circumventing forensic live acquisition tools
play

$ Circumventing Forensic Live-acquisition Tools > Rootkits - PowerPoint PPT Presentation

Feb 14, 2023 •34 likes •304 views

$ Circumventing Forensic Live-acquisition Tools > Rootkits for dubious defensive purposes > Yonne de Bruijn (yonne.debruijn@os3.nl) Digital Forensics $ retrieve

  1. $ ¡Circumventing ¡Forensic ¡ Live-­‑acquisition ¡Tools > ¡Rootkits ¡for ¡dubious ¡defensive ¡purposes ¡ > ¡Yonne ¡de ¡Bruijn ¡(yonne.debruijn@os3.nl) ¡

  2. Digital ¡Forensics $ retrieve ¡(evidentiary) ¡data ¡| ¡form ¡chain ¡of ¡ evidence ¡| ¡prove ¡stuff ¡ > like ¡normal ¡forensics, ¡but ¡digital… ¡ $ non-­‑volatile ¡sources: ¡persistent ¡storage ¡ $ volatile ¡sources: ¡network ¡settings, ¡RAM ¡ $ offline ¡(dead) ¡acquisition: ¡device ¡is ¡turned ¡ off ¡ $ online ¡(live) ¡acquisition: ¡device ¡is ¡turned ¡on Yonne ¡de ¡Bruijn 2 02/07/15

  3. Live-­‑Acquisition $ Reasons ¡ > Full ¡Disk ¡Encryption ¡(FDE) ¡ > Leave ¡system ¡running ¡to ¡reduce ¡investigation ¡ “noise” ¡ $ Process ¡ > order ¡of ¡volatility: ¡first ¡most ¡volatile ¡storage ¡ > Windows: ¡plethora ¡of ¡information ¡ > Linux: ¡… Yonne ¡de ¡Bruijn 3 02/07/15

  4. Anti-­‑Forensics ¡(AF) $ Increase ¡difficulty ¡of ¡digital ¡forensic ¡ process ¡ > or ¡completely ¡prevent ¡ $ common ¡techniques: ¡ > data ¡hiding ¡(slack ¡space) ¡ > data ¡destruction ¡ > encryption Yonne ¡de ¡Bruijn 4 02/07/15

  5. Rootkit ¡-­‑ ¡Theory ring ¡three ¡ ¡ $ “A ¡rootkit ¡is ¡a ¡tool ¡that ¡is ¡ user-­‑space designed ¡to ¡hide ¡itself ¡and ¡ ring ¡two ¡ other ¡processes, ¡data, ¡and/ device ¡drivers or ¡activity ¡on ¡a ¡ ring ¡one ¡ device ¡drivers system” ¡(Blunden, ¡2013) ¡ $ Usually: ¡persistent ¡ backdoors, ¡root ¡access, ¡i.e. ¡ ring ¡zero ¡ malicious ¡stuff ¡ kernel $ Ring ¡Zero ¡Rootkit: ¡highest ¡ privileges, ¡can ¡intercept ¡ commands ¡from ¡user-­‑space ¡ $ Hooking ¡system ¡calls: ¡attach ¡ own ¡code ¡to ¡system ¡call Yonne ¡de ¡Bruijn 5 02/07/15

  6. Research ¡Question $ What ¡acquisition ¡tools ¡are ¡available ¡and ¡ used? ¡ $ How ¡can ¡a ¡system ¡defend ¡against ¡those ¡ tools? ¡ $ Can ¡the ¡tools ¡or ¡procedures ¡be ¡improved? Yonne ¡de ¡Bruijn 6 02/07/15

  7. Forensics ¡Wiki $ imagers: ¡ > dd ¡ > or: ¡dcfldd ¡(forensic ¡counterpart) ¡ > or: ¡dd_rescue ¡ > or: ¡pretty ¡much ¡any ¡block-­‑level ¡copy ¡ tool Yonne ¡de ¡Bruijn 7 02/07/15

