Introduction aux méthodes de forensics

A partir de la rentrée de septembre SCRT inaugure une nouvelle formation ayant pour thème les analyses forensics.

Cette formation a pour but de donner les bons reflexes à avoir en cas d’incident et d’initier aux différentes techniques et outils utilisés lors d’une analyse post-incident.

Les points suivants seront abordés:

  • les premières étapes
  • la collecte de preuves
  • l’analyse (online, offline, réseau)
  • les techniques de base lors de l’analyse d’un code malveillant

Pour plus d’informations: info@scrt.ch

Les oubliés des forensics: les Local Shared Objects

Dans le cas d’une analyse forensics, lors de la reconstruction des actions d’un utilisateur les cookies du navigateur sont l’un des premiers points à être analysé. Néanmoins, dans un navigateur ce dernier n’est pas le seul à laisser des traces: le lecteur Flash dispose également d’un système de cookies.

Le lecteur Flash utilise également des cookies afin de permettre aux sites de suivre les visiteurs lors de leurs passage. Par défaut, le stockage des cookies est activé ce qui en fait un atout lors de l’analyse d’un poste client. Flash intègre un mécanisme de sécurité basé sur le nom de domaine afin de restreindre l’accès aux LSO, mais ces fichiers sont indépendants du navigateur.

Les Local Shared Objects sont stockés dans le répertoire personnel de chaque utilisateur avec l’extension .sol. Un LSO contient les informations suivantes en plus des métadonnées:

  • le nom du site
  • le nom de l’objet représenté
  • le type des données stockées (nombre, booléen, chaine de caractères, date, …)
  • les données stockées

L’outil log2timeline peut être utilisé afin d’extraire des informations de fichiers LSO.

[sourcecode language=”bash”]

$ perl log2timeline -f sol -z Europe/Zurich "/Users/julien/Library/Preferences/Macromedia/Flash Player/#SharedObjects/36QMEH7N/www.hulu.com/BeaconService.sol"
Starting to parse file using format: [sol]
0|[LSO] modified -> File: /Users/guru/Library/Preferences/Macromedia/Flash Player/#SharedObjects/36QMEH7N/www.hulu.com/BeaconService.sol and object name: BeaconService variable: {visitNumber = (visit => 1, modified => 1253639116241, )}|0|0|0|0|0|1253639092|1253639092|1253639092|1253639092

[/sourcecode]

A noter que Google Chrome est le premier navigateur à avoir ajouté un lien vers la page de gestion des LSO dans sa fonctionnalité de suppression de l’historique de navigation.