前言

今天要打的是 Eli Lab，難度為 medium，分類是 Endpoint Forensics。

Eli

情境

一位用戶報告其 Chromebook 瀏覽器行為異常且文件遺失。 SOC 分析師懷疑存在未經授權的存取和資料竊取行為。您已收到一份取證圖像以供審核。請調查用戶活動、應用資料和瀏覽痕跡，以查明究竟發生了什麼事。
資源：

1. Hindsight from Ryan Benson: https://github.com/obsidianforensics/hindsight
2. Chromebook Data Locations: https://www.magnetforensics.com/blog/chromebook-data-locations/
3. Taking a Byte out of Chromebook Analysis: https://www.magnetforensics.com/resources/taking-a-byte-of-chromebook-analysis-mvs-may-5/
4. Ross Donnelly on Google Takeout Location Data: https://dfir.pubpub.org/pub/d39u7lg1/release/1
5. Takeout Locations: https://www.magnetforensics.com/resources/targeted-locations-quick-reference-guide-for-android-and-google-takeouts/
6. Takeout Data: https://www.magnetforensics.com/resources/exploring-the-data-available-from-google-takeout-webinar-sep-22-oct-6/

Q1：儲存所有資料的資料夾 - Eli 的下載目錄中有多少個檔案？

題目檔案解壓縮後有兩個資料夾 takeout 和 chromebook
Google Takeout 是 Google 提供的資料匯出工具，它會匯出 Google 服務中的資料，Takeout 資料夾正是存放它們的地方。而 Chromebook 資料夾儲存的就是使用者的本機檔案。
ChromeOS 與許多現代作業系統一樣，運用加密技術來保護使用者資料，當使用者登入後，他們的家目錄就會被解密，讓使用者存取。
基於 ChromeOS 的檔案系統架構，我們需要前往解密後的掛載目錄進行調查，在 2021 CTF - Chromebook\decrypted\mount\user\Downloads 目錄下可以看到有 6 個檔案

Ans：6

Q2：對著鏡頭微笑 - 該使用者個人頭像的 MD5 雜湊值是什麼？

在 ChromeOS 檔案架構中，使用者個人頭像通常儲存在 Accounts 目錄下的 Avatar Images 資料夾中
2021 CTF - Chromebook\decrypted\mount\user\Accounts\Avatar Images 目錄下可以看到 eflatt610@gmail.com 這個檔案
雖然這個檔案沒有 .png、.jpg 等等一般圖片的副檔名，但它仍然是圖像

計算它的 MD5 雜湊

Get-FileHash .\eflatt610@gmail.com -Algorithm MD5

Ans：5DDD4FE0041839DEB0A4B0252002127B

Q3：公路旅行！ - Eli 的目的地城市是哪一個？

我們在剛剛使用者的下載資料夾有看到一張 Google Maps 的截圖

可以看到使用者想要前往 Plattsburgh 這座城市。
Ans：Plattsburgh

Q4：承諾我 - Wickr 做了多少個承諾？

同樣在使用者的下載資料夾中，有一個名叫：Wickr-Customer-Security-Promises-November-2020.pdf 的檔案。
在檔案的第 3 頁我們可以看到 Wickr’s Customer Security Promises

裡面共有九個承諾
Ans：9

Q5：鍵盤貓咪 - Tabby Cat 擴充功能(extension)的金鑰最後五個字元是什麼？

Tabby Cat 是一個 Chrome 的擴充功能

導航到 Extension 目錄下
2021 CTF - Chromebook\decrypted\mount\user\Extensions

可以看到很多奇怪名字的資料夾，不知道哪個才是題目說的 Tabby Cat，直接搜尋

有一個匹配的檔案，右鍵 -> Open file location

可以看到他在 mefhakmgclhhfbdadeojlkbllmecialg\2.0.0_0\public\scripts 底下，代表 mefhakmgclhhfbdadeojlkbllmecialg 就是 Tabby Cat 的資料夾
回到 mefhakmgclhhfbdadeojlkbllmecialg\2.0.0_0\下可以看到 manifest.json 這個檔案，它包含了擴充功能運作所需的所有重要資訊：版本、名稱、權限等等，還有最重要的金鑰。

打開 manifest.json

key的最後五碼是 DAQAB
Ans：DAQAB

Q6：狂歡時刻 - Eli 下載了多少首歌曲？

導航到 2021 CTF - Chromebook\decrypted\mount\user\MyFiles\Music 目錄下，共有兩首歌。

Ans：2

Q7：自動填寫，展開 - 哪個單字被自動填寫（Autofill）的次數最多？

autofill 是瀏覽器中的一個自動填表工具，可在您輸入表單時自動填入你儲存的電子郵件、姓名、地址、電話、密碼等重複性資訊。
他的紀錄儲存在 user 目錄下的 Web Data 中
2021 CTF - Chromebook\decrypted\mount\user\Web Data

