Modulo 07 - Agentes Cloud

Módulo 7: Agentes Cloud
DIGITAL FORENSICS WINDOWS

Índice
Introducción ................................................................................................................ 2
OneDrive .............................................................................................................. 2
1.1 SyncDiagnostic.log ..................................................................................... 3
1.2 {CID}.ini....................................................................................................... 7
1.3 {CID}.dat ..................................................................................................... 7
Google Drive ........................................................................................................ 7

2.1 Sync_log.log ............................................................................................... 8
2.2 Cloud_graph\Cloud_graph.db ..................................................................... 9
2.3 Sync_config.db ......................................................................................... 10
Dropbox ............................................................................................................. 11
3.1 Config.dbx................................................................................................. 18
3.2 Filecache.db ............................................................................................. 19
3.3 Alternate Data Steam en Dropbox............................................................. 20
Telefónica Tech © All Rights Reserved 1

Introducción
El propósito de este curso es enseñar al alumno todos los procedimientos básicos que
existen hoy en día en cuando al Digital Forensics o Análisis Forense Digital.
Dentro del área de la Digital Forensics el curso se centra en profundidad en sistemas

operativos Windows, analizando todos los artefactos forenses que pueden ser útiles
para el día de mañana desarrollar una investigación de tal ámbito.
Este módulo 7 esta focalizado los principales sistemas de almacenamiento en la nube,

que permitan instalar pesado en sistemas Windows.
Esperamos que este curso sea de su agrado y que apliquen con éxito a su carrera
profesional los conocimientos adquiridos.
OneDrive
Onedrive es un servicio de alojamiento de ficheros en la nube que muchas veces, puede
ser objeto de una investigación forense. Existe una aplicación de sincronización de
ficheros, la cual se instala Windows y transfiere de manera automática todos los ficheros
hacia el Cloud. La ruta de configuración del aplicativo se puede localizar en:
• \Users\usuario\AppData\Local\Microsoft\OneDrive\logs\
Dentro de la carpeta Personal podemos encontrar:
• Ficheros SyncEngine relacionados con la sincronización con OneDrive

• Fichero SyncDiagnostic.log: contiene un informe de diagnóstico con multitud de
campos que podemos analizar a continuación.

1.1 SyncDiagnostic.log
Información de los ficheros que sincronizados:
• Tamaño en bytes
• Fecha de creación en el sistema de Archivos en UTC en formato epoch
• Fecha de modificación en el sistema de Archivos en UTC en formato epoch
• Total de ficheros en el cloud de Onedrive
• Total de ficheros en la carpeta de OneDrive
• CID: es el identificador único del usuario en Onedrive
• Marcas de tiempo en UTC de cuando se genera el reporte
• Tamaño total del disco del sistema operativo.
Scanning '%MountPoint%[62014A3CFEC60D07!101]\NewSeaLab\CakeHerWag'
- file 'C:\Users\ismis\OneDrive\Escritorio\Tools\know-
your-file- types.jpg',
size=117888, creationTime=1538599456, modTime=1538599457, isOcsi=0
- file 'C:\Users\ismis\OneDrive\Escritorio\Tools\slacker.exe',
- file 'C:\Users\ismis\OneDrive\Escritorio\Tools\time.exe',
Folder'%MountPoint%[62014A3CFEC60D07!101]\NewSeaLab\CakeHerWag'
Total: 0 folders (0 sub-scopes), 3 files
Cloud Total: 11 folders, 14 files (8967595 bytes)

Disk Total: 11 folders, 14 files (8967595
bytes)
DAT Total: 11 folders, 14 files (8967595 bytes)
cid = 62014a3cfec60d07
timeUtc = 2018-10-08T07:32:03.0000000Z
totalSizeOfDiskDrive = 63846739968
El CID es el campo que nos permitiría localizar todo lo relacionado con OneDrive en la
evidencia que vayamos a analizar. Podríamos utilizar la herramienta Autopsy para
realizar una búsqueda de este campo y ver que ficheros están involucrados.

Para ello previamente hay que configurar Autopsy a la hora de crear el caso, de la
siguiente manera:
Nos podemos configurar una lista propia para buscar el String en cuestión mediante la
opción de “Global Settings”:
• New List: OneDrive.

• New Keywords: metemos el CID como Substring.

