Cellebrite Capture the Flag (CTF) – Sharon Android 手機

2024.04.24 競賽活動

競賽軟體 Inseyets UFED、Inseyets PA

Android 裝置取證: Sharon 手機

我們要感謝所有參加奪旗活動的人,感謝所有支持 Cellebrite 並參與本活動的用戶!

我們在此提供答題說明。某些情況下,我們導出答案的方法可能與您的方法不同,但這就是取證的美妙之處,下面的螢幕截圖來自 PA。

背景故事:

回顧一下,恐怖攻擊計劃於 2023 年 6 月發生在 Southport, NC (北卡羅來納州)。Russell 和 Sharon 的關係可以追溯到很久以前,而他似乎是將阿貝與拉塞爾聯繫在一起的關鍵人物。 那麼,Abe 是誰?他和 Felix 有什麼關係?Felix 為什麼要向美國人提供有關核電廠和武器的資訊?我們打算讓您自由思考這項問題。

Sharon Android:

Sharon 01 – Chipset (晶片組) – Level 1 (10 分)

Sharon 的 Android 手機晶片組為何?

答案: universal2100_r

導航至為 Sharon 的裝置儲存擷取的位置,然後開啟目錄 UFED Samsung GSM SM-G991B Galaxy S21 5G 2023_06_29 (001)。開啟 FileSystem 01 目錄,右鍵點選 samsung_SM-G991B.ufd,然後使用任一文字編輯器/檢視器開啟該檔案。在此,您將找到答案以及更多資訊,因為 UFED 在提取過程中會追蹤有關裝置的詳細資訊。

在 PA 中,可以在 Analyzed Data > Device Info > Native 中找到該資訊。請注意,來源是上面提到的 .UFD 檔案。

Sharon 02 – What Happened (發生了什麼事) – Level 1 (10 分)

2023 年 6 月 16 日東部夏令時間 8:45:48 該裝置發生了什麼事? (需考量設定變更)。只需用欄位內的值回答即可。

答案: The device was plugged in

此答案可以在 Analyzed Data > Device Events 中發現。由於結果很可能以 UTC 格式顯示,因此您必須將 UTC 考慮為東部時間或 UTC -4。您可以捲動到結果或按 Start time 開始時間進行篩選。

解決此問題的另一種簡單方法是進入 Timeline (時間軸) 並篩選 Device Events (裝置事件) 或 Timestamp (時間戳記) 的類型和相關日期。在這裡您將看到已插入裝置的 Samsung Rubin 結果。

Sharon 03 – Chat (聊天) – Level 2 (30 分)

Sharon 喜歡加密聊天 app,她最後一次輸入 PIN 碼來解鎖加密聊天 app 是什麼時候?

答案: 2023-06-04  10:17:47

第一步是查看 installed apps (已安裝的應用程式),從這裡開始,您需要深入檢查檔案系統,並查找有線索的資料庫。在 PA 中,可見條目中有嵌入式圖標,可以顯示更多資訊。

在此處,我們點下 signal-key-value.db 的嵌入圖示,可顯示解密的資料庫。再次點下開啟該文件。於此可在 key_value 中找到答案。取得提供的 UNIX 紀元毫秒值 1685917067303,並使用您選擇的紀元轉換器對其進行轉換。Ultra 在文字值旁邊提供了轉換標籤。但是,驗證非常有用,尤其是當您不確定該值是否儲存在 UTC 或本地時間時。

上方可以看到 PA 內的資料轉換,下方展示 Epoch Converter 的使用說明。

Sharon 04 – Address (地址) – Level 2 (30 分)

2023 年 6 月 7 日,Sharon 在 The Copper Penny 附近與共犯會面。Sharon 裝置所在的詳細位置街道名稱是什麼? (例如大街 123 號)

答案: 485 N Water Street

首先,您需要找到包含 The Copper Penny 的螢幕截圖位置。這可以透過搜尋 DCIM 目錄或 PA 中的時間軸來實現。

文件資訊標籤確認日期。在 Timeline (時間軸) 中,篩選時間戳記縮小結果範圍。您也可以篩選位置和影像的類型。

找到裝置拍攝的螢幕截圖之後,在 Google 地圖上搜尋之前,必須將位置座標轉換為十進位。可以使用網站: https://www.fcc.gov/media/radio/dms-decimal

複製轉換後的座標並複製貼上到 Google 地圖中,如下圖所示。

Sharon 05 – Secure Message (加密訊息) – Level 2 (30 分)

收到一則單字簡訊,其中包含一張照片,該照片在加密聊天訊息 app 中儲存為 Private (私人)。該簡訊的單字是?

