Esteganografia

Bueno esta vez hablare de un reto de la competencia CTF de la DEFCON , yo no participe pero viendo los writeups vi un reto, especificamente el reto 200 de la categoria Forense. Un reto que muchos resolvieron principalmente con ImageMagick como lo podemos ver aqui. Ahora se preguntaran ¿Si ya esta resuelto para que lo haces?, simplemente por que es uno de los pocos retos que pertenecen a la rama de la Esteganografia(al menos para mi), y por que halle otra manera de resolverlo. Ademas por que fue del unico reto que pude conseguir los archivos para “jugar” con ellos.

Bien empecemos antes que nada, el archivo es este: f200_02b7b50f575759cff7.tar.lzma.tar y voy a aclarar que la resolucion la hago en entornos GNU/LINUX, distro Ubuntu 9.10.

Listo ya que lo tenemos, lo primero que se nos ocurre es descomprimirlo haciendo un

tar -xvf f200_02b7b50f575759cff7.tar.lzma.tar

y NADA!!! error…entonces viendo otra de la extension que tiene, vemos que dice LZMA, ese metodo de compresion si mi memoria no me falla lo vi en la estructura del formato 7-zip(7z) asi que lo que hago es usar 7-zip para abrierlo, al abrirlo me aparece otro archivo que igualmente uso 7-zip para abrirlo y listo, ya tenemos todo bien.

Al abrir la carpeta y ver el contenido me asombro de ver 1121 imagenes casi iguales, como vemos aqui:

Pero ahora toca pensar que hacer con ellas…para eso abrire una imagen y vemos lo siguiente:

Como vemos es una imagen de formato PNG, con fondo transparente, pero hay algunos pixeles alternos de color negro y blanco. Si recordamos el formato PNG es el que puede tener nivel de transparencia en el canal ALFA…Se podria atacar por ahi, como en los retos de sinfocol.org pero se me ocurre algo mejor que eso. Por la cantidad de imagenes que es exagerado, podemos intentar encimar una en otra y asi, hasta ver que forma…

Para ello se puede hacer programando, pero en esta ocasion preferi intentar usando GIMP mi programa de edicion por excelencia de Ubuntu.

Lo que hago es abrir Gimp, y irme a Archivo>Abrir como capas

Despues selecciono todas las imagenes(Ctrl+A) y las abro

Las imagenes se empezaran a cargar como capas

Despues de que se abran TODAS se notara que los pixeles formaban una imagen en blanco y negro:

Y al final obtenemos la imagen que nos da una URL. Y esa era la respuesta

Como ven no era dificil, y con ImageMagick se hacia rapido tambien, pero personalmente no se los comandos para usarla. Mi maestro dani papi HaDeS xD de sinfocol.org lo realizo programando en php, esperemos nos comparta su codigo de como lo hizo y lo publico. Por cierto muchas felicidades a el y su team por quedar dentro de los 100 primeros en el CTF de la Defcon.

Espero les agradara.

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bueno en vista de que solo 4 personas pudieron pasar el segundo reto…y 2 de ellas por que les ayude(Ariel,Servant) y las otras dos por que son todos unos gurus(Paipai, HaDeS), mejor decidi poner una PISTA para que se animen…..

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

La pista es la de arriba…y tiene exactamente la misma respuesta que la del reto…asi que mi recomendacion seria…Comparen y analisen….

Aunque no se si realmente comparar les servira de mucho pero los puede inspirar…

P.D. por cierto muchos creeran que eso de ahi es algo, pero no lo es ya veran a que me refiero….