Marcamos nuestra nueva keyword:
Dejamos Autopsy trabajando:

A raíz de esta búsqueda podemos encontrar más ficheros involucrados en la

configuración de OneDrive:
\Users\{usuario}\AppData\Local\Microsoft\OneDrive\settings\Personal\{CID}.ini
Se localiza el fichero con extensión .ini

1.2 {CID}.ini
Contenido 62014a3cfec60d07.ini
• LastRefreshtime: formato epoc UTC

• BytesTransferred: bytes enviados al cloud
• Skydrive: ruta de lo que se debe sincronizar
1.3 {CID}.dat
Dentro de la carpeta de personal, podemos el encontrar el fichero

62014a3cfec60d07.dat que si lo abrimos con un editor hexadecimal como HxD
podremos identificar los nombres de los ficheros y carpetas que se sincronizan con
OneDrive.
Google Drive
Google Drive es otra herramienta que permite la sincronización de ficheros con la nube.
Este tipo de herramientas puede ser siempre objeto de investigación en caso de una

exfiltración de la misma. La ruta donde esta la configuración de Google Drive es la

siguiente:
• \Users\{usuario}\AppData\Local\Google\Drive\user_default
2.1 Sync_log.log
Contiene un log con toda la información del agente, rutas de sincronización con ficheros,
ficheros a sincronizar, timestamps, MD5 de los ficheros, nombre de la cuenta asociada
de Gmail.
Si un fichero fuese borrado, aparecería también en este log, junto con su

correspondiente MD5.

2.2 Cloud_graph\Cloud_graph.db
Es un fichero en SQLite y los podemos abrir con la herramienta SQLite Studio:
Y abrimos la base de datos que previamente hemos extraído como siempre.

La tabla más importante es: cloud_graph_entry:
Podemos seleccionar la tabla, pinchar sobre la solapa DATA y ver los registros.
Podemos identificar:
• Nombres de los ficheros sincronizados

• Fecha de modificación en epoc UTC
• Tamaño
• Checksum que es el Hash MD5 del fichero.
2.3 Sync_config.db
Es otra base de datos SQLITE donde también puede encontrarse información muy
significativa, como la cuenta de email asociada, ubicación de las carpetas compartidas,
versión del Google Drive instalado. Solo contiene una tabla: data

Configuración de la cuenta de Google Drive:
Dropbox
Para Dropbox, existe una versión del cliente en Windows el cual nos permite tener
sincronizados todos nuestros ficheros y archivos en un directorio del equipo, de tal forma
que podemos disponer de ellos de forma local en el equipo como cualquier otro fichero.
La forma que tiene de gestionar la aplicación de Windows para Dropbox, es mediante

bases de datos SQLITE. En estas bases de datos, se almacena toda la información
necesaria para el correcto funcionamiento y sincronización: los ficheros de
configuración, cuenta de correo, así como todos los ficheros que el usuario tiene en su
cuenta de Dropbox y cuales están y cuales no sincronizados en el equipo. Las bases de
datos de Dropbox las podemos encontrar bajo la siguiente ruta:
• \Users\%USERNAME%\AppData\Local\Dropbox\
• \Users\%USERNAME%\AppData\Local\Dropbox\Instance1
• \Users\%USERNAME%\AppData\Roaming\Dropbox\
Las principales bases de datos que podemos encontrar bajo estos directorios son:
• Sigstore.dbx
• Filecache.dbx
• Deleted.dbx
• Config.dbx
Todas las bases de datos nombradas anteriormente tienen una extensión .dbx, esto
quiere decir que son bases de datos cifradas. El cifrado utilizado por Dropbox es DPAPI:
https://msdn.microsoft.com/en-us/library/ms995355.aspx
Para descifrar las bases de datos, utilizaremos de la evidencia con la que hemos venido
trabajado hasta ahora, el perfil Pedro, ya que le perfil de Ismis está asociado a cuenta
de Outlook.
Para obtener más datos de cómo funciona el cifrado de Dropbox es necesario echar un
vistazo a esta web http://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-
decryption.html y obtendremos:
• Entropía DPAPI para cifrar: D114A55212655F74BD772E37E64AEE9B

• La SALT que utiliza: 0D638C092E8B82FC452883F95F355B8E
• 1066 iteraciones usando PBKDF2
Dropbox utiliza una clave de cifrado para cifrar las bases de datos con extensión DBX.
Esta clave de cifrado esta cifrada en el registro de usuario, mediante DPAPI y con la
entropía anteriormente identificada. Una vez que descifra mediante DPAPI hay utilizar
una función PBKDF de 1066 iteraciones con la salt indicada, para poder obtener la clave
final del fichero DBX.

