Ferramenta forense open source para extração de artefatos em sistema Mac OS X

OS X Auditor é uma ferramenta forense open source para auditar ou extrair artefatos de um sistema Mac OS X. Ele analisa e elimina os seguintes artefatos no sistema em execução ou em uma cópia de um sistema que deseja analisar:

  • As extensões do kernel;
  • Os agentes do sistema e daemons;
  • Agentes e daemons de terceiros;
  • O sistema antigo e os itens de inicialização de terceiros;
  • Os agentes dos usuários;
  • Arquivos baixados pelos usuários;
  • Aplicativos instalados em um sistema em execução (ou sua cópia).

Com ele, é possível extrair:

  • Os arquivos em quarentena dos usuários;
  • Históricos do Safari do usuário, downloads, páginas recentes, LastSession, bancos de dados HTML5 e localstore;
  • Cookies do Firefox do usuário, downloads, histórico dos formulários, permissões, lugares e assinaturas;
  • Histórico do Chrome do usuário e histórico de arquivos, cookies, dados de login, páginas recentes, dados da web, bancos de dados HTML5 e localstore;
  • As contas sociais e de e-mail dos usuários;
  • Conexões Wi-Fi salvadas no sistema auditado.

Também é possível buscar palavras-chave suspeitas na própria .plist.

Ele pode verificar a reputação de cada arquivo em:

  • Team Cymru’s MHR;
  • VirusTotal;
  • Seu próprio banco de dados local.

Todos os logs dos seguintes diretórios podem ser agregados em um arquivo:

  • /var/log (-> /private/var/log)
  • /Library/logs
  • usuario ~/Library/logs

Finalmente, os resultados podem ser:

  • Processados como um simples arquivo de log txt (para que você possa cat-pipe-grep neles… ou simplesmente grep);

  • Processados como um arquivo de log HTML;
  • Enviados para um servidor Syslog.

Como instalar:

  • Basta copiar todos os arquivos do GitHub.

Dependências:

Se você planeja executar o OS X Auditor em um Mac, você receberá um suporte completo de análise de plist com a OS X Foundation através do pyobjc:

1
pip install pyobjc

Se você não pode instalar o pyobjc ou se você planeja executar o OS X Auditor em outro sistema operacional diferente do Mac OS X, você pode experimentar alguns problemas com a análise de plist:

1
2
pip install biplist
pip install plist

Essas dependências serão removidas quando um módulo funcional plist nativo estiver disponível em Python.

Como executar:

  • OS X Auditor funciona bem com Python >= 2.7.2 (2.7.9 está ok). Ainda não funciona com uma versão diferente do Python (devido ao pesadelo plist);
  • OS X Auditor é mantido para funcionar na última versão do OS X. Ele vai fazer o seu melhor em versões mais antigas os OS X;
  • Você deve executá-lo como root (ou via sudo) se você quiser usar um sistema em execução, caso contrário ele não poderá acessar alguns arquivos do sistema e outros usuários;
  • Se você estiver usando as chaves da API das variáveis de ambiente (veja abaixo), você precisará usar o sudo -E para usar as variáveis de ambiente dos usuários.

Digite osxauditor.py -h para obter todas as opções disponíveis, então execute-o com as opções selecionadas:

1
eg. [sudo -E] python osxauditor.py -a -m -l localhashes.db -H log.html

Download da ferramenta OS X Auditor:

Para efetuar o download, baixe diretamente neste link ou acesse o GitHub oficial da ferramenta.

.


.

Disclaimer: Todas as informações aqui contidas são para fins didáticos e não para causar danos e prejuízos para alguém, usem sempre o conhecimento aqui compartilhado com ética e responsabilidade. Não nos responsabilizamos pela utilização indevida do conteúdo aqui exposto. Leia mais no aviso legal em nosso site.

.


Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Rodapé do Site