OS X Auditor é uma ferramenta forense open source para auditar ou extrair artefatos de um sistema Mac OS X. Ele analisa e elimina os seguintes artefatos no sistema em execução ou em uma cópia de um sistema que deseja analisar:
- As extensões do kernel;
- Os agentes do sistema e daemons;
- Agentes e daemons de terceiros;
- O sistema antigo e os itens de inicialização de terceiros;
- Os agentes dos usuários;
- Arquivos baixados pelos usuários;
- Aplicativos instalados em um sistema em execução (ou sua cópia).
Com ele, é possível extrair:
- Os arquivos em quarentena dos usuários;
- Históricos do Safari do usuário, downloads, páginas recentes, LastSession, bancos de dados HTML5 e localstore;
- Cookies do Firefox do usuário, downloads, histórico dos formulários, permissões, lugares e assinaturas;
- Histórico do Chrome do usuário e histórico de arquivos, cookies, dados de login, páginas recentes, dados da web, bancos de dados HTML5 e localstore;
- As contas sociais e de e-mail dos usuários;
- Conexões Wi-Fi salvadas no sistema auditado.
Também é possível buscar palavras-chave suspeitas na própria .plist.
Ele pode verificar a reputação de cada arquivo em:
- Team Cymru’s MHR;
- VirusTotal;
- Seu próprio banco de dados local.
Todos os logs dos seguintes diretórios podem ser agregados em um arquivo:
- /var/log (-> /private/var/log)
- /Library/logs
- usuario ~/Library/logs
Finalmente, os resultados podem ser:
- Processados como um simples arquivo de log txt (para que você possa
cat-pipe-grepneles… ou simplesmentegrep);
- Processados como um arquivo de log HTML;
- Enviados para um servidor Syslog.
Como instalar:
- Basta copiar todos os arquivos do GitHub.
Dependências:
Se você planeja executar o OS X Auditor em um Mac, você receberá um suporte completo de análise de plist com a OS X Foundation através do pyobjc:
pip install pyobjc
Se você não pode instalar o pyobjc ou se você planeja executar o OS X Auditor em outro sistema operacional diferente do Mac OS X, você pode experimentar alguns problemas com a análise de plist:
pip install biplist
pip install plist
Essas dependências serão removidas quando um módulo funcional plist nativo estiver disponível em Python.
Como executar:
- OS X Auditor funciona bem com Python >= 2.7.2 (2.7.9 está ok). Ainda não funciona com uma versão diferente do Python (devido ao pesadelo plist);
- OS X Auditor é mantido para funcionar na última versão do OS X. Ele vai fazer o seu melhor em versões mais antigas os OS X;
- Você deve executá-lo como
root(ou viasudo) se você quiser usar um sistema em execução, caso contrário ele não poderá acessar alguns arquivos do sistema e outros usuários; - Se você estiver usando as chaves da API das variáveis de ambiente (veja abaixo), você precisará usar o
sudo -Epara usar as variáveis de ambiente dos usuários.
Digite osxauditor.py -h para obter todas as opções disponíveis, então execute-o com as opções selecionadas:
eg. [sudo -E] python osxauditor.py -a -m -l localhashes.db -H log.html
Download da ferramenta OS X Auditor:
Para efetuar o download, baixe diretamente neste link ou acesse o GitHub oficial da ferramenta.
.
.
Disclaimer: Todas as informações aqui contidas são para fins didáticos e não para causar danos e prejuízos para alguém, usem sempre o conhecimento aqui compartilhado com ética e responsabilidade. Não nos responsabilizamos pela utilização indevida do conteúdo aqui exposto. Leia mais no aviso legal em nosso site.
.
Pingback: Framework para análise de malware em Android: Droidefense - Tiago Souza