Your SlideShare is downloading. ×
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Análise Forense Computacional com Software Livre - Free Software Rio 2010

8,754
views

Published on


1 Comment
6 Likes
Statistics
Notes
No Downloads
Views
Total Views
8,754
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
640
Comments
1
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notícia nos EUA, mais precisamente no estado de Minnesota, noticiado através do Minneapolis Tribune do dia 18 de outubro de 1966, sob o título "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO"
  • Computação Forense é a ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolvam a computação como meio, sob a ótica forense, sendo ela cível ou penal. Na criminalística a Computação Forense visa determinar causas, meios, autoria e conseqüências de um incidente computacional.
  • A computação forense vsa auxiliar na investigação de violações de normas e/ou crimes eletrônicos.
  • Cavalo de Tróia - Quadrilha especializada em cometer crimes pela internet, contra bancos e clientes. Criaram sites e programas de computador capazes de capturar senhas e outras informações pessoais dos clientes que movimentavam as contas a partir da internet. Cavalo de Tróia II - Quadrilha de “hackers”, internautas e laranjas, que desviou R$ 240 milhões de bancos públicos e privados do país pela internet. Anjo da Guarda - 18 mandados de busca e apreensão em oito estados, com o objetivo recolher material de informática, fitas e CD’s contendo pornografia infantil. O responsável foi preso acusado de ter produzido, divulgado e trocado no exterior, via internet, fotos e vídeos de atos sexuais com menores de idade.
  • Anjo da Guarda II A segunda fase da Operação Anjo da Guarda prendeu no dia 31 de agosto, cinco pessoas acusadas de produzir e divulgar através da Internet fotos e vídeos contendo pornografia infantil.. Pégasus Desencadeada no dia 25 de agosto, prendeu integrantes de uma organização criminosa especializada em invadir contas bancárias através da Internet. Os fraudadores, conhecidos popularmente como ‘hackers’ ou ‘crackers’, causavam prejuízos a correntistas de todas as grandes instituições bancárias no país desde 2001, e alguns deles já tinham sido presos em outras operações realizadas pela Polícia Federal. Galáticos Prendeu no dia 23 de agosto integrantes de uma quadrilha que desviava dinheiro de contas bancárias através da Internet. Eram utilizados programas do tipo "Spyware" para capturar senhas bancárias de correntistas de vários bancos, principalmente a Caixa Econômica Federal. Estes programas eram disseminados através de e-mails com mensagens falsas (da Receita Federal e do Serasa), e também em sites de relacionamento como o Orkut.
  • O caso Abadia (26/03/2008): “ Em reportagem exclusiva no Fantástico, foi revelado que Ramirez Abadia enviou pela internet mais de duzentas mensagens de voz para comparsas do narcotráfico na colômbia. As mensagens sonoras estavam escondidas dentro de fotografias, graças a um sofisticado programa de computador.” Fonte: http://g1.globo.com/Noticias/SaoPaulo/0,,MUL363681-5605,00.html PF não consegue decifrar criptografia dos arquivos de Daniel Dantas Folha Online O impasse levou os investigadores da PF a estudar uma alternativa jurídica para o rompimento do sigilo. Em conjunto com o juiz federal Fausto De Sanctis, informado há mais de um mês sobre os problemas nos HDs, os policiais discutem a possibilidade de obrigar, por ordem judicial, a empresa norte-americana que criou o software a fornecer as chaves eletrônicas que abrem os arquivos. É também aguardada a chegada de um grupo de peritos da PF de Brasília.
  • Ex.: Boaz Guttman http://www.4law.co.il
  • Os discos rígidos são formados por platters posicionados em pilha. Os dados são gravados por “heads” posicionados nos dois lados de cada platter. Conforme o platter gira o head se move em direção ao centro da superfície buscando o local da gravação.
  • Disk file system: • Utilizado em dispositivos de armazenamento, como o HD por exemplo. Network file system: • Permite utilizar arquivos pela rede, montando partições remotamente. Database file system: • Arquivos são identificados por características como tipo, autor e outros metadados.
  • FAT (File Allocation Table) • Desenvolvido para MS-DOS • Usado em todas as versões do Microsoft Windows. • Minimalista e de fácil implementação FAT32 • Algumas correções e melhorias em relação ao FAT. NTFS (New Technology File System) – v1.2 utilizado em NT 3.51 e NT 4. – v3.0 utilizado no Windows 2000. – v3.1 utilizado no Windows XP e Windows Server 2003. • Informações como nome do arquivo, data de criação, permissões são gravadas como metadados.
