Você está na página 1de 11

Informe Tcnico

Tercer Reto Forense


Organizado por la Comunidad DragonJAR
Ekoparty 2010

Facundo de Guzmn
fdeguzman@ribadeohacklab.com.ar
Buenos Aires, Argentina
17 de Septiembre de 2010

www.ribadeohacklab.com.ar

1- Introduccin
En este informe se procede a detallar los procedimientos llevados a cabo para determinar la
causa del deceso del hacker Carlos Moreno (alias Black0x).

2- Escenario
0xBlack, un reconocido Hacker Black Hat de la scene Underground, fue encontrado muerto
colgado del techo de su apartamento, por investigadores que lo tenan como principal
sospechoso en un delito de espionaje industrial realizado a la empresa PlanEx.
El reto consisti en:
Determinar si 0xBlack realmente se suicido
Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara
Si fue un homicidio, determinar el autor y el motivo por el cual se cometi el asesinato
Recuperar la informacin robada a la empresa PlanEx

3- Recoleccin de datos
I. Escena del crimen
Ribadeo fue contactado por el fiscal encargado Jorge Rodrguez para participar en la
investigacin pocas horas despus de que el cuerpo fue descubierto. Un investigador forense
fue enviado al departamento del difunto donde encontr la computadora del mismo encendida.
Se procedi a hacer una imagen en vivo de la mquina donde se transfiri el estado de la
misma a una imagen virtual.

II. Fijacin y embalaje de la evidencia


a. Se formateo un disco externo a bajo nivel utilizando herramientas provistas por el
proveedor del mismo.
b. Se tomo el estado vivo de la mquina en una image virtual formato en VMWare
mediante la herramienta V2PC provista por Vmware.
c- La imagen virtual fue almacenada en el disco externo dentro de un archivo de
compresin RAR llamado 'reto_eko.rar' protegido bajo password.
d- Se tomo fingerprint del archivo mediante hash SHA-256:
a7910944d0601ae24292ba9286ca16b1d8e486e71bd574bd198c1705be709ca7
El fingerprint fue registrado en el registro de evidencias.
e- Se hizo una copia del disco la cul fue usada para el anlisis en el laboratorio de
Ribadeo. El original fue guardada en un computador aislado y protegida fsicamente.

III. Devolucin de la evidencia


Una vez terminado el proceso la computadora fue apagada y luego encautada por la divisin
de polica presente en la escena del crimen.

4. Entorno del anlisis


Para realizar el anlisis de la imagen virtual de la mquina de Carlos Moreno se utilizo el
sistema operativo Gentoo linux, adems de las siguientes herramientas:

photorec
PhotoRec is file data recovery software designed to recover lost pictures from digital camera
memory or even Hard Disks. It has been extended to search also for non audio/video headers

Vmware Workstation
A software that allows you to create a virtual machine, configure, and implement features
common to the desktop environment.

5- Anlisis de la Evidencia y descripcin de los hallazgos


Luego de cargar la imagen en Vmware se realizaron los siguiente pasos:
a- Al momento de analizar el sistema nos encontramos con un documento abierto
donde el 0xBlack expresa su deseo de cometer suicidio

b- Al verficar la metadata del mismo notamos una discrepancia en el autor del


documento

Segn el reporte oficial el alias hacker de Carlos Moreno era 0xBlack por lo que
suponemos que 0xTrugoy es un tercero (presuntamente de apellido Nieto).
Adems podemos apreciar en la metadata que la creacin del documento fue
muy cercana al momento del supuesto suicidio.
mimetype - application/msword
language - U.S. English
paragraph count - 2
line count - 22
template - Normal.dot
generator - Microsoft Office Word
creation date - 2010-09-06T00:33:00Z
word count - 163
page count - 1
last saved by - Familia Nieto
character count - 657
title - Despedida
subject - Despedida
date 2010-09-06T02:29:00Z
creator - 0xTrugoy

c- Dentro del sistema tambin encontramos un cliente de IRC por lo cual procedimos a
analizar sus logs:

d- Dentro de los mismos encontramos varios intercambios entre 0xBlack y 0xTrugoy.


Los mismos estaban encriptados

e- Procedimos a procesar los logs para extraer los intercambios codificados utilizando
un script en python. El script se detalla a continuacin:

f- Durante el anlisis de la escena del crimen notamos carteles sobre la conferencia


ekoparty que contenan un campo cdificado qr.
g- Mediante la herramienta de Android Barcode Scanner se decodifico el cdigo que
resulto ser la locacin de la claves pgp del difunto: C:\Windows\tsuc.log

h- Utilizando las claves se procedi a desencriptar los logs de chat. Dado que solo
contbamos con las claves de 0xBlack solo pudimos desencriptar los intercambios de
0xTrugoy los cuales se detallan a continuacin:
05-09-2010.freenode_2024_Trugoy0x_.log.out
parce bien o que?
05-09-2010.freenode_2033_Trugoy0x_.log.out
muchos problemas, ustede sabe que con ese cuento de la carcel estoy jodido
05-09-2010.freenode_2045_Trugoy0x_.log.out
parce yo se pero la emocion de entrar a ese servidor fue inebitable y pues termine embarrandola
05-09-2010.freenode_2053_Trugoy0x_.log.out
ando con mucho trabajo pero yo saco algo de mi tiempo para que salgamos

me gustaria mucho ir,

05-09-2010.freenode_2122_Trugoy0x_.log.out
no tengo ninguna restriccion, el problema es que ando mal de dinero y por eso
no podria ir