La herramienta que permite realizar descifrados externos de DPAPI con interfaz gráfica
se llamada DataProtectionDecryptor de Nirsoft:
Para conseguir realizar el descifrado deberemos de proporcionarle los siguientes datos:
1. La clave que está cifrada en el registro del usuario (DPAPI data)

Es un data blob de DPAPI, es decir, el contendor que contiene la clave con la que ha
sido cifrado Dropbox y se encuentra en el siguiente paso:
• NTUSER.DAT\Software\Dropbox\ks\Client

Para obtenerla, tendremos primeramente que extraer mediante FTK Imager el fichero
NTUSER.DAT del usuario Pedro y luego utilizaremos la herramienta Registry Explorer:
Seleccionamos Client y luego “Export->Value Data”:

Le decimos que sí:
2. La entropía que la conocemos: D114A55212655F74BD772E37E64AEE9B

3. Las credenciales de acceso a Windows del usuario en cuestión. Para esta demo
utilizaremos las del usuario Pedro: Microsoft2018!
4. Los registros SYSTEM y SECURITY
5. Carpeta Protect:
Dentro del protect folder se encuentran las DPAPI master keys junto con su histórico.
• \Users\Pedro\AppData\Roaming\Microsoft

Con todos estos ficheros, simplemente tenemos que introducirlos en

DataProtectionDecryptor:
Cuando se produzca el cifrado de manera satisfactoria, aparecerá en verde y el mensaje

de “Succeeded”. El campo de abajo es clave que deberemos usar la función PBKDF
para conseguir la clave final:

La clave es 3F C7 6A E0 1B B4 57 38 D7 DE C2 33 11 D0 21 68. A esta clave, la

llamaremos clave primaria. Ahora abrimos CyberChef que lo tenemos en el Escritorio y
configuramos:
• Derive PBKDF2, junto con las 1066 iteraciones y la salt

0D638C092E8B82FC452883F95F355B8E en HEX
• Insertamos previamente obtenida como Passphrase en HEX
Finalmente obtenemos:
• DAE86D92EE82466843EF2BAE2DB444D6
El siguiente paso, es descifrar la base de datos con clave obtenida. Para ello
utilizaremos una versión especial de SQLITE que soporta cifrado y ejecutaremos el
siguiente comando sobre la base datos que previamente hemos extraído con FTK
Imager:
sqlite-dbx-win64.exe -key XXXXX bbdd.dbx ".backup bbdd.db"
Las bases de datos más relevantes que encontramos de Dropbox son las siguientes:

3.1 Config.dbx
Contiene la configuración de la cuenta sincronizada en el equipo y los datos de estos,

algunos de los campos interesante de esta tabla son:
• Email: dirección de email de la cuenta registrada.

• Userdisplayname: nombre del usuario de la cuenta.
• dropbox_path: dirección donde se encuentra la carpeta de Dropbox en el
equipo.
• Host_id: hash de autenticación que usa la aplicación de escritorio para
autenticarse en la nube. Este hash no cambia al menos que se revoque desde
la página web.
• Root_ns: identificador del usuario. Este veremos que en la base de datos
Filecache.db será utilizado.

3.2 Filecache.db
En esta base de datos, encontraremos información de todos los ficheros y carpetas que
están sincronizadas con Dropbox, así como información de estas. Gracias a esta base
de datos obtendremos un registro de los ficheros y de lo que ha ocurrido con estos,
podremos seguir el rastro incluso de aquellos que no están configurados para ser
sincronizados en el equipo. Dentro de esta base de datos encontraremos las siguientes
tablas más importantes:
• File_journal: tenemos información de todos los ficheros de Dropbox y de las

carpetas de este.
La tabla File_journal es la que más información nos dará de los ficheros, así como
algunos de sus campos especiales:
• Server_path: la ruta del servidor donde está alojado el archivo. Los ficheros van
precedidos por el host_id del cliente, este identificador podemos ver que está
también registrado en la tabla “config” en el registro “root_ns”.
• local_sjid: la versión del archivo. Como sabemos, Dropbox cuando hacemos
modificaciones sobre un fichero, nos va almacenando las versiones de estos,
este número de versión es el que está almacenado en este campo.
• local_mtime: fecha de modificación del fichero (formato epoch).
• local_ctime: fecha de creacción del fichero (formato epoch).

Seguimos enumerando las tablas dentro de la base de datos Filecache.db:
• block_cache: almacena el hash de todos los archivos y directorios de Dropbox

• block_ref: en esta base de datos podemos relacionar el identificador del hash
de la tabla block_cache con el identificador del fichero en la tabla file_journal
• mount_table: las carpetas compartidas de Dropbox
• deleted_fields: los archivos que han sido eliminados de Dropbox
o date_added: la fecha en la que se ha añadido la entrada en la base de
datos, que corresponde la fecha en la que se ha eliminado el fichero
Ver video: 001-Descifrado SQLITE Dropbox
3.3 Alternate Data Steam en Dropbox
Tal y como vemos en el siguiente enlace, todos los ficheros que hay en la carpeta de
sincronización de Dropbox, tienen un Alternate Data Stream. Este hecho es muy
importante, porque podríamos trazar que ficheros han estado en Dropbox si los
encontrásemos en el sistema de archivos:
https://blog.didierstevens.com/2017/01/30/quickpost-dropbox-alternate-data-streams/
En la imagen anterior, aparecen dos ADS:
• com.dropbox.atributtes
• com.dropbox.attrs

