
Como coletar e analisar e-mails de um MacBook
Os web shells são geralmente usados em ataques cibernéticos e podem ter várias finalidades mal-intencionadas. Também pode ser difícil detectá-los. A maioria das empresas privadas de consultoria que realizam análises forenses usam as mesmas ferramentas ano após ano. A comunidade forense digital usa algumas dessas ferramentas e depende delas há décadas.
Ao trabalhar com clientes corporativos, os analistas forenses digitais tendem a sempre encontrar os mesmos tipos de dados, geralmente em sistemas Windows. Os consultores se familiarizam bastante com o local de armazenamento dos dados, o formato em que eles são armazenados e como extrair os dados para uso em processos. O uso dos protocolos e procedimentos específicos para identificar os dados, com as ferramentas forenses de sua preferência, geralmente funciona muito bem — até que um dia não funcion.
Um advogado de uma empresa contratou a Contact Discovery Services, uma empresa privada de consultoria, solicitando e-mails armazenados em um MacBook. Um funcionário tinha saído da empresa e ele precisava dos e-mails armazenados no MacBook que ele usava. Os e-mails tinham que ser recuperados o mais rápido possível.
O primeiro obstáculo a ser enfrentado era a geração de imagem. Simplesmente, não havia como remover o armazenamento interno do MacBook e duplicá-lo. A resposta a esse dilema foi uma ferramenta que a empresa já tinha, o Cellebrite MacQuisition. O Cellebrite MacQuisition, criado para gerar imagens de computadores da Apple, foi usado para criar uma imagem completa do disco do MacBook. A imagem tinha solidez forense e nenhum dado foi alterado.
O caso
O analista forense digital designado ao caso era qualificado: tinha cerca de dez anos de experiência em análises forenses digitais. Sabendo que a prioridade desse exame era localizar os e-mails o mais rápido possível, o analista carregou a imagem forense do MacBook com ferramentas tradicionais de análise forense e começou a buscar os arquivos de e-mail. Os filtros comuns projetados para localizar e-mails e armazenamentos de e-mail não tiveram sucesso em encontrar os dados solicitados. Não encontraram nenhum e-mail.
O que deveria ter sido uma extração de dados fácil e rápida se transformou rapidamente no que poderia se tornar um longo projeto de pesquisa. O analista forense digital começou a pesquisar e descobriu que os arquivos de e-mail estavam armazenados em um formato criado pelo Outlook para Mac 2011.
Ele não estava familiarizado com esse formato. As extensões de arquivo e os locais das pastas também não eram familiares para ele. E, o que era ainda pior, as ferramentas forenses em uso não conseguiam interpretar os dados. O analista não sabia quais medidas deveria adotar em seguida. As ferramentas padrão do setor que usava há anos não eram úteis e ele não estava nem perto de encontrar o conteúdo das mensagens de e-mail.
Nesse momento, ele recorreu ao Cellebrite BlackLight. O Cellebrite BlackLight conseguiu processar a imagem do MacBook e extrair os dados contidos nela. Os arquivos de e-mail foram analisados durante o processamento inicial de evidências e exibidos na guia Communications (Comunicações). Embora o analista forense digital não tivesse experiência anterior no uso do Cellebrite BlackLight, nem em realizar análises em sistemas macOS, a interface intuitiva facilitou a localização das mensagens de e-mail.
Em seguida, ele conseguiu exportar as mensagens em um formato que o cliente poderia ler facilmente. O analisa usou o status Export (Exportação) do Cellebrite BlackLight para apresentar ao cliente uma linha do tempo precisa e realista para a conclusão do caso.
Em geral, o Cellebrite MacQuisition conseguiu registrar uma imagem dos dados do MacBook com solidez forense e o Cellebrite BlackLight localizou automaticamente os e-mails de que o cliente precisava. A interface fácil de usar do Cellebrite BlackLight permitiu que o analista forense digital encontrasse e exportasse os e-mails rapidamente, sem precisar fazer amplas pesquisas. A expectativa do cliente de extração em tempo hábil dos e-mails armazenados no dispositivo foi atendida.