  8. Silk ¡Road $ Online ¡Drug ¡Market ¡ > Alleged ¡owner ¡arrested ¡in ¡2013 ¡ > Sentenced ¡to ¡life, ¡based ¡on, ¡amongst ¡others: ¡ live-­‑acquisition ¡ $ Reddit ¡users ¡retrieved ¡court ¡transcripts ¡ > suspect ¡used ¡Ubuntu ¡+ ¡FDE ¡—> ¡live-­‑acquisition ¡ > forensic ¡toolkit: ¡tar, ¡dd, ¡a ¡camera ¡running ¡40 ¡ minutes ¡slow, ¡and ¡a ¡good ¡batch ¡of ¡ignorance Yonne ¡de ¡Bruijn 8 02/07/15

  9. Dutch ¡High ¡Tech ¡ Crime ¡Unit $ dd ¡ $ cp/tar, ¡or ¡other ¡common ¡copy ¡tools ¡ $ FTK/EnCase ¡—> ¡standard ¡ $ Encrypted ¡evidence: ¡ > try ¡publicly ¡known ¡exploits ¡ > other ¡channels ¡(maybe ¡less ¡secure ¡in ¡the ¡past) ¡ > most ¡effective? ¡—> ¡“rubber ¡hose” ¡decryption ¡ $ don’t ¡often ¡encounter ¡AF ¡ > if ¡they ¡do ¡—> ¡simple ¡stuff Yonne ¡de ¡Bruijn 9 02/07/15

  10. Problem $ Tools ¡run ¡on ¡suspect ¡system: ¡ > insecure ¡environment ¡ > use ¡system ¡tools ¡—> ¡might ¡be ¡patched ¡to ¡ return ¡garbage ¡ > bring ¡own ¡tools ¡—> ¡might ¡taint ¡evidentiary ¡ system ¡ > and… ¡still ¡using ¡system ¡kernel ¡ Yonne ¡de ¡Bruijn 10 02/07/15

  11. Related ¡Work $ DDefy ¡(Bilby, ¡2006) ¡Windows ¡rootkit ¡ > defensive ¡rootkit ¡—> ¡not ¡just ¡for ¡ attacking? ¡ > actively ¡prevents ¡ dd ¡ from ¡acquiring ¡certain ¡ files ¡ $ Bunden ¡(2009) ¡warns ¡for ¡AF ¡rootlets ¡ $ Stüttgen ¡& ¡Cohen ¡(2013) ¡identified, ¡exploited ¡ and ¡patched ¡issues ¡in ¡memory ¡acquisition Yonne ¡de ¡Bruijn 11 02/07/15

  12. Common ¡Prevention $ Check: ¡ > ¡ /sysfs ¡and ¡ /proc ¡ for ¡loaded ¡kernel ¡modules ¡(LKM) ¡ > common ¡signs ¡of ¡encryption ¡—> ¡implies ¡don’t ¡turn ¡ off ¡device ¡ > other ¡scripts: ¡ > sometimes ¡used ¡to ¡null ¡route ¡logs, ¡shred ¡data ¡ > check ¡for ¡known ¡AF ¡applications ¡ > does ¡not ¡seem ¡hardened ¡against ¡advanced ¡rootkits Yonne ¡de ¡Bruijn 12 02/07/15

  13. Putting ¡it ¡together $ focus: ¡tar, ¡dd/dcfldd ¡and ¡FTK ¡Imager ¡ CLI ¡—> ¡proprietary ¡tool ¡ $ goal: ¡intercept ¡tools ¡and ¡present ¡ different ¡data, ¡preferably ¡without ¡ crashing ¡them ¡ $ weapon: ¡ring ¡zero ¡rootkit ¡ > easy ¡to ¡develop, ¡could ¡just ¡as ¡well ¡ run ¡directly ¡in ¡kernel Yonne ¡de ¡Bruijn 13 02/07/15

