【美亚技术分享】第十六期:手机取证技术最新进展
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【美亚技术分享】第十六期:手机取证技术
最新进展
手机取证技术不断发展,今年六月Belkasoft公司在Forensic Focus上发表了题为“手机取证的未来”的文章,并与网友进行了交流讨论。
文章发表后,手机取证技术发生了很多变化,上个月Belkasoft公司又发表了一篇题为“手机取证的未来——十一月续”的新文章,继续讨论手机取证前沿技术。
本文由美亚柏科技术专家翻译自《手机取证的未来——十一月续》,并做了适当的删改。
配图为美亚柏科手机取证系统部分产品。
1 iOS 8.4取证
iOS 8.x取证方面变化不大,但还是有一些进展。
iOS 8.4越狱问题已经被太极越狱团队(/en/)成功攻破,越狱后的32位iOS设备可以进行物理提取。
然而,64位的苹果公司设备(包括iPad mini Retina,iPhone 5S以及所有更新的型号)成功地抵抗住了物理提取,全盘加密使得chip-off依然无效,而且苹果公司设备上从来就没有JTAG接口。
未分配空间的数据依然不可恢复,因为iOS系统并不保存未分配区域的解密密钥。
有人提及“高级逻辑提取”方式,,这是除了物理获取方式外唯一能够提取邮件的方法。
据我们了解的情况,苹果公司在iOS 8.3就对此方法进行了封堵,所以只有比较老的设备可以尝试此办法。
由于苹果公司并不公布详细的iOS版本分布情况,我们不知道能够尝试利用此漏洞的iOS设备到底占多大比例。
苹果公司不断加强iCloud的安全性,调整二进制认证令牌的生命周期,该令牌主要被多数专业人士用于替代用户的登录帐号和密码(以及绕过双重验证)。
DC-4501手机取证系统:一款用于手机数据提取、恢复、分析、检索和报告处理的调查取证产品
2 iOS 9取证
最新版的iOS是手机取证中的热点话题。
截止2015年11月30日,已经有70%的iOS 设备运行着最新版的iOS系统,iOS 9是取证人员最为关注的问题之一。
作为被称作“不可攻破”的安全系统,新一代的苹果公司iOS系统内置了多种技术以限制对其进行安全研究。
但这并未阻止盘古团队发布可行的越狱方法(/pangu-9-download.html)。
让我们来总结一下对iOS 9设备可用的提取方法。
2.1物理提取
对于运行iOS 9的设备,物理提取仍然仅限于理论的可能性。
64位的设备(iPhone5及更新的型号、iPad mini 2及更新的型号)就不用说了,即使是32位的系统,运行iOS 9后仍然可以抵抗现有的物理提取方法——即使设备未锁定并且已越狱。
因此,目前尚没有一款取证工具可以对任意一部运行iOS 9的设备进行物理提取,无关其是否越狱或其构架。
现状:目前对于所有的iOS 9设备,物理获取都是不可行的,这种情况在未来也许会改
变,因为32位设备的物理提取在理论上依然存在可能性。
2.2高级逻辑提取
答案是否定的。
高级逻辑提取方式在iOS 9设备上不适用,而且很不幸,在以后的工作中这种方法可能也不会奏效。
2.3逻辑提取
普通的逻辑提取依然是可行的。
苹果公司改变了iTunes备份的格式和加密方法,所以你得更新所有的取证工具以保证对iOS 9的支持。
2.4云取证
iOS 9的云提取方式相比以前更棘手。
苹果公司在iOS 9中对云备份做了很多改变,使用了新的数据格式、新的加密方式。
然而最大的变化是云备份的位置,之前保存在Apple iCloud,如今iOS 9的备份保存到了iCloud Drive,内部机制变化很大。
目前大多数取证软件厂商还没有调整他们的产品以支持从iCloud Drive中获取iOS 9的数据。
近期发布的Elcomsoft Phone Breaker是支持最新iOS 9云取证的工具之一。
值得注意的是,二进制认证令牌的工作原理尚未改变,如果你碰巧遇到一个未过期的令牌,可以用来绕过两步验证。
FL-900手机取证塔:一款适用于取证实验室,支持多路手机并行取证和手机仿真的手机取证分析工作站
3 安卓取证
这方面进展不多。
Check Point在一个报告中介绍了一个漏洞,此漏洞可被专家利用并获取一些远程安卓设备数据。
