Mobile Forensics (Note-1)
APPLE (iPhone) ဖုန်းများကို စစ်ဆေးခြင်း
(လိုတိုရှင်း)
ဖုန်းထဲမှ အချက်အလက်များကို ရယူခြင်း (Acquisition) နည်းလမ်းများ
Manual Acquisition
Manual Acquisition နည်းလမ်းကတော့ အလွယ်ဆုံးနည်းလမ်းဖြစ်ပါတယ်။ ဥပမာ ကောင်မလေးက ကောင်ကလေးရဲ့ ဖုန်းကိုယူစစ်သလိုမျိုးဖြစ်ပါတယ်။ ဒါက အလွယ်တစ်ကူ စစ်ဆေးနိုင်သလို တစ်ဖက်ကလဲ အလွယ်တကူ Evidence ကို သိုဝှက်ထားတာတွေ-ဖျောက်ဖျက်တာတွေပြုလုပ်နိုင်ပါတယ်။
ဥပမာ။ Messenger ဆိုရင် Archive လုပ်ပြီး Chat List ကိုဖျောက်ထားသလိုပေါ့။ 😅
ပြည်ပမှာရော ဒီလို Manual နည်းနဲ့စစ်လားဆိုရင် စစ်ဆေးပါတယ်။ ဥပမာ Mobile Forensics Tools မှာ Camera တပ်ပြီး ဖုန်းမှာရှိတဲ့ အချက်အလက်တွေကို ရိုက်ယူတာ ဖြစ်ပါတယ်။
Logical Acquisition
Logical Acquisition နည်းလမ်းကတော့ ဖုန်းက Unlock ဖြစ်နေတဲ့ အချိန်။ ဖုန်းရဲ့ Passcode ကိုသိနေတဲ့ အချိန်မှာပြုလုပ်တာဖြစ်ပါတယ်။
လက်ရှိစာရေးတဲ့ အချိန်မှာ Apple Phone တွေကို Acquisition လုပ်ရာမှာ Logical နည်းလမ်းက အသုံးအပြုဆုံး နည်းလမ်းဖြစ်ပါတယ်။ Apple Device တွေမှာပါတဲ့ Apple File Connection (AFC) Protocol ကိုအသုံးပြုပါတယ်။ AFC ကို မသုံးပဲ iTune Backup ယူပြီး iTune သုံးပြီးကြည့်ရင်လဲ အတူတူပါပဲ။ ဒါပေမဲ့ iTune Encrypted, Not Encrypted လုပ်တဲ့အပေါ်မူတည်ပြီး ရလာတဲ့ Backup Data ကွာခြားပါမယ်။ Encrypted Backup Backup ဆိုရင် Backup Data ပိုပါပါတယ်။
Logical Acquisition နည်းလမ်းမှာ အားနည်းချက်က လက်ရှိဖုန်းထဲမှာ ရှိတဲ့ Information တွေကိုပဲရယူနိုင်ပြီး အရင်ကသုံးခဲ့တဲ့ အချက်အလက်တွေ System Information တွေကိုမရယူနိုင်ပါဘူး။ အရှင်းလင်းဆုံးပြောရရင် File System ရဲ့ အချက်အလက်တွေနဲ့ Deleted Data တွေကိုမရယူနိုင်တာပါ။ Apple Developer တွေကလဲ အချို့အချက်အလက်တွေကို Logical Acquisition ပြုလုပ်ရာမှာ မပါသွားအောင် ကန့်သတ်ထားတတ်ပါတယ်။
File System Acquisition
File System Acquisition နည်းလမ်းကိုတော့ Apple Device က Jailbreak ဖြစ်နေတဲ့ အခါ။ ဒါမှမဟုတ် File System Information ကိုရယူရမဲ့ အခြေအနေဖြစ်တဲ့ အချိန်မှာ ပြုလုပ်တာဖြစ်ပါတယ်။ File System ကိုရယူမယ်ဆိုရင် Phone က Jailbreak မပြုလုပ်ထားရင် (ဖုန်းကို Jailbreak ပြုလုပ်ရပါတယ်။)