  14. Considerations $ Control: ¡must ¡be ¡hard ¡to ¡detect ¡(no ¡ control ¡application!) ¡ > hook ¡open ¡system ¡call ¡and ¡parse ¡for ¡ magic ¡control ¡strings ¡ $ Hide ¡traces: ¡ > hide ¡fake ¡data ¡ > hide ¡rootkit ¡from ¡ /sysfs ¡ and ¡ /proc Yonne ¡de ¡Bruijn 14 02/07/15

  15. Interception $ Return ¡fake ¡data: ¡ > tar: ¡other ¡user ¡directory ¡—> ¡framing ¡ > imagers: ¡from ¡clean ¡image ¡located ¡in ¡ filesystem ¡ $ Trigger ¡based, ¡i.e. ¡need ¡a ¡detection ¡ mechanism Yonne ¡de ¡Bruijn 15 02/07/15

  16. Command ¡Detection $ Hook ¡system ¡calls ¡used ¡by ¡tools ¡ $ Parse ¡calls ¡for ¡ magic ¡strings : ¡ > if(open(/dev/sda, ¡params) ¡ > { ¡fake ¡= ¡open(/clean,params); ¡ > return ¡fake; ¡} ¡ $ Comparable ¡for ¡ tar ¡ $ Success? Yonne ¡de ¡Bruijn 16 02/07/15

  17. Demo

  18. Linear ¡Detection $ Command ¡detection ¡not ¡very ¡flexible, ¡ easily ¡broken ¡ > better ¡add ¡some ¡“pixie ¡dust” ¡to ¡harden ¡ it! ¡ $ What ¡if ¡we ¡could ¡detect ¡behaviour… ¡ > note: ¡only ¡implemented ¡for ¡dd/dcfldd Yonne ¡de ¡Bruijn 18 02/07/15

  19. cache read “Pixie ¡Dust” parse cache No Yes Yes parse open flush output resume linear? initial? cache file No Yes No read/write read/write scale count size? data fake data return set write unset write set kill flag count block flag block flag Yonne ¡de ¡Bruijn 19 02/07/15

  20. Demo

  21. Results $ Success!: ¡ > detects ¡and ¡intercepts ¡dd/dcfldd ¡ > no ¡data ¡from ¡ /dev/sda ¡ present ¡in ¡output ¡file! ¡ $ Issues: ¡ > output ¡image ¡is ¡corrupted ¡ > horrible ¡effect ¡on ¡read/write ¡speeds ¡ > Some ¡false-­‑positives: ¡ > i.e. ¡sometimes ¡dumps ¡fake ¡MBR ¡in ¡ nano ¡ editor Yonne ¡de ¡Bruijn 21 02/07/15

  22. Prevention ¡(1) $ Move ¡acquisition ¡to ¡kernel: ¡ > no ¡need ¡for ¡interception-­‑sensitive ¡system ¡ calls ¡ > direct ¡access ¡to ¡virtual ¡file ¡system ¡ (VFS): ¡vfs_read/vfs_write ¡ $ Encrypt ¡communication ¡between ¡user-­‑space ¡ and ¡kernel-­‑space ¡(linux/crypt.h) ¡ > prevents ¡parsing/changing ¡the ¡system ¡calls Yonne ¡de ¡Bruijn 22 02/07/15

  23. Prevention ¡(2) $ Problem: ¡very ¡rootkit ¡minded ¡ $ What ¡if ¡directly ¡included ¡in ¡kernel ¡—> ¡ anti-­‑forensic ¡kernel ¡ > need ¡dedicated ¡hardware ¡solutions ¡ > can ¡not ¡utilise ¡kernel ¡—> ¡directly ¡talk ¡ to ¡hardware ¡ > so… ¡how ¡‘bout ¡hiding ¡in ¡firmware? Yonne ¡de ¡Bruijn 23 02/07/15

  24. Conclusion ¡(1) $ Forensics ¡toolkit: ¡commonly ¡available ¡tools ¡ $ Anti-­‑forensic ¡scenarios: ¡many! ¡in ¡full ¡ control ¡ $ Prevention ¡ > rootkits: ¡create ¡secure ¡environment ¡ > tweaked ¡kernel: ¡difficult ¡ > hardware ¡based ¡acquisitions Yonne ¡de ¡Bruijn 24 02/07/15

