Esteganografia

Este es un topico que no es del Blog, pero que tiene que ver con esto.Esta ciencia me llama mucho la atención(Esto es en lo que quiero especializarme en españa), pero no se NADA de ella, pero me decidi a hacer mi primer intento.

Hace dias en dragonjar.org se publico el primer reto de Analisis-forense. Y yo aqui hare un breve resumen de lo que logre en 3 dias de analisis…

Antes que nada aclarar que explicare A MI MANERA las cosas…En Dragonjar pedian dos reportes un ejecutivo y uno tecnico de 20 hojas…

Para ingresar al concurso del reto solo tenias que descargar la imagen de 1.3Gb que estaba comprimida en un rar con contraseña y despues enviar un correo a (DragoN o 4v4t4r) para que te dieran la contraseña…En lo cual obviamente yo no estuve deacuerdo…Eso se me hace muy elitista…Si el fin del reto es realmente ENSEÑAR para que todos los visitantes APRENDAN, deberian dejar el pass a vista de todos…Pero es cosa de cada quien…

Como dije yo no estuve de acuerdo y no mande correo alguno, asi que tuve que conseguir el pass de otra manera Por ende yo no estoy inscrito en el concurso, yo realmente simplemente baje la imagen, para aprender y practicar…

Empecemos

¿Que es un analisis forense? (Recuerden que yo no se nada de esta rama, y TODO lo explicado es desde mi OPINION)

Un Analisis en Informatica Forense, es el analisis de un sistema, para la busqueda de Evidencia de actos en el ordenador. Puede ser desde buscar Logs o historiales para sustentar algo, oh hasta intentar RECUPERAR archivos borrados….

Reto:

Panorama: Se cree que un posible pedofilo ah estado engañando a victimas. Y se nos probe de una Imagen forense sobre el ordenador del pedofilo. El objetivo es analisar el sistema y ver si es cierto, y recolectar la mayor informacion posible.

Ustedes se preguntaran ¿Qué es una Imagen Forense?

Hagamos de cuenta que la policia llega al departamento del Pedofilo y se le confizca su computadora, en ese momento se me entrega ami(Informatico Forense), para el analisis, Sin embargo si yo analiso directamente su computadora, estoy ALTERANDO la EVIDENCIA, por lo que no DEBO trabajar sobre el ORGINAL…para esto DEBO hacer UNA IMAGEN FORENSE osea, CLONAR BIT A BIT exactamente como es Su ordenador, y despues sobre ese Clon trabajar…

Entonces como decia se nos proporciona la imagen Forense, osea es como si yo tuviera en mis manos el ordenador original del pedofilo, puesto que es exactamante igual. En este caso para restaurar la Imagen Forense tendremos que hacer Uso de Vmware…

Ya que restauramos la imagen, AHORA SI EMPECEMOS CON LO DIVERTIDO

Mi primer pensamiento fue: CARAJO NO SE NADA!!!!! despues mas ameno dije; SHIT!!! NO SE QUE HACER!!! jeje xD…

Seguido de mis positivos pensamientos me concentre y el primer paso fue explorar el sistema, acontinuacion enumerare mis descubrimientos mas relevantes:

.-Antes que nada definir que el sistema operativo era Windows XP
.-En la carpeta de elementos recientes encontre que desde una unidad extraible (Z:/) se abriero imagenes con nombres (sexy,lunar,pendeja,pijamada…), sin embargo todo lo que se encontro fueron “Accesos directos”, por lo que con un programa como GetDataBack, no podria recuperar aun asi los archivos…Asi que se descarta obtener esos archivos de esa forma, ya que son solo accesos directos
.-En la carpeta “Mis imagenes” encontre dos imagenes 1)Una imagen de HighSchool y 2)Una imagen de Scarface

.-Y tambien en sus documentos encontre una cancion de “Porta” que por cierto es muy vulgar y ofensiva con respecto a una mujer.
.-Tambien encontre un contacto del messenger(no recuerdo el nombre)
.-Pude notar que tenia instalado Infraview(para visualizacion de imagenes),Internet Explorer y Firefox (Como navegadores).
.-Encontre en una carpeta llamada (Messenger Cache), varios archivos sin extencion y con nombres codificados en Base64

Ok!!!

Listo y ahora que fregados mas hacer???

.-Pues lo que se me ocurrio primeramente fue abrir los programas Infraview y Paint y ver si lograbar obtener algo. ¿Como haria eso? Pues normalmente los programas de diseño como los de Ofimatica, guardan un historial del ultimo archivo que se abrio y/o edito…Eso buscaba yo…Lamentablemente en Infraview no encontre nada, pero en PAINT descubri que el ultimo archivo que se habia abierto y editado fue la imagen que estaba de Wallpaper ^^…. No es gran descubrimiento, pero ya es algo.

.-Seguido de eso, decidi trabajar sobre la carpeta de “messenger cache” y esos archivos sin extencion, Abri los archivos con un editor hexadecimal y adivinen que?? Sus cabeceras empezaban con los bytes “FFD8FFE0″ asi es…Eran “jpg”

Ya sabemos la extencion, seguido lo que hice, fue poner la extencion a todos los ficheros y asi ya tenia las previsualizaciones de las imagenes. Y las imagenes eran; ¿Princesas de Disney? :O Pero incluso una de ellas, parece una princesa de Disney pornografica…

.-Ahora lo siguiente que hice fue, dirigirme al analisis de Internet Explorer. Para ello utilice la herramienta “IeHistory” que me servira para ver el historial de Internet Explorer.

Para ello Iehistory me arroja muchisima informacion de lo que el sospechoso visito, Sin embargo yo en este archivo, listo las URL mas importantes que me parecieron a mi. Mas aun las que yo destaco de todo son:

.-http://mp3.hhgroups.com/Material/Maquetas/559/09.%20Porta%20-%20las%20ninyas%20de%20hoy%20en%20dia%20todas%20son%20unas…%20-%20www.HHGroups.com.mp3
.-http://www.google.com.co/search?hl=es&q=high+school+musical+sexo&meta=&aq=f&oq=
.-http://politolia.wordpress.com/2007/09/06/escandalo-en-high-school-musical-por-fotos-desnuda-de-vanessa-hudgens
.-http://imgsrc.ru/main/login.php
.-http://imgsrc.ru/main/user.php?user=scarface123
.-http://imgsrc.ru/main/join2.php?email=scarface1fisica@hotmail.com&login=scarface123&finally=yeah

Analicemos cada URL:

.-http://mp3.hhgroups.com/Material/Maquetas/559/09.%20Porta%20-%20las%20ninyas%20de%20hoy%20en%20dia%20todas%20son%20unas…%20-%20www.HHGroups.com.mp3

Esta Dirección, apunta al dominio: http://www.hhgroups.com/ donde se ingreso a las: “21:53:13″ el dia “”19/12/2009″ por lo que podemos ver de la url, dice algo como “Porta-las ninyas de hoy en dia todas son unas” Y si buscamos nos encontramos con la cancion http://www.youtube.com/watch?v=NsIlVL8dW1k y aqui la letra (http://javimoya.com/blog/las-ninas-de-hoy-en-dia-todas-son-unas-guarras/) (que por cierto, aunque es muy grosera la cancion, para mi dice algo cierto en la mayoria de los casos; “Suena algo desagradable, pero esque esto es lo cierto. La juventud de hoy en dia solo se fija en un cuerpo”). Regresando con nuestro tema; Desde ese enlace se bajo la cancion que anteriormente encontramos en el ordenador del sospechoso.

.-http://www.google.com.co/search?hl=es&q=high+school+musical+sexo&meta=&aq=f&oq=

Esta direccion como podemos ver se refiere a una busqueda de google que se hizo en esta fecha “19/12/2009 21:06:23″ y que en el buscador google de COLOMBIA (lo de colombia es por .com.CO) se hizo una busqueda asi; “HIGH SCHOOL MUSICAL SEXO”…A raiz de eso, nuestro siguiente link:

.-http://politolia.wordpress.com/2007/09/06/escandalo-en-high-school-musical-por-fotos-desnuda-de-vanessa-hudgens

Esta es la direccion del primer resultado de esa busqueda. Y a esta pagina se ingreso “19/12/2009 21:11:16″.

LAS SIGUIENTES 3 URLS son las importantes ^^ y si vemos se refieren al mismo dominio www.imgsrc.ru

.-http://imgsrc.ru/main/login.php

En esta url Nos damos cuenta que es la pagina para ingresar con tu usuario. Como ya habran supuesto se trata de un hosting de imagenes RUSO…¿Que significa que sea ruso? Pues para mi significa que es 99% probable de que este hosting de imagenes acepte P0rn0grafia. :S

.-http://imgsrc.ru/main/user.php?user=scarface123

Este link es del user scarface123, de nuestro posible SOSPECHOSO PEDOFILO…por lo menos hasta aqui vemos que tiene dos albums uno con nombre “Princesa” y otro con nombre “Otra pendeja”

.-http://imgsrc.ru/main/join2.php?email=scarface1fisica@hotmail.com&login=scarface123&finally=yeah

Y por ultimo este link es del momento en que se registro nuestro p3d0f1l0 como usuario scarface123

¿Que conclusiones llevamos hasta ahora?

