Forense (XXII): Solución Reto CyberCamp 2018 "Vacaciones"

En este post la solución a uno de los retos de análisis forense de Cybercamp 2018 Online.

Este reto tiene el título "Vacaciones" y mi valoración sobre su dificultad es ★★★★☆.

Su enunciado dice lo siguiente:

Por orden de un juez, se ha intervenido un equipo en casa de un sospechoso ciberdelincuente, por suerte su portátil aún se encontraba encendido cuando se produjo la detención. Se sabe que ha intentado eliminar pruebas, pero creemos que aún es posible obtener alguna. ¿Cuál era su nick en la red? (Respuesta: flag{NICK}).

Como recursos asociados al reto se proporcionan dos archivos: volume.bin y dump.elf  

Solución: Comienzo por el primero de los archivos, que parece ser una imagen o volcado de un disco, y lo monto con la herramienta ‘FTK Imager’:

Y pide que se formatee el disco para poder usarlo, por lo que no reconoce su contenido.

Añado la imagen (volume.bin) como evidencia en la herramienta ‘FTK Imager’:

Y veo que el volumen está cifrado usando LUKS (del inglés, ‘Linux Unified Key Setup’), una especificación de cifrado estándar originalmente destinado para Linux pero actualmente multiplataforma. En concreto el algoritmo de cifrado utilizado es AES en modo de operación CBC.

Lo siguiente que hago es utilizar ‘kpartx’ para detectar las particiones de la imagen de disco (volume.bin) y generar en /dev/mapper/loopXpX los mapeos necesarios para poder montarlas como si fueran particiones en un disco real: $ sudo kpartx -a -v volume.bin

Ahora puedo utilizar ‘cryptsetup’ para obtener más información sobre el cifrado de la partición: $ sudo cryptsetup luksDump /dev/mapper/loop0p1

Se trata de un cifrado AES con una clave de 128 bits.

Ahora me centro en el otro archivo que se proporciona (dump.elf). Por su extensión podría tratarse sólo de un ejecutable de Linux y así parece confirmarlo 'file', pero por su nombre, su tamaño, lo que de él se extrae con ‘binwalk’ (muchísimas más cosas que un archivo .elf) y porque en el enunciado se dice que: “por suerte su portátil aún se encontraba encendido cuando se produjo la detención”, bien podría tratarse de un volcado de la memoria del portátil del ciberdelincuente.

Si es así, puedo utilizar ‘aeskeyfind’ para intentar localizar claves AES de 128 y 256 bits en la imagen de memoria capturada:

Y tal  y como se muestra en la figura anterior, se obtienen dos claves: la primera de 256 bits y la segunda de 128 bit. Como antes he llegado a la conclusión de que se trata de un cifrado AES de 128 bits, la clave maestra correcta es la segunda.

Ahora utilizo 'cryptsetup' para descifrar la partición, pero para ello previamente debo convertir la clave hallada de hexadecimal a binario:

$ echo "84 bc d9 8c fc f2 de db 26 06 35 bf ca a9 a4 7d" | xxd -r -p > key

$ sudo cryptsetup --master-key-file key luksOpen /dev/mapper/loop0p1 volume_descifrado

A continuación monto la partición: $ sudo mount /dev/mapper/volume_descifrado /mnt, pero no veo contenido; ya decía el enunciado que “Se sabe que ha intentado eliminar pruebas”:

No obstante, si su contenido no ha sido sobrescrito podré recuperarlo.

Para intentar recuperar el contenido utilizo 'scalpel'; una herramienta rápida de ‘file carver’ que extrae los archivos que coinciden con determinadas cabeceras y finales: $ sudo scalpel -v /dev/mapper/volume_descifrado

Y veo que ha extraído un archivo comprimido (00000000.zip), pero está protegido con una contraseña.

Intento 'crackear' la contraseña del archivo .zip con 'John the Ripper'.

zip2john 00000000.zip > 00000000.hash

john --wordlist=rockyou.txt 00000000.hash

Accedo al contenido del archivo.zip y en el archivo secret.txt, utilizando la contraseña obtenida (iloveyou), puedo ver la flag o solución a este reto:

En el enunciado se solicita que se dé la respuesta en formato flag{NICK}, por lo que la solución es: flag{_Z3R0.C00L!_}