Técnicas de extracción en dispositivos móviles

Técnicas de extracción en dispositivos móviles

Tiempo de lectura estimado: 11 minutos


Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer algunas de las técnicas forenses existentes para extraer información de dispositivos móviles.

Análisis forense

Cuando hablamos de análisis forense debemos ligarlo todo a un flujo de trabajo. Este proceso integra:

  • Identificación: Del modelo de teléfono, versión del sistema operativo… No siempre es fácil y nos permite decidir qué tipo de extracción es la más adecuada. 
  • Adquisición/recolección: La extracción de pruebas en sí. Otros formatos como los CDs no requieren este paso ya que no se pueden alterar (normalmente).
  • Preservación: Hay que evitar la modificación de la información contenida en un dispositivo digital.
  • Examen: Intentamos dar respuesta a las preguntas que requieren los investigadores.
  • Análisis: Parecido al examen, no hay que confundir análisis forense con extracción de información.
  • Documentación: Hay que documentar todas las fases del proceso. Cada paso que demos debe estar perfectamente documentado y respetar la cadena de custodia. Cuanto más exhaustivos seamos en nuestra documentación menos dudas habrá de nuestras conclusiones.
  • Presentación: De los resultados frente a operadores jurídicos y con un lenguaje claro.

Técnicas de extracción

Es común recurrir a la pirámide de la extracción, en su base con técnicas más sencillas y por las que se empieza y en su cúspide las más técnicas y complejas.



Extracción manual

Se dice que es menos invasiva, pero no es del todo cierto. Hasta dar con la información buscada se observa el resto de información, pudiendo además modificar las últimas fechas de acceso que pueden ser fundamentales en el futuro. Es la más sencilla de realizar y se puede aplicar a casi cualquier dispositivo móvil. Es el procedimiento menos forense y no existe la posibilidad de recuperar información borrada.

Esta técnica se utiliza en móviles sin ningún tipo de conectividad y en dispositivos que los criminales usan una sola vez. No se puede realizar una extracción física del sistema de archivos pero se dispone de acceso al terminal. En ocasiones se puede visualizar un chat de WhatsApp en el dispositivo pero al extraerlo se encuentra cifrado.

Para hacerlo, solo quedaría la opción manual, hacer fotos de la pantalla con la conversación o capturas de pantalla si es posible. Si podemos hacer capturas se puede automatizar con scripts con ADB.

Extracción lógica

Accedemos a un contenido parcial del dispositivo. Es muy poco invasiva y se suele utilizar la aplicación de backup del fabricante. Es el primer método forense y está soportado por la mayoría de dispositivos. Debemos tener acceso al dispositivo (credenciales de acceso) y es conveniente tener acceso al USB debug. No es posible recuperar información borrada y los resultados se limitan a contactos/registro de llamadas/SMS y multimedia no borrado.

Extracción lógica avanzada (sistema de archivos)

Obtendremos información de todos los ficheros almacenados en la memoria pero no es una imagen bit a bit del contenido. Es el segundo método forense y menos complejo que la extracción física. En Android necesitaremos permisos root y en iOS ejecutado un Jailbreak. Esto es porque para acceder a esas carpetas debemos contar con permisos de administrador, y por defecto un usuario Android no lo es. Dependiendo del dispositivo tendremos acceso a mensajería instantánea y otras bases de datos SQLite y una mínima posibilidad de acceder a información borrada.

Extracción física

Consiste en una copia exacta bit a bit del contenido del almacenamiento físico del dispositivo. En la mayoría de casos solo se usan herramientas de software (Emergency Download Mode). Es necesario el permiso root y debido al tamaño de las memorias actuales es un procedimiento que necesita de mucho tiempo. Muchos dispositivos no soportan este tipo de extracciones y se puede recuperar información borrada. La extracción física agrupa varios métodos, algunos no invasivos como el Hex dump y otros invasivos como el JTAG, ISP o Chip off.

Hex Dump

Es un método de extracción física mediante software. Se lleva a cabo conectando el dispositivo a la estación de trabajo para la posterior ejecución de instrucciones y volcado de la memoria. El resultado es una imagen forense y contenido completo de la memoria, habitualmente en formato binario (DD). Es necesario poner el dispositivo en modos especiales como EDL o Download Mode (Odin mode).

JTAG (Join Test Action Group)

En los 80s se desarrolló una especificación para el proceso de comprobación de placas electrónicas (JTAG), y fue estandarizado en 1990 como IEEE Std.1149.1-1990. Algunos de los elementos integrados en la placa permiten conectar este bus y comprobar su funcionamiento, siempre que se pueda conectar a unos puntos específicos.

Como inconvenientes, debemos conocer dónde se encuentran los Test Access Ports (TAPs) y necesitamos bastante tiempo para manipular el hardware, habitualmente se hace mediante soldadura.

ISP (In-System Programming)

Realizamos una conexión directa a las memorias flash tipo eMMC o eMCP sin intervención del procesador. Se deben identificar los TAPs al igual que en JTAG, pero es más rápido que JTAG.

Chip Off

Consiste en la extracción del chip de memoria de la placa electrónica, a día de hoy no es muy común. Hay dos tipos:

  • Extracción caliente (thermal): mediante la aplicación de calor. Es la más popular y la más agresiva, ya que aplicamos temperaturas superiores a 230ºC.
  • Extracción fría (non thermal): mediante técnicas de lijado, fresado y corte.

Antes de realizar un chip off debemos saber que es el último recurso e investigar sobre el dispositivo (marca, modelo, SO, chip…), si el dispositivo está cifrado o si podemos realizar otras técnicas de extracción menos agresivas. Con una extracción caliente el 5% de las memorias quedan dañadas de forma total.

Micro Read

Se utiliza un microscopio electrónico muy potente para obtener una imagen de la superficie de la memoria. Es un método muy caro y no existen herramientas comerciales para su puesta en práctica. Actualmente se encuentra en una fase de pruebas en entornos universitarios.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Miguel Velasco

Inspector y Jefe de Grupo de Análisis Forense de Dispositivos Móviles de la CNP.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/