Comprensión de los datos de la torre celular OSINT para DFIR

Comprensión de los datos de la torre celular OSINT para DFIR


Los puntos de datos

En primer lugar, estos datos de la torre provienen del herrevad.db (archivo de base de datos) presente en la mayoría de los dispositivos Android. Esta base de datos contiene fechas y horas junto con MCC (código de país móvil), MNC (código de operador móvil), LAC (código de área de ubicación) y CID (ID de celda). El MCC y el MNC dependen del país y del operador, mientras que el LAC y el CID dependen de la torre celular. Si no tiene todos estos números, no encontrará la ubicación física de la torre. Con una herramienta forense como Cellebrite , puede exportar la base de datos herrevad a un archivo CSV e inspeccionar las celdas para verificar los datos requeridos. Debería parecerse a la imagen de abajo.



Todos estos datos están en una celda cuando se exportan en las últimas versiones de herramientas como Cellebrite. Esto es conveniente porque sabe exactamente dónde buscar los datos, pero como veremos más adelante, este formato también dificulta la automatización del proceso de extracción.

Ingresando los datos

Comencé a usar esta técnica hace tres años cuando ni siquiera sabía qué era un CCM. El primer sitio que encontré fue opencellid.org . Open Cellid es de uso gratuito y requiere que crees un inicio de sesión para usar su API. Una vez que haya hecho esto, puede ingresar la información de la torre celular que ha recuperado del dispositivo Android a mano (como he hecho a continuación).


Solicitud y respuesta de la API de la página web de OpenCellId



NOTA : Si bien utilizamos un ejemplo específico de EE. UU. (Debido al conjunto de datos que teníamos), estas torres celulares están en todo el mundo. Aquí están las torres celulares en Singapur (haga clic aquí) y algunas en Australia (haga clic aquí) .

¡Excelente! Ahora tenemos una ubicación física asociada con los datos de nuestra torre celular, tanto en un mapa (a la derecha en la imagen de arriba) como en la latitud y longitud en el panel central. Este método de recuperación manual de las ubicaciones es fácil para algunos puntos de datos, pero sería muy engorroso para 500 puntos de datos. Si tiene una versión anterior de Cellebrite Physical Analyzer de hace un par de años, definitivamente querrá consultar una excelente reseña de Matt Edmonson sobre cómo automatizar este proceso en este enlace: https://digitalforensicstips.com/ 2016/08 / python-script-to-map-cell-tower-locations-from-an-android-device-report-in-cellebrite / .

Dando a los datos una mayor confianza

En el mundo de la inteligencia, queremos ofrecer a nuestros clientes la información más actualizada y completa posible. Con esto en mente, estoy muy preocupado por confiar en una fuente, incluso si es un sitio increíble como Open Cellid. Cell ID Finder ( cellidfinder.com ) es otro sitio gratuito y no requiere inicio de sesión. Como puede ver en la captura de pantalla a continuación, los resultados son muy similares y el sitio es fácil de usar.

Sitio web de CellID Finder

Otro sitio más en el que puede usar los rastreadores de teléfonos celulares ( cellphonetrackers.org ). Recomendaría crear una cuenta de usuario (¡no se necesita verificación por correo electrónico!), Porque el sitio permite una función de lote para que pueda ingresar múltiples puntos de datos y recibir múltiples puntos de GPS instantáneamente.

Automatizándolo

[Hola ... este es Micah (WebBreacher) Hoffman sonando aquí desde que le eché una mano a Jeff para alterar el sorprendente guión original de Anaximander de Matt Edmonson ( https://github.com/azmatt/Anaximander ). Supuse que notaría cómo podemos hacer lo anterior más rápido que manualmente.]

Como Jeff señaló anteriormente, Matt Edmonson escribió un guión para tomar el archivo XML exportado de la ubicación Cellebrite y buscar cada torre celular. ¿Cómo usas el script? Los pasos están abajo.


  • Para que esto funcione, debe tener Python ( https://python.org ) versión 3.7.xo más reciente en su sistema. Ve a instalar eso si no lo tienes.
  • Para obtener el CSV de las ubicaciones de las torres celulares, vaya a https://opencellid.org y regístrese para obtener una cuenta gratuita.
  • Inicie sesión en la plataforma OpenCellid y verá el enlace de descarga como se muestra en la imagen a continuación (flecha 1). Pinchalo.