Apple ရဲ့ အချို့သော အားနည်းချက်တွေကြောင့် Jailbreak မလုပ်ပဲ File System ကို ရယူနိုင်တဲ့ Apple ဖုန်းတွေရှိပါတယ်။ ဒါပေမဲ့ Apple က အခု IOS Version မှာ အားနည်းချက်တွေကို ပြင်လိုက်တဲ့အတွက် ဖုန်းမှာ အားနည်းချက်ရှိပေမဲ့ IOS Update လုပ်ထားရင် မရနိုင်တော့ပါ။
File System Acquisition ပြုလုပ်တဲ့အခါမှာ ရရှိတဲ့ Data က Logical Acquisition ပြုလုပ်တဲ့အချိန်မှာ ရရှိတဲ့ Data တွေအတိုင်းရရှိပါတယ်။ ဒါပေမဲ့ File System အချက်အလက်တွေအပြင်
Database File အချို့ပါရရှိပါတယ်။ အများဆုံး SQLite File တွေရရှိပါတယ်။ အဲဒီကနေ Logical မှာမရတဲ့ အချက်အလက်တွေကို ရနိုင်ပါတယ်။
ဥပမာ ဒီဖုန်းထဲကို အခု Sim card မထည့်ခင်က ဘယ် Sim Card ထည့်ထားတယ် ဘယ်နံပတ်လဲ
ဆိုတာမျိုးတွေ ရရှိနိုင်ပါတယ်။
Physical Acquisition
Physical Acquisition နည်းလမ်းကတော့ အခုစာရေးတဲ့အချိန်အထိ Iphone 5c အထိသာရရှိပါတယ်။ Physical Acquisition လုပ်ရင်တော့ ဖျက်ထားတဲ့ Data တွေထဲကမှ Overwrite ဖြစ်မသွားတဲ့ Data တွေကိုရရှိနိုင်ပါတယ်။ Iphone 5c အထိပဲရတဲ့အတွက် ခနမေ့ထားတာကောင်းပါတယ်။
Pattern Of Life
Logical Acquisition ဒါမှမဟုတ် File System Acquisition ဘယ်လိုနည်းလမ်းနဲ့ ရယူနိုင်သည် ဖြစ်စေ။ Pattern Of Life ကတော့ စစ်ဆေးရာမှာ အရေးကြီးဆုံးဖြစ်ပါတယ်။ Pattern Of Life ဆိုတာက
- User က ဘယ်လို လူမျိုးလဲ
- အခု ဖုန်းကို ဘာအတွက်ကြောင့်သူ သုံးတာလဲ
- ဖုန်းထဲက ဘယ်အရာတွေကို အသုံးအများဆုံးလဲ
- ဘယ်သူတွေနဲ့ ဆက်သွယ်သလဲ
- အများဆုံးဘယ်သူနဲ့ဆက်သွယ်သလဲ
Pattern Of Life ကိုစစ်ဆေးနိုင်ဖို့အတွက် Full File System ကို ရယူနိုင်ရင် အကောင်းဆုံးဖြစ်ပါတယ်။ စစ်ဆေးသူကလဲ Apple File System အကြောင်းကို နားလည်ထားရင် အကောင်းဆုံးဖြစ်ပါတယ်။ ဒါမှ ဘယ်လို Artifacts အချက်အလက်ကို လိုချင်တယ်။ အဲဒီအချက်အလက်က ဘယ်မှာရှိတယ်ဆိုတာကို သိနိုင်မှာ ဖြစ်ပါတယ်။
 |
| Logical Acquisition |
အခုပုံမှာပါတာက ပထမပုံက Logical Acquisition နည်းလမ်းနဲ့ရယူထားတာဖြစ်ပါတယ်။
ဒုတိယပုံက File System ကိုရယူထားတာဖြစ်ပါတယ်။ ဒုတိယပုံမှာ File System ကိုရယူထားတာဖြစ်တာကြောင့် Device ကို ဘယ်အချိန်မှာ Lock - Unlock လုပ်တယ်ဆိုတာကိုတွေ့နိုင်ပါတယ်။