  • Caso sejam compactados por algum utilitário de compactação (zip, gzip, tar, etc), eles não poderão ser montados dessa forma, requerendo que sejam descompactados antes de serem montados e usados. Todas as informações relativas ao caso ou ao arquivo devem ser armazenadas à parte, em outros arquivos/dispositivos; Para se montar uma imagem de 80Gb dividida em 10 pedaços de 8Gb, os pedaços precisam ser concatenados antes e somente após isso podem ser montados.
  • A duplicação dos dados é essencial para garantir a integridade das evidências. Evidências podem ser destruídas facilmente por atitudes descuidadas por parte dos analistas.
  • Exemplos: Copiando partição para outro disco: • dd if=/dev/sda2 of=/dev/sdb2 bs=4096 conv=notrunc,noerror Criando uma imagem de CD: • dd if=/dev/hdc of=/tmp/mycd.iso bs=2048 conv=notrunc Restaurando uma partição a partir de um arquivo de imagem: • dd if=/tmp/imagem.iso of=/dev/sdb2 bs=4096 conv=notrunc,noerror Copiando a memória para um arquivo: • dd if=/dev/mem of=/tmp/mem.bin bs=1024
  • Transcript

    • 1. - www.clavis.com.br -
    • 2. Análise Forense Computacional Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação [email_address]
    • 3. Introdução
      • Fraudes bancárias
      • 4. Fraudes contra o governo
      • 5. Fraudes contra o usuário
      • 6. Primeiro Caso Noticiado (Minneapolis Tribune, 18 de outubro de 1966):
      "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO" >> Breve Histórico
    • 7. Introdução “ Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir dados ou o que aconteceu no passado em um sistema” (Dan Farmer e Wietse Venema – Computer Forensics Analysis Class Handouts) “ A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade” (Manual de Patologia Forense do Colégio de Patologistas Americanos) >> Definição
    • 8. Introdução Levantar evidências que contam a história do fato: >> Objetivos
    • 12. Introdução
      • Suprir as necessidades das instituições legais para manipulação de evidências eletrônicas
      • Estudar a aquisição, preservação, identificação, recuperação e análise de dados em formato eletrônico
      • Produzir informações diretas e não interpretativas
      • Identificar, Rastrear e Comprovar a autoria de ações criminosas
      >> Objetivos
    • 13. Introdução
      • Defacements (violação de dados e/ou difamação)
      • 14. Roubo de Dados e/ou Negação de Serviço
      • 15. E­mails falsos (Phishing Scam, Difamação, Ameaças)
      • 16. Transações bancárias (Internet Banking)
      • 17. Disseminação de Pragas Vituais, Pirataria e Pedofilia
      • 18. Crimes comuns com evidências em mídias digitais
      • 19. Etc etc etc...
      >> Motivação
    • 20. Introdução Segundo estimativas do Gartner Group:
      • PHISHING SCAMS custaram 1,2 bilhão de dólares às administradoras de cartão de crédito e bancos americanos em 2007
      • Também em 2007, 57 milhões de americanos estiveram sujeitos a este tipo de fraude online
      >> Motivação
    • 21. Introdução
      • CAVALO­DE­TRÓIA Novembro/2003
      Pará, Maranhão, Teresina e Ceará. 27 prisões
      • CAVALO­DE­TRÓIA II Outubro/2004
      Pará, Maranhão, Tocantins e Ceará. 64 prisões
      • MATRIX Março/2005
      Rio Grande do Sul 8 Prisões
      • ANJO DA GUARDA I Julho/2005
      Buscas em 8 Estados Prisão em Volta Redonda­RJ >> Casos Conhecidos
    • 22. Introdução >> Casos Conhecidos
      • ANJO DA GUARDA II Agosto /2005
      Cumprimento de prisões em PR, SP, MA
      • PEGASUS ­ setembro/2005
      127 Prisões em Goiás, Tocantins, Pará, ES, SP e MG
      • GALÁCTICOS – agosto/06
      Cerca de 65 prisões / Imperatriz/MA
      • REPLICANTE – setembro/06
      Cerca de 60 prisões / Goiânia/GO
    • 23. Introdução >> Casos Conhecidos
      • CTRL ALT DEL – dezembro/06
      Cerca 39 prisões no Pará
      • CARROSSEL ­ dezembro/07
      Cerca de 14 estados no BR e 78 países
      • Caso Abadia
      • Caso Dantas
    • 24. Processo Investigativo
      • Profundos conhecimentos técnicos
      • Conhecimento de ferramentas específicas
      • Ética
      • Inexistência de envolvimento pessoal ou julgamento dos praticantes dos delitos
      >> Metodologia
    • 25. Processo Investigativo
      • Cópia integral (e fiel) das mídias
      • Verificação de Integridade através de Hashs
      • Preservação dos Logs
      • Ata Notarial (constatação escrita, atestada por testemunhas, da ocorrência de um fato)
      >> Metodologia
    • 26. Processo Investigativo • Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial • Restrição na área de busca para não violar a privacidade de inocentes • Aderência com a Política de Segurança local >> Metodologia
    • 27. Processo Investigativo • Aquisição • Preservação • Identificação • Extração • Recuperação • Análise • Apresentação (documentação / Laudo Pericial) >> Metodologia
    • 28. Processo Investigativo • Inexistência de Normas e Leis • Cooperação internacional • Aumento do número de crimes cibernéticos • Aumento na capacidade de armazenamento • Novas técnicas (criptografia/anti-forense) >> Desafios
    • 29. Processo Investigativo • Quais procedimentos e/ou ferramentas podem ser utilizados legalmente? • Obrigações dos provedores e usuários • Logs de acesso e dados cadastrais (Cyber-cafés e Lan-Houses) >> Aspectos Legais
    • 30. Processo Investigativo • Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica • É fundamental ao perito a compreensão do Código de Processo Penal - "Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral”. >> Aspectos Legais
    • 31. Processo Investigativo • Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas“. • Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". >> Aspectos Legais
    • 32. Processo Investigativo • Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal): – “ ...os peritos guardarão material suficiente para a eventualidade de nova perícia...” (do Código de Processo Penal - Artigo 170) – Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura. >> Aspectos Legais
    • 33. Processo Investigativo “ Todo contato deixa vestígio” Edmond Locard >> Tratamento de Evidências
    • 34. Processo Investigativo
      • Definição
      Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital
      • Características
      Dado + Contexto + Fator Tempo >> Tratamento de Evidências
    • 35. Processo Investigativo Aquisição - O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: Câmeras digitais, óculos/relógios/pulseiras >> Tratamento de Evidências
    • 36. Processo Investigativo Interfaces externas auxiliam no processo de aquisição: Exemplo: IDE/SATA para USB >> Tratamento de Evidências
    • 37. Processo Investigativo É recomendado o uso de bloqueadores de escrita ( “Write Blockers” ) para aquisição a partir das mídias originais. >> Tratamento de Evidências
    • 38. Processo Investigativo Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias. >> Tratamento de Evidências
    • 39. Processo Investigativo Aquisição Remota • Mídias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes) • Uso da rede para envio de dados • Estação pericial remota • Essencial o uso de Criptografia • Principal Dificuldade: Atestar integridade dos dados >> Tratamento de Evidências
    • 40. Processo Investigativo Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados:
      • Sistemas de arquivos remotos
      • 41. Backups em provedores de conteúdo
      • 42. Servidores corporativos externos
      • 43. Datacenters internacionais
      >> Tratamento de Evidências
    • 44. Processo Investigativo Preservação • A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real. • Impedir alteração da mídia original antes e durante os procedimentos de aquisição • Assinaturas hash são utilizadas para garantir a integridade dos dados coletados >> Tratamento de Evidências
    • 45. Processo Investigativo Identificação – Cadeia de Custódia • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) >> Tratamento de Evidências
    • 46. Processo Investigativo Extração/Recuperação • Extração é o processo de retirar as informações disponíveis das mídias • Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. • Em alguns casos a manipulação dos dados poderá ser feita por um perito contratado por advogados que contestaram os laudos >> Tratamento de Evidências
    • 47. Processo Investigativo Análise • Extração de Informações a partir dos dados coletados • Geralmente iniciada pela criação da linha do tempo de atividades >> Tratamento de Evidências
    • 48. Processo Investigativo
      • "Substanciação da evidência"
      • Enquadramento das evidências em formato propício para apresentação em julgamentos
      • Deve representar as conclusões do perito em linguagem clara (ou com dados técnicos comentados)
      >> Apresentação de Resultados
    • 49. Processo Investigativo Os Laudos devem conter:
      • Finalidade da Investigação
      • 50. Autor(es) do Laudo
      • 51. Resumo do incidente
      • 52. Relação de evidências analisadas e seus detalhes
      • 53. Conclusão
      • 54. Anexos
      • 55. Glossário
      • 56. Metodologia / técnicas / softwares utilizados
      >> Apresentação de Resultados
    • 57. Mídias e Sistemas de Arquivos Dispositivo mais utilizado para armazenamento de dados Dados gravados em “trilhas” e “setores” de forma magnética Principais Componentes: • Cylinder • Head • Platter >> Discos Rígidos (HDs)
    • 58. Mídias e Sistemas de Arquivos Memória flash do tipo NAND com interface USB Vantagens: • Menor e mais leve • Regravável • Rápido e com alto poder de armazenamento • Não requer fonte externa de energia Principais usos: • Dados Pessoais • Aplicações e Sistemas Operacionais • Players de audio e vídeo >> Memórias Flash
    • 59. Mídias e Sistemas de Arquivos
      • Organiza os dados de forma hierárquica
      • Facilita a navegação e a manutenção dos arquivos
      • Utilizado em todos os dispositivos de armazenamento
      • Organização dos arquivos em árvore
      • Estrutura de diretórios e sub-diretórios
      • Permissões e controles de acesso
      >> Particionamento e Abstrações
    • 60. Mídias e Sistemas de Arquivos Sistemas de arquivos para Linux: • EXT • EXT2 • EXT3 • EXT4 • ReiserFS • XFS • ZFS >> Particionamento e Abstrações
    • 61. Mídias e Sistemas de Arquivos Sistemas de arquivos para Windows: • FAT • FAT32 • NTFS >> Particionamento e Abstrações
    • 62. Mídias e Sistemas de Arquivos • ISO 9660 (International Organization for Standardization) • Sistema de arquivos para CDs e DVDs • Compatibilidade com diversos sistemas operacionais: Microsoft Windows, Mac OS, e UNIX-like >> Particionamento e Abstrações
    • 63. Dados, Informações e Evidências >> Ordem de Volatilidade Principais fontes de informação de um sistema:
      • Dispositivos da CPU (registradores e caches)
      • 64. Memória de periféricos (ex: memória de vídeo)
      • 65. Memória principal do sistema
      • 66. Tráfego de rede (pacotes em trânsito na rede)
      • 67. Estado do sistema operacional
      • 68. Dispositivos de armazenagem secundária
    • 69. Dados, Informações e Evidências • Aquisição de uma imagem de um HD é, em muitos casos, o ponto de partida de uma investigação • A técnica conhecida como "dead analysis" determina que o HD a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o HD íntegro • A imagem deve copiar todos os dados do HD, incluindo as partes não utilizadas >> Coleta
    • 70. Dados, Informações e Evidências O que utilizar ? • Existem várias ferramentas para esta tarefa • A maioria implementa o mesmo formato (raw) • Esse é, literalmente, uma cópia fiel do HD • Formato gerado pela ferramenda dd (padrão) • Entretanto não é o único formato disponível >> Coleta
    • 71. Dados, Informações e Evidências Imagens RAW – Pontos Positivos • Formato facilmente “montável” • Independe de ferramentas específicas • Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) • Disponível em utilitários tanto para Linux quanto para Windows >> Coleta
    • 72. Dados, Informações e Evidências >> Coleta Imagens RAW – Pontos Negativos • Arquivos muito grandes e sem suporte a compactação • Não é possível adicionar dados da investigação ao arquivo raw • Não monta facilmente se estiver dividido • Algumas operações são mais lentas devido ao grande tamanho
    • 73. Dados, Informações e Evidências Outros Tipos de Imagens: • Expert Witness (E01) Propietário do Encase Permite compactação (sem perda) • Advanced Forensic Format (AFF) Tentativa de padronização Usa compactação e tratamento de erros Em fase de testes >> Coleta
    • 74. Dados, Informações e Evidências • Plano de contingência para eventuais erros causados por algum procedimento da análise • Recomeda-se o uso de pelo menos duas cópias >> Duplicação e Preservação
    • 75. Dados, Informações e Evidências • Principal ferramenta “dd” • Cópia bit-stream • Faz cópia de qualquer dispositivo que possa ser montado e acessado no Linux • Outras ferramentas podem ler e analisar arquivos gerados pelo “dd” Sintaxe: dd if=/*origem* of=/*destino* >> Duplicação e Preservação
    • 76. Dados, Informações e Evidências Cópia remota: Máquina origem • dd if=/dev/hda | netcat IP_destino 1234 Máquina destino • netcat -l -p 1234 > imagem.dd >> Duplicação e Preservação
    • 77. Dados, Informações e Evidências • Remoção de arquivo é uma abstração do FS • Dados permanecem intactos até serem sobrescritos • Taxa de utilização do disco não é uniforme >> Recuperação de Arquivos
    • 78. Tráfego de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados >> Análise do Tráfego de Rede
    • 79. Tráfego de Rede • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina >> Análise do Tráfego de Rede
    • 80. Tráfego de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos >> Análise do Tráfego de Rede
    • 81. Tráfego de Rede • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) >> Análise do Tráfego de Rede
    • 82. Tráfego de Rede Tcpdump • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap s capturados >> Análise do Tráfego de Rede
    • 83. Tráfego de Rede Wireshark • Mais completo dos analisadores de tráfego • Possibilita remontar uma sessão • Estrutura em árvore • Possibilidade de criação de filtros >> Análise do Tráfego de Rede
    • 84. Esteganografia >> Definição Conjunto de princípios e técnicas empregadas para esconder uma mensagem dentro de outra. Pode ser aplicada em: Textos Imagens Áudios Vídeos
    • 85. >> Exemplo simples - Imagem A imagem ao lado apresenta 3 valores RGB diferentes: (0, 0, 0) - Preto (255, 255, 255) - Branco (255, 255, 254) – Branco (?!?!) Esteganografia
    • 86. Substituindo o “pseudo-branco” por roxo é possível ver o desenho de um urso, como visto ao lado: Esteganografia >> Exemplo simples - Imagem
    • 87. Como Luiz Antônio vai invadir a Suécia ?!?! Esteganografia >> Exemplo simples - Texto
    • 88. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Esteganografia >> Exemplo simples - Texto
    • 89. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Mensagem escondida: CLAVIS Esteganografia >> Exemplo simples - Texto
    • 90. JP Hide-&-Seek (JPHS) Esteganografia >> Exemplo - Imagem
    • 91. Análise de Artefatos • Análise de um código malicioso para descoberta de suas funcionalidades • Tipos de análise: Estática – Engenharia Reversa – Disassemblers Dinâmica – Comportamental – Debuggers >> Tipos e Objetivo
    • 92. Análise de Artefatos • Execução do Malware dentro de um ambiente controlado • Análise comparativa do sistema • É finalizada quando o Malware termina sua execução ou entra em execução estacionária • Ferramenta: OllyDBG, GDB ... >> Análise Dinâmica
    • 93. Análise de Artefatos • Leitura do código • “ Descompilação” • Uso de disassemblers • Elevado conhecimento de linguagens de baixo nível • Tempo dedicado e paciência >> Análise Estática
    • 94. Análise de Artefatos • Máquina isolada ou máquina virtual (Sandbox) • Acesso à rede seja praticamente nulo (host-only) • Sistemas operacionais distintos • Dificultar comprometimento da máquina host • Uso de snapshots >> Técnicas de Confinamento
    • 95. Ferramentas >> Ferramentas Nativas - UNIX • strings – Extrai mensagens de texto de arquivos ou dispositivos • grep – Procura por padrões em arquivos – Utilizado como filtro por vários comandos no Linux • file – Identifica o tipo de arquivo
    • 96. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Conexões TCP # netstat –natp | tee conexoes.tcp – Conexões UDP # netstat –naup | tee conexoes.udp – Processos em Execução # ps aux | tee processos
    • 97. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Tráfego para determinado endereço: # tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump – Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos
    • 98. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Informações sobre porta específica (TCP) # fuser –v <porta>/tcp > porta.tcp – Informações sobre porta específica (UDP) # fuser –v <porta>/udp > porta.udp – Módulos Ativos # lsmod | tee –a modulos.info # cat /proc/modules | tee –a modulos.info
    • 99. Ferramentas >> Ferramentas Nativas - UNIX Perícia com Estação Pericial Remota - Netcat (nc) • Recebimento de dados da máquina periciada: # nc –l –p <porta> | tee <arquivo> • Envio de informações para a máquina remota: # cat <arquivo> | nc <máquina remota> <porta remota>
    • 100. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial – dd • Geração da Imagem: # dd if=/dev/hda1 of=imagem.dd • Montando uma imagem: # mount <imagem> <destino> -o ro,loop
    • 101. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial Remotamente - dd + ssh • Gerando uma Imagem de forma segura (criptografia): # dd if=/dev/hdb2 | ssh user@host dd of=imagem.img
    • 102. Ferramentas >> Ferramentas Nativas - UNIX Identificação da Imagem Pericial • Verificando Imagem (integridade): # dd if=/dev/hda1 | md5sum –b deve ser igual a # dd if=imagem.dd | md5sum –b
    • 103. Ferramentas >> Ferramentas Nativas - UNIX • Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas funcionalidades importantes • O dd_rescue serve para realizar aquisições de mídias com problemas (o dd não é tolerante a erros) • O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e verificação de integridade
    • 104. Ferramentas >> The Coroner's Toolkit (TCT) • Criado por Dan Farmer e Wietse Venema • 6 de agosto de 1999 • IBM T.J. Watson Research Center • Palestra promovida pela IBM: “ UNIX Computer Forensics Analysis”
    • 105. Ferramentas >> The Coroner's Toolkit (TCT) • Coleção de scripts Perl • Ferramentas mais conhecidas: grave­robber: captura de informações ils / mactime: informações sobre acesso a arquivos findkey: recuperação de chaves criptográficas unrm / lazarus: recuperação de arquivos apagados
    • 106. Ferramentas >> The Coroner's Toolkit (TCT) • Uso do TCT em recuperação de dados apagados: unrm + lazarus Visualização via browser Identificação de tipo (provável) de dado recuperado baseado em legenda
    • 107. Ferramentas >> The Coroner's Toolkit (TCT) • Coleta de dados (varredura de áreas “apagadas”) unrm /dev/hdb1 >> imagem.out • Geração de código HTML para análise lazarus -h -D . –H . -w . imagem.out -h cria um documento HTML -D <dir> direciona a escrita de blocos -H <dir> direciona os principais arquivos HTML -w <dir> direciona outras saídas HTML
    • 108. Ferramentas >> The Coroner's Toolkit (TCT) Limitações: • Não reconhece partições NTFS, FAT e EXT3 • Interface Pouco Amigável • Ausência de mecanismo de catalogação de perícias realizadas
    • 109. Ferramentas >> Sleuth Kit • Inicialmente chamado T@SK ­ The @stake Sleuth Kit • Baseado no TCT • Criado por Brian Carrier (2002) • Analisa sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3 • Também criador de ferramentas de otimização baseadas no TCT - TCTUTILS
    • 110. Ferramentas >> The Autopsy Forensic Browser • Interface gráfica (escrita em Perl) para o Sleuth Kit • Baseada em HTML, semelhante a um gerenciador de arquivos • Permite analisar arquivos, diretórios, blocos de dados e i­nodes (alocados ou apagados) • Permite a busca por palavras­chave ou expressões regulares.
    • 111. Ferramentas >> The Autopsy Forensic Browser • Pode ser executado diretamente no sistema comprometido • Possibilita armazenamento de casos para eventual análise posterior • Individualiza os investigadores de um mesmo caso
    • 112. Ferramentas >> The Autopsy Forensic Browser • Iniciado via linha de comando • Acessado via navegador web • Galeria de “Cases” (Case Gallery) • Galeria de “Hosts” (Host Gallery) • Gerenciador de “Hosts” (Host Manager) • Imagem associadas a casos
    • 113. Analisar a imagem recuperada de um disquete e responder as questões propostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? Estudo de Caso 1
    • 114. >> Exame de Conteúdo (File Analysis) Estudo de Caso 1
    • 115. >> Exame de Conteúdo do Arquivo Apagado Estudo de Caso 1
    • 116. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
    • 117. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1
    • 118. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
    • 119. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1
    • 120.
        • Descrição
      Computador comprometido em instituição corporativa Equipe chamada para realizar a investigação forense na máquina
        • Situação
      O host em questão já havia sido formatado e posto em produção novamente Obtenção do registro das comunicações do computador afetado através de equipamentos instalados na rede para este fim.
        • Objetivo
      Analisar o log fornecido em formato pcap e responder às perguntas seguintes. Honeynet - Desafio 2010/01 http://www.honeynet.org/node/504 Estudo de Caso 2
    • 121.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 122. Quanto tempo durou o ataque?
        • 123. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 124.
        • Qual a vulnerabilidade utilizada exatamente?
        • 125. Houve a utilização de algum malware ? Se sim, diga seu nome.
        • 126. Trata-se de um ataque manual ou automatizado?
      Perguntas Estudo de Caso 2
    • 127.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 128. Quanto tempo durou o ataque?
        • 129. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 130. Quais os sistemas envolvidos? Estudo de Caso 2
    • 131.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 132. Quanto tempo durou o ataque?
        • 133. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 134. Que informações você encontrou sobre o host atacante? Trata-se de um computador pertencente ao bloco de endereços ip alocado à empresa Verizon Internet Services Inc. (http://www.verizon.net) Segundo o órgão responsável pela alocação de endereços ip na américa do norte (ARIN - https://ws.arin.net/whois): OrgName: Verizon Internet Services Inc. OrgID: VRIS Address: 1880 Campus Commons Dr City: Reston StateProv: VA PostalCode: 20191 Country: US NetRange: 98.108.0.0 - 98.119.255.255 CIDR: 98.108.0.0/14, 98.112.0.0/13 Estudo de Caso 2
    • 135.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 136. Quanto tempo durou o ataque?
        • 137. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 138. Quantas sessões TCP foram encontradas no log ? Uma vez que o envio de pacotes contendo a flag SYN não constitui estabelecimento de conexão, percebe-se a necessidade de adoção de outra forma de julgamento para determinar a existência de handshakes completos. Utlizando os filtros &quot;tcp.flags == 0x02&quot; (SYN), &quot;tcp.flags == 0x11&quot; (FIN/ACK) e &quot;tcp.flags == 0x12&quot; (SYN/ACK) podemos acompanhar a evolução dos estados da comunicação. Embora apenas 4 conexões tenham sido finalizadas com pacotes FIN, existiu uma quinta conexão que foi encerrada através de um sinal RST após os estados iniciais de estabelecimento da conexão. Logo, concluímos que existiram 5 sessões entre os hosts durante todo o ataque. Estudo de Caso 2
    • 139.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 140. Quanto tempo durou o ataque?
        • 141. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 142. Quanto tempo durou o ataque? Segundo a ferramenta Wireshark, todo o processo durou 16,219218 segundos. . . . Estudo de Caso 2
    • 143.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 144. Quanto tempo durou o ataque?
        • 145. Qual o sistema operacional do host atacado?
      Qual o serviço? Qual a vulnerabilidade?
        • Você pode criar um resumo das atividades realizadas pelo
          • atacante?
      Perguntas Estudo de Caso 2
    • 146. Qual o sistema operacional do host atacado? Qual o serviço? Qual a vulnerabilidade? Sistemas operacionais da família Microsoft Windows esperando por conexões na porta 445. A vulnerabilidade-alvo é uma checagem incorreta de parâmetros no Microsoft Windows LSASS (Local Security Authority Subsystem Service), permitindo que parâmetros extremamente longos fornecidos a um conjunto de funções resulte em corrupção da stack, podendo levar à execução arbitrária de comandos. Estudo de Caso 2
    • 147.
        • Quais os sistemas envolvidos?
        • Que informações você encontrou sobre o host atacante?
        • Quantas sessões TCP foram encontradas no log?
        • 148. Quanto tempo durou o ataque?
        • 149. Qual o sistema operacional do host atacado?
        • 150. Você pode criar um resumo das atividades realizadas
          • pelo atacante?
      Perguntas Estudo de Caso 2
    • 151. Você pode criar um resumo das atividades realizadas pelo atacante? - Estabelece uma conexão na porta 445 para fechá-la em seguida - Acessa o compartilhamento padrão IPC$ através de uma sessão nula (frame 20) - Já conectado, inicia uma requisição para abrir o named pipe lsarpc - Explora a vulnerabilidade CVE-2003-0533 - Acompanhando a conexão iniciada no frame 36, supomos que o shellcode utilizado na exploração abre um terminal na porta 1957 com o programa “ cmd.exe”, aguardando conexões. Estudo de Caso 2
    • 152. Você pode criar um resumo das atividades realizadas pelo atacante? - O atacante conecta e executa os seguintes comandos: - Ao executar as instruções do atacante, percebemos a seguinte conexão ftp iniciada pelo sistema explorado: - Ainda de acordo com a tela ao lado, devemos procurar pela transferência do arquivo na porta 1080 (PORT 192,150,11,111,4,56) Obs: a conta é: ((4 << 8) | 56) Estudo de Caso 2
    • 153. Você pode criar um resumo das atividades realizadas pelo atacante? Estudo de Caso 2
    • 154.
        • Qual a vulnerabilidade utilizada exatamente?
        • 155. Houve a utilização de algum malware ? Se sim, diga seu nome.
        • 156. Trata-se de um ataque manual ou automatizado?
      Perguntas Estudo de Caso 2
    • 157. Qual a vulnerabilidade utilizada exatamente? A vulnerabilidade empregada foi “Microsoft Windows LSASS Buffer Overrun” CVE: CVE-2003-0533 MS Bulletin: MS04-011 A vulnerabilidade reside no parâmetro szDomainName da função não-documentada DsRoleUpgradeDownlevelServer() de NETAPI32.DLL. Caso forneçamos szDomainName grande demais, LSASS.EXE (que provê funcionalidades ao Active Directory) travará. Note que, idealmente, esta funcionalidade só deveria estar disponível ao host local. No entanto, devido a particularidades da API este tipo de checagem não é feito. Também é possível utilizar esta vulnerabilidade para aumento de privilégios localmente. Estudo de Caso 2
    • 158.
        • Qual a vulnerabilidade utilizada exatamente?
        • 159. Houve a utilização de algum malware ? Se sim, diga
          • seu nome.
        • Trata-se de um ataque manual ou automatizado?
      Perguntas Estudo de Caso 2
    • 160. Houve a utilização de algum malware ? Se sim, diga seu nome. Estudo de Caso 2
    • 161.
        • Qual a vulnerabilidade utilizada exatamente?
        • 162. Quais as ações realizadas pelo shellcode ? Se possível, indique
          • sua localização no log .
        • É possível que o host comprometido seja um honeypot ?
          • Porquê?
        • Houve a utilização de algum malware ? Se sim, diga
          • seu nome.
        • Trata-se de um ataque manual ou automatizado?
      Perguntas Estudo de Caso 2
    • 163. Trata-se de um ataque manual ou automatizado? - Todos os passos do ataque listados anteriormente duraram apenas 16 segundos, tempo insuficiente para que uma pessoa cumprisse todas etapas do processo. - Entre os comandos passados via terminal, o atacante pediu que o computador afetado efetuasse conexão com um endereço ip inválido (0.0.0.0). Um erro tão primário dificilmente seria cometido por alguém digitando os comandos. A provável causa do fornecimento deste endereço é a ocorrência de algum erro no momento da obtenção do endereço da interface de rede pelo bot. Estudo de Caso 2
    • 164. Sistema Operacional: Red Hat Linux 6.2 Server com instalação padrão Sintomas: Tráfego anômalo detectado pelo IDS Objetivo: Reconstruir os passos do invasor e analisar o impacto destes no sistema Estudo de Caso 3
    • 165. Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................ . . . . . . 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 [email_address] B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ >> Log do IDS Estudo de Caso 3
    • 166. Copiando dados das partições e fazendo hashes >> Coleta de Informações Estudo de Caso 3
    • 167. Remontar as partições do sistema comprometido como somente leitura Criar uma linha do tempo com o The Coroner's Toolkit >> Coleta de Informações Estudo de Caso 3
    • 168. Analisando a linha do tempo, observamos: >> Reconhecimento e análise de evidências Estudo de Caso 3
    • 169. Recuperar o arquivo deletado no inode 8133 Analisar o arquivo e seu contexto >> Reconhecimento e análise de evidências Estudo de Caso 3
    • 170. Nome de domínio encontrado no arquivo “egg.log” >> Reconhecimento e análise de evidências Estudo de Caso 3
    • 171. Voltando a linha do tempo >> Reconhecimento e análise de evidências Analisando arquivo “inetd” encontrado Estudo de Caso 3
    • 172. Histórico de comandos comprometido Criação de arquivos confirmando rootkit >> Reconhecimento e análise de evidências Estudo de Caso 3
    • 173. Verificando se os arquivos foram modificados >> Reconhecimento e análise de evidências Conteúdo dos arquivos Estudo de Caso 3
    • 174. Mais uma vez, linha do tempo >> Reconhecimento e análise de evidências Continua até aqui Estudo de Caso 3
    • 175. Recuperando arquivo suspeito >> Reconhecimento e análise de evidências O servidor recém-instalado foi executado! Estudo de Caso 3
    • 176. Analisando os arquivos de log >> Reconhecimento e análise de evidências As datas batem? Estudo de Caso 3
    • 177. Recuperando logs apagados >> Reconhecimento e análise de evidências Shell Code encontrado! Estudo de Caso 3
    • 178. Como o invasor conseguiu o acesso? Qual era o propósito do invasor quando invadiu? Como o invasor pretendia manter o acesso à máquina? >> Correlacionamento de Evidências O que aconteceu e em que ordem? O que foi instalado na máquina invadida? >> Reconstrução dos fatos Estudo de Caso 3
    • 179. Fim... Muito Obrigado! Rafael Soares Ferreira [email_address]