O documento apresenta um estudo de caso sobre aquisição remota forense de uma máquina Windows através do framework Metasploit no Kali Linux. O caso descreve os passos de preparação, aquisição através do PSExec, enumeração de drives, bloqueio de escrita, mapeamento de drive remoto, montagem, aquisição com dcfldd, análise da imagem com Autopsy e comparação com softwares comerciais.

1. José Francci Neto
Júlio César R. Benatto

2. AGENDA
- Introdução
-
Forense Computacional
Preparação
Aquisição
Análise
Relatórios
- Estudo de Caso
-
Cenário
Engage the Target
Mestasploit
Aquisição remota
Passo a passo
Comandos
Enumerando drivers
Bloqueador de escrita
Mapeando drive remotamente
Montando drive / Bloqueador de escrita
Realizando aquisição remota
Análise da imagem coletada
Comparação / Conversão
- Conclusão
-
Open Source x Software Pago

3. Forense Computacional
Processo Macro.
PREPARAÇÃO > AQUISIÇÃO > ANÁLISE
Atividade
suspeita
> RELATÓRIO

4. O que é necessário para execução da atividade
• Pessoas;
• Processos;
• Infra.
Preparação

5. Aquisição
Realizar uma cópia bit a bit da origem que será submetida à análise.
• Criação de imagem forense;
• 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.

6. Análise
Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do
computador ou sistema investigado.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.

7. Relatórios
Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.
• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a
análise;
• Linguagem de adequada ao interlocutor;
• Relatório técnico
• Laudo pericial
• Conclusivo e sem opiniões.

8. Aquisição remota através metasploit.
Estudo de Caso

9. Cenário
• Kali Linux
• Metasploit
• Psexec
• EnunDrives
• NBD-Server
• NBD-Client
• Mount
• dcfldd
• Autopsy
• Windows XP SP3
• Equipe de TI (empresa)
• FTK Imager
• EnCase V7.08

10. Engage the Target
Windows
Credenciais Administrativas Válidas
Sem Exploração de Vulnerabilidades

11. METASPLOIT
Framework para Pentest
Desenvolvido em ruby
Constante atualização
Ambiente de pesquisa para
exploração de vulnerabilidades
• Forense
•
•
•
•

12. Aquisição Remota
Metodologia Forense utilizando Software Livre

13. Passo a passo
psexec
> use exploit/windows/smb/psexec

14. Comandos
PAYLOAD
> set PAYLOAD /windows/meterpreter/reverse_tcp

15. Comandos
SESSION
Background Session 1...

16. Enumerando os Drives
enum_drives
> use post/windows/gather/forensics/enum_drives

17. Bloqueador de Escrita
nbdserver
> use post/windows/gather/forensics/nbdserver

18. Mapeando Drive Remotamente
nbd-client
:~# nbd-client localhost 10005 /dev/nbd0p1

19. Montando Drive/Bloqueador de Escrita
mount
:~#mount -r /dev/nbd0p1 /diretorio

20. Realizando Aquisição Remota
dcfldd (dcfldd.sourceforge.net)
:~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5

21. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

22. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

23. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

24. Comparação/Conversão
FTK IMAGER
www.accessdata.com

25. Comparação/Conversão
ENCASE V7.08
www.guidance.com

26. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

27. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

28. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

29. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

30. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

31. Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

32. Open Source x Software Pago
Aprendizado
x
Tempo
x
Facilidade de uso
x
Cenário

33. Aquisição remota de Memória RAM
DumpIt
http://www.moonsols.com/windows-memory-toolkit/
Próximos passos...

34. José Francci Neto
neto@francci.net
http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto
jcbenatto@gmail.com
http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740
Muito Obrigado!