Análisis del SOTM 24

Análisis del SOTM 24 (Octubre 2002)

Honeynet Project Scan of the Month
Número 24, Octubre 2002
Análisis de TageTora <tagetora@users.sourceforge.net>
3 de Octubre del 2002

Introducción.
Herramientas.
Procedimiento.
Preguntas.
Enlaces.

Introducción

Este mes, en el Sotm de Octubre del 2002 (sotm24), el reto consiste en analizar una imagen de un disquete mediante técnicas forenses para así poder responder a una serie de preguntas. La imagen se encuentra comprimida en el fichero image.zip, además se nos proporciona un informe de la policía. El disco pertenecía a un tal Joe Jacobs. Este tal Joe intentó vender marihuana frente al instituto Smith Hill a un policía de incógnito, así que fué detenido. En el registro de su casa se encontró un disquete, del cual la policía ha sacado una imagen para ser analizada. Se pide que analicemos la imagen del disquete para así poder responder a una serie de preguntas sobre Joe, sus ventas y sus distribuidores.

Herramientas

Resumen de las herramientas utilizadas durante el análisis. La mayoría de las herramientas són de carácter general (editores, visores, etc...) así que aparecen acompañados del programa utilizado en concreto para este análisis.

Editor Hexadecimal (UltraEdit-32).
Manual de FAT12.
Visualizador JPEG (ACDSee).
Microsoft Word.
Utilidad ZIP (Winzip).
Microsoft Excel.

Procedimiento

Editamos el fichero imagen, y lo primero que reconocemos són las marcas "MSDOS5.0" y "FAT12". Podriamos comprobarlo con algún programa de análisis forense, pero aquí no lo vamos a hacer. Efectivamente es una imagen FAT12, así que aydándonos de un manual (para este caso, recomiendo uno de Alex Verstak sobre la estructura de directorios) localizamos la entrada del directorio raiz, que se encuentra a partir del offset 2600h. Analizaremos cada uno de los archivos que se encuentran aquí, tenemos tres: Jimmy Jungle.doc(JIMMYJ~1.DOC), cover page.jpg (COVERP~1.JPG) y ScheduledVisits.exe (SCHEDU~1.EXE). Veamos sus atributos principales:

Jimmy Jungle.doc

Nombre: åIMMYJ~1.DOC
Atributos: 20h (Archivo)
Case: 00 (Sólo para NT, indica que aparecerá en minúsculas)
Creado: el 05/06/2025 a las 06:02:14.104
Ultimo acceso: el 05/06/2025
MSW del cluster: 00 00 (Most Sign. Word)
Modificado: el 17/??/2024 a las 21:59:18
LSW del cluster: 02 00 (Low Sign. Word)
Tamaño: 5000h (20480 bytes)
Nombre largo: Jimmy Jungle.doc
    Atributo: 0Fh
    Checksum alias: BCh

Nota: Este fichero ha sido borrado, esa es la causa de que su nombre empiece con el carácter E5h.

cover page.jpg

Nombre: COVERP~1.JPG
Atributos: 20h (Archivo)
Case: 00 (Sólo para NT, indica que aparecerá en minúsculas)
Creado: el 05/06/2025 a las06:42:18.109
Ultimo acceso: el 05/06/2025
MSW del cluster: 00 00 (Most Sign. Word)
Modificado: el 05/06/2025 a las 03:18:54
LSW del cluster: A4 01 (Low Sign. Word)
Tamaño: 3CE1h (15585 bytes)
Nombre largo: cover page.jpgc
    Atributo: 0Fh
    Checksum alias: F4h

Scheduled Visits.exe

Nombre: SCHED~1.EXE
Atributos: 20h (Archivo)
Case: 00 (Sólo para NT, indica que aparecerá en minúsculas)
Creado: el 05/06/2025 a las 03:26:24.083
Ultimo acceso: el 05/06/2025
MSW del cluster: 00 00
Modificado: el 23/??/2024 a las 02:02:36
LSW del cluster: 49 00
Tamaño: 3E8h (1000 bytes)
Nombre largo: Scheduled Visits.exe
    Atributo: 0Fh
    Checksum alias: 9Eh

Ahora procederemos a la extracción de los archivos, primero "Jimmy Jungle.doc", que empieza en el offset 4200h de la imagen, con una longitud de 5000h. El siguiente ("cover page.jpgc") empieza en el offset 9200h (4200h + 5000h) y tiene una longitud de 3CE1h. El último empieza en D000h, con lo que podemos ver que entre el final del segundo (9200h + 3CE1h = CEE1h) y el principio del primero tenemos un hueco. Con la extracción de este último tenemos un pequeño problema, y es que su tamaño no es de 1000 bytes, es mayor (unos 2400 bytes).

Revisión de los ficheros.

Ahora vamos a ver el contenido de los ficheros recuperados, en busca de la información necesaria que nos ha pedido la policía.

Jimmy Jungle.doc

Es una carta en formato Microsoft Word del sospechoso Joe Jacob dirigida a Jimmy en la que habla de lo buena que es la marihuana de Jimmy y de sus negocios en los institutos. Menciona un fichero que al parecer está protegido con contraseña, este fichero debe contener los horarios de distribución de marihuana de Joe Jacobs.

cover page.jpgc

Fichero JPG que según unas palabras de Joe en el documento anterior es la portada de la High Times Magazine. En esta portada se hace referencia a Jimmy Jungle como el mejor cultivador, vendedor y fumador de marihuana del mes.

