Post on 27-Jun-2015
© Todos los derechos reservados
SbD
LIOS #FF: a tool for IOS ForensicsLorenzo Martínez R. (@lawwait)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
[root@localhost ~]# whoami
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Echando la vista atrás...
Septiembre 2007 Septiembre 2013Mayo 2013
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
[root@localhost ~]# whoami• 13 años experiencia profesional en seguridad• Integradores -> Fabricantes -> Empresario && formador• CTO && Founder www.securizame.com • Perito Informático Forense• CISSP, CISA• Editor de SecurityByDefault• Herramientas: Securewin, amispammer, scalparser• Twitter: @lawwait, @securizame, @secbydefault• Email: lorenzo@securizame.com• Web: www.securizame.com www.securitybydefault.com
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
¿Por qué analizar IOS?
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
• Dos particiones HFS+ (Hierarchical FileSystem+)– Boot/firmware
• Sólo lectura (excepto update y JB)• S.O y apps básicas
– Datos de usuario y apps
• Árbol de directorios y ficheros (Formato UNIX)• Tipos de ficheros fundamentales
– SQLite (Agenda, Calendario, Llamadas, SMS,...)– PList (NextStep y XML)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Adquisición de datos• Desde un Backup de iTunes
– Cifrado / sin cifrar• Directamente desde el dispositivo
– Con contraseña de (des)bloqueo– Herramienta: iExplorer
• Desde un dispositivo con Jailbreak– SSH + dd
- En todos ellos, AIRPLANE MODE o Jaula de Faraday -
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Backup de iTunes: ¿Dónde?• Windows 7 -> <carpeta usuario>\AppData\Roaming
\Apple Computer\MobileSync\Backup\<UDID>
• Windows XP -> <carpeta usuario>\Application Data\Roaming\Apple Computer\MobileSync\Backup\<UDID>
• Mac OS X -> <carpeta usuario>/Library/Application Support/MobileSync/Backup/<UDID>
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Herramientas libres
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Backup de iTunes: Ficheros• Herramientas Necesarias:
– listManifest.py– SQLite Database Browser– PListEdit Pro– Iphone Data Protection– BinaryCookieReader.py
• Status.plist -> Info del último backup• Info.plist y Manifest.plist -> Info del iDevice: Serial
number, versión de IOS e iTunes, datos de sincronización (mail, calendarios, contactos,…), apps instaladas
• Manifest.mbdb -> Metadatos de los ficheros del backup• Resto: Hashes o FileIDs (referenciadas en Manifest.mbdb)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iPhone Analyzer
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iPhone Backup Analyzer
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iExplorer (Unregistered version)
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
iFunBox
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Herramientas comerciales
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Ubicación de ficheros importantes
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Acceso directo a sistema de ficheros• /private/var/mobile/Media/DCIM
– /100Apple -> IMG_*– /999Apple -> Imágenes anteriores
• /private/var/mobile/Library/Keyboard/dynamic-text.dat• /private/var/Keychains/key-chain-2.db• /private/var/mobile/Library/Notes/notes.sqlite• /private/var/mobile/Library/SMS/sms.db• /private/var/mobile/Library/Mail/• /private/var/mobile/Library/Maps/History.plist• /private/var/mobile/Media/Recordings
– Recordings.db– *.m4a
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Acceso directo a sistema de ficheros• /private/var/mobile/Library/VoiceMail/• /private/var/mobile/Library/Cookies/cookies.binarycookies• /private/var/mobile/Library/Caches/RecentSearches.plist*• /private/var/mobile/Library/AddressBook/
AddressBook.sqlitedb• /private/var/Library/CallHistory/call_history.db• /private/var/Library/Calendar/Calendar.sqlitedb• /private/var/Library/Caches/locationd/consolidated.db
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Basta ya de chapa...
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: Lawwait IOS Forensics Framework• Lenguaje de scripting: Perl• Inicialmente, herramienta de clasificación de
ficheros de un backup• Luego, selección de ficheros ‘Juicy’• Lios_report – Tratamiento de datos en un periodo de fechas– Llamadas, SMS, Calendario, Notas, Whatsapp, Line,
Viber, Notas de voz, Safari– Timeline!!!
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
• Problemas encontrados– EPOCH vs. CFAbsoluteTime– Cambios en las versiones de IOS– Nombres de tablas inexistentes en diferentes versiones de Apps
• Roadmap– Modularidad/Plugins, API– Wechat, Mail, Skype, Spotbros, ficheros Mapsdata, etc...– Compatibilidad con IOS 7– Integración con otras herramientas– Recuperación de registros borrados
LIOS #FF: Lawwait IOS Forensics Framework
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
No me lo creo... a verlo!
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Conclusiones• Manipulación ficheros en crudo vs. Herramientas
“homologadas”• Low cost o home made != Malo• LIOS: – Clasificación de ficheros “por tipo”– Ficheros “jugosos”– Report: • Información visual• Aplicaciones típicas, pero no estándar• Escalabilidad• Timeline
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
LIOS #FF: A tool for IOS Forensics
© Todos los derechos reservados
Email me: lorenzo@securizame.comTwitter: @lawwait @securizame @secbydefault