答案: mahalo

有很多方法可以解決這個問題。一種是關鍵字搜索 private,然後查找包括 private 目錄的應用程式。

您將看到 WhatsApp 中有個私人目錄,且該目錄中儲存兩個圖片。

接下來,您可以對 2023 年 6 月 1 日和 2023 年 6 月 7 日圖片時間戳進行篩選,您將看到包含單字訊息的圖片時間戳記為 2023 年 6 月 1 日。

Sharon 06 – Facebook (臉書) – Level 2 (30 分)

Sharon 何時在 Facebook 上與 Abe Rudder 成為好友? (答案必須採用 YYYY-MM-DD 格式)。

答案: 2023-06-01

首先,從工具為您解析的內容開始。在 PA 中,如果您先查看 Social Media (社群媒體),然後查看 Facebook,您可以輸入關鍵字 Abe Rudder 進行篩選,然後按照來源檔案到達您所需的路徑。

這將引導您進入 /data/data/com. Facebook.katana/databases/ssus.100093324994023.android_facebook_contacts_db 您將在其中看到 contacts (聯繫人) 表格。找到 Abe Rudder 並在 added_time_ms 欄位中查找 Unix Epoch 時間戳記,並將其轉換為 milliseconds from UTC 1970 (毫秒)

Sharon 07 – Boat (船隻) – Level 2 (30 分)

Sharon 決定參加 “Life at Cellebrite” 派對並搭乘火車。派對結束後的第二天,她於 2023 年 6 月 24 日美國東部時間 (EDT) 上午 9 點左右出發,並於美國東部時間 (EDT) 上午 11:25 左右抵達最終目的地。她的旅程起始點和終點在哪些城市? (答案必須輸入以下格式: Las Vegas, White Fish)

答案: New York, Exton

Samsung Rubin 用於此題進行解答十分有幫助,在 PA 中 Locations > Points of Interest。來到此處後,在 Timestamp 欄位篩選 2023 年 6 月 24 日。

篩選後,您可以根據時間和結束位置找到起始位置。右鍵按下每個搜尋結果並 Retrieve addresses (檢索地址)。您將看到該裝置在世界標準時間 (UTC) 中午 12:51 位於 New York (紐約),在 (UTC) 下午 3:23 位於 Exton (埃克斯頓)。

Sharon 08 – Location (位置) – Level 2 (30 分) – 答對此題後可解鎖 Question 12

2023 年 6 月 16 日,Sharon 在 “the home of the havoc”,並與另一名嫌疑人分享了她的位置。她分享的對象是誰? (答案必須是名字和姓氏)。

答案: Abe Rudder

在 PA 中,從時間軸開始,在 Timestamp (時間戳記) 篩選 2023 年 6 月 16 日,然後查看結果。

查看右側視窗上的結果,您將看到答案。

還有另一種方法可以找到這個問題的答案。您可以查看 Sharon 在上面日期中的位置,您會發現她在 New Jersey 出現許多位置定位。如果您進行 Google 搜索,您可以找到該位置。

當您右鍵按下 PA 並 Retrieve Addresses (檢索位址) 時,可以看到 601 Holly Dell Dr., Sewell, NJ 的位置。問題中的 “Home of the Havoc” 指的是在 Holly Dell 的 Ice Hockey (冰上曲棍球) 隊伍。

Sharon 09 – Hotspot (熱點) – Level 3 (50 分)

Sharon 連接到 iPhone 行動熱點。行動熱點的名稱和首次連接的 MM-DD 是什麼? (答案格式須為 Jared Tesla, 06-09)

答案: Heather’s iPhone, 05-13

檔案 iwc_dump.txt 追蹤無線網路、連線頻率和遺失連線狀態,為 Samsung 裝置特有的功能。當手機連接到其他無線網路時,此檔案會隨著時間的推移而建立。文件中的這行資料顯示了 iPhone 的第一次連線: “[05-13 12:48:39.759] setConnectionAttemptInfo: nid=-1 byUser=true configKey=”Heather’s iPhone”WPA_PSK callingUid=1000(com.android.settings) cNid=4.”

Sharon 10 – PowerOn (開機) – Level 3 (50 分)

Sharon 在巴黎時,她的手機啟動了多少次? (開機並啟動)

答案: Two or 2

Josh Hickman 對於 Digital Wellbeing (數位健康) 做了許多研究,這應該是我們的可用線索。在 PA 中,前往 Application > Applications Usage Log 並依照檔案來源存取 Digital Wellbeing 或 Samsung Wellbeing。沒有任何方法可以真正準確解析並詳細回答本問題。存在線索的資料庫是 dwbCommon.db,路徑位於 /data/data/com.samsung.android.forest/databases/dwbCommon.db。

Digital Wellbeing (數位健康) 在這裡十分有幫助,因為它可以告知您時區的變化 (紐約轉換到巴黎 / 巴黎轉換到紐約) 和正確的日期範圍。該使用者於 2023 年 3 月 19 日抵達巴黎,並於 2023 年 3 月 28 日抵達紐約時區。

您可以透過右鍵按下並選擇 milliseconds from UTC 1970 中的毫秒來轉換 timeStamp 時間戳記欄位。

在這裡,您可以查看 BOOT_COMPLETED 的 Digital Wellbeing (數位健康),您會看到在巴黎之行期間有兩次裝置成功啟動的紀錄。

Sharon 11 – Note (註記) – Level 3 (50 分)

使用者於 2023 年 6 月 4 日東部夏令時間發表了註記,註記上寫了什麼?

