You are on page 1of 11
Informe Técnico Tercer Reto Forense Organizado por la Comunidad DragonJAR Facundo de Guzmán Ekoparty 2010

Informe Técnico

Informe Técnico Tercer Reto Forense Organizado por la Comunidad DragonJAR Facundo de Guzmán Ekoparty 2010

Tercer Reto Forense

Organizado por la Comunidad DragonJAR

Facundo de Guzmán

Ekoparty 2010

Buenos Aires, Argentina 17 de Septiembre de 2010

www.ribadeohacklab.com.ar

1- Introducción

En este informe se procede a detallar los procedimientos llevados a cabo para determinar la causa del deceso del hacker Carlos Moreno (alias Black0x).

2- Escenario

0xBlack, un reconocido Hacker Black Hat de la scene Underground, fue encontrado muerto colgado del techo de su apartamento, por investigadores que lo tenían como principal sospechoso en un delito de espionaje industrial realizado a la empresa PlanEx.

El reto consistió en:

Determinar si 0xBlack realmente se suicido

Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara

Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato

Recuperar la información robada a la empresa PlanEx

3- Recolección de datos

I. Escena del crimen

Ribadeo fue contactado por el fiscal encargado Jorge Rodríguez para participar en la investigación pocas horas después de que el cuerpo fue descubierto. Un investigador forense fue enviado al departamento del difunto donde encontró la computadora del mismo encendida. Se procedió a hacer una imagen en vivo de la máquina donde se transfirió el estado de la misma a una imagen virtual.

II. Fijación y embalaje de la evidencia

a. Se formateo un disco externo a bajo nivel utilizando herramientas provistas por el proveedor del mismo.

b. Se tomo el estado vivo de la máquina en una image virtual formato en VMWare mediante la herramienta V2PC provista por Vmware.

c- La imagen virtual fue almacenada en el disco externo dentro de un archivo de compresión RAR llamado 'reto_eko.rar' protegido bajo password.

d- Se tomo fingerprint del archivo mediante hash SHA-256:

a7910944d0601ae24292ba9286ca16b1d8e486e71bd574bd198c1705be709ca7

El fingerprint fue registrado en el registro de evidencias.

e- Se hizo una copia del disco la cuál fue usada para el análisis en el laboratorio de Ribadeo. El original fue guardada en un computador aislado y protegida físicamente.

III. Devolución de la evidencia

Una vez terminado el proceso la computadora fue apagada y luego encautada por la división de policía presente en la escena del crimen.

4. Entorno del análisis

Para realizar el análisis de la imagen virtual de la máquina de Carlos Moreno se utilizo el sistema operativo Gentoo linux, además de las siguientes herramientas:

photorec

PhotoRec is file data recovery software designed to recover lost pictures from digital camera memory or even Hard Disks. It has been extended to search also for non audio/video headers

Vmware Workstation

A software that allows you to create a virtual machine, configure, and implement features common to the desktop environment.

5- Análisis de la Evidencia y descripción de los hallazgos

Luego de cargar la imagen en Vmware se realizaron los siguiente pasos:

a- Al momento de analizar el sistema nos encontramos con un documento abierto donde el 0xBlack expresa su deseo de cometer suicidio

de analizar el sistema nos encontramos con un documento abierto donde el 0xBlack expresa su deseo

b- Al verficar la metadata del mismo notamos una discrepancia en el autor del documento

del mismo notamos una discrepancia en el autor del documento Según el reporte oficial el alias

Según el reporte oficial el alias hacker de Carlos Moreno era 0xBlack por lo que suponemos que 0xTrugoy es un tercero (presuntamente de apellido Nieto).