IOS မှာဆိုရင်တော့ Pattern Of Life ကို Analysis လုပ်ဖို့အတွက် BIOME ကို Extraction ပြုလုပ်ရပါမယ်။ IOS 15 အကျော်မှာ IOS ထဲက KnowledgeC SQLITE Database File ကနေ BIOME ဆိုပြီး Binary File အဖြစ် ပြောင်းလဲသွားတာပါ။ BIOME ဆိုတာက User အသုံးပြုပုံ Natural Of User အလိုက် IOS အဆင်ပြေပြေသုံးနိုင်အောင် နောက်ကွယ်ကနေ လုပ်ဆောင်ပေးတာပါ။
Pattern Of Life အတွက် Android မှာဆိုရင်တော့ Digital Wellbeing ဖြစ်ပါတယ်။ ပုံမှာပါတဲ့ Digital Wellbeing ကတော့ အပေါ်ယံပဲ ပြထားတာဖြစ်ပါတယ်။
IOS 18 Application Lock & Hide
စက်တင်ဘာလဆိုရင် Apple က ဘာတွေများ အသစ်အသစ်တွေပေးမလဲဆိုပြီး IOS ကိုင်တဲ့သူတွေရင်ခုန်ရတဲ့ကာလပါ။ IOS 18 မှာတော့ Application ကို Lock & Hide လုပ် တာတွေ နေရာရွေ့တာတွေပါလာပါပြီ။ သာမန်ဆိုရင်တော့ ဖုန်းပိုင်ရှင်က ဘာတွေ Hide (Lock) ထားသလဲဆိုတာကို App Library အောက်မှာရှိတဲ့ Hidden Folder ကနေကြည့်နိုင်ပါတယ်။ Mobile Forensics View ကနေကြည့်မယ်ဆိုရင် com.apple.appprotectiond.plist မှာ လွန်ခဲ့တဲ့ 7 ရက်အတွင်း Hide (Lock) လုပ်ထားခဲ့တဲ့ Application တွေရဲ့ List ကိုပြသပေးပါတယ်။
အခု ပုံအရဆိုရင် User ကနေ (Lock) လုပ်ထားတဲ့ Application က 3 ခုရှိပါတယ်။ 3 ခုထဲမှာမှ 2 ခုက Home Screen ပေါ်ကနေ (Remove) Hide လုပ်လိုက်တာကို appprotectiond.plist မှာ Log အနေနဲ့ရှိနေပါတယ်။
အခု " " ထဲမှာ ပါတဲ့အကြောင်းအရာက 23-9-2021 ကရေးခဲ့တာပါ။ ဆက်စပ်မိအောင် ပြန်ဖော်ပြပေးတာဖြစ်ပါတယ်။ " Mobile Forensics နဲ့ပတ်သတ်ပြီး ဝေဝါးစရာတွေဖြစ်နေမှာ စိုးလို့ ထပ်ပြီးဖြည့်စွက်ထားပါတယ်။
Mobile Forensics မှာ Box အနေနဲ့သုံးကြတာကမ္ဘာမှာ Geayshift တစ်ခုတည်းရှိပါတယ်။ Mobile Service မှာသုံးတဲ့ Box တွေကတော့ စိတ်မချရတာရော မသေချာတဲ့အတွက် သိပ်မသုံးပါဘူး။ GrayShift's GrayKey ကို UFED, Magnet တို့မှာ ပါ၀င်ပါတယ်။ phone imge file ကို load လုပ်တဲ့အချိန်မှာ Graykey ကို Support လုပ်ခဲ့ရင် ထည့်ပေးရတာဖြစ်ပါတယ်။ သီးခြား Product တစ်ခုဖြစ်ပါတယ်။ GrayShift Company က လူအယောက် ၅၀ ခန့်သာရှိပေမဲ့ Product နဲ့ပတ်သတ်ရင် Secret အရမ်းဖြစ်ပါတယ်။