我们的一个读者指出,很多型号的安卓设备中存在Bootloader 级别的漏洞,并被Cellebrite应用在他们的提取工具中,使得在不Root的情况下Dump出安卓设备的数据。
3.1认证门
在拉斯维加斯的黑帽大会上,Check Point Software公布了一个重要的安卓漏洞,这个漏洞被称为“认证门”,存在于包括LG、三星、HTC、中兴在内的数以百万的设备中,利用此漏洞可以远程控制设备。
这一漏洞存在于厂商预装的远程支持工具中,这些工具通常被用来帮助用户远程解决问题。
这些工具包括TeamViewer,MobileSupport(由Rsupport公司提供)和CommuniTake Remote Care。
显然,这些工具中存在的这一漏洞可以让攻击者利用他们的安全证书来控制此设备。
目前用户没有办法撤销或销毁对应证书,目前唯一的解决办法是等待补丁或者卸载受影响的工具。
即使这样,仍然会留下一个脆弱的证书。
Check Point宣称数百万设备受此漏洞影响。
目前我们还不清楚利用此漏洞来访问安卓设备的可能性以及是否已经有取证工具应用到了实践中。
3.2Stagefright及Stagefright 2.0
这个著名的漏洞有一些潜在价值,但是目前这一漏洞能的取证用途——获取手机data 区数据是否可行还值得商榷。
目前,还没有利用此漏洞的取证解决方案。
3.3Bootloader漏洞
大多数知名厂商(包括三星、LG、SONY、HTC、ASUS以及许多其他品牌)永久锁定Bootloader以防止设备被未签名的代码引导启动。
物理提取对Bootloader锁定的设备存在限制,尤其是Android的最新版本设备。
在很多设备上,解锁Bootloader是Root甚至临时root 的先决条件。
我们的一个读者指出,很多设备上存在Bootloader级别的漏洞,并被Cellebrite的提取工具成功利用。
Cellebrite UFED在一些Bootloader锁定的设备上成功让未经签名的启动镜像修改包引导启动设备,并从而获取设备镜像。
这一漏洞存在于许多使用高通解决方案平台及使用高通解决方案软件的设备。
因此,如果没有合适的安全认证,受影响设备可以被修改过的image文件引导启动。
Cellebrite利用此漏洞,使用他们自己的修改过的image文件可以成功启动引导很多受影响的型号的设备。
这是一件不容易的事情,因为必须对每个型号的设备适配单独的内核。
据报道,数百种型号的设备受此漏洞影响。
对于某一特定设备,如果Bootloader攻击方法适用,那么将是最具司法有效性的获取方法,因为从外部image文件引导启动不会写入任何数据也不会修改系统分区的任何数据,这种方法可以多次提取镜像出设备未经修改数据,并经得起哈希校验。
其他的方法需要获得权限并安装提取客户端,这不可避免地改变了设备中的数据。
Bootloader漏洞的利用方式对每个设备都不尽相同,Cellebrite宣称支持采用了高通芯片组的大部分摩托罗拉,部分三星、LG的GSM和CDMA安卓设备。
这种方法请谨慎使用,因为部分设备从第三方image文件引导启动时会擦除数据分区数据。
3.4 第三方Recovery
曾经有人问我们诸如TERP、CWM之类的第三方Recovery是否可以用来引导启动手机并获取data分区数据。
虽然这在技术上是可行的,特别是在Bootloader已解锁或者存在已知的Bootloader漏洞的设备,但从未签名的Recovery引导启动可能会触发手机的保护模式,在没有任何警告的情况下自动清空data分区的数据。
从这一角度来说,我们不推荐大家使用第三方Recovery启动引导来获取数据。
DC-4701手机取证一体机:一款硬件高度集成,并支持手机数据提取、恢复、检索、分析、可视化关联和
报告处理的手机调查取证一体化设备
4 Windows Phone 8取证
随着Windows10 Mobile即将发布并且考虑到其所占的份额比较小,Windows Phone 8取证正逐渐变成一种累赘,往往代价高昂成效小。
然而,Windows手机的提取也还是有一些进展的。
4.1 Windows Phone 8/8.1加密破解
当提到Windows手机提取的时候,我们必须要讲一下JTAG和chip-off方式。