  25. Conclusion ¡(2) $ Realistic ¡threat ¡to ¡digital ¡forensic ¡ process ¡ > not ¡yet ¡seen ¡in ¡the ¡wild ¡ > but ¡technologically ¡skilled ¡attacker ¡ is ¡certainly ¡capable Yonne ¡de ¡Bruijn 25 02/07/15

Recommend

Circumventing Impossibility Partial Synchrony Circumventing Impossibility Consensus is an

Circumventing Impossibility Partial Synchrony Circumventing Impossibility Consensus is an

Circumventing Impossibility Partial Synchrony Circumventing Impossibility Consensus is an important building block for fault-tolerant computing Universal: any deterministic fault-tolerant service can be implemented on top of it

349 views • 12 slides
Forensic DNA Fingerprinting Lab Tools and Technology Used During Lab p20 micropipette

Forensic DNA Fingerprinting Lab Tools and Technology Used During Lab p20 micropipette

Forensic DNA Fingerprinting Lab Tools and Technology Used During Lab p20 micropipette Restriction enzymes (EcoRI, PstI, HindIII) Water bath 37 C Agarose gel electrophoresis DNA ladder (molecular ruler) Restriction

712 views • 43 slides
Why This Workshop? In 2009 the Research Council of the National Academy of Sciences issues a

Why This Workshop? In 2009 the Research Council of the National Academy of Sciences issues a

Specialized Topics in Ethical Forensic Practice, Part 3: Bias in Forensic Evaluations November 18, 2015 Ohio MHAS Forensic Conference Columbus, OH Terry Kukor, Ph.D., ABPP Board Certified in Forensic Psychology Director of Forensic Services Netcare

972 views • 23 slides
Challenges in Crime Scene Investigation Technical challenges in forensic STR profiling

Challenges in Crime Scene Investigation Technical challenges in forensic STR profiling

Epigenetics a New Perspective for Improving Forensic Science p g Hwan Young Lee, Ph.D. Department of Forensic Medicine Yonsei University College of Medicine Current Forensic DNA Typing Forensic cases -- matching suspect with evidence

247 views • 13 slides
Objectives 1. Articulate the rationale for restructuring forensic evaluation reports 2. Identify

Objectives 1. Articulate the rationale for restructuring forensic evaluation reports 2. Identify

11/5/2015 Specialized Topics in Ethical Forensic Practice, Part 1: Restructured Forensic Reports Presented For OhioMHAS Forensic Conference November 18, 2015 Terry Kukor, Ph.D., ABPP (Forensic) Joy Stankowski, M.D. Aracelis (Liz) Rivera, Psy.D.

451 views • 17 slides
T and Science of Forensic Monitoring Forensic Monitor may be employed by one Board or a

T and Science of Forensic Monitoring Forensic Monitor may be employed by one Board or a

11/5/2015 The T and Science of Forensic Monitoring Robert N. Baker, PhD Jeannie Cool, PCC-S Lottie Gray, MSSA, LISW, CDCA Julia King, PsyD, MBA T and Science of Forensic Monitoring Has your boss just told you? You are our New Forensic

389 views • 24 slides
Forensic Challenge V2.0 UNAM-CERT RedIRIS Topics * Forensic Challenge V1.0 * Forensic

Forensic Challenge V2.0 UNAM-CERT RedIRIS Topics * Forensic Challenge V1.0 * Forensic

Forensic Challenge V2.0 UNAM-CERT RedIRIS Topics * Forensic Challenge V1.0 * Forensic Challenge V2.0 * Conclusions Introduction Why this forensic Challenge ? * To promote and impulse the Forensic Analysis in our Region -- Hispanoamerica--

558 views • 19 slides
Specialized Topics in Ethical Forensic Practice, Part 3: Bias in Forensic Evaluations November 18,

Specialized Topics in Ethical Forensic Practice, Part 3: Bias in Forensic Evaluations November 18,