GrayShift's GrayKey က US နဲ့ ပါတနာကျတဲ့ နိုင်ငံတွေမှ Law Enforcement Agency Only ကိုပဲ ရောင်းချတာဖြစ်ပြီး ၀ယ်တဲ့သူက NDA ထိုးရပါတယ်။ Iphone ကို Lock ဖြေပေးဖို့ Apple ကိုတောင်းဆိုတဲ့ အခါတုန်းက မဖြေပေးတဲ့အတွက် ကြားကနေ lock ဖြေပေးတာက GrayShift က ဖြည်ပေးခဲ့တာဖြစ်ပါတယ်။ Iphone ဆိုရင်တော့ Password တွေ Save ထားတဲ့ Keychain ကိုရယူနိုင်ပါတယ်။
Iphone and android phone တွေရဲ့ Passwords ကို Brute force Attack နဲ့ ရယူနိုင်ပါတယ်။ (Apple ကတော့ IOS 12 နောက်ပိုင်း Password ကို Graykey နဲ့မရယူနိုင်ဘူးလို့ဆိုပါတယ်။)ဒါပေမဲ့ ခုထိ GrayShift ကလဲ ထုတ်ဖော်ပြောကြားခြင်းမရှိပါ။
Phone Image ကို UFED , Magnet ,Oxygen စတဲ့ Mobile Forensics Software ထဲကို Loading လုပ်တဲ့အချိန်မှာ ထည့်ရတဲ့ Graykey ကတော့ Crack လို့ရတဲ့ Password သို့မဟုတ် Hash ပဲ ဖြစ်ပါတယ်။ ဒါမှ Phone OS ကနေ Encryption လုပ်ထားတာတွေကို ဖြည်လို့ရမှာဖြစ်ပါတယ်။ Geayshift Box တစ်ခုတည်းနဲ့ ဖုန်းကို Analysis လုပ်လို့မရပါ။Geayshift Support ပေးတဲ့ Commercial Forensics Tools ပါလိုအပ်ပါတယ်။နောက်ပိုင်း GrayShift's GrayKey မှာ Social Engineering အတွက်ပါ ပါ၀င်လာတယ်လို့တော့ သိရပေမဲ့ အပြည့်အစုံတော့ မသိရပါ။
Social Engineering နည်းတစ်ခုကတော့
Example ...
Lock ဖြစ်နေတဲ့ ဖုန်းကို GrayKey Device နဲ့ချိတ်ဆက်ပြီး Agent (bot) ထည့်ပြီးရင် Suspect ကို မိသားစု သို့မဟုတ် ရှေ့နေနဲ့ဆက်သွယ်စေရန် ဖုန်းပြန်ပေးတာဖြစ်ပါတယ်။ အဲဒီအခါမှာ User ရိုက်သွင်းတဲ့ Passcode ကို Agent မှတ်သားထားပါတယ်။ (Lock Phone ထဲကို Agent ထည့်လို့ရအောင် Graykey မှာ ဘယ်လိုလုပ်ထားလဲတော့ မသိပါ။) Social Engineering သုံးရတာကလဲ Phone တွေရဲ့ Security မြင့်လာတာကလဲ အကြောင်းတစ်ခုဖြစ်ပါတယ်။ "
Mobile Forensics ရဲ့ Golden Age တွေ ကုန်ဆုံးသွားတာလား။ ဒါမှမဟုတ် Catch The Mouse Game လိုဖြစ်နေမလား။
Graykey နဲ့ပတ်သတ်ပြီး Leak လာတဲ့ Documents Files တွေရယ် အခြား Forensics Products တွေနဲ့ပေါင်းတော့ သူ့အကြောင်းကို Advertise လုပ်တဲ့အခါ သိလာရတဲ့ အချက်အလက်တွေရလာလို့ရေးဖြစ်တာပါ။
