 |
| cyberdefenders.org |
Escenario:
Spotlight es un desafío forense de imágenes de MAC OS en el que puede evaluar sus habilidades DFIR frente a un sistema operativo que normalmente encuentra en las investigaciones de casos actuales como miembro del equipo azul de seguridad.
Preguntas
1.- ¿Qué versión de macOS se está ejecutando en esta imagen?
Para obtener la versión macOS que se está ejecutando se debe analizar el archivo SystemVersion.plist. Este archivo se encuentra en la siguiente ruta FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina [volume_4]/root/System/Library/CoreServices.
2.- ¿Sobre qué "ventaja competitiva" mintió Hansel en el archivo AnotherExample.jpg? (dos palabras)
La imagen contenía un mensaje oculto. Esta técnica de ocultar texto (mensaje) dentro de una imagen se conoce como esteganografía.
3.- ¿Cuántos marcadores (BNookmarks) están registrados en Safari?
Para encontrar el número de marcadores se debe analizar el archivo Bookmarks.plist, que se encuentra en el directorio FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina - Data [volume_0]/root/Users/hansel.apricot/Library/Safari. Como este archivo es un archivo binario de Apple, utilizaré la herramienta plistutil para obtener la información en formato XML.
Aquí la propiedad del archivo que nos interesa es la propiedad URLString que almacena las url de las páginas web.
Por último, ejecutamos el siguiente comando plistutil -i Bookmarks.plist |grep URLString |wc -l
para obtener el número total de marcadores registrados en Safari.
El contenido de la nota se encuentra en el archivo de base de datos sqlite llamado NoteStore.sqlite, ubicado en el directorio FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina - Data [volume_0]/root/Users/hansel.apricot/Library/Group Containers/group.com.apple.notes.
Con la herramienta sqlitebrowser analizaremos la base de datos, específicamente la tabla llamada ZICCLOUNDSYNCINGOBJECT y las columnas ZTITLE1, ZSNIPPER.
Nota: La pregunta es un poco engañosa debido que la nota titulada password está vacía, por lo tanto, el único contenido de la nota titulada password, es su titulo.
5.- Proporcione la dirección MAC del adaptador Ethernet para esta máquina.
Para encontrar la dirección MAC del adaptador ethernet, utilizaré la utilidad grep de Linux de la siguiente manera.
6.- Nombra la URL de datos del elemento en cuarentena.
Los elementos en cuarentena se encuentran en el directorio FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina - Data [volume_0]/root/Users/sneaky/Library/Preferences en el archivo com.apple.LaunchServices.QuarantineEventsV2, este archivo es un archivo de base de datos sqlite. Para analizar este archivo utilizaré la herramienta sqlitebrowser.
7.- ¿Qué aplicación intentó instalar el usuario "sneaky" mediante un archivo .dmg? (una palabra)
Para encontrar la respuesta a esta pregunta, lo que hice es moverme al directorio raíz y ejecutar la utilidad Linux find . -name "*dmg" .
8.- ¿Cuál fue el archivo que se cambió el nombre a 'Examplesteg.jpg'?
Para responder a está prengunta debemos analizar el archivo oculto fseventsd que esta hubicado en el directorio FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina - Data [volume_0]/root/. El archivo fsevents se encuentran en la raíz de cada volumen macOS, estos archivos rastrean los cambios realizados en los archivos o carpetas del volumen. Estos registros pueden indicarle si los archivos y carpetas se han movido, eliminado, creado, montado, etc.
Utilizaré la herramienta mac_apt para poder analizar los archivos fsevent. mac_apt es una herramienta DFRI para procesar imágenes de disco de computadoras Mac y extraer datos y metadatos útiles para la investigación forense. Para este caso utilizaré el plugins FSEVENTS, para leer y parsear los archivos FSEVENTS.
En sistemas macOS existe una utilidad llamada SCREENTIME, que sirve para monitorear el tiempo de actividad e inactividad de los programas que se utilizan en la computadora. Por lo tanto, para responder esta pregunta utilizaremos este artefacto para obtener el tiempo que se dedicó a mail.zoho.com.
El archivo que nos interesa es RMAdminStore-Local.sqlite, que se encuentra en el directorio FruitBook.E01_Partition 2 [102071MB]_[APFS Container] (5_5) [APFS]/macOS Catalina - Data [volume_0]/root/private/var/folders/bf/r04p_gb17xxg37r9ksq855mh0000gn/0/com.apple.ScreenTimeAgent/Store/
Para analizar el archivo utilizaremos la herramienta mac_apt.
el resultado de ejecutar esta herramienta es un archivo en formato sqlite. Por lo tanto, utilizaré la herramienta sqlitebrowser para analizar el archivo.
Como se observa en la imagen el día 4/20/2020 se utilizó dos veces mail.zoho.com, basta con sumar los datos de la columna Total_Time del día 4/20/2020, para responder la pregunta.
10.- ¿Cuál es la pista de contraseña de hansel.apricot? (dos palabras)
La pista (hint) se puede encontrar en el archivo hansel.apricot.plist. Para analizar el archivo utilizaré la herramienta plistutil.
11.- El archivo principal que almacena los iMessages de Hansel tuvo algunos cambios de permisos. ¿Cuántas veces cambiaron los permisos?
iMessage es un servicio de mensajería seguro que se utiliza que se utliza para enviar y recibir mensajes en los dispositivos Mac. Los mensajes se almacenan en el archivo chat.db, que es un archivo de tipo sqlite. Para obtener la respuesta a esta pregunta debemos analizar el archivo FsEvents anteriormente utilizado (ver pregunta n° 8).
12.- ¿Cuál es el UID del usuario responsable de conectar los dispositivos móviles?
El proceso encardo de conectar los dispositivos es Lockdown, que es una funcionalidad implementada en macOS desde la versión iOS 16 o posterior, iPadOS 16 o posterior, watchOS 10 o posterior y macOS Ventura o posterior. La principal función de esta funcionalidad es de proteger los dispositivos de ataques cibernéticos extremadamente raros y altamente sofisticados. Para más información compartiré los siguientes enlaces.
- Acerca del modo de bloqueo
- Lockdown Mode: ¿Qué es y cómo funciona esta función de protección en Apple? | Quantips and Tricks
Para encontrar la respuesta a nuestra pregunta utilizaré la utilidad grep de Linux, para realizar una búsqueda en los diferentes directorios de lockdown.
En la pregunta n° 6 observamos que MacOs registro la url https://fut....., en cuarentena, si abrimos la url en el navegado podemos darnos cuenta que es una herramienta de esteganografía.
14.- ¿Qué se escribió exactamente en la barra de búsqueda de Spotlight el día 4?
Spotlight es una utilidad para buscar utilidades en Mac, para buscar archivos, aplicaciones o correos electrónicos. Para responder a esta pregunta realizare una búsqueda con la utilidad grep de Linux.
Al realizar la búsqueda encontré la librería com.apple.Spotlight, por lo tanto, realizaré una nueva búsqueda con la utilidad find de Linux, esta vez utilizado com.apple.Spotlight.
Encontré la ruta donde se encuentra el directorio com.apple.Spotlight. ahora me moveré a al directorio para ver su contenido.
Aquí el archivo que nos interesa es com.apple.spotlight.Shortcuts. Analizaré el archivo con la utilidad cat de Linux.
15.- ¿Cuál es el UUID de usuario de Open Directory de hansel.apricot?
Utilizaré la utilidad find para encontrar el archivo hansel.apricot.plist.
Happy Hack!!!
Comentarios
Publicar un comentario