Además podemos apreciar en la metadata que la creación del documento fue muy cercana al momento del supuesto suicidio.

mimetype - application/msword language - U.S. English paragraph count - 2 line count - 22 template - Normal.dot generator - Microsoft Office Word creation date - 2010-09-06T00:33:00Z word count - 163 page count - 1 last saved by - Familia Nieto character count - 657 title - Despedida subject - Despedida date – 2010-09-06T02:29:00Z creator - 0xTrugoy

c- Dentro del sistema también encontramos un cliente de IRC por lo cual procedimos a analizar sus logs:

cliente de IRC por lo cual procedimos a analizar sus logs: d- Dentro de los mismos

d- Dentro de los mismos encontramos varios intercambios entre 0xBlack y 0xTrugoy. Los mismos estaban encriptados

logs: d- Dentro de los mismos encontramos varios intercambios entre 0xBlack y 0xTrugoy. Los mismos estaban

e- Procedimos a procesar los logs para extraer los intercambios codificados utilizando un script en python. El script se detalla a continuación:

un script en python. El script se detalla a continuación: f- Durante el análisis de la
un script en python. El script se detalla a continuación: f- Durante el análisis de la

f- Durante el análisis de la escena del crimen notamos carteles sobre la conferencia ekoparty que contenían un campo códificado qr.

g- Mediante la herramienta de Android Barcode Scanner se decodifico el código que resulto ser la locación de la claves pgp del difunto: C:\Windows\tsuc.log

locación de la claves pgp del difunto: C:\Windows\tsuc.log h- Utilizando las claves se procedió a desencriptar

h- Utilizando las claves se procedió a desencriptar los logs de chat. Dado que solo contábamos con las claves de 0xBlack solo pudimos desencriptar los intercambios de 0xTrugoy los cuales se detallan a continuación:

05-09-2010.freenode_2024_Trugoy0x log.out parce bien o que?

05-09-2010.freenode_2033_Trugoy0x log.out muchos problemas, ustede sabe que con ese cuento de la carcel estoy jodido

05-09-2010.freenode_2045_Trugoy0x log.out parce yo se pero la emocion de entrar a ese servidor fue inebitable y pues termine embarrandola

05-09-2010.freenode_2053_Trugoy0x log.out ando con mucho trabajo pero yo saco algo de mi tiempo para que salgamos

05-09-2010.freenode_2122_Trugoy0x log.out me gustaria mucho ir, no tengo ninguna restriccion, el problema es que ando mal de dinero y por eso no podria ir

05-09-2010.freenode_2141_Trugoy0x log.out parce muchas gracias, conectese mas seguido para que cuadremos el viaje, estamos en contacto

05-09-2010.freenode_2150_Trugoy0x log.out listo parcfe estamos hablando

06-09-2010.freenode_0013_Trugoy0x log.out ole bien o que?

06-09-2010.freenode_0015_Trugoy0x log.out ahora miro las charlas, le queria comentar que estan ofreciendo un trabajo de espionaje industrial para la empresa PlanEx

06-09-2010.freenode_0017_Trugoy0x log.out solo hay que robarle un video de la proxima campaña que sacaran al aire, un infiltrado interno dice que ya esta lista y la competencia quiere tenerla antes de que salga al aire

06-09-2010.freenode_0019_Trugoy0x log.out si si esta confirmado y pagan usd $500.000 por el trabajo

06-09-2010.freenode_0021_Trugoy0x log.out si yo necesito la plata pero yo no quiero volver a meterme en problemas

06-09-2010.freenode_0023_Trugoy0x log.out bueno yo le estoy avisando si quiere mande un correo a 6xg7x9z@gmail.com y ahi le informaran lo que tiene que hacer y como reclamar el dinero cuando tenga el video

06-09-2010.freenode_0024_Trugoy0x log.out no tranquilo yo no voy a participar, la verdad es que me da miedo, auque estoy muy necesitado de la plata prefiero estar en libertad no quiero volver a la carcel, eso si le pido que me informe si lo logra hacer

07-09-2010.freenode_0007_Trugoy0x log.out ole parcero como va

07-09-2010.freenode_0020_Trugoy0x log.out uy parce me alegra mucho que le dieran el trabajo, pero tenga mucho cuidado, por ahi me contaron que la Russian Business Network tambien esta detras del video, usted sabe como es de peligrosa esa gente y mas sabiendo que tienen competencia

07-09-2010.freenode_0035_Trugoy0x log.out le agradezco mucha su confianza no lo defraudare usted sabe que cuenta con migo

07-09-2010.freenode_0051_Trugoy0x log.out a mi tambien me gustaria pasar tiempo con mi familia, el problema es que mi trabajo como desarrollador no me da mucho y tampoco me deja tiempo, me gustaria volver a mis andanzas pero usted sabe que con ese problema de la carcel me jodio la vida

07-09-2010.freenode_0114_Trugoy0x log.out pues si me dejo muchas cosas que pensar especialmente con el tema de darle bienestar a las verdaderas personas que importan, voy a meditarlo con la almohada y mañana seguimos hablando, me esta comentando como va con lo del video de PlanEx, quedamos pendientes del viaje argentina

08-09-2010.freenode_1403_Trugoy0x log.out entonces parcero, como va

08-09-2010.freenode_1408_Trugoy0x log.out y eso? que paso, porque tan contento

08-09-2010.freenode_1435_Trugoy0x log.out ok, chao

En los mensajes se puede apreciar el encargo del espionaje. También podemos ver que la supuesta “Russian Business Network” también esta detrás del video.

i- Dado que no pudimos encontrar ningún video en la máquina suponemos que ha sido borrado. Mediante la tool photorec procedimos a intentar recuperar archivos borrados recientemente del disco de la máquina. Si bien no encontramos el video, tuvimos un hallazgo interesante.

Un archivo de texto f9900576.txt donde podemos apreciar el historial de navegación del usuario

podemos apreciar el historial de navegación del usuario Pudimos apreciar que 0xBlack pudo realizar el espionaje

Pudimos apreciar que 0xBlack pudo realizar el espionaje y que a su vez el nombre del video es NCPPE.avi

j- Dado lo encontrado en el punto anterior decidimos investigar el historial de investigación del browser Firefox presente en el sistema y pudimos corroborar que 0xBlack envió un email confirmando el éxito de la asignación.

envió un email confirmando el éxito de la asignación. k- Correlacionando la fecha del envío de

k- Correlacionando la fecha del envío de mail con la fecha del siguiente extracto de chat:

08-09-2010.freenode_1408_Trugoy0x log.out y eso? que paso, porque tan contento

Podemos asumir que 0xTrugoy supo que el espionaje había resultado exitoso.

m- Procedimos a analizar el historial de los otros navegadores presentes en el sistema. Chrome no revelo información nueva. Sin embargo, dentro del Internet Explorer notamos la presencia de un link favorito no funcional llamado PlaEx.

la presencia de un link favorito no funcional llamado PlaEx. n- Al ver las propiedades del

n- Al ver las propiedades del link notamos que sospechosamente tenía un tamaño demasiado grande

que sospechosamente tenía un tamaño demasiado grande o- Dado que en el sistema se encontraba instalada

o- Dado que en el sistema se encontraba instalada la aplicación TrueCrypt consideramos la posibilidad de que el mismo fuera una unidad encriptada disfrazada. Al intentar montar la unidad con dicha aplicación pudimos confirmar nuestra teoría.

una unidad encriptada disfrazada. Al intentar montar la unidad con dicha aplicación pudimos confirmar nuestra teoría.

p- Dentro de la unidad montada pudimos encontrar el video robado:

p- Dentro de la unidad montada pudimos encontrar el video robado:

Conclusiones de la investigación

Podemos afirmar que existen grandes indicios que Carlos Moreno no se suicidó sino que fue asesinado. El principal sospechoso es la persona bajo el alias 0xTrugoy. El mismo demuestra:

Que conocía al sospechoso.

Que estaba al tanto del delito de espionaje cometido y de su completación exitosa.

Que tenía un motivo, complicaciones por dinero.

Que estuvo en la escena del crimen y que falsifico la carta de suicidió de Carlos Moreno.

El apellido del presunto sospechoso podría ser Nieto y pudo o no ser asistido por una asociación llamada “Russian Business Network”.