Cualquier duda ya saben…

www.formspring.me/hecky

O seguirme en twitter www.twitter.com/hecky2pac

O via Correo/MSN: hecky2pac@hecky2pac.co.cc hecky@neobits.org

Saludos

Hola, en esta entrada pondré un reto muy SENCILLO de esteganografia…como ya saben lo unico que deben hacer es mandarme la respuesta via mail a;

hecky2pac@hecky2pac.co.cc

hecky@neobits.org

El reto es el siguiente, solo encuentren la respuesta;

`-"b]3B<"17@PL0SB(%,$LRD,]5.,^Y)&Y'`'G9)XOID7Y3X`7e!`QD*HY9UR,]XdcU&D*09XY]+L(cI>cI<N+D3c]$P$`E%_6+A>:X3,O=XX:>38"M",,4*&9[(4<,/P6O*P@<^,[Sb0-0I.]K;$^E+2;3GV?VBTAMB`':)^('*44RB,7]12:;DTM'F&]$[8Q95VS:PZA[*UGMa^D-*^FNP.U35L5*d C3V2NB)(73^]_[V>"c8HL$V<5'$J1%JT7="d^*)0=#(6Z_U\])BE,4a@;e$K%N::(=: DB0`E92<5"5,+WO4&KU>JY'ODA$J\?L<`\8B1J\DM,OVc9(%c\BHPI21%6]`UC9P:P.J9'+d4YV2-_6-TXU@=#RA7H=&'UX@C"'X)1Y<$KN2Dc<5W,U./BNE'&J.]>O8@U-H#"b&LM6,JU@?a0M*S7NX?4"4SOL.AZW@\UFE=\O"M+@I9)P&?;^\Q`->KYL'O?GF/)&J"ULL])030b9N93E$/PBZG+a0HCWVL]<MM'6D-GV=C+'Z=K_J6=@\G=(*__cDV:,?@C`

Cualquier duda me pueden avisar…De este reto no creo dar solución.

Atte. hecky para estegano.neobits.org

Saludos

Ya saben cualquier cosa me pueden preguntar(no del reto) en: www.formspring.me/hecky

O seguirme en twitter www.twitter.com/hecky2pac

O via Correo/MSN: hecky2pac@hecky2pac.co.cc

PERSONAS QUE HAN RESUELTO EL RETO:

1.-Ariel, toda una leyenda de SPYBLOC

2.-PAIPAI

3.-Servant

4.-HaDeS

FELICIDADES!!!

Bueno en este pequeño tutorial, les mostrare como normalmente analiso un reto para poder resolverlo. Aqui hace un dia resolvi un reto de “Hackthisite” y decidi que explicaria como lo hice. El reto en cuestión es el reto 8. Y nos proveen con esta imagen:

.-Lo primero que hago es descargarla a mi computadora.

.-Ahora lo siguiente que hago es ver su extension; BMP….FUCK!!! una de las extensiones que menos me gusta, por que la estructura de este formato no la conozco bien y por que en caso de que se necesite programar algo para LSB o algo, yo no se manejar ficheros BMP con PHP con ayuda de la liberia GD. Asi que empezamos mal

.-Sea como sea, no me sirve de nada ver una extensión, debo comprobar que si sea el tipo de fichero que dice la extensión. Para eso abrire la imagen con mi editor hexadecimal.

.-Con el editor hexadecimal, hare principalmente dos cosas importantes
1) Ver la cabecera del archivo para saber de que tipo de fichero se trata.
2) Ver si hay algo oculto por EoF y con suerte, asi resolver facilmente el reto.

.-Al abrirlo veo la cabecera y los primeros dos bytes son: “424D” (BM), bien vamos bien, si se trata de un BMP(por desgracia )

Siguiendo analizandolo, vemos que despues de 53 bytes que definen la estructura basica de un BMP, nos encontramos con muchos bytes (FF), en ciertos lados hay bytes (00), que por lo que me sospecho, esto nos dice que la imagen esta constituida por una imagen con un color predominante, con algunos pixeles distintos (muy pocos). Si seguimos viendo la estructura, encontraremos que una parte del fichero, hay mas bytes (00) y algunos (C7, 7C, D9, 8C, BD, E9, F0, 9A, A7 y D0) como sea son muy pocos y nada relevante.

Llegamos al final del fichero y no encontramos ningun otro fichero oculto. Tampoco es muy grande el fichero.

.-Bueno ahora si, descartamos esteganografia por EoF.

