Os web shells são geralmente usados em ataques cibernéticos e podem ter várias finalidades mal-intencionadas. Também pode ser difícil detectá-los. A maioria das empresas privadas de consultoria que realizam análises forenses usam as mesmas ferramentas ano após ano. A comunidade forense digital usa algumas dessas ferramentas e depende delas há décadas.

Ao trabalhar com clientes corporativos, os analistas forenses digitais tendem a sempre encontrar os mesmos tipos de dados, geralmente em sistemas Windows. Os consultores se familiarizam bastante com o local de armazenamento dos dados, o formato em que eles são armazenados e como extrair os dados para uso em processos. O uso dos protocolos e procedimentos específicos para identificar os dados, com as ferramentas forenses de sua preferência, geralmente funciona muito bem — até que um dia não funcion.

Um advogado de uma empresa contratou a Contact Discovery Services, uma empresa privada de consultoria, solicitando e-mails armazenados em um MacBook. Um funcionário tinha saído da empresa e ele precisava dos e-mails armazenados no MacBook que ele usava. Os e-mails tinham que ser recuperados o mais rápido possível.

O primeiro obstáculo a ser enfrentado era a geração de imagem. Simplesmente, não havia como remover o armazenamento interno do MacBook e duplicá-lo. A resposta a esse dilema foi uma ferramenta que a empresa já tinha, o Cellebrite MacQuisition. O Cellebrite MacQuisition, criado para gerar imagens de computadores da Apple, foi usado para criar uma imagem completa do disco do MacBook. A imagem tinha solidez forense e nenhum dado foi alterado.

O caso

O analista forense digital designado ao caso era qualificado: tinha cerca de dez anos de experiência em análises forenses digitais. Sabendo que a prioridade desse exame era localizar os e-mails o mais rápido possível, o analista carregou a imagem forense do MacBook com ferramentas tradicionais de análise forense e começou a buscar os arquivos de e-mail. Os filtros comuns projetados para localizar e-mails e armazenamentos de e-mail não tiveram sucesso em encontrar os dados solicitados. Não encontraram nenhum e-mail.

O que deveria ter sido uma extração de dados fácil e rápida se transformou rapidamente no que poderia se tornar um longo projeto de pesquisa. O analista forense digital começou a pesquisar e descobriu que os arquivos de e-mail estavam armazenados em um formato criado pelo Outlook para Mac 2011.

Ele não estava familiarizado com esse formato. As extensões de arquivo e os locais das pastas também não eram familiares para ele. E, o que era ainda pior, as ferramentas forenses em uso não conseguiam interpretar os dados. O analista não sabia quais medidas deveria adotar em seguida. As ferramentas padrão do setor que usava há anos não eram úteis e ele não estava nem perto de encontrar o conteúdo das mensagens de e-mail.

Nesse momento, ele recorreu ao Cellebrite BlackLight. O Cellebrite BlackLight conseguiu processar a imagem do MacBook e extrair os dados contidos nela. Os arquivos de e-mail foram analisados durante o processamento inicial de evidências e exibidos na guia Communications (Comunicações). Embora o analista forense digital não tivesse experiência anterior no uso do Cellebrite BlackLight, nem em realizar análises em sistemas macOS, a interface intuitiva facilitou a localização das mensagens de e-mail.

Em seguida, ele conseguiu exportar as mensagens em um formato que o cliente poderia ler facilmente. O analisa usou o status Export (Exportação) do Cellebrite BlackLight para apresentar ao cliente uma linha do tempo precisa e realista para a conclusão do caso.

Em geral, o Cellebrite MacQuisition conseguiu registrar uma imagem dos dados do MacBook com solidez forense e o Cellebrite BlackLight localizou automaticamente os e-mails de que o cliente precisava. A interface fácil de usar do Cellebrite BlackLight permitiu que o analista forense digital encontrasse e exportasse os e-mails rapidamente, sem precisar fazer amplas pesquisas. A expectativa do cliente de extração em tempo hábil dos e-mails armazenados no dispositivo foi atendida.