El análisis del com.dropbox.atributtes tiene un header conocido, tal y como indica el

análisis efectuado en la web anterior obteniendo el identificador propio de Dropbox de
la maquina en el que estuvo.
Es muy importante saber que para todas las bases de datos que hemos visto en formato
SQLite, en caso de que fuesen borradas del sistema de archivos, se podría realizar una
recuperar mediante técnicas de carving, tal y como hemos visto en módulos anteriores
y en especial se podría utilizar Photorec.

www.tech.telefonica.com/es

Modulo 07 - Agentes Cloud

Cargado por

Copyright:

Formatos disponibles

Modulo 07 - Agentes Cloud

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo 07 - Agentes Cloud

Cargado por

Copyright:

Formatos disponibles

Módulo 7: Agentes Cloud

DIGITAL FORENSICS WINDOWS

Google Drive ........................................................................................................ 7

Telefónica Tech © All Rights Reserved 1

Dentro del área de la Digital Forensics el curso se centra en profundidad en sistemas

Este módulo 7 esta focalizado los principales sistemas de almacenamiento en la nube,

Dentro de la carpeta Personal podemos encontrar:

• Ficheros SyncEngine relacionados con la sincronización con OneDrive

Telefónica Tech © All Rights Reserved 2

Información de los ficheros que sincronizados:

Cloud Total: 11 folders, 14 files (8967595 bytes)

Telefónica Tech © All Rights Reserved 3

• New List: OneDrive.

Telefónica Tech © All Rights Reserved 4

Marcamos nuestra nueva keyword:

Dejamos Autopsy trabajando:

Telefónica Tech © All Rights Reserved 5

A raíz de esta búsqueda podemos encontrar más ficheros involucrados en la

Se localiza el fichero con extensión .ini

Telefónica Tech © All Rights Reserved 6

• LastRefreshtime: formato epoc UTC

Dentro de la carpeta de personal, podemos el encontrar el fichero

Telefónica Tech © All Rights Reserved 7

exfiltración de la misma. La ruta donde esta la configuración de Google Drive es la

Si un fichero fuese borrado, aparecería también en este log, junto con su

Telefónica Tech © All Rights Reserved 8

Es un fichero en SQLite y los podemos abrir con la herramienta SQLite Studio:

Y abrimos la base de datos que previamente hemos extraído como siempre.

Telefónica Tech © All Rights Reserved 9

La tabla más importante es: cloud_graph_entry:

• Nombres de los ficheros sincronizados

Telefónica Tech © All Rights Reserved 10

Configuración de la cuenta de Google Drive:

La forma que tiene de gestionar la aplicación de Windows para Dropbox, es mediante

• Entropía DPAPI para cifrar: D114A55212655F74BD772E37E64AEE9B

Telefónica Tech © All Rights Reserved 12

Para conseguir realizar el descifrado deberemos de proporcionarle los siguientes datos:

1. La clave que está cifrada en el registro del usuario (DPAPI data)

Telefónica Tech © All Rights Reserved 13

Seleccionamos Client y luego “Export->Value Data”:

Telefónica Tech © All Rights Reserved 14

Le decimos que sí:

2. La entropía que la conocemos: D114A55212655F74BD772E37E64AEE9B

Telefónica Tech © All Rights Reserved 15

Con todos estos ficheros, simplemente tenemos que introducirlos en

Cuando se produzca el cifrado de manera satisfactoria, aparecerá en verde y el mensaje

Telefónica Tech © All Rights Reserved 16

La clave es 3F C7 6A E0 1B B4 57 38 D7 DE C2 33 11 D0 21 68. A esta clave, la

• Derive PBKDF2, junto con las 1066 iteraciones y la salt

sqlite-dbx-win64.exe -key XXXXX bbdd.dbx ".backup bbdd.db"

Telefónica Tech © All Rights Reserved 17

Contiene la configuración de la cuenta sincronizada en el equipo y los datos de estos,

• Email: dirección de email de la cuenta registrada.

Telefónica Tech © All Rights Reserved 18

• File_journal: tenemos información de todos los ficheros de Dropbox y de las

Telefónica Tech © All Rights Reserved 19

Seguimos enumerando las tablas dentro de la base de datos Filecache.db:

• block_cache: almacena el hash de todos los archivos y directorios de Dropbox

Ver video: 001-Descifrado SQLITE Dropbox

3.3 Alternate Data Steam en Dropbox