.-Asi que tendremos que pensar en ir por otro lado. Me digo a mi mismo: “Mi mismo ¿Recuerdas Todos esos bytes parecidos en el BMP y que algunos pocos eran diferentes, NO SE TE HACE UN POCO RARO??? SI….Para mi que la mejor alternativa es ver por los COLORES. Seguro hay algo ahi.

.-Entonces abro la imagen con mi visor “INFRAVIEW” que si hay algo en los colores me sera de utilidad.

.-Al abrirla veo un texto que dice “HELLO” y veo una linea debajo. ¿Que hace esa linea ahi, tan solita??? Bueno sigamos.

.-Con el infraview, me pongo encima de el color blanco y doy click, y miro en la parte de arriba, para que me de el color RGB, me da (255,255,255) osea un BLANCO PURO, hago lo mismo en diferentes lados y es el mismo resultado.

Ok, todo bien, pero ahora hagamos un ZOOM y veamos esas letras.

.-Al ver las letras con el zoom, claramente se ve la consistencia del color negro (0,0,0), SIN EMBARGO hay algunos pixeles en la “E”,”L”,”L” y “O”…puede ser que ahi este la clave… para descartar que ahí este la clave se me ocurre algo. Veo que las “eles” (LL) son iguales y tiene los mismos pixeles de diferente color. Lo que hago es ver los valores RGB de los pixeles que no son negros (0,0,0) de una “L” y despues los comparo con los de la otra “L”. Veo que SON EXACTAMENTE LOS MISMOS, asi que los dejo en paz, ya que con eso vi, que no son hechos aproposito, si no que con el programa de diseño que usaron para crear la imagen, puso esos pixeles.

Puedo hacer otras dos pruebas que confirman esto; 1)con la “O” si la parto verticalmente a la mitad, de tal modo que quede simetrica, veo que los valores RGB de la derecha, se REPITEN EXACTAMENTE IGUAL en la izquierda.

2) Algunos de esos pixeles que no son “negros puros” en las letras, tienen de valor RGB “240″ “124″ o “199″ y eso si lo interpretamos en ASCII (-­ | Ã) no nos dice nada coherente. Por lo que DESCARTAMOS que en esos pixeles haya algo escondido.

.-Ahora si pasemos a lo unico que nos falta. LA LINEA…Desde el principio sospeche de ella

.-Hare mas zoom en esa linea, y vere que es un tipo de color ROJO, pero no es puro (255,0,0) ni consistente en toda la linea. Cambia casi en todos los pixeles de la linea.

.-Ahora hare lo mismo, vere los valores RGB de cada pixel, y empiezo: (112,0,0),(97,0,0),(115,0,0),(115,0,0)…etc…

.-Esperen un minuto!!!! Si sera por aca??? o ¿estoy perdiendo el tiempo? Si vemos los primero valores RGB, vemos que todos tienen un numero en el “Red”, y en el “Green” y “Blue” tienen ceros “0″. Aparte de eso si vemos los valores numericos de los “Red” estan comprendidos entre los 97 y cientos y tantos…Eso en ASCII tiene mucha lógica. Yo creo que si es por aca ^^

.-Si traducimos a ASCII los primeros valores que tenemos “112.97.115.115″ nos da: “pass” GENIAL!!!! vamos bien. Sigamos…

.-Sacamos todos los valores “RED” de los valores “RGB” que son los que nos interesan. y nos da: 112.97.115.115.119.111.114.100.61.89.114.82.111.116.55

.-Despues tenemos varias opciones, buscamos el numero a su equivalencia ASCII en la tabla, o Vamos apretando ALT+# o la que yo use, fue programar un script en PHP que me retorne el ASCII de los valores que saque. Mi script es este:

<?php
$num="112.97.115.115.119.111.114.100.61.89.114.82.111.116.55"; //Valores RGB que obtuvimos
$exp=explode(".",$num);  //Elimino el punto que puse
>for($i=0;$i<count($exp);$i++) //Recorro cada numero decimal
{
$chr=chr($exp[$i]); //Obtengo el ASCII de cada numero
echo $chr;  //Imprimo el resultado
}
?>

Y me basta con ejecutarlo y Sale:

Como vemos sale: password=****** (CENSURO EL PASS, PARA NO DAR RESPUESTA AL RETO, y QUE LO HAGAN)LISTO YA LO RESOLVIMOS!!!!Sin embargo hay una solución mas facil, Si volvemos a revisar CAUTELOSAMENTE el archivo con nuestro editor hexa. Vemos una parte que dice: p..a..s..s..w..o..r..d..=..*..*..*..*..*..*..

