José Francci Neto
Júlio César R. Benatto
AGENDA

- Introdução
-

Forense Computacional
Preparação
Aquisição
Análise
Relatórios

- Estudo de Caso
-

Cenário
Engage ...
Forense Computacional
Processo Macro.

PREPARAÇÃO > AQUISIÇÃO > ANÁLISE

Atividade
suspeita

> RELATÓRIO
O que é necessário para execução da atividade

• Pessoas;
• Processos;
• Infra.

Preparação
Aquisição

Realizar uma cópia bit a bit da origem que será submetida à análise.

• Criação de imagem forense;
• 1 source >...
Análise

Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre compo...
Relatórios

Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.

• Resposta aos quesi...
Aquisição remota através metasploit.

Estudo de Caso
Cenário
• Kali Linux
• Metasploit
• Psexec
• EnunDrives
• NBD-Server
• NBD-Client
• Mount
• dcfldd
• Autopsy
• Windows XP ...
Engage the Target
Windows
Credenciais Administrativas Válidas
Sem Exploração de Vulnerabilidades
METASPLOIT

Framework para Pentest
Desenvolvido em ruby
Constante atualização
Ambiente de pesquisa para
exploração de vuln...
Aquisição Remota
Metodologia Forense utilizando Software Livre
Passo a passo
psexec
> use exploit/windows/smb/psexec
Comandos
PAYLOAD
> set PAYLOAD /windows/meterpreter/reverse_tcp
Comandos
SESSION
Background Session 1...
Enumerando os Drives
enum_drives
> use post/windows/gather/forensics/enum_drives
Bloqueador de Escrita
nbdserver
> use post/windows/gather/forensics/nbdserver
Mapeando Drive Remotamente
nbd-client
:~# nbd-client localhost 10005 /dev/nbd0p1
Montando Drive/Bloqueador de Escrita
mount
:~#mount -r /dev/nbd0p1 /diretorio
Realizando Aquisição Remota

dcfldd (dcfldd.sourceforge.net)
:~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd has...
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Comparação/Conversão
FTK IMAGER
www.accessdata.com
Comparação/Conversão
ENCASE V7.08
www.guidance.com
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy
Open Source x Software Pago
Aprendizado
x
Tempo
x
Facilidade de uso
x
Cenário
Aquisição remota de Memória RAM
DumpIt
http://www.moonsols.com/windows-memory-toolkit/

Próximos passos...
José Francci Neto
neto@francci.net
http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto
...
Próximos SlideShares
Carregando em…5
×

Forense Remota utilizando ferramentas Open Source

1.342 visualizações

Publicada em

Apresentacao no II Congresso de Computacao Forense realizado pela Universidade Presbiteriana Mackenzie.
Profissionais envolvidos no estudo de caso
Julio Cesar R. Benatto
Jose Francci Netto

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.342
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
69
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Forense Remota utilizando ferramentas Open Source

  1. 1. José Francci Neto Júlio César R. Benatto
  2. 2. AGENDA - Introdução - Forense Computacional Preparação Aquisição Análise Relatórios - Estudo de Caso - Cenário Engage the Target Mestasploit Aquisição remota Passo a passo Comandos Enumerando drivers Bloqueador de escrita Mapeando drive remotamente Montando drive / Bloqueador de escrita Realizando aquisição remota Análise da imagem coletada Comparação / Conversão - Conclusão - Open Source x Software Pago
  3. 3. Forense Computacional Processo Macro. PREPARAÇÃO > AQUISIÇÃO > ANÁLISE Atividade suspeita > RELATÓRIO
  4. 4. O que é necessário para execução da atividade • Pessoas; • Processos; • Infra. Preparação
  5. 5. Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise. • Criação de imagem forense; • 1 source > 2 targets • Bloqueador de escrita; • Geração hash; • Cadeia de custódia; • Ata notarial.
  6. 6. Análise Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado. Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table). Download – É possível determinar arquivos que o usuário tenha feito download. Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas. Execução de programas – Pode-se determinar programas executados no ambiente em análise. Uso de dispositivos móveis – É possível determinar dispositivos móveis conectados no computados analisado.
  7. 7. Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial. • Resposta aos quesitos; • Análise imparcial; • Remontar os passos adotados durante a análise; • Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial • Conclusivo e sem opiniões.
  8. 8. Aquisição remota através metasploit. Estudo de Caso
  9. 9. Cenário • Kali Linux • Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client • Mount • dcfldd • Autopsy • Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08
  10. 10. Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades
  11. 11. METASPLOIT Framework para Pentest Desenvolvido em ruby Constante atualização Ambiente de pesquisa para exploração de vulnerabilidades • Forense • • • •
  12. 12. Aquisição Remota Metodologia Forense utilizando Software Livre
  13. 13. Passo a passo psexec > use exploit/windows/smb/psexec
  14. 14. Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp
  15. 15. Comandos SESSION Background Session 1...
  16. 16. Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives
  17. 17. Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver
  18. 18. Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1
  19. 19. Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio
  20. 20. Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5
  21. 21. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  22. 22. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  23. 23. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  24. 24. Comparação/Conversão FTK IMAGER www.accessdata.com
  25. 25. Comparação/Conversão ENCASE V7.08 www.guidance.com
  26. 26. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  27. 27. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  28. 28. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  29. 29. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  30. 30. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  31. 31. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  32. 32. Open Source x Software Pago Aprendizado x Tempo x Facilidade de uso x Cenário
  33. 33. Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/ Próximos passos...
  34. 34. José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187 Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740 Muito Obrigado!

×