Specialized Topics in Ethical Forensic Practice, Part 3: Bias in Forensic Evaluations November 18, 2015 Ohio MHAS Forensic Conference Columbus, OH Terry Kukor, Ph.D., ABPP Board Certified in Forensic Psychology Director of Forensic Services Netcare

1.29k views • 67 slides
Molecular tools for forensic body fluid identification body fluid identification Hwan Young Lee,

Molecular tools for forensic body fluid identification body fluid identification Hwan Young Lee,

Molecular tools for forensic body fluid identification body fluid identification Hwan Young Lee, Ph.D. Department of Forensic Medicine, Yonsei University College of Medicine, Seoul, Korea Presentation overview Introduction: Body fluid

136 views • 12 slides
CSN08101 Digital Forensics Lecture 6: Acquisition Lecture 6: Acquisition Module Leader: Dr

CSN08101 Digital Forensics Lecture 6: Acquisition Lecture 6: Acquisition Module Leader: Dr

CSN08101 Digital Forensics Lecture 6: Acquisition Lecture 6: Acquisition Module Leader: Dr Gordon Russell Lecturers: Robert Ludwiniak Objectives Storage Formats Acquisition Architecture Acquisition Methods Tools Data

693 views • 36 slides
A Suite of Tools for the Forensic Analysis of Bitcoin Transactions: Preliminary Report Stefano

A Suite of Tools for the Forensic Analysis of Bitcoin Transactions: Preliminary Report Stefano

A Suite of Tools for the Forensic Analysis of Bitcoin Transactions: Preliminary Report Stefano Bistarelli, Ivan Mercanti and Francesco Santini UNIVERSIT DEGLI STUDI DI PERUGIA Dipartimento di Matematica e Informatica EURO-PAR 2018 WS FPDAPP

501 views • 46 slides
Acquisition of semantic relations between terms: how far can we get with standard NLP tools? Ina

Acquisition of semantic relations between terms: how far can we get with standard NLP tools? Ina

Acquisition of semantic relations between terms Acquisition of semantic relations between terms: how far can we get with standard NLP tools? Ina Rsiger, Julia Bettinger, Johannes Schfer, Michael Dorna and Ulrich Heid 12 December 2016 5th

651 views • 38 slides
THE NEW FORENSIC PATIENT Learning Objectives Review the epidemiology of forensic populations

THE NEW FORENSIC PATIENT Learning Objectives Review the epidemiology of forensic populations

THE NEW FORENSIC PATIENT Learning Objectives Review the epidemiology of forensic populations Explore various clinical presentations seen in forensic settings Implement evidence-based and novel treatment strategies to the new forensic

946 views • 80 slides
Forensic Voice Comparison and Forensic Acoustics 1 Value and Interpretation of Biometric

Forensic Voice Comparison and Forensic Acoustics 1 Value and Interpretation of Biometric

Forensic Voice Comparison and Forensic Acoustics 1 Value and Interpretation of Biometric Evidence in Forensic Automatic Speaker Recognition Dr. Andrzej Drygajlo Speech Processing and Biometrics Group Swiss Federal Institute of Technology

546 views • 44 slides
Child Custody Evaluations: Forensic Mental Child Custody Evaluations: Forensic Mental Health

Child Custody Evaluations: Forensic Mental Child Custody Evaluations: Forensic Mental Health

Presenting a live 90 minute webinar with interactive Q&A Child Custody Evaluations: Forensic Mental Child Custody Evaluations: Forensic Mental Health Professionals as Experts or Consultants Presenting, Analyzing and Deconstructing Custody

578 views • 38 slides
Regional Forensic Trainings 2013 Pathways to Conditional Release: An Overview of the Forensic

Regional Forensic Trainings 2013 Pathways to Conditional Release: An Overview of the Forensic

Regional Forensic Trainings 2013 Pathways to Conditional Release: An Overview of the Forensic Mental Health System Robert N. Baker, PhD Assistant Chief Office of Forensic Services, ODMH Objectives Provide an overview of the forensic

581 views • 40 slides
T and Science of Forensic Monitoring Has your boss just told you? You are our New Forensic

T and Science of Forensic Monitoring Has your boss just told you? You are our New Forensic

The T and Science of Forensic Monitoring Robert N. Baker, PhD Jeannie Cool, PCC-S Lottie Gray, MSSA, LISW, CDCA Julia King, PsyD, MBA T and Science of Forensic Monitoring Has your boss just told you? You are our New Forensic Monitor.