Descargar los datos de OpenCellid


  • Tenga en cuenta que, a partir de agosto de 2019, el tamaño de este CSV es de 924 MB comprimido (flecha 3 arriba). Se expandirá a más de 3GB en su sistema. Presione el enlace "aquí" (flecha 2 arriba) para descargar los datos.
  • Vaya a https://github.com/azmatt/Anaximander y descargue el proyecto en formato ZIP o mediante git clone (¿necesita información sobre cómo hacer este "git clone"? Consulte nuestra sugerencia de 10 minutos https: // www .youtube.com / watch? v = QgLu-IF1XTA ).
  • Mueva el archivo descargado cell_towers.csv.gz al directorio con los scripts de Anaximander de Matt.
  • Descomprima el archivo cell_towers.csv.gz para extraer el CSV cell_towers.csv .
  • Deberá iniciar una ventana de terminal o símbolo del sistema (según su sistema operativo) para ejecutar los siguientes comandos.
  • Ejecute dbFill.py para crear una base de datos SQLite a partir del CSV.
  • Coloque su archivo de ubicación XML exportado de Cellebrite en el directorio con Anaximander.
  • Para ejecutar el script Anaximander más reciente, escriba: python Anaximander_72.py -t YOURFILENAME.xml
  • NOTA: Esta versión de Anaximander_72.py del script requiere Python 3.7.xo más reciente. Es posible que deba cambiar el comando anterior a python3 Anaximander_72.py -t YOURFILENAME.xml
  • El script debe ejecutarse (como se muestra en el GIF animado a continuación). Tomará un montón de tiempo (minutos a horas) dependiendo de cuántas torres de celdas exportadas necesite buscar. Si desea detenerlo y ver los datos que ya ha procesado, presione CONTROL-C y finalizará el script y generará el archivo cellTowers.kml .
Anaximander_72.py Corriendo contra Cellebrite 7.2 Datos de ubicación exportados


  • Si deja que termine, debe tener un archivo cellTowers.kml en el directorio de Anaximander ahora (vea la imagen a continuación). Esto se puede abrir usando Google Earth ( https://www.google.com/earth/ ), así que instale esa aplicación y luego haga doble clic en el archivo.
cellTowers.kml Archivo de Google Earth


  • Dentro de Google Earth, debería ver algo similar a la imagen a continuación. La flecha 1 señala los íconos de paleta rosa que notan cada una de las torres de celdas que el guión extrajo y trazó. Las flechas en 2 muestran que los nombres de los puntos trazados son las marcas de tiempo para los datos extraídos de la aplicación Cellebrite.

Datos de Cellebrite trazados en Google Earth

Una cosa interesante que Matt incluyó en el guión original (y que mantuve aquí) es la capacidad de usar el control deslizante de tiempo de Google Earth para avanzar y retroceder a tiempo para que los puntos trazados muestren el orden en que fueron vistos. Consulte la animación a continuación para ver un ejemplo con datos de 2017.


Animación del uso del control deslizante de tiempo de Google Earth

Haciéndolo bonito

[¡De vuelta a Jeff!] Estos pasos relacionaban los datos de la torre celular con ubicaciones físicas y necesitaba una forma de mostrarle a mi cliente (detectives, fiscales y jurados) los datos en un formato visual sin ejecutar un script Python. Earth Point ( earthpoint.us/ExcelToKML.aspx ) es un sitio que convierte archivos de Excel en archivos KML. Los archivos KML se utilizan para representar datos en Google Earth . Para convertir, simplemente elija su archivo de Excel y el sitio devolverá un archivo KML. Abra su archivo KML con Google Earth y debería parecerse a la imagen a continuación.

Visualización en Google Earth de ubicaciones de torres celulares

¡Eso es!

Entonces, lo que hicimos fue:

  • Volcar datos de ubicación desde un dispositivo móvil Android
  • Extraer identificadores de torre de celda del vertedero
  • Use un sitio web o una secuencia de comandos para convertir las ID de la torre celular en ubicaciones físicas
  • Trace estos puntos de datos en Google Earth
¿Por qué importa esto? Podemos colocar un determinado dispositivo cerca de una determinada ubicación en un momento determinado. ¡Una habilidad muy valiosa!

Esta fue una introducción rápida a la conversión de datos de la torre celular en ubicaciones físicas. Recuerde, estos datos representan la ubicación general de una torre celular, no la ubicación de precisión del dispositivo. Si tiene un método diferente para hacerlo, ¡no dude en comentar a continuación y compartir con el grupo!

Fuente: osintcurio.us
INTELMEX
INTELMEX

This is a short biography of the post author. Maecenas nec odio et ante tincidunt tempus donec vitae sapien ut libero venenatis faucibus nullam quis ante maecenas nec odio et ante tincidunt tempus donec.

No hay comentarios.:

Publicar un comentario