Hola a todos. Al hilo del artículo sobre análisis de intrusiones vía Team Viewer que compartí recientemente en Flu Project, me consultaba un compañero de sector sobre como abordar aquellos casos forenses en los que nos encontrábamos con un disco cifrado con Bitlocker. En estos casos es cierto que el procesado de un clonado dd no es inmediato, y tecnologías como Autopsy no aceptan, al menos sin scripts o plugins, el descifrado de estos discos, por lo que se hace necesario realizar un descifrado previo antes de poder pasárselo a una herramienta de análisis. Por suerte, ya existen herramientas que podemos utilizar, y una de las más usadas es bdemount.
De bdemount no hay mucho que contar. Como su propia descripción indica, mounts a BitLocker Drive Encryption (BDE) encrypted volume. Lo que sí necesitaremos conocer de antemano es, obviamente, la contraseña, y, a continuación, el offset donde comienza la partición. Hay vías para obtener la clave de bitlocker a partir de un dump de memoria con alguna herramienta como Volatility, pero eso lo dejaré para posteriores artículos.
Una vez clonado el disco del forense en formato dd, podremos listar su contenido mediante fdisk -l (el que esté o no cifrado no impide el clonado, por lo que hasta este punto no deberíamos tener mayores inconvenientes):
Es posible que el disco contenga varias particiones, y la que os interese sea una en concreto, la cifrada. Esto lo podréis averiguar con el propio Autopsy o FTK Imager de forma visual:
O si sois más consoleros, con Hexdump:
Para saber si una partición se encuentra cifrada con Bitlocker podréis mirar los primeros bytes y os encontraréis con la siguiente cadena: "-FVE-FS-". Os dejo con un enlace muy interesante donde se dan muchos detalles técnicos acerca del cifrado de Bitlocker:
https://forensicswiki.xyz/wiki/index.php?title=BitLocker_Disk_Encryption
Con la partición de interés identificada, solo restará montarla de forma descifrada. Para ello, os dejo a continuación los parámetros a utilizar:
sudo bdemount -pCONTRASEÑA -o $((512*OFFSET)) clonadoforense.dd /media/destinoRecordad tener previamente una carpeta con permisos de escritura en destino.
Ahora podréis trabajar con ella como consideréis. Podréis hacer otro dd de la partición descifrada, podréis analizarla desde, por ejemplo, la versión de Autopsy para Linux, podréis extraer archivos concretos como, por ejemplo, los logs de acceso a determinada aplicación, etc. etc.
Además de bdemount, también podréis utilizar otras herramientas como Dislocker para descifrar una partición cifrada con Bitlocker. Dislocker está disponible entre las herramientas de Kali. Os dejo con un post interesante de Stefan Rows, donde no solo explica como instalar y utilizar Dislocker, sino que también detalla como preparar un script de automontaje:
https://www.ceos3c.com/linux/open-bitlocker-drive-linux/
Finalmente, y por aportaros algo más de lectura sobre descifrado de Bitlocker para esta semana, quería dejaros por aquí un hilo de Twitter con el que me topé gracias a DragonJAR:
Una joya de hilo de Jon Aubrey, en el que muestra como logró descifrar precisamente, con Dislocker, un portátil cifrado, extrayendo la clave a nivel de hardware con un analizador de Saleae:
Con este hilo tendréis lectura para cacharrear un buen rato con algún portátil que tengáis a mano :)
Espero que haya sido de vuestro interés.
¡Saludos!