答案: Testing audio app or testing the audio app

WhatsApp 語音註記已創建,是一個 .opus 音訊檔案。必須播放該音訊檔才能得知答案。

在 PA 中,如果進行 All-Project Search (全域搜索),可取得許多匹配結果。按一下搜尋結果中的按鈕可顯示所有結果的標籤。在新開啟的結果標籤中,表格搜尋 “WhatsApp” 或 “opus”,您將看到一個擴展名為 .opus 的音訊檔案。選擇該檔案並按播放,PA 將播放音訊檔,您可以在其中聽到答案。

Sharon 12 – Favorite (設為最愛) – Level 3 (100 分)

請參考前一個題目,Sharon 向 Abe 分享她 2023 年 6 月 16 日的所在位置,Abe 什麼時候將此位置設為最愛? 答案格式須為  YYYY-MM-DD HH:MM:SS 當地時間 (Abe 設為最愛時的所在位置時區),答案格式範例: 2021-12-18 13;11:09 PST。

答案: 2023-06-16 14:43:10 EDT or 2023-06-16 14:43:08 EDT

您必須解決問題 08 才能解鎖此問題。找到 New Jersey 的 Holly Dell 位置後,您需要查看時間線以查看該位置如何分享給其他用戶。您將看到使用者通過 WhatsApp 與 Abe 共享該位置。

從這裡開始,查看右側視窗中的詳細資訊。您將看到 what3words 用於創建 3 個隨機單字,表示 acted.depends.cobbled 的位址,這是使用者共享位置的方式。

接下來,您需要導向 Abe 的裝置。而非再對 Sharon 進一步調查,因為她只是創建並分享了這個位置。Abe 則是儲存該位置的人。建議對於 Abe 的資料進行時間限篩選,然後進行更深入的調查。

現在你要考慮可疑的應用程式,意即 what3words,這就是 Sharon 和 Abe 透過 WhatsApp 共享資料的方法。

如果您在 What3Words 中搜尋應用程式資料的軌跡,您最終會找到需要檢查的領域資料庫。該檔案的路徑為: EXTRACTION_FFS.zip/root/private/var/mobile/Containers/Data/Application/016859D5-A1E7-42B4-A070-B743BF01686D/Documents/default.realm.

匯出 default.realm。我們使用 Realm Studio 來檢查這個資料庫。

在 DataPlace Table (資料位置表) 中,您將看到共享位置於 2023 年 6 月 16 日 18:43:10 UTC+0 儲存為 “Rinkkkk”。此時間戳記必須轉換為 Abe 當天所在位置的時區,即美國/紐約時區或 UTC-4。如果您檢查 Locations > Places 並篩選 2023 年 6 月 16 日的時間戳記,您將找到來自 NY (紐約州)、NJ (紐澤西州) 和 GA (喬治亞州) 的多個位置,全部都位於該時區。

第二個答案涉及檢查 write-ahead-log (預寫日誌) (-WAL) 檔的空閒頁面,資料庫為 Events-Qae。

Sharon 13 – Take a break (休息) – Level 3 (100 分)

Sharon 需要在東北方的冬天時操作休息,並南向旅行 5 天。在渡假時,她看到了海豚。看到海豚時她在哪裡?

答案: Miami, FL

這個問題牽涉到一點 OSINT。如果你還記得的話,Heather 提到球員可以在社群媒體上追蹤 Dream Team (夢幻隊) 並尋找線索,Heather 在她的推特上也有發布一個關於這個問題的線索。

請注意 X (以前稱為 Twitter) 貼文中的時間戳記,2023-01-25 Sharon 的手機內還有一個手提箱的照片。

將 Heather 一月份在邁阿密的知識與問題中的微妙線索 “dolphin (海豚)” 結合起來,可以發掘調查的方向。PA 的 location carving (位置雕刻) 功能在這裡派上用場,可在特定區域中雕刻位置。只需將圖釘放在地圖上,設定半徑,即可開始雕刻。

完成雕刻后,檢查結果。出現一個特別的結果,位置位於 Dolphin Expressway in Miami, FL 高速公路旁邊。

記下座標的原始檔。Sharon 的手機投放了一則廣告,其中包含投放廣告時她手機的位置。