834 views • 70 slides
Current Forensic DNA Typing o Forensic cases -- matching suspect with evidence Involves generation

Current Forensic DNA Typing o Forensic cases -- matching suspect with evidence Involves generation

Epigenetic age signatures in the forensically relevant body fluid of semen Hwan Yong Lee Department of Forensic Medicine Yonsei University College of Medicine Seoul, Korea Current Forensic DNA Typing o Forensic cases -- matching suspect with

533 views • 14 slides
Forensic Feature Extraction and Cross-Drive Analysis Simson L. Garfinkel Center for Research on

Forensic Feature Extraction and Cross-Drive Analysis Simson L. Garfinkel Center for Research on

Forensic Feature Extraction and Cross-Drive Analysis Simson L. Garfinkel Center for Research on Computation and Society Harvard University 1:15pm, Tuesday, August 15, 2006 1 Todays forensic tools are designed for one drive at a time.

552 views • 34 slides
Digital Investigation Full System Memory Dump Acquisition of volatile memory is an essential

Digital Investigation Full System Memory Dump Acquisition of volatile memory is an essential

When Hardware Meets Software: A Bulletproof Solution to Forensic Memory Acquisition 1 Universit` 2 Royal Holloway, a degli Studi di Milano University of London Alessandro Reina 1 Aristide Fattori 1 Fabio Pagani 1 Lorenzo Cavallaro 2 Danilo Mauro

352 views • 33 slides
10. Forensic Issues I A MERICAN P SYCHOLOGICAL A SSOCIATION Forensic Issues For people with SMI,

10. Forensic Issues I A MERICAN P SYCHOLOGICAL A SSOCIATION Forensic Issues For people with SMI,

10. Forensic Issues I A MERICAN P SYCHOLOGICAL A SSOCIATION Forensic Issues For people with SMI, the prevalence of containment in prison/forensic system is high: men 15%; women 31% For people exhibiting symptoms: 67 % greater likelihood of

366 views • 7 slides
Performance measurement and tuning of remote acquisition Lukasz Makowski February 2, 2016

Performance measurement and tuning of remote acquisition Lukasz Makowski February 2, 2016

Performance measurement and tuning of remote acquisition Lukasz Makowski February 2, 2016 Location Netherlands Forensic Institute Supervisor : Ruud Schramp Agenda 1 Remote acquisition - research motivation introduction 2 Research scope and

1.09k views • 83 slides
GOJ Audit Commission Conference 2016 PRESENTS : FORENSIC Forensic Audits-Help for Todays

GOJ Audit Commission Conference 2016 PRESENTS : FORENSIC Forensic Audits-Help for Todays

GOJ Audit Commission Conference 2016 PRESENTS : FORENSIC Forensic Audits-Help for Todays Entity Thursday, October 27, 2016 PRESENTER : COLLIN A. A. GREENLAND, Forensic Accountant, MBA, FJIM, CFE, CFSA, CFC. 1 To Sensitize /

1.12k views • 88 slides
Forensic and I nvestigative Speaker Recognition: Situation BKA Odyssey 2016 June 21-24, Bilbao,

Forensic and I nvestigative Speaker Recognition: Situation BKA Odyssey 2016 June 21-24, Bilbao,

Forensic and I nvestigative Speaker Recognition: Situation BKA Odyssey 2016 June 21-24, Bilbao, Spain Michael Jessen BKA, Forensic Science Institute: Forensic Speech & Audio Department Guidelines Forensic Semiautomatic and Automatic

308 views • 13 slides

More recommend