Creación de Imágenes Forenses con Tsuguri

En este artículo veremos el proceso de creación de imágenes forenses utilizando las herramientas de la suite forense Tsuguri Acquire.

Tsuguri Acquire es una distribución linux basada en ubuntu, que permite la creación de imagenes forenses de disco. Una de las principales ventajas es que trae un sistema de bloqueo de escritura por defecto que aplica para cada dispositivo que se conecte al sistema.

En algunos casos se suele cuestionar la pertinencia de las herramientas basadas en linux dentro del ambito forense. Para este caso vamos a utilizar dos herramientas de creación de imagenes forenses Guymager y Dc3dd las cuales cumplen con los requisitos obligatorios definidos por NIST.

Imagen tomada de NIST Digital Data Acquisition Tool Specification

Usaremos Tsuguri Acquire dentro del proceso forense bajo el siguiente escenario:

Al llegar a la escena del incidente nos encontramos con la restricción de remover el disco duro del portátil objetivo.

En equipos portátiles nuevos es común que haya limitantes para sacar el disco o duro.

Preparación

A continuación los elementos necesarios para realizar esta práctica.

  • USB 3.0 de 2GB o superior
  • Disco duro externo con suficiente espacio para almacenar la imagen forense
  • Tsurugi Acquire
  • Balena Etcher

Antes de llegar a la escena del incidente debemos preparar nuestras herramientas, lo primero que haremos es crear una usb arrancable.

Instalación de Balena Etcher

Balena Etcher es un proyecto de código abierto para la creación de USBs o SD Cards de sistemas operativos live.

Instalación:

Agregamos el repositorio oficial de balena etcher:

echo "deb https://deb.etcher.io stable etcher" | sudo tee /etc/apt/sources.list.d/balena-etcher.list

Agregamos la llave para autenticar los paquetes del repositorio.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 379CE192D401AB61

Actualizamos la lista de paquetes

sudo apt-get update

Instalamos Balena etcher

sudo apt-get install balena-etcher-electron

Distribución Linux para la Adquisición

Descargamos la última versión de Tsuguri Acquire desde el sitio oficial https://tsurugi-linux.org/downloads.php

wget https://archive.org/download/tsurugi_acquire_2019.1/tsurugi_acquire_2019.1.iso

Una vez finalizada la descarga, ejecutamos balena Etcher, seleccionamos el archivo iso en la primera sección, en la segunda sección seleccionamos la USB y damos clic en flash.

En la pantalla de Etcher veremos el porcentaje del proceso.

Etcher notificará la finalización del proceso y da la opción para crear otra USB Live.

Iniciando el sistema desde Tsuguri

Con la USB conectada al computador objetivo, prendemos el equipo, es importante ingresar a la BIOS del equipo para que el arrancque se haga desde la USB y no desde el disco duro.

Al iniciar el sistema operativo seleccionamos la opción Tsuguri device unlocker, allí encontraremos el disco del equipo objetivo, es decir el disco del equipo al que le realizaremos la copia forense, y el disco externo donde vamos a almacenar la imagen forense. En este caso sda y sdb respectivamente.

Desbloquemos el volumen de destino, es decir el disco en el que guardaremos la imagen forense.

Confirmamos la operación

El estado del disco cambiará a read-write

Montamos el disco de destino

Abrimos una terminal, ejecutamos fdisk -l

Creamos un punto de montaje

mkdir /mnt/destination

Montamos la partición libre en la cual vamos a alojar la imagen forense en la carpeta creada en el paso previo.

mount /dev/sdb1 /mnt/destination

Creación de la Imagen Forense

Opción 1 – Guymager

Guymager es una herramienta de código abierto para la creación de imagenes forenses, esta herramienta cumple con los requisitos para la creación de imagenes forenses y es aceptada por entidades como NIST. Pueden encontrar el reporte generado por NIST dentro de la iniciativa Computer Forensics Tool Testing Program (CFTT).

Guymager v0.8.1 – Test Results for Disk Imaging Tool

Iniciamos Guymager desde el menú Tsuguri/Imaging/Guymager

Seleccionamos el disco físico el equipo objetivo, damos clic derecho y seleccionamos Acquire image.

En la sección File Format, Seleccionamos el formato de la imagen forense RAW, EWF, AFF, en este caso seleccionamos EWF (Expert Witness Format), diligenciamos los demás campos (número del caso, número de evidencia, examinador y descripción), En el campo Notes, guymager agregará el serial del disco duro.

En la sección Destination, seleccionamos la carpeta destino y el nombre del archivo (sin extensión), se recomienda usar nombres que permitan identificar al equipo que estamos investigando, si el equipo tiene varios discos recomiendo colocar HDD1 para el primer disco, HDD2 para el segundo y así consecutivamente.

En la sección Hash Calculation / Verification, seleccionamos los hashes a generar, por lo general utilizo SHA-1 y SHA-256. La opción verify image after acquisition hará la verificación de la imagen con base en los hashes obtenidos, se recomienda realizar la verificación antes de salir de la escena del delito. Por último presionamos el botón start.

El proceso iniciará inmediatamente, una barra de progreso nos indicará el estado del proceso.

Una vez finalizado el proceso el estado cambiará a Finished – Verified

Si listamos los archivos dentro de la carpeta destino, observaremos varios archivos con las extensión .E0X y un archivo .info

Mediante el comando cat verificamos que el archivo contenga la información necesaria:

Opción 2 – Dc3dd

Dc3dd es una herramienta creada por el DC3 (Department of Defense Cyber Crime Center) para la creación de imagenes forenses. Dc3dd está basado en la herramienta dd de linux e incorpora algunas características requeridas para hacer el proceso de creación de imagenes admisible.

Dc3dd también ha sido probado y avalado por NIST

dc3dd v7.2.641 Test Results for Disk Imaging Tool

Tomaremos la misma información del caso, el disco de origen es /dev/sda y guardaremos la imagen forense en /mnt/destination/CasoForense

dc3dd if=/dev/sda of=/mnt/destination/CasoForense/PC01HDD1.raw hash=sha1 hash=sha256 hlog=hash.log log=PC01HDD1.log

Hemos pasado una serie de parametros requerido para hacer el proceso de forma aceptable.

  • hash calcula los hashes, en este caso sha1 y sha256
  • hlog genera un archivo de log con el calculo de los hash
  • log genera un log del proceso

Durante el proceso aparece un indicador con el porcentaje.

Al finalizar aparecerán los hash calculados

Observemos que con ambas tanto con guymager como con dc3dd obtuvimos los mismos valores de hash.

6b02e78b3e57fa39a522060cf7d83fcfe01038fc (sha1)
ec31c4531923e9c6de0e725d31ec9ba7d6dea08a1454421d4dae3b38dea136f5 (sha256)

Con esto hemos finalizado el proceso de creación de imagenes forenses, hemos realizado el proceso con dos herramientas diferentes y hemos llegado a los mismos resultados lo cual muestra que se cumple con los requisitos establecidos en el ámbito forense.

1 Comment

Deja un comentario