A análise

Embora existam muitas ferramentas forenses disponíveis, o Cellebrite BlackLight foi escolhido para essa análise porque permite o processamento de vários grandes conjuntos de dados.

O resultado

O Cellebrite BlackLight facilitou todo o processo. Todas as atividades investigativas foram identificadas e o Cellebrite BlackLight localizou automaticamente os e-mails de que o cliente precisava. A interface é intuitiva, o que facilita em muito para o usuário as funções de pesquisa, a filtragem e os ajustes. A expectativa do cliente de extração em tempo hábil dos e-mails armazenados no dispositivo foi atendida.

“Um cliente identificou um subconjunto de e-mails importantes que estavam faltando de uma conta de e-mail hospedada em nuvem e que não estavam no grupo de análise. Durante a análise da imagem do MacBook adquirida com o uso do Cellebrite MacQuisition, conseguimos identificar facilmente os e-mails ausentes com o Cellebrite BlackLight, que estavam armazenados localmente no notebook”.– Balal Abouelenein, analista forense digital da Contact Discovery Service

Recursos do Cellebrite BlackLight

O software Cellebrite BlackLight para análises forenses em computadores permite que os analistas forenses digitais analisem rapidamente os volumes de computadores e os dispositivos móveis para compreender as ações dos usuários.

Soporte a Mac

  • Uma interface inigualável e fácil de usar.
  • Oferece suporte aos sistemas mais recentes, incluindo chip T2
  • Fusion e dispositivos criptografados/li>
  • Analise o histórico dos snapshots do APFS ebackups do Time Machine
  • Visualize e pesquise metadados do Spotlight/li>
  • Analise conexões de rede, documentos recentes e atividades do usuário

Soporte a Windows

  • A ferramenta confiável para análise inteligente
  • Analise o histórico de dispositivos nas Cópias de volume em memória de armazenamento da Microsoft
  • Análise integrada da memória e do registro do Windows
  • Analise automaticamente informações de contas, documentos recentes, downloads, lixeira e conexões USB

Agora, o Cellebrite BlackLight faz parte da família Cellebrite

Recentemente, a Cellebrite adquiriu a BlackBag, a empresa controladora do Cellebrite BlackLight, para ampliar o suporte de fontes digitais e permitir a inclusão de dados de computadores no fluxo de investigação.

Essa combinação natural fortalece o compromisso da Cellebrite de oferecer uma plataforma de inteligência digital inédita no setor para acessar, gerenciar e analisar dados digitais de várias fontes e organizar toda a operação de inteligência digital.

Com as soluções combinadas da empresa, agora, os gerentes de agência podem:

  • Oferecer suporte a acesso a dados de plataformas com Mac ou Windows
  • Simplificar a aquisição de dados em uso
  • Fazer a triagem dos dispositivos antes da extraçãos
  • Realizar extrações seletivas de dados

A inclusão do Cellebrite BlackLight na avançada linha de soluções de inteligência digital da Cellebrite está ajudando a Cellebrite a atingir sua meta de capacitar os clientes com as melhores ferramentas para atender às necessidades deles hoje e no futuro.

Principais conclusões:

  • O Cellebrite MacQuisition foi usado para criar uma imagem do MacBook com solidez forense.
  • As ferramentas e os métodos tradicionais usados por um experiente analista forense digital não conseguiram localizar os e-mails solicitados.
  • O Cellebrite BlackLight processou automaticamente os arquivos de e-mail armazenados na imagem do MacBook e os exibiu na guia Communications (Comunicações).
  • Embora o analista forense digital não tivesse experiência anterior no uso do Cellebrite BlackLight nem em examinar sistemas macOS, a interface fácil de usar facilitou a localização e extração dos e-mails solicitados.

Saiba mais como as soluções de análise e acesso de computadores da Cellebrite podem ajudar sua organização, clicando aqui.

Share this post