Pues que nuestro sospechoso, puede tener algun transtorno (de ahi la cancion de Porta y su obsecion por High School musical y el Sexo). Que debido a que usa imagenes de princesas de disney para atrapar a victimas, que creo que probablemente sean del sexo femenino (niñas). Ademas de eso obvio, nuestro user se hace llamar en internet SCARFACE, eso lo comprobamos con la imagen que encontramos en su ordenador de scarface. Aparte de eso, en su album tiene el mismo avatar de scarface.

SIGAMOS ANALISANDO….¿Que sigue?

Hay que ver que llace en esos 2 albums. Pero ALTO!!! antes de ingresar a uno de ellos, vemos que los dos dicen; PASSWORD PROTECTED…Aqui tenemos un problema :S, pero sigamos…

Ingresamos al album PRINCESA y nos encontramos con la siguiente descripcion;

“pendejita que me envio sus fotos pensando que ese lunar tenia cancer jejejeje. ”

Y tambien como podemos corroborar, el Hosting ruso, si permite pornografia, ya que en su propia publicidad pone fotos pornograficas….

Y al tratar de ingresar nos encontramos con que EFECTIVAMENTE tiene contraseña…Habra que conseguirla de algun modo ^^. Antes de intentar eso, me encontre con algo que me llamo la atencion; (Please enter album’s password (hint: ask scarface123 for it):) La pista dice que se la preguntemos a scarfcer123…

Talvez con un poco de Ingenieria Social logre obtener la contraseña ^^! pero para eso necesito algun modo de contactarlo…Para ello me remito la url del registro de “scarface”:

http://imgsrc.ru/main/join2.php?email=scarface1fisica@hotmail.com&login=scarface123&finally=yeah

De ahi obtengo su email scarface1fisica@hotmail.com entonces lo siguiente es crear un correo falso, y usar Ingenieria social, para pedirle la contraseña de su album…Mi Ingenieria social consistio en: Halagarlo y hacerme pasar como un pedofilo interesado en su album…Despues de esperar ansioso un dia, no recibi respuesta…Entonces pense: “Goddamnit” y ahora que hago???

Y lo siguiente fue un ataque de Fuerza Bruta!!! Y con mucha facilidad di con la contraseña del album que era “scarface” xD ¿Por que no hice eso primero? POR TONTO!!! xDD

Ahora que ya tengo la contraseña ingrese a los albums y yo esperaba encontrar imagenes p0rn0gr4f1c45 que culparan facilmente al susodicho, sinembargo no fue asi :@ Lo que encontre fueron las imagenes de las princesas de disney :S

A continuacion hago el recuento de toda la informacion que saque de esa pagina de los albums:

_____________________________________________
Link de albums: http://imgsrc.ru/main/user.php?user=scarface123&nc=1262212151
Usuario: scarface123
Registrado: 20-12-2009Albums: 2Nombre de los albums:Princesa: 4 fotos DESNUDO 20-12-2009 05:36:35
Otra Pendeja: 5 fotos DESNUDO 20-12-2009 07:39:41

Album Princesa:
Descripción**”pendejita que me envio sus fotos pensando que ese lunar tenia cancer jejejeje.”
**Pass: scarface

**’lunar.jpg’ 2009-12-20 05:36:34
**’pijamada1.jpg’ 2009-12-20 05:36:35
**’pijamada2.gif’ 2009-12-20 05:36:35
**’pijamada3.jpg’ 2009-12-20 05:36:35

Album Otra Pendeja:
**Pass: scarface

**’sexy (1).jpg’ 2009-12-20 07:39:41
**’sexy (2).jpg’ 2009-12-20 07:39:41
**’sexy (3).jpg’ 2009-12-20 07:39:41
**’sexy (4).jpg’ 2009-12-20 07:39:41
**’sexy (4).jpg’ 2009-12-20 07:39:41
____________________________________________

Una vez logrado obtener las imagenes Originales, las guarde para posteriormente hacer un Estegoanalisis en busca de informacion oculta.

AHORA EN BUSCA DE ALGO OCULTO!!! ESTEGOANALISIS!!!

