Los metadatos de Bin Laden (los de sus discos duros) #BinLaden #metadata @elevenpaths

Ya os he recogido muchas historias en el pasado sobre el Análisis Forense de Metadatos que llevaron a escándalos o revelación de información muy sensible. Las historias detrás de los metadatos suelen ser, cuanto menos, entretenidas y curiosas, y en algunas ocasiones reveladoras. En el libro de CRIME INVESTIGATION: Historias de investigación forense en las que los peritos resolvieron el caso,  recogimos algunas de ellas, centrándonos en descifrar los detalles de cómo pasó lo que pasó. Y hoy toca hablar de otro caso similar, el caso de los discos duros de Bin Laden [Parte I y Parte II].

Figura 1: Los metadatos de Bin Laden (los de sus discos duros)

Como sabéis, en Informática 64 le prestamos mucha atención a los metadados desde el principio. Así nació la FOCA, y la Nueva FOCA - de la que tenéis un seminario online especial este próximo 28 de Diciembre - continúa con la misma filosofía.  De la FOCA empezamos a derivar la familia de herramientas de seguridad de MetaShield Protector, orientados a proteger las fugas de datos de compañías por medio de los metadatos.

Figura 2: Pentesting con la "nueva" FOCA. 28 Diciembre. Online

Pero de toda la familia de tecnologías creadas alrededor de MetaShield Protector, hay dos que las usamos en todas las investigaciones: MetaShield Clean-Up Onlline (que permite analizar los metadatos de un documento vía web), y MetaShield Forensics, que permite analizar los metadatos de todos los documentos de un disco duro.

Figura 3: Vídeo Tutorial de MetaShield Forensics

Con estas herramientas y mucha paciencia, nuestros compañeros del Laboratorio de ElevenPaths suelen echarle un ojo en detenimiento a todos los incidentes en los que hay documentos, como ya se hizo con WannaCry y los documentos que apuntaban a Messi y ahora acaban de hacer con los archivos de los discos duros de Bin Laden.

Figura 4: Análisis de un fichero del equipo de Bin Laden con MetaShield Clean-Up Online

En los dos artículos que han publicado hasta el momento, se han analizado cosas curiosas. Se han mirado las muestras de los ficheros marcados como malware por los investigadores de la CIA y se han mirado uno por uno a ver si eran falsos positivos, falsos negativos o es lo que los investigadores tenían más datos que los conocidos.

Figura 5: Time-line de metadatos en todos los ficheros creado con MetaShield Forensics

Además, se han revisado los ficheros de volcados de memoria por errores o por entrada en hibernación del sistema. Estos archivos, desde hace mucho tiempo, son fundamentales en las investigaciones y siempre se hace un Análisis Forense de la Memoria RAM de los equipos  que se estudian.

Figura 6: Análisis con Mimikatz del fichero hiberfil.sys

De ellos se extraen URLs de servidores proxy en uso, direcciones visitadas, y muchas cadenas de texto que pueden contener de todo, hasta las contraseñas de acceso a servicios - como ya vimos en el caso de los procesos de los navegadores con Firefox.

Figura 7: Credenciales almacenadas en Firefox

En el caso de los discos duros de Bin Laden, no hay gestores de contraseñas, pero sí passwords almacenadas en los gestores de Firefox, algún fichero de texto, e incluso alguna contraseña en texto utilizada para el cifrado de comunicaciones entre terroristas.

Figura: Manuales de hacking entre los documentos

De hecho, siguen manuales similares al que salió a la luz pública hace tiempo sobre hacking y terrorismo del que os hablé en el artículo "Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad". Entre los archivos se puede encontrar algún manual de hacking que explica los mecanismos utilizados.

Figura: Índice con metadatos de todos los archivos de Bin Laden

Para que sea más fácil ver todos los documentos, hemos publicado una pequeña herramienta web que permite navegar por todos los ficheros y buscar por sus metadatos, así que podéis usarlo como índice para vuestras propias investigaciones.

Saludos Malignos!