Leak Documents တွေအရ IOS 18 ကနေစပြီး Data ရယူဖို့ Iphone ကို Brutes force Attack (Password Attack ) မရတော့တာကိုတွေ့ရမှာဖြစ်ပါတယ်။ Iphone 11 -12 လောက်ပဲ IOS Version 17 တင်ထားရင် Data အနည်းငယ်ပဲရယူနိုင်ပါတယ်။ Iphone 11 မှာ IOS Version 18 တင်ထားရင် Data လုံး၀မရယူနိုင်ပါ။
Android ဆိုရင် Samsung Brand တော်တော်များများက Gray Key နဲ့ Data တော်တော်များများရယူနိုင်ပါတယ်။ Huawei နဲ့ MI Brand တော်တော်များများကို Gray Key နဲ့ Data မရယူနိုင်တာတွေကများပါတယ်။
BFU ဆိုတာက Mobile Device ကို Power OFF ဒါမှမဟုတ် Restart လုပ်ပြီး Power ပြန် ON ပြီးနောက် Password မရိုက်ရသေးတဲ့အချိန်။ အဲဒီအချိန်ကို Before First Unlock လို့ခေါ်ပါတယ်။
AFU ဆိုတာက Mobile Device ကို Power OFF ဒါမှမဟုတ် Restart လုပ်ပြီး Power ပြန် ON ပြီးနောက် Password ရိုက်တယ်။ Phone Lock ပွင့်ပြီးနောက်ပိုင်း ကိုယ်နေ့စဉ် သုံးနေကျအတိုင်းသုံးတယ်။အားသွင်းတယ် ကြားထဲမှာ Power Off/ Restart မလုပ်ဘူး။ Lock ကျရင် ဖုန်းမှာ ကိုယ်ပေးထားတဲ့ Biomateric, Pin, Password ရိုက်တယ် ပြန်သုံးတယ် အဲဒီအနေအထားကို After First Unlock လို့ခေါ်တာဖြစ်ပါတယ်။
AFU နဲ့ BFU က Mobile OS Version တွေမြင့်လာတာနဲ့ AFU အနေအထားဆိုရင် ဘယ်လို Data တွေရနိုင်တယ်။ BFU အနေအထားဆိုရင် ဘယ်လောက် အထိ Data တွေရနိုင်တယ်ဆိုတာကွာခြားပါတယ်။ နောက်ပိုင်းမှာ Android ဖြစ်ဖြစ် IOS ပဲဖြစ်ဖြစ် OS Version မြင့်လာတာနဲအမျှ Data ရယူဖို့ခက်ခဲလာပါတယ်။
IOS Log History Expiration Date
IOS က Storage ကို မလိုအပ်ပဲမများစေခြင်တဲ့ အတွက် အချို့ Data တွေကို သတ်မှတ်ထားတဲ့အချိန်အတောအတွင်းမှာ Delete လုပ်ပါတယ်။
- Cached Locations – 7-day expiration
- KnowledgeC and BIOME data – 28-to-30-day expiration
KnowledgeC IOS (15) ရှေ့ပိုင်း BIOME data (IOS 15 နောက်ပိုင်း) ကတော့ IOS Forensics မှာ အသုံးပြုသူရဲ့ Usage တွေကိုမှတ်သားထားပါတယ်။ အသုံးအ၀င်ဆုံး နဲ့ကြည့်တပ်ရင် ကြည့်တပ်သလောက် အကျိူးရှိတဲ့ Logs ပါ။ ဥပမာ ဘယ်အချိန်မှာ Lock Unlock လုပ်လဲ။ YouTube ကို ဘယ်အချိန်ကနေဘယ်အချိန်အထိ ကြည့်လဲ။ Phone အား ဘယ်အချိန်မှာသွင်းလဲ။ ဘယ်လောက်အထိသွင်းလဲ။
- Deleted Photos – 30-day expiration
- Deleted iMessages – 30-day expiration
- Safari History – 30-day expiration
Comments