Antes que nada, me imagine que talvez de alguna forma esta persona habia ocultado algo por medio de tecnicas esteganograficas adivinen que?? Eso es lo que me gusta ^^

Primero pense, sobre que imagen analizare?? Y dije, la primera que le hare un estegoanalisis sera la imagen de la princesa que parece p0rn0.

Asi que me entro una duda…¿Trabajare sobre la imagen original o la que encontr en la carpeta “messenger cache”? Pues para ver sobre cual primero las compare…

Asi que con la consola de windows hice algo asi;

FC /b imagendelacarpetamessengercache.jpg sexy(1).jpg > SALIDA.txt

y tambien algo asi:

FC /l imagendelacarpetamessengercache.jpg sexy(1).jpg > SALIDA.txt

La primera hace una comparacion entre las dos imagenes en forma binaria mostrandome los offsets de donde son diferentes. Y la segunda me hace una comparacion en ASCII. De ahi obtengo la conclusion de que los archivos aunque parecen iguales, son muy diferentes y que sexy(1).jpg es mas grande que la otra…

Ahora sobre eso, tratare de ver por que una es mas grande que otra, para eso hago un analisis a nivel grafico…Primeramente a las dos hago un analisis de histograma y obtengo que en los tienen el mismo numero de pixeles “241719″, sin embargo por algo son diferentes…

Rapidamente me hago de ayuda de mi gran herramienta “paint” y como paint tiene la facilidad de que con el bote de pintura al dar click sobre un pixel pinta todo lo que este del mismo color de ese pixel y junto a un mismo pixel con esos valores RGB, pues empece a pintar para darme cuenta los pixeles que eran iguales….Eso lo hice en las dosa imagenes…conclusion;

La imagen original “sexy(1)” no pintaba mucho, osea que los pixeles tenian varios valores RGB diferentes entre si. Y la otra imagen pintaba muy seguido, osea que muchos pixeles eran iguales…

Con eso pense que la imagen sexy(1).jpg por eso es mas grande, por que tiene mas informacion de diferentes valores RGB en cada pixel. ¿Que tal si hay algo en esos pixeles? Entonces debido a que hay gran diferencia en valores de pixeles, pero son el mismo numero de pixeles, me imagine que talvez habia algo de LSB...y con mi script de toda la vida, saque si habia algo:

<?php
$im = imagecreatefromjpeg("sexy.jpg");
$archivo = fopen("salidalsb.hex","w");
$rgbBinNew = "";
for( $y = 0; $y < imagesy( $im ); $y++ ) {
for( $x = 0; $x < imagesx( $im ); $x++ ) {
$rgb = imagecolorat( $im, $x, $y );
$r = ($rgb >> 16) &amp; 0xFF;
$g = ($rgb >>  &amp; 0xFF;
$b = $rgb &amp; 0xFF;
$rBin = decbin($r);
$gBin = decbin($g);
$bBin = decbin($b);
$rBinNew = substr($rBin,-1);
$gBinNew = substr($gBin,-1);
$bBinNew = substr($bBin,-1);
$rgbBinNew .= $rBinNew.$gBinNew.$bBinNew;
}
}
$longi = strlen($rgbBinNew);
for($i=0;$i<$longi;$i+=8) {
$aux = "";

for($j=0;$j<8;$j++) {
$aux .= $rgbBinNew[$i+$j];
}
$aux = bindec($aux);
$aux = chr($aux);fputs($archivo, $aux);
}
imagedestroy($im);
fclose($archivo);
?>

Sin embargo el resultado fue desalentador…No habia nada COHERENTE…¿Entoces?, ¿Todo fue una perdida de tiempo?Lamentablemente SI!!! Craso error, perder tiempo en este estegoanalisis….¿Pero entonces por que la diferencia de los valores RGB en los pixeles?

Yo me supongo que eso se debe a que las imagenes del “messenger cache” al ser usadas en el messenger bajo el protocolo MSNMS las imagenes son comprimidas en color. Y por eso es que aunque son de mismo tamaño y numero de pixeles, la compresion cambio algunos valores.

¿ESO ES TODO DE ESTEGOANALISIS?

Naaahh!!!!

Demosle reasperillo a esto quieren??

Mmmm…loading….thinking…breathing…xDDD…FOCUSING…fuck(ah eso no verdad??? xDD)…OH!!! UNA IDEA!!!!

Sobre que tipo de particion estamos trabajando??? CLARO NTFS!!!!

Quien dice que no ah usado algo de esteganografia ADS…Claro vamos a usar LADS.EXE para nuestro estegoanalisis.

