16 abr. 2012

[Forensic FOCA] Análisis Forense de Metadatos

Ya muchos conocemos la FOCA, herramienta por excelencia de footprinting y fingerprinting (Reconocimiento) que funciona buscando en Google y Bing los archivos de una web con extensión: *.doc,*.ppt,*.pps, *.xls, *.docx, *.pptx, *.ppsx, *.xlsx. *.sxw, *.sxc, *.sxi, *.odt, *.ods, *.odg, *.odp, *.pdf, *.wpd, *.svg, *.svgz, *.indd, *.rdp, *ica  , luego los descarga para buscar todo tipo de metadatos que existan (usuarios, impresoras, software usado, sistema operativo, servidores, etc...) en estos archivos (que por lo general son muchos), y con eso hacer un excelente mapeo del sistema.

Ahora el equipo de Informática 64 ha sacado una nueva herramienta llamada Forensic FOCA que es una herramienta orientada para analistas forenses, que contando con la imagen o respaldo de un disco duro de un computador se puedan analizar todos los documentos ofimáticos que hayan en este, extraer los metadatos y generar una línea de tiempo con fecha de creación, fecha en el cual fueron editados, impresos, que usuario realizó dichas tareas; también en el análisis se especifica software encontrado, sistema operativos, carpetas, mails, impresoras, servers, etc... Mucha información de utilidad que expone datos sensibles y que nos sirve para un buen análisis del equipo.



La herramienta es capaz de analizar los metadatos de una larga lista de formatos que se listan a continuación:

  • Microsoft Office 2007 y posterior (.docx, .xlsx, .pptx, .ppsx)
  • Microsoft Office 97 al 2003 (.doc, .xls, .ppt, .pps)
  • OpenOffice (.odt, .ods, .odg, .odp, .sxw, .sxc, .sxi)
  • Documentos PDF
  • Información EXIF de imágenes JPG
  • WordPerfect (.wpd)
  • Imágenes SVG
  • Documentos de InDesign (.indd)

Bueno, y gracias a los chicos de Informática 64 he podido testear la versión 1.0 de Forensic FOCA, la cual probé y ahora hago un pequeño tutorial de uso:

Para realizar un análisis con Forensic FOCA debemos primero, como dije arriba, tener una imagen o respaldo de un equipo (no es como la FOCA que descargábamos el contenido de la misma web), en mi caso no tengo una imagen o respaldo, pero tengo una recopilación de archivos del famoso INTECO (Instituto Nacional de Tecnologías de la Comunicación) que voy a analizar.

Abrimos el Forensic FOCA y rellenamos los campos para empezar un nuevo proyecto:


Nos pide la carpeta donde se encuentran los archivos que queremos que sean analizados, en mi caso es la carpeta donde tengo la recopilación de archivos de INTECO:


Aquí elegimos si queremos analizar documentos ofimáticos, imágenes o los dos:


Elegimos el algoritmo de encriptación que deseemos, esto sirve para después identificar a cada archivo con un único hash:


Y listo, empieza a analizar todos los archivos de la carpeta indicada, podemos ver como a la derecha están los archivos por extensión y con su hash de identificación, a la izquierda tenemos tenemos todos los metadatos capturados:


Dentro de los metadatos se encuentra: usuarios, carpetas, impresoras, software, emails, Sistemas Operativos, Passwords y Servers. Aquí por ejemplo se ven los usuarios que crearon los respectivos archivos:


La información que yo considero más importante es la recopilación de software encontrado en los metadatos, ya que es tan simple como buscar en alguna base de datos de exploits a ver si existe una vulnerabilidad para la versión del programa instalado en el equipo.


En (1) podemos ver la "linea de tiempo" de los archivos con fechas de creación, de edición y de impresión, en (3) podemos ver los usuarios encontrados anteriormente y para dotar de mayor flexibilidad a un analista forense, se puede en (2) filtrar por fechas, por usuario, por documentos, por tipo de eventos o por una combinación de ellas.


Por último puedes exportar toda la información obtenida en archivos XML o HTML para utilizar dicha información posteriormente, así como para imprimirla. 

 Para ser una versión 1.0 se ve prometedora, si les ha gustado pueden visitar la web de Forensic FOCA y descargar la versión de evaluación que funciona sólo con un tipo de documento, y si les convence, pueden comprarse la versión completa a 20 €.

[+] Salu2
[+] Zion3R

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.