用 DB browser 打開，選擇 autofill table

可以看到次數最多的是 e.flatt610@gmail.com，被輸入了 3 次。
我本來以為答案是 e.flatt610@gmail.com，結果我一看但他答案格式是五個字母，我就嘗試輸入 email 然後就對了。
Ans：email

Q8：為成功穿搭 - 這隻鳥的圖片邏輯大小（logical size）是多少位元組？

還是在使用者的下載資料夾中，有一張 Linux 吉祥物的圖片，他是就是題目說的鳥。右鍵 -> Properties 查看他的元數據。
Ans：46791

Q9：老主顧 - Eli 造訪次數最多的網站是什麼？

Google Takeout 的 My Activity 資料夾是 Google 匯出服務中最重要的資料夾之一，包含了使用者在各種 Google 服務上的活動紀錄和使用歷史，當然也包括 Chrome 瀏覽器的瀏覽紀錄。

進到 Chrome 目錄

打開 MyActivity

其中訪問次數最多的是 protonmail.com

Ans：protonmail.com

Q10：嗡嗡 - 這個與車子相關的主題名稱是什麼？

Chrome 主題也是透過 Chrome Web Store 安裝，所以他存在和擴充功能同一個資料夾中，也就是 Extensions 。
我嘗試搜尋car沒有結果，只好一個一個調查

在 dkkklbgbfaeockpgbkleblklmcjdbnbj 這個資料夾中存著車子相關的主題。
打開它的 manifest.json，可以看到主題名稱為 Lamborghini Cherry。


Ans：Lamborghini Cherry

Q11：你收到信了 - 從 notification@service.tiktok.com 收到了多少封電子郵件？

2021 CTF - Takeout\Takeout\Mail\All mail Including Spam and Trash.mbox
MBOX 檔存有一個信箱或資料夾中的所有電子郵件訊息，例如你的收件夾、寄件備份或草稿匣，並且使用文字儲存。

搜尋 From: "TikTok" notification@service.tiktok.com 得到6個結果

Ans：6

Q12：該使用者在 March 4, 2021, at 4:15:18 AM EDT （美國東部夏令時間）時，曾在哪個地方請求路線？

請求路線這裡說的是導航，所以我們可以去看同樣存在 MyActivity 中的 Google Map紀錄
2021 CTF - Takeout\Takeout\My Activity\Maps\MyActivity.html


Ans：Chick-fil-A

Q13：誰來定義必需品？ - Mar 4, 2021, at 4:09:35 AM EDT時，搜尋了什麼？

同樣在 My Activity 資料夾下，我們可以看到 Search 資料夾，存著使用這地搜尋紀錄。

2021 CTF - Takeout\Takeout\My Activity\Search\MyActivity.html

Mar 4, 2021, at 4:09:35 AM EDT 時，使用者搜尋了 is travelling to get chicken essential travel
Ans：is travelling to get chicken essential travel

Q14：我有了三個訂閱者，而且還在增加中 - 該使用者訂閱了多少個 YouTube 頻道？

同樣屬於 Google 的服務，去到 My Activity 資料夾查看youtube的歷史紀錄

2021 CTF - Takeout\Takeout\My Activity\YouTube\MyActivity.html

並沒有訂閱的紀錄
同時在 2021 CTF - Takeout\Takeout\YouTube and YouTube Music\subscriptions 目錄下存著訂閱資訊

我們也可以看到他是空的，所以我們可以知道使用者並沒有訂閱任何人。

Ans：0

Q15：看 YouTube 時光飛逝 - 該使用者觀看的第一個 YouTube 影片是在哪天被上傳的？

在 YouTube 的歷史紀錄 2021 CTF - Takeout\Takeout\My Activity\YouTube\MyActivity.html 下可以看到最早看的是 The BEST Clips of 2020 | Lacrosse Highlights 這部影片


可以看到上傳時間為 2021年1月27日。
Ans：2021-01-27

小結

今天的 lab 讓我們踏入了 ChromeOS 鑑識這個全新的領域，學會了基礎的 ChromeOS 系統分析和 Google Takeout 重建。
題目情境懷疑有惡意行為，但我們卻沒有發現異常，這在現實世界中也是常出現的情況。
明天我們將進行多證據的分析。