05-09-2010.freenode_2141_Trugoy0x_.log.out
parce muchas gracias, conectese mas seguido para que cuadremos el viaje, estamos en contacto
05-09-2010.freenode_2150_Trugoy0x_.log.out
listo parcfe estamos hablando
06-09-2010.freenode_0013_Trugoy0x_.log.out
ole bien o que?
06-09-2010.freenode_0015_Trugoy0x_.log.out
ahora miro las charlas, le queria comentar que estan ofreciendo un trabajo de espionaje industrial
para la empresa PlanEx
06-09-2010.freenode_0017_Trugoy0x_.log.out
solo hay que robarle un video de la proxima campaa que sacaran al aire, un infiltrado interno dice
que ya esta lista y la competencia quiere tenerla antes de que salga al aire
06-09-2010.freenode_0019_Trugoy0x_.log.out
si si esta confirmado y pagan usd $500.000 por el trabajo
06-09-2010.freenode_0021_Trugoy0x_.log.out
si yo necesito la plata pero yo no quiero volver a meterme en problemas
06-09-2010.freenode_0023_Trugoy0x_.log.out
bueno yo le estoy avisando si quiere mande un correo a 6xg7x9z@gmail.com y ahi le informaran lo que
tiene que hacer y como reclamar el dinero cuando tenga el video
06-09-2010.freenode_0024_Trugoy0x_.log.out
no tranquilo yo no voy a participar, la verdad es que me da miedo, auque estoy muy necesitado de la
plata prefiero estar en libertad no quiero volver a la carcel, eso si le pido que me informe si lo
logra hacer
07-09-2010.freenode_0007_Trugoy0x_.log.out
ole parcero como va
07-09-2010.freenode_0020_Trugoy0x_.log.out
uy parce me alegra mucho que le dieran el trabajo, pero tenga mucho cuidado, por ahi me contaron que
la Russian Business Network tambien esta detras del video, usted sabe como es de peligrosa esa gente
y mas sabiendo que tienen competencia
07-09-2010.freenode_0035_Trugoy0x_.log.out
le agradezco mucha su confianza no lo defraudare usted sabe que cuenta con migo
07-09-2010.freenode_0051_Trugoy0x_.log.out
a mi tambien me gustaria pasar tiempo con mi familia, el problema es que mi trabajo como
desarrollador no me da mucho y tampoco me deja tiempo, me gustaria volver a mis andanzas
pero usted sabe que con ese problema de la carcel me jodio la vida
07-09-2010.freenode_0114_Trugoy0x_.log.out
pues si me dejo muchas cosas que pensar especialmente con el tema de darle bienestar a las
verdaderas personas que importan, voy a meditarlo con la almohada y maana seguimos hablando, me
esta comentando como va con lo del video de PlanEx, quedamos pendientes del viaje argentina
08-09-2010.freenode_1403_Trugoy0x_.log.out
entonces parcero, como va
08-09-2010.freenode_1408_Trugoy0x_.log.out
y eso? que paso, porque tan contento

08-09-2010.freenode_1435_Trugoy0x_.log.out
ok, chao

En los mensajes se puede apreciar el encargo del espionaje. Tambin podemos


ver que la supuesta Russian Business Network tambin esta detrs del video.
i- Dado que no pudimos encontrar ningn video en la mquina suponemos que
ha sido borrado. Mediante la tool photorec procedimos a intentar recuperar
archivos borrados recientemente del disco de la mquina. Si bien no
encontramos el video, tuvimos un hallazgo interesante.
Un archivo de texto f9900576.txt donde podemos apreciar el historial de
navegacin del usuario

Pudimos apreciar que 0xBlack pudo realizar el espionaje y que a su vez el


nombre del video es NCPPE.avi
j- Dado lo encontrado en el punto anterior decidimos investigar el historial de
investigacin del browser Firefox presente en el sistema y pudimos corroborar que
0xBlack envi un email confirmando el xito de la asignacin.

k- Correlacionando la fecha del envo de mail con la fecha del siguiente extracto de
chat:
08-09-2010.freenode_1408_Trugoy0x_.log.out
y eso? que paso, porque tan contento

Podemos asumir que 0xTrugoy supo que el espionaje haba resultado exitoso.

m- Procedimos a analizar el historial de los otros navegadores presentes en el sistema.


Chrome no revelo informacin nueva. Sin embargo, dentro del Internet Explorer
notamos la presencia de un link favorito no funcional llamado PlaEx.

n- Al ver las propiedades del link notamos que sospechosamente tena un tamao
demasiado grande

o- Dado que en el sistema se encontraba instalada la aplicacin TrueCrypt


consideramos la posibilidad de que el mismo fuera una unidad encriptada disfrazada. Al
intentar montar la unidad con dicha aplicacin pudimos confirmar nuestra teora.

p- Dentro de la unidad montada pudimos encontrar el video robado:

Conclusiones de la investigacin
Podemos afirmar que existen grandes indicios que Carlos Moreno no se suicid sino que fue
asesinado. El principal sospechoso es la persona bajo el alias 0xTrugoy. El mismo demuestra:

Que
Que
Que
Que

conoca al sospechoso.
estaba al tanto del delito de espionaje cometido y de su completacin exitosa.
tena un motivo, complicaciones por dinero.
estuvo en la escena del crimen y que falsifico la carta de suicidi de Carlos Moreno.

El apellido del presunto sospechoso podra ser Nieto y pudo o no ser asistido por una
asociacin llamada Russian Business Network.

Você também pode gostar