Schedule Visits.exe

Este fichero tiene truco, no es un ejecutable. Si observamos su cabecera veremos que empieza por "PK...", así que es un archivo comprimido con ZIP. Si lo abrimos veremos que contiene una hoja de cálculo Microsoft Excel protegida mediante contraseña. ¿Cuál es la contraseña? Según el primer documento, en palabras de Joe: "Para abrirlo, usa la misma contraseña que me enviaste antes con aquel archivo". El único archivo del que tenemos constancia que Jimmy envió a Joe es el "cover page.jpgc", y si recordamos, al final de este tenemos un hueco que podría formar parte del archivo. En algunos formatos, el exceso de datos no afecta a la visualización del archivo, y este tipo de ficheros suelen usarse para ocultar datos y realizar una especie de esteganografía. De echo, si miramos el contenido del supuesto "hueco" veremos una cadena como la siguiente: "pw=goodtimes". Utilizando esta contraseña podremos descomprimir la hoja de cálculo con éxito ("Scheduled Visits.xls") y comprobar los horarios y sitios de venta de Joe Jacob.

Preguntas

1.-¿Quién es el proveedor de marihuana de Joe Jacob y cuál es la dirección del proveedor?

El proveedor se llama Jimmy Jungle. Su dirección completa, tal y como figura en el encabezado de la carta que escibió Joe es:

Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111

2.-¿Qué datos cruciales están disponibles dentro del fichero coverpage.jpg y porqué estos datos son cruciales?

Dentro del fichero JPG se encuentra la contraseña válida para descomprimir el fichero "Schedule Visits.exe/zip". Es importante ya que nos permite informar a la polocía de fechas y lugares donde actuaba Joe Jacobs.

3.-¿Qué otros institutos además del Smith Hill frecuenta Joe Jacob?

A partir del fichero "Scheduled Visits.xls" podemos afirmar que frecuenta 5 institutos más:

Key High School (B)
Leetch High School (C) 
Birard High School (D)
Richter High School (E)
Hull High School (F)

4.-Para cada fichero, ¿que medidas fueron tomadas por el sospechoso para ocultarlos?

Jimmy Jungle.doc: Este fichero había sido borrado, aunque pudo ser recuperado debido a que sus datos no habían sido sobreescritos.

cover page.jpgc: No parece que se intentara ocultar este archivo de ninguna forma.

Schedule Visits.exe: Se tomaron dos medidas, comprimir el contenido protegiéndolo con contraseña y después cambiarle la extensión para que no pareciera un fichero comprimido (.zip) sino un ejecutable (.exe).

5.-¿Qué procedimientos has usado para examinar de forma satisfactoria los contenidos de cada fichero?

Todos los ficheros fueron extraidos, como hemos comentado anteriormente, a partir de la estructura de directorio FAT12, concretamente mediante un editor hexadecimal.

Jimmy Jungle.doc: Visualizado con el Microsoft Word.

cover page.jpgc: Puede examinarse con cualquier programa de edición o visualización de gráficos. Para extraer la contraseña almacenada en texto llano se utilizó un editor hexadecimal.

Schedule Visits.exe: Se examinó la cabecera mediante un editor hexadecimal, se descomprimió con el Winzip y se visualizó con el xlsview (plug-in para visualizar documentos Office).

Bonus: 6.-¿Qué programa de Microsoft se utilizó para crear el fichero "Cover Page"?. Qué pruebas tienes (La prueba es la clave para tener bien esta pregunta, no simplemente adivinando).

La forma de averiguarlo es editando el fichero jpg y buscando las marcas de la aplicación. En el formato JPEG/JFIF, las marcas introducidas por la aplicación deben ir detrás de la cabecera APP0 ("JFIF" en nuestro caso) o precedidas de los bytes "FF FE" (bloque de comentarios). En el fichero jpg recuperado de la imagen del disquete no hay ninguna marca de este tipo (no iba a ser tan fácil). Según nos dice la pregunta, el fichero ha sido creado mediante una aplicación de Microsoft, pero de las que vienen por defecto en una instalación de Windows no pueden ser (Imaging sólo visualiza y el Paint no trabaja con jpeg). Podemos descartar cualquier aplicación de retoque fotográfico como Photoshop o el Paint Shop Pro, ya que estas aplicaciones dejan marcas/comentarios. Sólo quedan dos tipos de software en el que parece no guardarse este tipo de bloques: los conversores de formatos gráficos y las aplicaciones de escaneo de imágenes. Podeis hacer la prueba, convertid un fichero BMP,GIF,PNG... a JPG mediante cualquiera de estos programas y podreis ver que no se generan bloques de comentarios. Del mismo modo, las imágenes escaneadas que he revisado (unas 80) tampoco poseen bloques de comentario.

Así pues, sólo nos quedaría revisar qué software de este tipo genera ficheros JPG/JFIF marcados con la versión 1.1 (sacado de la cabecera APP0). Lamentablemente, no poseo la suficiente información como para elegir un programa en concreto.

Enlaces.

Recopilación de los enlaces aparecidos en este texto:

Estructura de directorios FAT
Jimmy Jungle.doc
cover page.jpg
Scheduled Visits.exe
informe de la policía.
imagen del disquete.
UltraEdit-32.
ACDSee.
Microsoft Word.
Winzip.

TageTora <tagetora@users.sourceforge.net>
His Project: http://his.sourceforge.net
4 de Octubre del 2002.