online
• Archivos borrados
– Guardados por un máximo de 30 días (wipe local)
– Archivos locales, son equivalentes a cualquier otro fichero
Análisis Forense en Servicios de Almacenamiento Remoto

24.
Dropbox – Conexiones de red
• Conexiones cifradas
– Servidores archivo configuración
• C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent
– Todas las conexiones SSL
• 80, 443
Análisis Forense en Servicios de Almacenamiento Remoto

25.
Dropbox – Servicio Online
• Conexiones establecidas
– Navegadores y hora
– Sistema operativo y nombre de equipo
Análisis Forense en Servicios de Almacenamiento Remoto

26.
Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• Authenticate
• Mail
Análisis Forense en Servicios de Almacenamiento Remoto

27.
Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• Value / secure / expires
Análisis Forense en Servicios de Almacenamiento Remoto

28.
Dropbox – Análisis de RAM
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• pwd / user
• .dbx
• Updated /deleted
Análisis Forense en Servicios de Almacenamiento Remoto

29.
Dropbox – Análisis de RAM
• Es posible obtener
– Dirección de correo
– Servidores NTP
– Listado de ficheros creados / borrados
– Direcciones de red locales
– Rutas de carpetas locales
Análisis Forense en Servicios de Almacenamiento Remoto

30.
Dropbox – Servicio Online
• Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda
• password / pwd
• mail
• .dbx
 Usuario
Análisis Forense en Servicios de Almacenamiento Remoto

31.
Dropbox – Desinstalación
• Información que permanece
– NtuserDropbox (valores borrados)
– Archivos prefetch
– Ficheros locales sincronizados (carve)
– LNK files
– Navegador (cache e historia)
– Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto

32.
Google Drive - ¿Qué es?
• 2012
• 500 millones de usuarios, @gmail.com
• Cuentas free (15gB) y profesionales (hasta 30TB)
• Microsoft y Apple
• SSL, pero no por defecto
Análisis Forense en Servicios de Almacenamiento Remoto

33.
Google Drive – Instalación
• La instalación se realiza en la carpeta de programas
– C:Program FilesGoogleDrive
– C:UsersaroddomGoogle Drive
• C:UsersaroddomAppDataLocalGoogleDrive
– Carpeta de configuración del servicio
Análisis Forense en Servicios de Almacenamiento Remoto

34.
Google Drive – Proceso de Instalación
• Archivos Prefetch
– C:WindowsPrefetchGoogleDrive_sync_1.25.523.2491.C456FGHexe.pf
– C:WindowsPrefetchGoogleUpdate.exe-12AG5F28.pf
 Actualización
 Aspecto visual
 Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto

35.
Google Drive – Proceso de Instalación
• Claves de Registro
– 896 nuevos valores y 577 nuevas claves
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallGoogleDrive
– HKLMSOFTWAREGoogleDrive
– NTUSERSOFTWAREClassesGoogleDrive
– NTUSERSOFTWAREGoogleDrive
 Ruta de instalación
 Fecha de instalación
 Versión del software
 Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto

36.
Google Drive – Configuración Local
• C:UsersaroddomAppDataLocalGoogleDrive
– Sync_config.db, SQLITE3
Versión del cliente instalado
Email
Path
Análisis Forense en Servicios de Almacenamiento Remoto

37.
Google Drive – Configuración Local
• C:UsersaroddomAppDataLocalGoogleDrive
– Snapshot.db, SQLITE3 – cloud_entry & Local_entry
Ficheros (Timestamp, size, url)
Análisis Forense en Servicios de Almacenamiento Remoto

38.
Google Drive – Configuración Local
• Después de borrar ficheros
– Snapshot.db, SQLITE3 – cloud_entry & local_entry
 Si la posición de la tabla aun no ha sido escrita de nuevo, la
información persiste
Análisis Forense en Servicios de Almacenamiento Remoto

39.
Google Drive – Configuración Local
• Archivos temporales
– C:UsersaroddomAppDataGoogleDriveTempDataHttpCache
 Email de usuario
• 6cc-RunAsync-_OnLogin-3-hkegge
Análisis Forense en Servicios de Almacenamiento Remoto

40.
Google Drive – Configuración Local
• Registro de actividad – sync_log.log
– Ficheros sincronizados
o Strings : Create / delete / modify
Análisis Forense en Servicios de Almacenamiento Remoto

41.
Google Drive – Conexiones de red
• Conexiones cifradas (información sensible) y no
cifradas
– Servidores archivo configuración
• C:UsersaroddomAppDataLocalLowMicrosoftCryptnetUrlCacheContent
– Puertos en uso
• 443, 522 ( alive y time stamp)
Análisis Forense en Servicios de Almacenamiento Remoto

42.
Google Drive – Servicio Online
• Archivos borrados
– Fichero, pre-visualización y timestamp
Análisis Forense en Servicios de Almacenamiento Remoto

43.
Google Drive – Servicio Online
• Time line
– Dispositivo
– Usuario
– Timestamp de los archivos
– Cuenta compartida
Análisis Forense en Servicios de Almacenamiento Remoto

44.
Google Drive – Análisis de RAM
• Cliente googledrive_sync
– Strings de búsqueda
• User / password / mail
• Path
• Direcciones de red
 Paths locales
Análisis Forense en Servicios de Almacenamiento Remoto

45.
Google Drive – Análisis de RAM
• Servicio online
– Strings de búsqueda
• Value / secure / expires
• Mail / user / password
Usuario
Análisis Forense en Servicios de Almacenamiento Remoto

46.
Google Drive – Desinstalación
• Información que permanece
– NtuserGoogleDrive (valores borrados)
– Archivos prefetch
– Ficheros de configuración borrados (carve)
– Ficheros locales permanecen
• Sync_log, ..
– LNK files
– Navegador (cache e historia)
– Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto

47.
Conclusiones
• Información que permanece en los sistemas locales
• Aproximación local similar a cualquier análisis forense
tradicional
– Importa la memoria volátil
– Reversing y de-ofuscación
• Nivel de seguridad incrementado desde las versiones
iniciales
Análisis Forense en Servicios de Almacenamiento Remoto

48.
Siguientes pasos
• Sincronización entre múltiples dispositivos en red local
LAN-sync (Dropbox).
• Investigación acerca de dispositivos móviles y sistemas
de ficheros menos empleados
• Arquitectura de la nube
Análisis Forense en Servicios de Almacenamiento Remoto

49.
Referencias
 Cloud Storage Forensics, 2013, Mattia Epiffani
 Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.
 https://www.magnetforensics.com/free-tool-dropbox-decryptor/
 Cloud Storage Forensics, 2011, Darren Quick et al
 The Challenges in Cloud Computing Forensics, 2010, George Grispos et al
 http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html
 Looking inside the (Drop) box Dhiru Kholia et al
Análisis Forense en Servicios de Almacenamiento Remoto

50.
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88

51.
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88 |
Fax: +57 (1) 638 68 88