Primeramente lo hacemos en la cancion de “Porta” y no encontramos nada ahora lo haremos en las imagenes de High school musical y la de Scarface…y que creen???….VOILA!!!!

Abuelita soy tu nieto!!!! xDD Encontramos un flujo de dato en el archivo Scarface y el flujo es :oculto

Rapidamente identificare cabecera de la siguiente forma…

more <Scarface.jpg:oculto

Y me imprime MZ…¿MZ?…CLARO MZ…Eso significa que es un EXE, osea un programa ejecutable…Ahora intento sacarlo…Y como me imagine, sale CORRUPTO…entonces rapidamente programa un codigo en PHP para sacarlo.

Y listo ya lo saque ahora lo ejecuto y…FUCK!!!!

Es un programa de esteganografia(Steganos LOCKNOTE), que para mostrar lo que le ocultaron hay que poner una contraseña…yo no se que contraseña…Igualmente habra que obtenerla de alguna forma…

Ahora si, primero hare fuerza bruta…Y genial!!! Logre sacar el password(scarface123)…Ya con el pass se me provee de informacion nueva:

Ok?? Ahi estaba oculto La URL que previamente ya habiamos obtenido del hosting de imagenes ruso. Ahora tenemos como un nombre de user “Scarface1980″ y algo mas que parece estar como encriptado “J9FVB779″.

De ahi la URL ya la teniamos, del user y lo otro no se para que sera :S?? sin embargo podemos añadir algo mas a nuestro perfil del sospechoso.

Hasta ahora llevabamos que; “Pues que nuestro sospechoso, puede tener algun transtorno (de ahi la cancion de Porta y su obsecion por High School musical y el Sexo). Que debido a que usa imagenes de princesas de disney para atrapar a victimas, que creo que probablemente sean del sexo femenino (niñas). Ademas de eso obvio, nuestro user se hace llamar en internet SCARFACE” Ah eso agreguemos la EDAD que con el user “Scarface1980″,podemos suponer que su edad es de 29-30 años

Ahora que mas sigue????NADA!!!!!!!!¿Qué? ¿WTF?

Asi es, lo que pasa es que como dije al principio, yo no tenia la contraseña, y lo que descomprimi, por tanta prueba lo dañe, y necesitaba descomprimirlo de nuevo, pero olvide la contraseña :S :’( y ya no pude trabajar mas sobre esto.

Y como mañana ya ingreso de nuevo a la escuela ya no tendre tiempo y por eso decidi poner lo poco que logre…

¿Que mas faltaba por hacer? ¿Que otras ideas tenias?.-Analizar el registro de Windows en busca de informacion sobre programas, Dispositivos extraibles, y el Messenger
.-Analizar el messenger para obtener la posible vicitima
.-Averiguar para que era “Scarface1980″ y “J9FVB779″
.-Analizar los Index.dat
.-Analizar Firefox

Preguntas Frecuentes :P

¿Me siento conforme???

CONFORME NO!!!! Satisfecho si!!! Si esto logre en 3 dias, creo que si hubiera tenido un poco mas de tiempo hubiera logrado mas cosas…

¿Aprendiste?
Claro que aprendi, y sobre todo retos como estos me gustan mucho…Me agrado el reto y el caracter investigativo que uno debe de obtener….

¿Por que no entre al concurso?
Por que la manera en que se manejo, se me hizo muy ELITISTA, como dije si se trata de una COMUNIDAD y enseñar, creo que esa no es la mejor manera

¿Obtuviste ayuda de alguien?
NO!!! aunque eh de confesar que si pedi ayuda en la comunidad dragonjar ya que 4v4t4r y DragoN habian hecho un post que decia que ahi mismo nos podian ayudar a resolver dudas, yo plantee mi duda, y JAMAS si quiera fue respondida con un; “Lo siento no podemos ayudarte” Mas sin embargo yo se que si vieron mi duda…pero Bueno, mejor asi

¿Es un buen inicio en la materia forense?
Jeje claro, creo que fue una buena practica, e intentare meterme mas en esta area…Y claro me gusto mas, por mis Estegoanalisis que hice ^^

Bueno sin mas, espero que les haya agradado este reporte INCOMPLETO que realice de materia forense. Algun dia volvere a tocar otro tema de este tipo

P.D. Le deseo lo mejor al que creo yo que ganara, ami amigo Seifreed (Ya tiene algo de info para copiarme xD asi seguro gana jaja )

Saludos

Att. hecky para Neobits.org