Caso de vazamento de dados

O objetivo deste trabalho é aprender vários tipos de vazamento de dados e praticar suas técnicas de

investigação.

Visão geral do cenário

A 'Iaman Informant' trabalhava como gerente da divisão de desenvolvimento de tecnologia de uma

famosa empresa internacional OOO, que desenvolveu tecnologias e aparelhos de última geração.

Um dia, em um lugar que 'Mr. Informante 'visitado a negócios, ele recebeu uma oferta da' Spy

Conspirator 'para vazar informações confidenciais relacionadas à mais nova tecnologia. Na verdade,

'Mr.Conspirator 'era um funcionário de uma empresa rival e' Mr. O informante decidiu aceitar a oferta de

grandes quantias de dinheiro e começou a estabelecer um plano de fuga detalhado.

'Sr. O informante fez um esforço deliberado para ocultar o plano de vazamento. Ele discutiu com

'Mr.Conspirador 'usando um serviço de e-mail como um relacionamento comercial. Ele também enviou

amostras de informações confidenciais através do armazenamento em nuvem pessoal.

Depois de receber os dados da amostra, 'Mr. Conspirator 'solicitou a entrega direta de dispositivos de

armazenamento que armazenaram os dados restantes (grandes quantidades de). Eventualmente, 'Mr. O

informante tentou tirar seus dispositivos de armazenamento, mas ele e seus dispositivos foram

detectados no posto de segurança da empresa. E ele era suspeito de vazar os dados da empresa.

No ponto de verificação de segurança, embora seus dispositivos (um cartão de memória USB e um CD)

fossem checados brevemente (protegidos com bloqueadores de gravação portáteis), não havia

evidências de vazamentos. E então, eles foram imediatamente transferidos para o laboratório forense

digital para análise posterior.

As políticas de segurança da informação na empresa incluem o seguinte:

1. Os arquivos eletrônicos confidenciais devem ser armazenados e mantidos nos dispositivos de

armazenamento externo autorizados e nas unidades de rede protegidas.

2. Documentos em papel confidenciais e arquivos eletrônicos podem ser acessados somente dentro do

intervalo de tempo permitido das 10:00 às 16:00 PM com as permissões apropriadas.

3. Dispositivos eletrônicos não autorizados, como laptops, armazenamentos portáteis e dispositivos

inteligentes, não podem ser levados para a empresa.

4. Todos os funcionários são obrigados a passar pelo sistema 'Security Checkpoint'.

5. Todos os dispositivos de armazenamento, como HDD, SSD, cartão de memória USB e CD / DVD são

proibidos pelas regras de 'Security Checkpoint'.

Além disso, embora a empresa tenha gerenciado redes internas e externas separadas e usado soluções

de DRM (Digital Rights Management) / DLP (Prevenção de Perda de Dados) para a segurança de suas
informações, 'Mr. O informante tinha autoridade suficiente para contorná-los. Ele também estava muito

interessado em TI (Tecnologia da Informação) e tinha um leve conhecimento de análise forense digital.

Nesse cenário, encontre qualquer evidência de vazamento de dados e quaisquer dados que possam ter

sido gerados a partir dos dispositivos eletrônicos do suspeito.

Sistemas e dispositivos de destino

Alvo Informação detalhada
Tipo Sistema virtual
CPU 1 processador (2 núcleos)
RAM 2,048 MB
Computador Pessoal
Tamanho do HDD 20 GB
(PC)
Sistema de arquivo NTFS
Endereço de IP 10.11.11.129
Sistema operacional Microsoft Windows 7 Ultimate (SP1)
Tipo Dispositivo de armazenamento removível USB

Mídia Removível # 1 Número de série. 4C530012450531101593

(RM # 1) * Tamanho 4GB
Sistema de arquivo exFAT
Tipo Dispositivo de armazenamento removível USB

Mídia Removível # 2 Número de série. 4C530012550531106501

(RM # 2) Tamanho 4GB
Sistema de arquivo FAT32
Tipo CD-R
Mídia Removível # 3
Tamanho 700 MB
(RM # 3)
Sistema de arquivo UDF
* Pen drive USB autorizado para gerenciamento de arquivos eletrônicos confidenciais da empresa.

