Como usar o Dumpzilla para análise forense de navegadores
O Dumpzilla é uma ferramenta de código aberto disponibilizado para que seja realizado uma análise forense em dados de navegadores tais como Firefox, Tor Browser, Waterfox e derivados, devido ser projetado para a estrutura de cache do Firefox.
As funções disponibilizadas por meio desse script incluem:
- Coleta do histórico de navegação
- Cookies armazenados no Browser.
- Downloads que foram realizados.
- Favoritos.
- Addons/Extensões instaladas.
- Senhas salvas no navegador.
Instalação do DumpZilla no Parrot Os 5.2:
$ sudo install dumpzilla
Depois de instalar o Dumpzilla, o usuário pode selecionar o arquivo de cache a ser examinado e, após o processamento desses dados, o Dumpzilla exibe uma lista detalhada dos itens encontrado de acordo com os parâmetros utilizados.
Onde encontrar o profile em diferentes sistemas operacionais:
- Windows: C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles
- Linux:
/home/$USER/.mozilla/firefox/
- MacOS:
~/Library/Application Support/Firefox/Profiles
Podemos utilizar o parâmetro -h para listar as opções disponíveis do Dumpzilla:
$ sudo dumpzilla -h
Podemos realizar a extração dos dados de forma sumarizada da seguinte forma:
$ sudo dumpzilla ~/.mozilla/firefox/ewjrq8cy.whoami/ --Summary
PS: Onde "ewjrq8cy.whoami" seria meu profile no Firefox.
Efetuando uma visualização das credenciais salvas no profile:
$ sudo dumpzilla ~/.mozilla/firefox/ewjrq8cy.whoami/ --Passwords
Também pode ser utilizado Wildcards de regex para filtros mais avançados e extração de informações mais especificas, no exemplo abaixo será feito a filtragem das palavras chaves que contiver CVE ou Exploit na url:
$ sudo dumpzilla ~/.mozilla/firefox/ewjrq8cy.whoami/ --History --RegExp -url ".*cve.*|.exploit.*"
Em resumo, o Dumpzilla é uma ferramenta útil para investigações forenses do Mozilla Firefox, através dele pode ser usado para recuperar senhas salvas, histórico de navegação, downloads, cookies, e outras informações guardadas no navegador, oferecendo aos usuários a possibilidade de realizar pesquisas avançadas com o uso de expressões regulares.
Referências:
https://github.com/Busindre/dumpzilla
https://medium.com/@shirishpokharel/browser-forensic-with-dumpzilla-on-linux-and-windows-cef805126a1