Las webshells se usan comúnmente en ciberataques y pueden tener una variedad de propósitos maliciosos. También pueden ser difíciles de detectar.
La mayoría de las consultoras privadas que realizan análisis forenses utilizan las mismas herramientas año tras año. La comunidad forense digital ha utilizado y dependido de algunas de estas herramientas durante décadas.

Al trabajar con clientes corporativos, los analistas forenses digitales tienden a encontrar el mismo tipo de datos, generalmente en sistemas Windows, en repetidas ocasiones. Los consultores se familiarizan con el lugar donde se almacenan los datos, el formato en el que se almacenan y cómo extraer los datos para su uso en litigios. El uso de protocolos y procedimientos específicos para identificar los datos, con sus herramientas forenses de elección, funciona bien, hasta que un día falla.

Un abogado de una corporación contrató a Contact Discovery Services, una firma consultora privada, que solicitó e-mails almacenados en una MacBook. Un empleado se había desvinculado de la empresa y se necesitaban los e-mails almacenados en la MacBook utilizada; los e-mails tuvieron que ser recuperados lo más rápido posible.

El primer obstáculo a superar fue la imagen. Simplemente no había forma de quitar fácilmente la memoria interna de la MacBook y duplicarla. La solución a este dilema fue una herramienta que la empresa ya tenía, Cellebrite MacQuisition. Cellebrite MacQuisition, diseñada para crear imágenes de computadoras de Apple, fue utilizada para crear una imagen completa del disco de la MacBook. La imagen era con base en criterios forenses y no se alteraron los datos.

El caso

El analista forense digital asignado al caso tenía conocimiento, aproximadamente 10 años de experiencia en análisis forense digital. Sabiendo que la prioridad en esta prueba era localizar los e-mails lo más rápido posible, el analista forense digital cargó la imagen forense de la MacBook con las herramientas de análisis forense tradicionales y comenzó la búsqueda de los archivos de e-mails. Los filtros típicos diseñados para localizar e-mails y almacenamientos de e-mails no lograron localizar los datos solicitados; no se encontraron e-mails.

Lo que debería haber sido una extracción de datos rápida y fácil, se convirtió rápidamente en un proyecto de investigación largo. El analista forense digital comenzó a investigar y descubrió que los archivos de e-mail estaban almacenados en un formato creado por Outlook para Mac 2011.

El analista forense digital no estaba familiarizado con este formato. Las extensiones de archivo y las ubicaciones de las carpetas no eran familiares. Peor aún, las herramientas forenses en uso no podían interpretar los datos. El analista forense digital no estaba seguro de cuáles deberían ser sus próximos pasos; las herramientas estándar del sector que utilizó durante años no fueron útiles y no estaba cerca de encontrar el contenido de los mensajes de e-mail.

En este momento, el analista forense digital recurrió a Cellebrite BlackLight. Se procesó la imagen de la MacBook y Cellebrite BlackLight extrajo los datos contenidos en la imagen. Se analizaron los archivos de e-mail durante el procesamiento de evidencia inicial y se mostraron en la pestaña Comunicaciones. Aunque el analista forense digital no tenía experiencia previa en el uso de Cellebrite BlackLight o en la realización de análisis en sistemas macOS, la interfaz intuitiva facilitó la localización de los mensajes de e-mail.

El analista forense digital pudo exportar los mensajes a un formato que el cliente pudiera leer fácilmente. El estado de exportación en Cellebrite BlackLight fue utilizado por el analista forense digital para proporcionar al cliente una línea de tiempo real y precisa para la finalización del caso. En general, Cellebrite MacQuisition pudo capturar una imagen forense de los datos en la MacBook y Cellebrite BlackLight localizó automáticamente los e-mails que el cliente necesitaba. La interfaz fácil de usar de Cellebrite BlackLight permitió al analista forense digital encontrar y exportar rápidamente los e-mails sin tener que realizar una investigación exhaustiva. Se cumplió la expectativa del cliente de una extracción oportuna de los e-mails almacenados en el dispositivo.

El análisis

Si bien hay muchas herramientas forenses disponibles, se eligió Cellebrite BlackLight para este análisis porque permite procesar una gran cantidad de datos.

