Bueno esta vez hablare de un reto de la competencia CTF de la DEFCON , yo no participe pero viendo los writeups vi un reto, especificamente el reto 200 de la categoria Forense. Un reto que muchos resolvieron principalmente con ImageMagick como lo podemos ver aqui. Ahora se preguntaran ¿Si ya esta resuelto para que lo haces?, simplemente por que es uno de los pocos retos que pertenecen a la rama de la Esteganografia(al menos para mi), y por que halle otra manera de resolverlo. Ademas por que fue del unico reto que pude conseguir los archivos para “jugar” con ellos.

Bien empecemos antes que nada, el archivo es este: f200_02b7b50f575759cff7.tar.lzma.tar y voy a aclarar que la resolucion la hago en entornos GNU/LINUX, distro Ubuntu 9.10.

Listo ya que lo tenemos, lo primero que se nos ocurre es descomprimirlo haciendo un

tar -xvf f200_02b7b50f575759cff7.tar.lzma.tar

y NADA!!! error…entonces viendo otra de la extension que tiene, vemos que dice LZMA, ese metodo de compresion si mi memoria no me falla lo vi en la estructura del formato 7-zip(7z) asi que lo que hago es usar 7-zip para abrierlo, al abrirlo me aparece otro archivo que igualmente uso 7-zip para abrirlo y listo, ya tenemos todo bien.

Al abrir la carpeta y ver el contenido me asombro de ver 1121 imagenes casi iguales, como vemos aqui:

Pero ahora toca pensar que hacer con ellas…para eso abrire una imagen y vemos lo siguiente:

Como vemos es una imagen de formato PNG, con fondo transparente, pero hay algunos pixeles alternos de color negro y blanco. Si recordamos el formato PNG es el que puede tener nivel de transparencia en el canal ALFA…Se podria atacar por ahi, como en los retos de sinfocol.org pero se me ocurre algo mejor que eso. Por la cantidad de imagenes que es exagerado, podemos intentar encimar una en otra y asi, hasta ver que forma…

Para ello se puede hacer programando, pero en esta ocasion preferi intentar usando GIMP mi programa de edicion por excelencia de Ubuntu.

Lo que hago es abrir Gimp, y irme a Archivo>Abrir como capas

Despues selecciono todas las imagenes(Ctrl+A) y las abro

Las imagenes se empezaran a cargar como capas

Despues de que se abran TODAS se notara que los pixeles formaban una imagen en blanco y negro:

Y al final obtenemos la imagen que nos da una URL. Y esa era la respuesta

Como ven no era dificil, y con ImageMagick se hacia rapido tambien, pero personalmente no se los comandos para usarla. Mi maestro dani papi HaDeS xD de sinfocol.org lo realizo programando en php, esperemos nos comparta su codigo de como lo hizo y lo publico. Por cierto muchas felicidades a el y su team por quedar dentro de los 100 primeros en el CTF de la Defcon.

Espero les agradara.

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bien en esta ocasion hablare sobre esteganografia basica en los ficheros de compresion gzip.

Estuve viendo un poco la estructura del fichero en base al RFC1952 del formato GZIP y vi que si en el byte 4 que se refiere a las FLAGS, esta activado el bit 3 activa la bandera del nombre FNAME. Osea que en el byte 4 deberia haber por ejemplo un 0×08 para que este activado, despues de esto, vendra el MTIME 4 bytes(Tiempo de creacion), luego el XFL 1 byte (Banderas extras), y luego el OS 1 byte (Sistema operativo, ejemplo UNIX 0×03) , luego vendra el NOMBRE DEL ARCHIVO, y despues un byte nulo 0×00.

Con esta pequeña introducción veremos lo facil que es ocultar un fichero en gzip. En esta ocasion no dejo Un tutorial, sino que nos iniciamos con VideoTutoriales. El videotuto es hecho en Ubuntu, con el programa recordmydesktop.

Les dejo el video y si surje alguna duda favor de plantearla.

Esteganografia Basica en Ficheros Gzip from hecky on Vimeo.

Por cierto el fichero de texto que uso en el ejemplo es mi resumen del fichero gzip, en ese resumen me base para hacer pruebas y ver si encontraba algo en el formato que permitiera hacer la estegano…Si ah alguien le interesa aqui lo dejo.

