22 ago 2013

#FPR8 - Solución al Reto Hacking: BarceLOnas, ¿dónde está mi sobre?

Buenas a todos, hace una semana publicamos el reto hacking número 8 de Flu Project, al que titulamos: "BarceLOnas, ¿dónde está mi sobre?". En el reto teníais que meteros en la piel de Enrique García García, perito independiente en el Juicio del Señor BarceLOnas, y analizar un pendrive para intentar recuperar todas las evidencias posibles para refutar la hipótesis de que el Señor BarceLOnas había gastado 300.000€ obtenidos a través de acciones ilícitas.
Una vez metidos en contexto, comencemos el reto.
En primer lugar el perito Enrique había recibido una carta junto con un paquete en el que se le proporcionaba un DVD con una imagen en formato dd del pendrive, y el documento de cadena de custodia. Como no está la economía para tirar cohetes, excepto para el Señor BarceLOnas, os dejamos dichos archivos disponibles para descarga desde AQUÍ.
Nada más abrir el ZIP, nos encontrábamos con lo siguiente:
Dentro del ZIP se enconotraba una excel con el documento de cadena de custodia, con el correspondiente hash de la imagen dd:
Un fichero de texto generado automáticamente por la herramienta FTK Imagen, con la información de la clonación:
Y finalmente, la propia imagen en formato dd.
Si abríamos la imagen, se podía ver como a priori no contenía ningún tipo de archivo, pero tras pasarla por alguna herramienta del estilo de FTK Imager, se puede comprobar como el dispositivo contenía realmente dos archivos que fueron eliminados, una imagen .jpg y un archivo con extensión .doc:
Aprovecharemos la opción de FTK Imager de exportación para llevarnos los archivos a nuestro equipo y trabajar más comodamente con ellos.
Si intentábamos abrir el documento .doc, nos encontrábamos con el siguiente error:
Como muchos habéis pensado, el problema era que el archivo no era realmente un .doc, sino que se trataba de un archivo .xlsx. Por tanto si cambiábamos la extensión, lográbamos abrir el archivo:
Ahora al intentar abrir el archivo veremos otro error, pero podremos recuperar su contenido, o al menos, parte de él... :-)
Bien, ya sabemos donde han ido a parar los primeros 18.000€ de los 300.000€ robados por el Señor BarceLOnas. Acabaron en manos de un "Príncipe Nigeriano...".
A continuación, si no pulsábamos sobre "guardar cambios", para que Excel no nos restaurase el archivo xlsx, podíamos descomprimirlo, como ya hicimos en otros retos con archivos de tipo docx por ejemplo.
En los documentos Excel de tipo xlsx, podemos utilizar la carpeta "xl\media" para ocultar imágenes, como por ejemplo ha hecho nuestro amigo BarceLOnas:
Y si abrimos la imagen "Contabilidad.jpg" nos encontraremos con una bonita "hoja de cuaderno":
Parece ser que nuestro amigo además de algunas deudas, había realizado algunos "regalos" por ahí. Si navegamos hacia los documentos indicados en la hoja, podríamos llegar a los siguientes PDF:
Bien, si sumamos la casita y el traje ya tenemos 253.386€. Pero nos siguen faltando 46.614€. ¿Dónde estarán?
Si recordáis, en el pendrive también existía una imagen jpg que había sido eliminada. Si la abrimos podemos comprobar como su aspecto parece que ha sido alterado sospechosamente:
Si la abrimos con un editor hexadecimal, y buscamos patrones extraños en ella, encontraremos el siguiente texto entre las posiciones 4A69 y 4A7F:
Y ahí fueron a parar el resto del dinero estafado. Ahora solo nos falta detallar todas las evidencias así como el proceso de extracción en el informe pericial :)
Esperamos que os haya gustado el reto.
Saludos!

8 comentarios:

  1. Joder... pues no me queda a mi conocimiento ni años pa dedicarme a esto... ¿De verdad los malos son tan rebuscados? xD

    ResponderEliminar
  2. Ha sido muy divertido y he aprendido mucho, espero que haya otros retos de este estilo. Enhorabuena por un blog tan bueno.Un saludo

    ResponderEliminar
  3. ¡Qué pena que haya llegado tarde! Me hubiera encantado haberlo intentado hacer. Bueno. Espero que para la siguiente llegue a tiempo...

    ResponderEliminar
  4. dafuQ!! Era que le de mas tiempo a la imagen xDDD solo lo pase por análisis esteganografico xD.Sera en otra interesante el reto!Regards,Snifer

    ResponderEliminar
  5. [...] FPR8 - Reto Hacking: BarceLOnas, ¿dónde está mi sobre? [Forense] – (Solución) [...]

    ResponderEliminar
  6. el archivo image.001.zip está dañada, no abre!!! lo puedes restaurar, pues está muy interesante y me gustaría practicarlo.

    ResponderEliminar
  7. Las imágenes de esta solución no aparecen...podríais volver a subirlas?

    ResponderEliminar