Informação de Dados Adquiridos

Computador Pessoal (PC) - Imagem 'DD'
Links para
pc.7z.001 , pc.7z.002 , pc.7z.003 (total de 5,05 GB comprimido por 7zip) - hash
download
Imaging S / W FTK Imager 3.4.0.1
Formato de imagem convertido de VMDK
Computador Pessoal (PC) - Imagem 'EnCase'
Links para
pc.E01 , pc.E02 , pc.E03 , pc.E04 (total de 7,28 GB comprimidos pelo EnCase) -hash
download
Imaging S / W EnCase Imager 7.10.00.103
Formato de imagem E01 (Expert Witness Compression Format) convertido do VMDK
Mídia Removível # 1 (RM # 1) - Imagem 'EnCase'
 Links para
rm # 1.E01 (total de 74,5 MB compactado pelo EnCase) - hash
download
Imaging S / W FTK Imager 3.3.0.5 (bloqueio de gravação pelo Tableau USB Bridge T8-R2)
Formato de imagem E01 (formato de compressão de testemunha especialista)
* O RM # 1 não é necessário para

Mídia Removível # 2 (RM # 2) - Imagem 'DD'

Links para
rm # 2.7z (total de 219 MB comprimido por 7zip) - hash
download
Imaging S / W FTK Imager 3.3.0.5 (bloqueio de gravação pelo Tableau USB Bridge T8-R2)
Formato de imagem DD
Mídia Removível # 2 (RM # 2) - Imagem 'EnCase'
Links para
rm # 2.E01 (total de 243 MB compactado pelo EnCase) - hash
download
Imaging S / W EnCase Imager 7.09.00.111 (bloqueio de gravação pelo Tableau USB Bridge T8-R2)
Formato de imagem E01 (formato de compressão de testemunha especialista)
Mídia Removível # 3 (RM # 3) - Imagem "Raw / CUE"
Links para
rm # 3-type1.7z (total de 92,8 MB compactado por 7zip) - hash
download
Imaging S / W FTK Imager 3.3.0.5
Formato de imagem RAW ISO / CUE (às vezes BIN / CUE) *
* O arquivo ISO RAW é uma cópia binária de setor por setor bruta de faixas no disco original, e o arquivo CUE é um
arquivo de texto simples que armazena as informações de disco e faixas.

Mídia Removível # 3 (RM # 3) - Imagem 'DD'

Links para
rm # 3-type2.7z (total 78.6 MB compactado por 7zip) - hash
download
Imaging S / W FTK Imager 3.3.0.5 + bchunk (http://he.fi/bchunk)
Formato de imagem DD convertido de 'RAW ISO + CUE'
Mídia Removível # 3 (RM # 3) - Imagem 'EnCase'
Links para
rm # 3-type3.E01 (total de 90,2 MB compactado pelo EnCase) - hash
download
Imaging S / W EnCase Imager 7.09.00.111
Formato de imagem E01 (formato de compressão de testemunha especialista)

Informações adicionais sobre dados

Arquivos de sementes
Links para
seed-files.7z (total de 150 MB compactado por 7zip) - hash
download
-
Arquivos de propagação armazenados no RM # 1 e uma unidade de rede compartilhada - Os arquivos
Informações sobre
base para criar arquivos de propagação foram selecionados aleatoriamente no Govdocs1
o arquivo
- A primeira página de cada arquivo de propagação foi adicionada manualmente
- Lista de arquivos de sementes e valores de hash
 Pontos de Prática Forense Digitais
Os seguintes são o resumo dos pontos práticos detalhados relacionados às imagens acima.
Ponto de prática
Entendendo os
tipos de vazamento de dados
Windows Forensics
Forensics do sistema de arquivos
Forense do navegador da Web
E-mail Forense
Banco de dados forense
Recuperação de Dados Excluídos
Análise do Comportamento do Usuário
Descrição
- Dispositivos de armazenamento
> HDD (Hard DiskDrive), SSD (Unidade de Estado Sólido)
> Unidade flash USB, cartões de memória Flash
> CD / DVD (com unidade de disco ótico)
- Transmissão de rede
> Compartilhamento de arquivos, Conexão de Área de Trabalho Remota
> E-mail, SNS (Serviço de Rede Social)
> Serviços em nuvem, Messenger
- Logs de eventos do Windows
- Arquivos e diretórios abertos
- Histórico de uso do aplicativo (executável)
- Registros de gravação de CD / DVD
- Dispositivos externos conectados ao PC
- Rastreamentos de conexão da unidade de rede
- Caches do sistema
- Bancos de dados do Windows Search
- Volume Shadow Copy
- FAT, NTFS, UDF
- Metadados (entrada NTFS MFT, FAT Directory)
- Timestamps
- Registros de transação (NTFS)
- Histórico, Cache, Cookie
- Histórico de uso da Internet (URLs, palavras-chave de pesquisa ...)
- Exame do arquivo MS Outlook
- E-mails e anexos
- Banco de
dados MS Extensible Storage Engine (ESE) - Banco de dados SQLite
- Recuperação baseada em metadados - Recuperação baseada em
assinatura e conteúdo (também conhecido como Carving)
- Lixeira do Windows
- Exame por área não utilizada
- Construindo um cronograma forense de eventos
- Visualizando a linha do tempo

Questões
1. Quais são os valores de hash (MD5 e SHA-1) de todas as imagens?
O valor hash de aquisição e verificação corresponde?
2. Identifique as informações da partição da imagem do PC.
3. Explique as informações instaladas do sistema operacional em detalhes.
(Nome do SO, data de instalação, proprietário registrado…)
4. Qual é a configuração do fuso horário?
5. Qual é o nome do computador?
6. Listar todas as contas no sistema operacional, exceto as contas do sistema: Administrador, Convidado,
systemprofile, LocalService, NetworkService . (Nome da conta, contagem de login, data do último logon ...)
7. Quem foi o último usuário a fazer logon no PC?
8. Quando foi a última data / hora de encerramento registada?
9. Explicar as informações da (s) interface (s) de rede com um endereço IP atribuído pelo DHCP.
10. Quais aplicativos foram instalados pelo suspeito após a instalação do sistema operacional?
11. Listar logs de execução de aplicativos.
(Caminho executável, tempo de execução, contagem de execução ...)
12. Listar todos os rastreamentos sobre o sistema ligado / desligado e o logon / logoff do usuário.
(Deve ser considerado apenas durante um intervalo de tempo entre as 09:00 e as 18:00 no fuso horário
da pergunta 4).
13. Quais navegadores da web foram usados?
14. Identifique caminhos de diretório / arquivo relacionados ao histórico do navegador da web.
15. Quais sites o suspeito acessou? (Timestamp, URL ...)
16. Listar todas as palavras-chave de pesquisa usando navegadores da web. (Timestamp, URL, palavra-chave
...)
17. Listar todas as palavras-chave do usuário na barra de pesquisa do Windows Explorer. (Timestamp,
palavra-chave)
18. Qual aplicativo foi usado para comunicação por email?
19. Onde o arquivo de e-mail está localizado?
20. Qual foi a conta de e-mail usada pelo suspeito?
21. Listar todos os e-mails do suspeito. Se possível, identifique e-mails excluídos.
(Você pode identificar os seguintes itens: Registro de data e hora, De, Para, Assunto, Corpo e Anexo )
[Dica: apenas examine somente o arquivo OST.]
22. Listar dispositivos de armazenamento externos conectados ao PC.
23. Identifique todos os rastreamentos relacionados ao 'renomear' arquivos no Windows Desktop.
(Deve ser considerado apenas durante um intervalo de datas entre 23-03-2015 e 30-03-2015.)
[Dica: os directórios principais de ficheiros com nomes mudados foram eliminados e as entradas da MFT
também foram substituídas. Portanto, talvez você não consiga encontrar seus caminhos completos.]
24. Qual é o endereço IP da unidade de rede compartilhada da empresa?
25. Listar todos os diretórios que foram percorridos em 'RM # 2'.
26. Listar todos os arquivos que foram abertos no 'RM # 2'.
27. Listar todos os diretórios que foram percorridos na unidade de rede da empresa.
28. Listar todos os arquivos que foram abertos na unidade de rede da empresa.
29. Encontre rastreamentos relacionados aos serviços de nuvem no PC.
(Nome do serviço, arquivos de log ...)
30. Quais arquivos foram excluídos do Google Drive?
Encontre o nome do arquivo e o timestamp do arquivo modificado.
[Dica: encontre um arquivo de registro de transações do Google Drive.]
31. Identifique informações da conta para sincronizar o Google Drive.
32. Que método (ou software) foi usado para gravar CD-R?
33. Quando o suspeito queimou o CD-R?
[Dica: pode ser uma ou mais vezes.]
34. Quais arquivos foram copiados do PC para o CD-R?
[Dica: use apenas a imagem do PC. Você pode examinar os logs de transação do sistema de arquivos para
essa tarefa.]
35. Quais arquivos foram abertos a partir do CD-R?
36. Identifique todos os registros de data e hora relacionados a um arquivo de resignação no Windows
Desktop.
[Dica: o arquivo de resignação é um arquivo DOCX no sistema de arquivos NTFS.]
37. Como e quando o suspeito imprimiu um arquivo de demissão?
38. Onde estão localizados os arquivos 'Thumbcache'?
39. Identifique os rastreamentos relacionados aos arquivos confidenciais armazenados no Thumbcache.
(Incluir apenas '256')
40. Onde os arquivos do Sticky Note estão localizados?
41. Identifique notas armazenadas no arquivo de notas.
42. A função "Pesquisa e indexação do Windows" está ativada? Como você pode identificar isso?
Se ele foi ativado, o que é um caminho de arquivo do banco de dados de índice 'Pesquisa do Windows'?
43. Quais tipos de dados foram armazenados no banco de dados do Windows Search?
44. Encontre vestígios do uso do Internet Explorer armazenados no banco de dados do Windows Search.
(Deve ser considerado apenas durante um intervalo de datas entre 2015-03-22 e 2015-03-23.)
45. Listar a comunicação de email armazenada no banco de dados do Windows Search.
(Deve ser considerado apenas durante um intervalo de datas entre 2015-03-23 e 2015-03-24.)
46. Listar arquivos e diretórios relacionados ao Windows Desktop armazenados no banco de dados do
Windows Search.
(Diretório do Windows Desktop: \ Users \ informant \ Desktop \)
47. Onde estão as cópias de sombra de volume armazenadas? Quando eles foram criados?
48. Encontre rastreamentos relacionados ao serviço do Google Drive na Cópia de sombra de volume.
Quais são as diferenças entre a imagem atual do sistema (da Questão 29 ~ 31) e seu VSC?
49. Quais arquivos foram excluídos do Google Drive?
Encontre registros apagados da tabela cloud_entry dentro do snapshot.db do VSC.
(Basta examinar apenas o banco de dados SQLite. Vamos supor que um arquivo de log baseado em texto
foi apagado.)
[Dica: DDL da tabela cloud_entry é a seguinte.]

