Cyberdefenders LGDroid Walkthrough - Solution

Escenario

Nuestro equipo de IR realizó un volcado de disco del teléfono Android. Como analista de soc, analice el volcado de disco y responda las preguntas proporcionadas.

Preguntas

¿Cuál es la dirección de correo electrónico de Zoe Washburne?

La dirección de correo electrónico es: zoewash@0x42.null. La información se obtuvo de la base de datos contacts3.db en el directorio c51-OreoAnalyst/Agent Data/contacts3.db. Y la herramienta SQLiteBrowser.

¿Cuál era la hora del dispositivo en UTC en el momento de la adquisición (hh:mm:ss)?

La hora del dispositivo al momento de la adquisición es: 18:17:56. La información se obtuvo del archivo device_datetime_utc.txt. ubicado en el directorio c51-OreoAnalyst/Live Data/device_datetime_utc.txt.

¿A qué hora se descargó Tor Browser en UTC (hh:mm:ss)?

Tor browser se descargó a las 19:42:26. La información se obtuvo de la base de datos downloads.db. Y la herramienta SQLiteBrowser.

Cabe mencionar, la hora que se muestra es en formato timestamp. Para obtener la hora en formato HH:MM:SS se utilizó la herramienta Epoc Converter.

¿A qué hora se cargó el teléfono al 100 % después del último reinicio? (hh:mm:ss)?

La hora que el teléfono se cargó 100% después del reinicio fue: 13:17:20. La información se obtuvo del archivo batterystats.txt ubicado en el directorio c51-OreoAnalyst/Live Data/Dumpsys Data/batterystats.txt.

¿Cuál es la contraseña del punto de acceso WIFI conectado más recientemente?

El punto de acceso WIFI conectado más reciente es: ThinkingForest!. La información se obtuvo del archivo com.android.providers.settings. Ubicado en el directorio c51-OreoAnalyst/apps/com.android.providers.settings/k/com.android.providers.settings.data.

¿En qué aplicación se centró el usuario en 2021-05-20 14:13:27?

El usuario se centró en la aplicación de Youtube. La información se obtuvo del archivo usage_stats.txt. Ubicado en el directorio c51-OreoAnalyst/Live Data/usage_stats.txt.

¿Cuánto tiempo vio Youtube el sospechoso el 2021-05-20? (hh:mm:ss)?

El sospechoso estuvo 08:34:29. La información se obtuvo del archivo usage_stats.txt. Ubicado en el directorio c51-OreoAnalyst/Live Data/usage_stats.txt.

Aunque la evidencia muestra que el usuario estuvo 08:34:29, la respuesta correcta es 08:34:30.

suspicious.jpg: ¿Cuál es la métrica de similitud estructural de esta imagen en comparación con una imagen visualmente similar tomada con el teléfono móvil? (#.##).

Para responder esta pregunta debemos hacer un poco de análisis. Cuando de un dispositivo Android se toma una foto con la cámara, este se guarda con el formato fecha_hora.jpg. Por ejemplo, 20210429_151804.jpg. 

Con la herramienta exiftools analizaremos el archivo suspicious.jpg.

Como se observa en la imagen la fecha de creación es 2021-04-29 15:15:35. Por lo tanto, buscaremos en el directorio DCIM/Camera alguna foto con el siguiente formato  20210429_ 151535.jpg.

Ahora debemos determinar la métrica de similitud entre los archivos suspicious.jpg y  20210429_ 151535.jpg. Para realizar esta tarea utilizaremos la herramienta pyssim.

La similitud estructural es 0.99.

Happy Hack!!!