Forense Remota utilizando ferramentas Open Source

1.394 visualizações

Publicada em

Apresentacao no II Congresso de Computacao Forense realizado pela Universidade Presbiteriana Mackenzie.
Profissionais envolvidos no estudo de caso
Julio Cesar R. Benatto
Jose Francci Netto

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.394
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
76
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Forense Remota utilizando ferramentas Open Source

  1. 1. José Francci Neto Júlio César R. Benatto
  2. 2. AGENDA - Introdução - Forense Computacional Preparação Aquisição Análise Relatórios - Estudo de Caso - Cenário Engage the Target Mestasploit Aquisição remota Passo a passo Comandos Enumerando drivers Bloqueador de escrita Mapeando drive remotamente Montando drive / Bloqueador de escrita Realizando aquisição remota Análise da imagem coletada Comparação / Conversão - Conclusão - Open Source x Software Pago
  3. 3. Forense Computacional Processo Macro. PREPARAÇÃO > AQUISIÇÃO > ANÁLISE Atividade suspeita > RELATÓRIO
  4. 4. O que é necessário para execução da atividade • Pessoas; • Processos; • Infra. Preparação
  5. 5. Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise. • Criação de imagem forense; • 1 source > 2 targets • Bloqueador de escrita; • Geração hash; • Cadeia de custódia; • Ata notarial.
  6. 6. Análise Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado. Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table). Download – É possível determinar arquivos que o usuário tenha feito download. Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas. Execução de programas – Pode-se determinar programas executados no ambiente em análise. Uso de dispositivos móveis – É possível determinar dispositivos móveis conectados no computados analisado.
  7. 7. Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial. • Resposta aos quesitos; • Análise imparcial; • Remontar os passos adotados durante a análise; • Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial • Conclusivo e sem opiniões.
  8. 8. Aquisição remota através metasploit. Estudo de Caso
  9. 9. Cenário • Kali Linux • Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client • Mount • dcfldd • Autopsy • Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08
  10. 10. Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades
  11. 11. METASPLOIT Framework para Pentest Desenvolvido em ruby Constante atualização Ambiente de pesquisa para exploração de vulnerabilidades • Forense • • • •
  12. 12. Aquisição Remota Metodologia Forense utilizando Software Livre
  13. 13. Passo a passo psexec > use exploit/windows/smb/psexec
  14. 14. Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp
  15. 15. Comandos SESSION Background Session 1...
  16. 16. Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives
  17. 17. Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver
  18. 18. Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1
  19. 19. Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio
  20. 20. Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5
  21. 21. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  22. 22. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  23. 23. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  24. 24. Comparação/Conversão FTK IMAGER www.accessdata.com
  25. 25. Comparação/Conversão ENCASE V7.08 www.guidance.com
  26. 26. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  27. 27. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  28. 28. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  29. 29. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  30. 30. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  31. 31. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  32. 32. Open Source x Software Pago Aprendizado x Tempo x Facilidade de uso x Cenário
  33. 33. Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/ Próximos passos...
  34. 34. José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187 Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740 Muito Obrigado!

×