CREATE TABLE cloud_entry

(doc_id TEXT , nome do arquivo TEXT , INTEGER modificado , created INTEGER , acl_roleINTEGER ,
doc_type INTEGER , removido INTEGER , tamanhoINTEGER , TEXT da soma de
verificação ,INTEGER compartilhado ,
resource_type TEXT , PRIMARY KEY (doc_id));
50. Por que não podemos encontrar os dados de email do Outlook na cópia de sombra de volume?
51. Examine os dados da 'Lixeira' no PC.
52. Quais ações foram realizadas para anti-forenses no PC no último dia '2015-03-25'?
53. Recupere arquivos apagados da unidade USB 'RM # 2'.
54. Quais ações foram realizadas para anti-forenses na unidade USB 'RM # 2'?
[Dica: isso pode ser inferido dos resultados da Questão 53.]
55. Quais arquivos foram copiados do PC para a unidade USB 'RM # 2'?
56. Recupere arquivos ocultos do CD-R 'RM # 3'.
Como determinar nomes de arquivos apropriados dos arquivos originais antes de renomear tarefas?
57. Quais ações foram realizadas para anti-forenses no CD-R 'RM # 3'?
58. Crie uma linha do tempo detalhada de processos de vazamento de dados.
59. Listar e explicar metodologias de vazamento de dados realizadas pelo suspeito.
60. Crie um diagrama visual para um resumo dos resultados.

Respostas
Veja as respostas [ PDF , MS-Word ] (documento v1.32 - última atualização em 23 de julho de 2018)

O Instituto Nacional de Padrões e Tecnologia (NIST) é uma agência do Departamento de Comércio dos EUA.
Política de privacidade / aviso de segurança / declaração de acessibilidade / Aviso de isenção de responsabilidade

Comentários técnicos: cftt@nist.gov

Esta página foi atualizada inicialmente em 5 de junho de 2015 e modificada pela última vez em 23 de julho de 2018.

Fonte: https://www.cfreds.nist.gov/data_leakage_case/data-leakage-
case.html