Menú principal

sábado, 28 de septiembre de 2013

Pac4Mac: Análisis forense de OS X desde un USB

La herramienta Pac4Mac (Plug and Check for Mac OS X) ha sido desarrollada por sud0man, y tal y como explica en su paper, permite realizar un análisis forense a equipos con sistemas OS X realizando su ejecución desde un dispositivo USB. La herramienta permite la extracción y el análisis de información para poder determinar qué situaciones han tenido lugar en un equipo Mac OS X. Permite obtener todo tipo de información, como puede ser el historial de navegación de usuarios, contraseñas cacheadas, acceso a la información privada en campos de autorelleno, etcétera.

Pac4Mac también permite comprobar algunso puntos importantes de la seguridad de un sistema Mac OS X, con el fin de encontrar evidencias y ayudar al forense con la investigación y para ello viene con algunos exploits que pueden ser utilizados. Además Pac4Mac analiza la fuga de información que se puede obtener a través de rutas del sistema que dan información sobre usuarios, software o herramientas de seguridad. Todas ellas están detalladasen el documento Mac-Security-Tips.

Figura 1: Ejeución de Pac4Mac

Las principales características de este framework son las siguientes:
  • Desarrollado en Python 2.x. 
  • Soporte para OS X 10.6, 10.7, 10.8 y 10.9, éste último no testeado.
  • Extracción de datos a través de user o root. También se puede utilizar el modo single y target, en el cual se utiliza Firewire o Thunderbolt.
  • Tres modos de dumpeo: rápido, forense y avanzado. El rápido saca un conjunto de elementos que pueden interesar para un análisis rápido. El volcado forense permite obtener un volcado rápido, un volcado de RAM y clonación de disco. Por último, el volcado avanzado permite realizar un volcado forense, es decir el anterior, fuerza bruta y mostrar secretos (técnicos y de negocio).
  • Dump de usuarios normales y admins.
  • Dumping users keychains.
  • Dumping system keychains.
  • Dumping password hashes.
  • Dumping browser cookies (Safari, Chrome, Firefox, Opera).
  • Dump de historial (Safari, Chrome, Firefox, Opera).
  • Dump de archivos impresos.
  • Dump de mensajes de iChat, Skype, email, etcétera.
  • Dump de calendario.
  • Adición de usuario root. 
  • Dump memoria RAM.
  • Dump de logs, audit, firewall.
Figura 2: Exploit Keychain Files

Este framework se puede probar descargándolo directamente desde la dirección URL del proyecto en GoogleCode. El número de opciones que ofrece la herramienta es alto, así que iremos desgranando en artículos siguientes algunas de ellas, para que podáis sacarle más partido, pero desde ya te animamos a que lo pruebes.

1 comentario:

Artículos relacionados

Otras historias relacionadas

Entradas populares