A análise
Embora existam muitas ferramentas forenses disponíveis, o Cellebrite BlackLight foi escolhido para essa análise porque permite o processamento de vários grandes conjuntos de dados.
O resultado
O Cellebrite BlackLight facilitou todo o processo. Todas as atividades investigativas foram identificadas e o Cellebrite BlackLight localizou automaticamente os e-mails de que o cliente precisava. A interface é intuitiva, o que facilita em muito para o usuário as funções de pesquisa, a filtragem e os ajustes. A expectativa do cliente de extração em tempo hábil dos e-mails armazenados no dispositivo foi atendida.
“Um cliente identificou um subconjunto de e-mails importantes que estavam faltando de uma conta de e-mail hospedada em nuvem e que não estavam no grupo de análise. Durante a análise da imagem do MacBook adquirida com o uso do Cellebrite MacQuisition, conseguimos identificar facilmente os e-mails ausentes com o Cellebrite BlackLight, que estavam armazenados localmente no notebook”.– Balal Abouelenein, analista forense digital da Contact Discovery Service
Recursos do Cellebrite BlackLight
O software Cellebrite BlackLight para análises forenses em computadores permite que os analistas forenses digitais analisem rapidamente os volumes de computadores e os dispositivos móveis para compreender as ações dos usuários.
Soporte a Mac
- Uma interface inigualável e fácil de usar.
- Oferece suporte aos sistemas mais recentes, incluindo chip T2
- Fusion e dispositivos criptografados/li>
- Analise o histórico dos snapshots do APFS ebackups do Time Machine
- Visualize e pesquise metadados do Spotlight/li>
- Analise conexões de rede, documentos recentes e atividades do usuário
Soporte a Windows
- A ferramenta confiável para análise inteligente
- Analise o histórico de dispositivos nas Cópias de volume em memória de armazenamento da Microsoft
- Análise integrada da memória e do registro do Windows
- Analise automaticamente informações de contas, documentos recentes, downloads, lixeira e conexões USB
Agora, o Cellebrite BlackLight faz parte da família Cellebrite
Recentemente, a Cellebrite adquiriu a BlackBag, a empresa controladora do Cellebrite BlackLight, para ampliar o suporte de fontes digitais e permitir a inclusão de dados de computadores no fluxo de investigação.
Essa combinação natural fortalece o compromisso da Cellebrite de oferecer uma plataforma de inteligência digital inédita no setor para acessar, gerenciar e analisar dados digitais de várias fontes e organizar toda a operação de inteligência digital.
Com as soluções combinadas da empresa, agora, os gerentes de agência podem:
- Oferecer suporte a acesso a dados de plataformas com Mac ou Windows
- Simplificar a aquisição de dados em uso
- Fazer a triagem dos dispositivos antes da extraçãos
- Realizar extrações seletivas de dados
A inclusão do Cellebrite BlackLight na avançada linha de soluções de inteligência digital da Cellebrite está ajudando a Cellebrite a atingir sua meta de capacitar os clientes com as melhores ferramentas para atender às necessidades deles hoje e no futuro.
Principais conclusões:
- O Cellebrite MacQuisition foi usado para criar uma imagem do MacBook com solidez forense.
- As ferramentas e os métodos tradicionais usados por um experiente analista forense digital não conseguiram localizar os e-mails solicitados.
- O Cellebrite BlackLight processou automaticamente os arquivos de e-mail armazenados na imagem do MacBook e os exibiu na guia Communications (Comunicações).
- Embora o analista forense digital não tivesse experiência anterior no uso do Cellebrite BlackLight nem em examinar sistemas macOS, a interface fácil de usar facilitou a localização e extração dos e-mails solicitados.
Saiba mais como as soluções de análise e acesso de computadores da Cellebrite podem ajudar sua organização, clicando aqui.