El resultado

Cellebrite BlackLight facilitó todo el proceso. Se etiquetó toda la actividad de investigación y Cellebrite BlackLight localizó automáticamente los e-mails que el cliente necesitaba. La interfaz es intuitiva, lo que hace que las funciones de búsqueda, filtrado y pivoteo sean extremadamente fáciles para el usuario. Se cumplió la expectativa del cliente de una extracción oportuna de los e-mails almacenados en el dispositivo.

“Un cliente identificó un subgrupo de e-mails importantes que faltaban en una cuenta de e-mail alojada en la nube que no estaban en el grupo de revisión. Durante el análisis de la imagen de MacBook adquirida con Cellebrite MacQuisition, pudimos identificar fácilmente los e-mails faltantes con Cellebrite BlackLight, e-mails que se almacenaron localmente en la computadora portátil.”– Balal Abouelenein, analista forense digital, Contact Discovery Services

Capacidades de Cellebrite BlackLight

El software forense informático Cellebrite BlackLight permite a los analistas forenses digitales analizar rápidamente los volúmenes informáticos y dispositivos móviles para aclarar las acciones del usuario.Esta solución permite a los investigadores buscar, filtrar y examinar fácilmente a través de grandes conjuntos de datos para llevar a cabo análisis inteligentes y completos de datos generados por computadoras con Mac o Windows.

Suporte de Mac

  • Una interfaz incomparable y fácil de usar.
  • Soporta los últimos sistemas, incluido el chip T2
  • Fusion y dispositivos cifrados
  • Revisa el historial en instantáneas APFS y copias de seguridad de time machine
  • Muestra y busca metadatos de Spotlight
  • Revisa las conexiones de red, documentos recientes y actividad del usuario.

Soporte de Windows

  • La herramienta confiable para un análisis más inteligente
  • Revisa el histórico del dispositivo de Microsoft Volume
  • Shadow Copies
  • Memoria integrada de Windows y análisis de registro de Windows
  • Analiza automáticamente la información de la cuenta, documentos recientes, descargas, papelera de reciclaje y conexiones USB

Cellebrite BlackLight ahora es parte de la familia Cellebrite

Cellebrite adquirió recientemente BlackBag, la compañía matriz de Cellebrite BlackLight, para ampliar el alcance de fuentes digitales y permitir la inclusión de datos informáticos en el flujo de investigación.

Este ajuste natural fortalece el compromiso de Cellebrite de proporcionar una plataforma de inteligencia digital inigualable en el mercado para acceder, administrar y analizar datos digitales a través de múltiples fuentes y organizar toda la operación de inteligencia digital.

Al aprovechar las soluciones combinadas de la compañía, los Coordinadores de las instituciones ahora pueden:

  • Brindar apoyo de acceso a datos para sistemas Mac y Windows
  • Simplificar la adquisición de datos en tiempo real
  • Priorizar la información y los dispositivos antes de extracciones
  • Realizar extracciones selectivas de datos

Agregar Cellebrite BlackLight a la avanzada línea de soluciones de inteligencia digital de Cellebrite está ayudando a alcanzar el objetivo de Cellebrite de proporcionar a los clientes con las mejores herramientas para satisfacer sus necesidades hoy y en el futuro.

Principales conclusiones:

  • Se utilizó Cellebrite MacQuisition para crear una imagen con base en criterios forenses de la MacBook.
  • Las herramientas y métodos tradicionales, utilizados por un analista forense digital experimentado, no pudieron localizar los e-mails solicitados.
  • Cellebrite BlackLight procesó automáticamente los archivos de e-mail almacenados en la imagen de la MacBook y los mostró en la pestaña Comunicaciones.
  • Si bien el analista forense digital no tenía experiencia previa en la revisión de macOS o en el uso de Cellebrite BlackLight, la interfaz de fácil manejo facilitó la localización y extracción de los e-mails solicitados.

Obtenga más información sobre cómo el acceso a computadoras y las soluciones de análisis de Cellebrite pueden ayudar a su organización, aquí.

Share this post