Estructura Formato gzip
Firma Formato:
2 bytes >> 1F8B
Metodo de compresion: 1 byte (compresion predeterminada DEFLATE 0x08)
Flags: 1 byte (se valua por bits)
 bit0 FTEXT >> posible archivo de texto
 bi1 FHCRC  >> CRC16
 bit2 FEXTRA >> extra
 bit3 FNAME  >> nombre original seguido de un byte nulo
 bit4 FCOMMENT >> comentario
 bit5 reserved
 bit6 reserved
 bit7 reserved
MTIME: 4 bytes (Tiempo de ultima modificacion)
XFL: 1 byte extra flags
OS: 1 byte (sistema operativo  0-FAT 3-UNIX 6-HPFS 7-Macintosh 11-NTFS 255-desconocido)
NOMBRE DEL ARCHIVO: En seguida del OS viene el nombre de archivo si en el 4 byte esta activado el bit 4 (ej: 00001000 >> 0x08)
BYTE NULO: despues del nombre del archivo...

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bueno ya hemos visto mucho sobre esteganografia en ambientes windows ahora intentare demostrar lo facil y lo parecido que puede ser en ambientes Linux…Para esta entrada pondre varios ejemplos, desde como hacer el Metodo EoF y la deteccion de algo oculto….

Empecemos

Para empezar veremos como podemos ocultar un texto claro dentro de una imagen

1) OCULTANDO TEXTO DENTRO DE IMAGEN(PNG)

.-Lo que haremos sera abrir una shell, y nos ubicamos en donde debemos (cd “ruta/destino”)…En mi caso en el escritorio…

.-Ahora tenemos una imagen llamada “hecky.png” y lo que queremos es ocultar un texto por el metodo EoF que diga “Texto oculto con la shell de Linux”

.-Para esto lo que haremos sera poner el siguiente comando. “echo Texto oculto con la shell de Linux >> hecky.png”

.-Listo ya tenemos nuestro texto oculto para corroborar podemos hacer uso de un editor hexadecimal para GNU/Linux como lo es “Bless Hex Editor” y si vemos al final encontraremos nuestro texto oculto

.-El chiste tambien de estos tutoriales en sistemas linux es ir usando las herramientas nativas…Asi que veremos de que manera podemos visualizar tambien esto…

.-Ahora simplemente le damos un tail -2 asi; “tail -2 hecky.png”…El comando tail lo que hace es mostrarnos las ultimas 10 lineas de un archivo, pero en este caso con el parametro “-2″ le decimos que en vez de mostrarnos las ultimas 10 lineas predeterminadas, nos muestre las ultimas 2 del archivo hecky.png…

2) OCULTANDO UNA IMAGEN EN OTRA IMAGEN

.-Haremos practicamente lo mismo, con los comandos…Esta vez haremos uso del comando “cat” que nos sirve para ver el contenido de un archivo y tambien haremos uso de una salida “>>”, para esto tenemos otra imagen PNG llamada Estegano.neobits.org.png

.-El comando en cuestion seria; “cat Estegano.neobits.org.png >> hecky.png” con esto lo que hacemos es “mostrar”/obtener el contenido de Estegano.neobits.org.png y ADJUNTARLO (>>) (si solo ponemos uno(>), en vez de concatenar, lo sustituira) al archivo hecky.png

.-Ahora para ver si hay algo oculto en hecky.png podriamos hacer uso del editor hexadecimal, pero aqui mostrare algo mejor…usaremos el comando “grep”, este comando nos permite buscar patrones en lineas….