由于大多数Windows Phone平台手机都是消费级产品,数据并没有加密,JTAG方式可以使用。
但一个客户曾我们寻求帮助,声称他手头有一部加密过的Windows Phone设备。
Windows Phone 8/8.1并没有选项可以让用户选择是否加密他的智能手机,然而,是否加密可以由企业MDM管理员(Microsoft Mobile Device Manager)使用组策略控制。
如果加密设置被触发,那么设备会自动使用Bitlocker加密整个用户分区的数据。
结果就是JTAG 和chip-off方法只能得到一个不可解密的镜像。
那么Bitlocker托管密钥呢?按照微软公司的说法,Windows Phone系统的设备并不能像桌面版Windows系统一样将托管密钥保存到设备以外。
由于用户个人不能手动激活Windows Phone 8的加密,之前从https:///recoverykey抓获取托管密钥的方法对Windows Phone不再有效。
那么,如果一定要提取使用Bitlocker加密过的Lumia手机数据该怎么办呢?你可以寻求技术手段,例如/bitlocker-cyan-update-problems-windows-
phones。
但托管密钥本身是不会创建、存储或上传到任何地方的。
4.2 Windows Phone Bootloader漏洞
正如一个读者所提醒的,对部分Windows Phone设备,还有一种可行的提取方式。
一些流行的Windows Phone8设备,例如Lumia 520,可以利用Bootloader漏洞进行进行物理提取。
Cellebrite UFED就可以在部分Windows Phone设备上进行物理提取。
通过这种方式获取的未加密的镜像包含了手机存储的所有原始内容。
此方法支持的Windows Phone 8设备可以使用Cellebrite UFED通过数据线获取。
5 Windows 8/8.1/10及BitLocker
有人询问我们从企业MBAM(Microsoft BitLocker Administration and Monitoring)恢复托管密钥的方法。
如果某个Windows电脑使用着企业帐号,第一件需要确认的事情就是检查MBAM是否有不使用托管密钥的策略。
(https:///en-us/library/dn145038.aspx)如果需要获取Bitlocker托管密钥,专家们可以参考微软文档中的步骤:https:///en-us/library/dn656917.aspx。
FL-930手机恢复塔,一款集手机芯片取证、多路手机并行取证、手机数据恢复、手机仿真等多项功能为一
体的整体解决方案
6 BlackBerry 10取证
在我们之前的文章中,我们写到BlackBerry唯一存在的理由在于其卓越的安全性,全盘加密、不可绕过的PIN锁、安全锁保护的Bootloader,所有这些特性使得BlackBerry坚不可摧,让JTAG和chip-off方法无计可施。
但有手机取证专家反馈,称他们已经成功地通过JTAG方式提取到了运行BlackBerry 10系统的新一代BlackBerry设备,包括Q10和Z10。
显然,这些设备并没有加密。
所以我们现在更正一下。
BlackBerry10系统默认并没有激活加密,用户(或BES管理员)需要手动激活每个设备的加密功能。
如果没有启用加密,用户的数据区将不被加密。
我们只接触过企业使用的BlackBerry手机,没有遇到扣押的私人BlackBerry手机。
根据我们的经验,BlackBerry10设备很少卖给个人用户,而且我们从来没有亲自遇到未加密的BlackBerry10设备。
7 结论
正如我们看到的,手机取证发展实在迅猛。
最新版的iOS一度不可越狱,但在我们完成上篇报告不久就被越狱了。
Windows Phone本可以像桌面版Windows一样使用Bitlocker 加密却没有任何地方可以进行相关设置。
谁有能想到BlackBerry 10竟然默认没有启用加密!而新发现的漏洞使得数以百万的安卓设备存在被远程攻击的威胁。
取证厂商探索着新的可能的提取方法,即使这仅仅对有限的设备有效。
这个世界发展得实在太快!。