¿Por qué?

Por que El formato bmp tiene esa característica. Los bytes que vemos, esta intimamente relacionados, con los PIXELES que tiene la imagen. Asi si vemos en el editor hexadecimal, donde esta la “p” tiene un valor de byte de “70″ luego siguen dos puntos que son “00 y 00″ despues esta la “a” con otros dos puntos que tiene valores “61 00 00″ Si esos primeros 6 valores (70 00 00 61 00 00) los convertimos a decimal nos da: (112 0 0 97 0 0) ¿Los reconoces? Claro!!! Son los valores RGB ^^ Nada mas que aqui estan en hexadecimal, pero al imprimirlos en ASCII sale la respuesta por eso…

Aqui el autor del reto, no tuvo cuidado de eso. Hubiera sido mejor elegir otro tipo de formato(como PNG. JPG, o GIF), donde no estaria este BUG.

Bueno eso es todo. Creo que me extendi un poco. jeje Esque aqui explique mucho, pero en si no hago todo eso parte por parte, sino que ya lo hago automaticamente, por mi experiencia en esto, de hecho el reto lo resolvi en “5 minutos”. De hecho me tarde mas en hacer el script que en encontrar el metodo esteganografico.

Espero esto masomenos les de una idea de como se resuelve…oh mas bien…como resuelvo YO (hecky) los retos…

Resumen para buscar en una IMAGEN:1.Ver formato y cabecera
2.Al ver el formato, enfocarse en las tecnicas mas usuales a ese formato
3.Analisis con editor hexadecimal
4.Ver colores

Y Que con esto LOGRE IMPULSAR que resuelvan RETOS DE ESTEGANOGRAFIA, en los diferentes WARGAMES que hay o los que publico aqui como vieron no son dificiles. Solo hay que dedicarnos un poco.

Saludos

Att. hecky para Neobits.org

Bueno como por ahora me veo imposibilitado de poner mas tutos, por falta de tiempo y debido a que mis tutos llevan muchas imagenes e intento explicarlos detalladamente, mientras es la espera a que saque nuevos tutos, decidi dejarles unos RETOS, puesto que yo creo que ya aprendieron bastante, dejare retos de lo visto, desde nivel basico, intermedio/avanzado y otro reto extra pero para ver si alguien lo logra.

IMPORTANTE:

DEN CLICK AL NOMBRE DEL RETO PARA QUE ACCEDAN BIEN AH EL; Y DE AHI BAJAN LA IMAGEN o LO QUE SEA, NO LO BAJEN DIRECTO DE LO QUE VEN AQUI

Los que tengan todas las respuestas(excepto el reto extra que es de nivel ALTO) mandenme un mail con las respuestas para que publique su nombre de quien ah pasado los retos. Si alguien pasa el Reto extra aviseme.

Asi que ahi les van:

1.-Evolucion Geek:

2.-AMOR binario

3.- Caricatura hecky

4.-Vacio

5.- Tan facil????

6.-Pocos colors Colores

RETO EXTRA!!!

7.-¿Que distro Uso???

El que Resuelva el reto extra(que todo mundo querra resolver primero), mandeme un mail con su metodo. Ademas quien lo resuelva se llevara una grata sorpresa en el propio reto!!!!

Saludos y ojala lo aprovechen

___________________________________________________________________________________

PERSONAS QUE HAN RESUELTO LOS PRIMEROS 6 RETOS:

.-URBAN77

.-OverDrivejt

.-Servant

.-danielhb8705

.-kmykc

___________________________________________________________________________________

PERSONAS QUE HAN RESUELTO EL RETO EXTRA (7):

.-HaDeS

.-danielhb8705

.-Pco

.-kmykc