.-Tomando en cuenta que queremos buscar si hay otro png oculto, El comando seria; “grep -a -i -e eNd -e PnG hecky.png” donde el parametro -a nos sirve para decir que lo busque como texto, el parametro -i que no diferencie entre mayusculas y minusculas en la busqueda, y el -e para poner los patrones…En este caso notar que pusimos eNd y PnG, cuando lo correcto seria END y PNG, pero el parametro -i nos sirve para no diferenciar eso…y pusimos dos parametros, por eso ponemos dos veces “-e”, y nos mostrara, TODAS las coincidencias…En este caso encuentra 2 de cada una, eso quiere decir que encontramos otro PNG, lo cual es TOTALMENTE CORRECTO

3) ESTEGOANALISIS A UN BMP

.-Ahora imaginemos que tenemos una imagen BMP…sabemos que los bytes del formato bmp estan intimamente relacionados con los valores RGB de cada pixel…Aqui pongo el ejemplo con una imagen en blanco (grande.bmp) pero con inconsistencias..la imagen es de 1291*712 pixeles…

.-Sospechamos que en esas incosistencias hay algo oculto…pero seria muy tardado revisar con el editor hexadecimal, parte por parte…entonces intentamos con un “cat” en la shell(“cat grande.bmp”)…y tenemos la siguiente desagradable sorpresa…

.-Nos imprimimo todos los bytes, pero no vimos nada :S y sigue siendo muy cansado revisar parte por parte…

.-Aqui entra en juego otro gran comando que nos sera de ayuda…se trata de “strings” que busca cadenas de texto Haremos uso de este comando asi; “strings grande.bmp” y el resultado es este:

.-Si hubieramos estado buscando parte por parte, nos hubieramos encontrado con muchos mensajes desagradables y hubieramos tardado mucho en encontrar lo que buscabamos, sin embargo aqui fue automatico y facil…

Nota aclaratoria: Como es un tutorial Basico en entornos *nix, cabe mencionar que la shell, diferencia entre mayusculas y minusculas, por lo que no es lo mismo “grep” que “Grep” ni “CAT” que “cat”, todos los comandos van en minusculas

Creo que por el momento es un buen inicio…Espero esto los aliente a probar y seguir experimentando…Espero les haya gustado esta probadita de la Esteganografia y Estegoanalisis en ambiente *nix

Saludos

Att. hecky para estegano.neobits.org

P.D. proximamente, esteganografia en .gzip y .rar

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Hola de nuevo…Este post es dedicado a jesuscarreon debido a su peticion  que nos hizo en formspring.me

La presente, tratara de ser una lista de todas las herramientas que eh usado (al menos de las que me acuerdo) a la hora de ocultar algo o hacer un estegoanalisis….

NOTA: La Presente no es una lista de Programas externos de Esteganografia…Son programas que nos ayudaran a realizar Esteganografia y Estegoanalisis MANUALMENTE….

Editores Hexadecimales:

WINHEX: El mejor editor hexadecimal que eh usado. Tiene varias opciones y es muy profesional…Sin duda alguna MI MEJOR HERRAMIENTA… Lo pueden descargar de su pagina oficial…Lamentablemente solo es una version trial, la version completa es de pago, pero seguro encuentran una opcion…

Winvi: Un editor hexadecimal sencillo, pero gratuito, me ah salvado en algunas ocasiones Lo pueden descargar de la pagina oficial

HxD: Este software recomendado por mi amigo kagure, es una excelente alternativa a Winhex, Es gratis y lo podemos encontrar para instalar o portable…Lo pueden descargar de su pagina oficial

Opciones de SoftwareLibre Para GNU/LINUX:

Bless Hex Editor: Mi editor que uso “normalmente” en Ubuntu,(aveces emulo WinHex por que es mas profesional), lo pueden conseguir en su pagina oficial

Ghex: Tambien tenemos Ghex un editor sencillo y rapido…Lo podemos descargar desde la pagina de soporte de Gnome

Editores y Visores de Imagenes:

Paint: Software Nativo de Windows, Es un editor sencillo de windows, lo puedes ejecutar con el comando “mspaint”

Infraview: Un gran Visor de imagenes, es gratuito y para plataforma Windows…Este software lo eh utilizado mucho a la hora de obtener los valores RGB de un pixel(aunque se puede hacer con paint,kolourpaint,PS,Gimp, pero Infraview es mas amigable). Lo puedes descargar de su pagina oficial

PhotoShop: Completo programa de edicion de imagenes, muy profesional, pero es de pago…Lo puedes conseguir en la pagina de Adobe

Opciones de SoftwareLibre Para GNU/LINUX:

KolourPaint: Un editor de imagenes que se implementa perfectamente en escritorios KDE (aunque yo lo uso en GNOME de maravilla). Es liviano y muy parecido a Paint (con un poco mas de funcionalidades :P). Lo puedes descargar de aqui

GIMP: Software de Edicion de imagenes muy profesional. No tiene nada que envidiarle a AbodePhotoshop. Muy util y corre muy rapido. Algunas distros ya lo traen incluido, pero aun asi lo puedes descargar desde www.gimp.com

Programas de Edicion de Audio

Audacity: Software de Edicion de audio multiplataforma y de codigo abierto…Sirve para muchos efector y ocultar de cierto modo ^^ (despues tocaremos el tema)…Lo pueden descargar de la pagina oficial

Wavepad: Otro editor de audio muy bueno y eficaz…Solo esta para windows y lo pueden descargar de la pagina oficial.

Programas para Estereogramas

Stmaker: Ejecutable para realizar Estereogramas personalizados. Lo pueden descargar directamente desde aqui

StereoDecoder: Programa ejecutable que nos ofrece la posibilidad de encontrar una imagen oculta en un estereograma si nuestra vista no es buena…Lo pueden descargar directamente desde aqui

Programas de Criptoanalisis

No es raro que conjunto una tecnica esteganografica, venga algo codificado, por ello siempre es bueno tener una herramienta de Criptoanalisis a la mano…Para ello Tenemos;

CRYPTOOL: Herramienta educativa para el analizis de algoritmos criptograficos…GRAN HERRAMIENTA…Lo podemos descargar desde: www.cryptool.org

Opciones de SoftwareLibre Para GNU/LINUX:

CryptoolLinux: Trata de ser la version de Cryptool para linux…Lo puedes descargar desde la pagina oficial

OTROS Programas útiles

Winrar.exe: Gran compresor, que nos ayudara especialmente en la esteganografia a la hora de preservacion de flujos de datos (ADS)…Lo puedes conseguir en la pagina oficial

Lads.exe: Programa que nos listara los ADS que existan en una particion NTFS…Lo pueden descargar directamente desde aqui

GiftAnimator.exe: Programa que nos ayudara a controlar los Frames de un Gif de una forma facil y amigable…Lo pueden conseguir directamente desde aquí

CMD: La consola de Windows Sin duda nos ayudara bastante con comandos como “copy, type, more, fc, etc…” la puedes ejecutar con el comando CMD

Bash: Nuestra shell de sistema Unix nos ayudara con comandos como “cat, diff, type, strings, etc…”

PHP

Y claro no olvidar a mi gran lenguaje de programacion que mas me gusta, PHP…Hacer nuestros scripts en php nos ayudara para varias cosas y tecnicas como “lsb, alpha, obtener ADS, aplicar algoritmos, etc…” Sin duda alguna, una herramienta imprescindible.

Para windows podemos conseguir el .exe desde este enlace

Para los demas sistemas podemos bajarlo desde aqui

Exclusivamente para Ubuntu, lo instalamos con el siguiente comando:

sudo apt-get install php5

Asi mismo necesitaremos para algunas tecnicas uso de la libreria gd asi que lo instalamos con este comando

sudo apt-get install php5-gd

Podemos probar si corre nuestro php scripting de esta manera:

Bueno creo que es todo, si me acuerdo o llego a usar otro programa, lo adjuntare a la lista y pondre las actualizaciones…

NOTA: A diferencia de lo que algunos pueden creer yo jamas eh usado el programa tweakpng(software que les ayudara para ver la integridad de un PNG) por eso no lo adjunto, por que solo puse los programas que yo eh usado alguna vez…

Como escrito final quisiera decir que si tuviera que elegir tres herramientas esenciales de esta lista, las ordenaria asi;

1.-WINHEX

2.-PHP

3.-Winrar

Bueno cumpliendo esto, en el lapso de la proxima semana colgare un nuevo reto….Espero esta entrada sea de su agrado

Atte. hecky para estegano.neobits.org

Saludos

Ya saben cualquier cosa me pueden preguntar en: www.formspring.me/hecky

O seguirme en twitter www.twitter.com/hecky2pac

O via Correo/MSN: hecky2pac@hecky2pac.co.cc