Diario de un perito informático: Microsoft ActiveSync Log Forensic

Actualmente los dispositivos móviles hacen que la omnipresencia de Internet en nuestras vidas sea incuestionable, en gran parte gracias a los fieles e inseparables Smartphones. También, el sistema viejo pero práctico correo electrónico nos hace estar constantemente conectados. Los usuarios tanto para el mundo profesional y personal usamos el correo electrónico para comunicarnos con familiares, amigos, clientes o compañeros. No obstante para registrarnos en redes sociales, foros, blogs, aplicaciones se nos exige un email,  usado en muchos sitios como dato indispensable para acceder. Proporcionando una oportunidad a un investigador saber mucho sobre ti con solo tu email,  ya lo comentamos con anterioridad en este blog. Más información en los siguientes enlaces:

 

¿Qué es ActiveSync?

Es un programa de sincronización de datos desarrollado por Microsoft para su uso con sus sistemas operativos Microsoft Windows. Originalmente lanzado con el nombre “Explorador de PC Móvil” en 1996, proporciona a los usuarios de Microsoft Windows una manera de transportar los documentos, calendarios, listas de contacto y correo electrónico entre la computadora de escritorio y un dispositivo móvil, como un PC de mano, teléfonos móviles o cualquier otro dispositivo portátil que soporte el protocolo de ActiveSync.

¿Qué es Exchange ActiveSync?

Es una forma de sincronizar tu dispositivo con un servidor que soporte el protocolo Exchange, permite sincronizar correo, contactos, tareas y calendarios. Normalmente se usa para servidores Microsoft Exchange pero Gmail también soporta este protocolo.

¿Qué estructura tiene los logs de Microsoft Exchange ActiveSync?

En la siguiente imagen podemos ver un ejemplo de ActiveSync log guardando un Ping que realiza un Iphone 6 plus IOS 10.3.3 al Microsoft Server ActiveSync.  El modelo de la versión podemos obtenerla a través de la siguiente url y código que nos aparece en el log (Iphone8c2= Iphone 6 plus y 1407.60 = 10.3.3)https://justworks.ca/blog/ios-and
estructura-activesync

¿Cómo funciona el script?

mealf

Aplicación de consola creada en Python 2.7 y al igual que la aplicación LogParser, filtra la información según los parámetros que le indiquemos:

  • Fecha e ID del dispositivo
  • Únicamente fecha
  • El tipo de dispositivo (Iphone, Ipad, Samsung, etc)
  • Únicamente ID del dispositivo

Su funcionamiento consiste en primer lugar sacar un hash sha512 del archivo y exponer los datos según la búsqueda que más nos interese. Además añade la localización de las IPs a través del servicio web de GEOIPTOOLS.

¿Dónde puedo descargar el script?

Enlace: https://github.com/JWScr33d/Microsoft-Exchange-ActiveSync-Log-Forensic/

 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *