Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Volatility Framework
para Análise Forense
Maurício Harley
https://linkedin.com/in/mauricioharley/
Fevereiro de 2017
https://linkedin.com/in/mauricioharley/
Agenda
• Motivação;
• A Necessidade da Investigação Forense;
• Breve Histórico da ...
https://linkedin.com/in/mauricioharley/
Mini-CV
• MBA em Gerenciamento de Projetos de TI;
• Bacharel em Engenharia Elétric...
Motivação 4
https://linkedin.com/in/mauricioharley/
Motivação
Todos (ou quase todos) nós somos digitais.
5
https://linkedin.com/in/mauricioharley/Fonte: www.internetlivestats.com
6
https://linkedin.com/in/mauricioharley/
Motivação (cont.)
O uso de smartphones cresce exponencialmente.
7
https://linkedin.com/in/mauricioharley/Fonte: www.statista.com
Qtde. Vendas Telefones Convencionais x Smartphones
8
https://linkedin.com/in/mauricioharley/
Motivação (cont.)
Computadores são usados para rotinas diversas, benignas ou não,
...
https://linkedin.com/in/mauricioharley/Fonte: www.uol.com.br
10
https://linkedin.com/in/mauricioharley/
Motivação (cont.)
A quantidade do conteúdo gerado por esses dispositivos é espanto...
https://linkedin.com/in/mauricioharley/
Motivação (cont.) 12
https://linkedin.com/in/mauricioharley/
Motivação (cont.)
Internet das Coisas
13
https://linkedin.com/in/mauricioharley/
14
https://linkedin.com/in/mauricioharley/
Motivação (cont.)
A demanda por memória RAM também só cresce.
15
https://linkedin.com/in/mauricioharley/Fonte: techtalk.pcpitstop.com
16
A Necessidade da
Investigação Forense 17
https://linkedin.com/in/mauricioharley/
A Necessidade da Investigação Forense
• Dados e Informações são alguns dos ativos ...
https://linkedin.com/in/mauricioharley/
A necessidade da Investigação Forense
(cont.) 19
https://linkedin.com/in/mauricioharley/
A Necessidade da Investigação Forense
(cont.) 20
Breve Histórico da
Análise Forense 21
https://linkedin.com/in/mauricioharley/
Breve Histórico da Análise Forense
• Primeiros vestígios datam do século XIII na C...
https://linkedin.com/in/mauricioharley/
Breve Histórico da Análise Forense (cont.)
“Forense Computacional compreende a aqu...
A Forense em Memória 24
https://linkedin.com/in/mauricioharley/
A Forense em Memória
• Malwares deixam rastros, seja no disco rígido, seja na memó...
https://linkedin.com/in/mauricioharley/
A Forense em Memória (cont.)
• Ao invés do que pode acontecer com a memória persis...
Volatility Framework 27
https://linkedin.com/in/mauricioharley/
Volatility Framework
• Projeto open source para facilitar a inspeção de amostras d...
https://linkedin.com/in/mauricioharley/
Volatility Framework (cont.)
• Possui uma vasta gama de plug-ins, e sozinho ou com...
https://linkedin.com/in/mauricioharley/
Volatility Framework (cont.)
• A versão mais recente quando da criação desta apres...
Demonstração 31
Dicas Finais 32
https://linkedin.com/in/mauricioharley/
Dicas Finais
• Excelente livro sobre fundamentos de
arquitetura de computadores,
f...
https://linkedin.com/in/mauricioharley/
Dicas Finais (cont.)
• The Volatility Foundation
http://www.volatilityfoundation.o...
35
Muito Obrigado!
Maurício Harley
https://linkedin.com/in/mauricioharley/
Upcoming SlideShare
Loading in …5
×

Volatility Framework como Ferramenta de Análise Forense

190 views

Published on

Uma introdução à análise forense com motivação, histórico, notícias recentes de invasões de sistemas e uma demonstração prática do Volatility Framework em ambiente controlado. A apresentação finaliza com algumas dicas de leitura posterior complementar.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Volatility Framework como Ferramenta de Análise Forense

  1. 1. Volatility Framework para Análise Forense Maurício Harley https://linkedin.com/in/mauricioharley/ Fevereiro de 2017
  2. 2. https://linkedin.com/in/mauricioharley/ Agenda • Motivação; • A Necessidade da Investigação Forense; • Breve Histórico da Análise Forense; • A Forense em Memória; • Volatility Framework; • Demonstração; • Dicas Finais. 2
  3. 3. https://linkedin.com/in/mauricioharley/ Mini-CV • MBA em Gerenciamento de Projetos de TI; • Bacharel em Engenharia Elétrica; • Tecnólogo em Telemática; • 2x CCIE (Routing & Switching, Service Provider), VCIX-NV (NSX); • CISSP, MCSE Private Cloud, VCP6-DCV, ITILv3; • Ex-membro do Cisco Data Center Tiger Team; • Colaborador da PenTest Magazine; • Mais de 20 anos de experiência em TI; • Palestrante de temas diversos em Tecnologia da Informação. 3
  4. 4. Motivação 4
  5. 5. https://linkedin.com/in/mauricioharley/ Motivação Todos (ou quase todos) nós somos digitais. 5
  6. 6. https://linkedin.com/in/mauricioharley/Fonte: www.internetlivestats.com 6
  7. 7. https://linkedin.com/in/mauricioharley/ Motivação (cont.) O uso de smartphones cresce exponencialmente. 7
  8. 8. https://linkedin.com/in/mauricioharley/Fonte: www.statista.com Qtde. Vendas Telefones Convencionais x Smartphones 8
  9. 9. https://linkedin.com/in/mauricioharley/ Motivação (cont.) Computadores são usados para rotinas diversas, benignas ou não, tais como: educação, comércio eletrônico, comunicação entre empresas, mas também para criação e disseminação de código malicioso, espionagem, recrutamento de terroristas. 9
  10. 10. https://linkedin.com/in/mauricioharley/Fonte: www.uol.com.br 10
  11. 11. https://linkedin.com/in/mauricioharley/ Motivação (cont.) A quantidade do conteúdo gerado por esses dispositivos é espantosa! 11
  12. 12. https://linkedin.com/in/mauricioharley/ Motivação (cont.) 12
  13. 13. https://linkedin.com/in/mauricioharley/ Motivação (cont.) Internet das Coisas 13
  14. 14. https://linkedin.com/in/mauricioharley/ 14
  15. 15. https://linkedin.com/in/mauricioharley/ Motivação (cont.) A demanda por memória RAM também só cresce. 15
  16. 16. https://linkedin.com/in/mauricioharley/Fonte: techtalk.pcpitstop.com 16
  17. 17. A Necessidade da Investigação Forense 17
  18. 18. https://linkedin.com/in/mauricioharley/ A Necessidade da Investigação Forense • Dados e Informações são alguns dos ativos mais importantes nos dias atuais; • Dispositivos (computadores, tablets, smartphones) possuem capacidades crescentes de armazenamento; • Nem todas as empresas dispõem de políticas e controles efetivos de criptografia de dados; • Muitas empresas não sabem do que se trata MDM (Mobile Device Management); • BYOD (Bring Your Own Device). 18
  19. 19. https://linkedin.com/in/mauricioharley/ A necessidade da Investigação Forense (cont.) 19
  20. 20. https://linkedin.com/in/mauricioharley/ A Necessidade da Investigação Forense (cont.) 20
  21. 21. Breve Histórico da Análise Forense 21
  22. 22. https://linkedin.com/in/mauricioharley/ Breve Histórico da Análise Forense • Primeiros vestígios datam do século XIII na China; • Investigações de mortes com causas questionáveis; • Medicina Legal; • No século XVII, foi usada para ressaltar as diferenças entre suicídios e assassinatos; • Novos progressos foram feitos no século XIX, mas ainda com cunho médico, com o intuito de descobrir causas de mortes; • Sherlock Holmes; • O século XX viu a criação do laboratório especializado do FBI, a identificação de indivíduos por impressões digitais e a unicidade do DNA. 22
  23. 23. https://linkedin.com/in/mauricioharley/ Breve Histórico da Análise Forense (cont.) “Forense Computacional compreende a aquisição, preservação, identificação, extração, restauração, análise e documentação de evidências computacionais, quer sejam componentes físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais.” Warren G. Kruse II & Jay G. Heiser “Preservação, identificação, coleta, interpretação e documentação de evidências computacionais, incluindo as regras de evidência, processo legal, integridade da evidência, relatório factual da evidência e provisão de opinião de especialista em uma corte judicial ou outro tipo de processo administrativo e/ou legal com relação ao que foi encontrado”. Steve Hailey, do Cybersecurity Institute 23
  24. 24. A Forense em Memória 24
  25. 25. https://linkedin.com/in/mauricioharley/ A Forense em Memória • Malwares deixam rastros, seja no disco rígido, seja na memória RAM; • Ferramentas específicas conseguem coletar completamente a memória RAM sem alteração em seu conteúdo → mais rápido que a cópia de um HD, mesmo que SSD. • Magnet RAM Capture; • FireEye Redline; • SANS SIFT (SANS Investigative Forensics Toolkit). • Pelo próprio tamanho do material coletado, pode ser mais rápido encontrar a evidência do que em HD; • Normalmente, o conteúdo em memória não se encontra criptografado, ao contrário do que se pode ter em armazenamento secundário (HD, SSD). 25
  26. 26. https://linkedin.com/in/mauricioharley/ A Forense em Memória (cont.) • Ao invés do que pode acontecer com a memória persistente (HD), a análise de uma amostra de RAM pode requerer conhecimento apurado sobre o sistema operacional; • Pode ser necessário entender de que forma operam as syscalls e como o kernel interage como os processos em nível de usuário; • Linux, Windows e macOS possuem suas particularidades; • Importante atentar para “itens adicionais”: memória virtual (paginação/swapping) e memória compartilhada; • Reentrância de código pode ser considerada quando explorando a amostra com editores hexadecimais ou debuggers (OllyDbg, WinDbg, IDA). 26
  27. 27. Volatility Framework 27
  28. 28. https://linkedin.com/in/mauricioharley/ Volatility Framework • Projeto open source para facilitar a inspeção de amostras de memória RAM; • Além do código-fonte, está disponível como binário para Linux, Windows e macOS; • O código-fonte pode ser usado como repositório de módulos Python para construção de scripts personalizados. • Para mais detalhes, veja o meu artigo em: https://www.linkedin.com/pulse/using-volatility-framework-build-python- forensics-code-harley-mba; 28
  29. 29. https://linkedin.com/in/mauricioharley/ Volatility Framework (cont.) • Possui uma vasta gama de plug-ins, e sozinho ou com o auxílio destes, consegue extrair informações importantes, como: • Listas de processos; • Rastros de malwares; • Conexões IP (ativas ou finalizadas); • Payloads. • Códigos-fonte dos plug-ins também estão disponíveis; • O Volatility é acompanhado de vários perfis de sistemas operacionais para ajudar na análise e detecção. 29
  30. 30. https://linkedin.com/in/mauricioharley/ Volatility Framework (cont.) • A versão mais recente quando da criação desta apresentação (2.6) possuía perfis atualizados com as últimas versões de sistemas operacionais disponíveis. • Detalhes em https://github.com/volatilityfoundation/volatility/wiki/2.6- Win-Profiles. • Algumas técnicas de contra-análise forense podem ser efetivas, mas as novas versões da ferramenta têm reduzido isso; • Versões mais recentes do Windows não permitem a leitura da memória inteira em espaço de usuário, mas as ferramentas de coleta já conseguem executar em modo kernel. 30
  31. 31. Demonstração 31
  32. 32. Dicas Finais 32
  33. 33. https://linkedin.com/in/mauricioharley/ Dicas Finais • Excelente livro sobre fundamentos de arquitetura de computadores, funcionamento da memória e kernel de alguns sistemas operacionais; • Usa o Volatility para alguns exemplos; • https://www.amazon.com.br/Art- Memory-Forensics-Detecting- Malware/dp/1118825098 33
  34. 34. https://linkedin.com/in/mauricioharley/ Dicas Finais (cont.) • The Volatility Foundation http://www.volatilityfoundation.org/ • Memory Forensics Summary http://resources.infosecinstitute.com/memory-forensics/#gref • Memory Forensics Cheat Sheet https://digital-forensics.sans.org/media/memory-forensics-cheat-sheet.pdf • Automatic malicious code extraction using Volatility Framework https://www.virusbulletin.com/uploads/pdf/conference_slides/2015/Korman-VB2015.pdf • Rekall http://www.rekall-forensic.com/ 34
  35. 35. 35 Muito Obrigado! Maurício Harley https://linkedin.com/in/mauricioharley/

×