Palestra ministrada em 19/11/2017.

1. OctaneLabs W@rpSpeed Project
ComputaçãoForenseemDobra10
Tony Rodrigues
www.octanelabs.net

2. #whoami
• Tony Rodrigues, CISSP, CFCP, Security+
• 20++ anos em TI
– Desenvolvimento
– Contingência
– Segurança de Informações/Computação Forense
• Perito em DFIR
• Fundador e Pesquisador-Chefe do OctaneLabs
• Blog: http://forcomp.blogspot.com

3. #whoami
• Coautor do livro “Tratado de Computação Forense”
da Editora Millenium

4. Fora de TI
 Carioca
 Faixa Preta em Kickboxing e Muay Thai

5. Fora de TI

6. Fora de TI
• Fotógrafo, Mochileiro
• E o mais importante ...

7. Torcedor do Melhor Time
do Mundo !!!

8. Octane Labs

9. OctaneLabs
• O que é OctaneLabs ???
• Time de Pesquisa Open Source em
Computação Forense e Resposta a
Incidentes

10. OctaneLabs
• Objetivos
• Fomentar a pesquisa em
Computação Forense no Brasil
• Promover Projetos Open Source
com foco em Computação Forense
e Investigação Digital
• Ministrar Treinamentos em CF
• Consultoria, Perícia e Investigação
Digital

11. OctaneLabs
• Projetos
• MUFFIN
• Byte Investigator
• DataJuicer
• Jardineiro
• FSJuicer
• OctaCarver
• Phosfosol
• Blitz
• Langoliers
• W@rpSpeed <- Lançando HOJE !

12. We Want YOU ! www.octanelabs.net
@octanelabs

13. Agenda
• Computação Forense
• Os maiores problemas da
Computação Forense
• Projeto W@rpSpeed
– Definição
– Tecnologias
– Fases de Desenvolvimento
• Conclusão

14. Aviso de Isenção de
Responsabilidade
As declarações publicadas aqui são
de minha única e exclusiva iniciativa
e não representam, necessariamente,
opinião, estratégia e posicionamento
do meu empregador.

15. Computação Forense

16. • Determinar o 5W1H através dos vestígios
– Who (Quem fez)
– What (O que foi feito)
– Where (Onde foi feito)
– When (Quando foi feito)
– Why (Por quê ?)
– How (Como foi feito)
Computação Forense

17. • Modelo básico de operação
– Coletar fontes de vestígios
– Analisar
– Reportar
• Fontes de Vestígios
– Mídias
– Tráfego de rede (dumps)
– Memória (dumps)
Computação Forense

18. • Principal etapa da perícia ou
investigação
– Localizar e extrair um vestígio;
– Parsing;
• Correlação !!!
– Principal ferramenta técnica
para unir os pontos !
Análise de vestígios

19. • Análise do vestígio
– Leva em conta o formato do dado
– Dá significado a cada parte do vestígio
– Nem sempre o formato tem documentação
oficial
Parsing

20. • Ex: Parsing do arquivo .lnk
Parsing

21. • Tipos
– Ad Hoc
– Indexado
Parsing

22. • Ad Hoc
– Ferramentas de aplicação imediata
• A ferramenta analisa e emite o resultado
– Algumas tem saída gráfica
• Maioria tem saída em texto
• Ex:
– TZWorks: Prefetch parser, LNK parser, Jump
List parser
– Woanware: EseDbViewer, JumpLister,
Shimcacheparser
Parsing

23. • Indexação
– Operam em duas etapas
• Localizam e realizam o parsing de todos os vestígios
• Cada resultado é salvo para posterior exibição
– Maioria tem saída gráfica
– Resultado pode ser consultado inúmeras vezes
• Ex:
– Encase, FTK, ProDiscover Forensic
– Autopsy
Parsing Indexado

24. • Mídias
– SleuthKit, Autopsy
– Encase
• Rede
– Netwitness Investigator
– Xplico
• Memória
– Volatility
– HBGary Responder
Ferramentas

25. Fatos

26. Os casos só aumentam (1)

27. Os casos só aumentam

28. Os casos só aumentam

29. Maior Conscientização (2)

30. (1) + (2) = ?

31. Maior número de
dispositivos (3)

32. (1) + (2) + (3) = ?

33. As mídias só aumentam (4)

34. As mídias só aumentam (4)

35. As mídias só aumentam (4)

36. As mídias estão mais
baratas (5)

37. (4) + (5) = ???

38. (1) + (2) + (3) + (4) + (5)= ?

39. Por outro lado ... (6)

40. Por outro lado ... (6)

41. (1) + (2) + (3) +
(4) + (5) + (6) = ?

42. • Muitos casos ocorrendo e sendo reportados
• Mídias cada vez maiores e mais baratas
• Cada vez mais dispositivos disponíveis e a
custo acessível
• Baixa disponibilidade de peritos
– Proficiência leva tempo
O que temos até aqui ?

43. Problema 1
Backlog enorme e
crescente

44. Indexação x Performance
(1)
TempodeIndexação
Quantidade de Informação

45. Performance x Custo (2)
Melhor performance ->

46. (1) + (2) = ???

47. Correlação Complicada (3)

48. • Mídias enormes que demandam muito
tempo indexando
• Altíssima demanda de processamento
– Implica custos estratosféricos de laboratório
• Correlação, quando existente, é restrita
– Fornecedores operam em nichos
– Muito complicado, como negócio, manter uma
abordagem tão ampla
O que temos até aqui ?

49. Problema 2
Recursos de alto custo e
com restrições tecnológicas

50. Aumento na
Complexidade (1)

51. (1)+vários outros = ?

52. • Ataques complexos, anti-forense
– Grande dificuldade com os vestígios
• Pressão dos prazos e backlog
O que temos até aqui ?

53. Problema 3
Investigações prejudicadas
e resultados insuficientes

54. • Problemas com grande impacto e com
tendências de piorar
– Discos continuarão a crescer
– Ataques ficarão cada vez mais complexos
– Prazos nunca serão longos o suficiente
– Cada vez mais dispositivos para alvo e ataques
(lembre-se de IoT)
– Custos dos laboratórios continuarão altos
– Não teremos menos casos
– Formar peritos não ficará mais fácil
Bottom Line

55. Podemos resolver isso ?

56. Apresentando ...

57. • SuperIndexador Forense com Capacidade
de Parsing Distribuída, Multi-correlação e
Análise Assistida
OctaneLabs W@rpSpeed

58. • Conjunto de novas tecnologias forenses
– C.O.R.E
– fLEGIO
– Scalos
– Radar
– TREfayne
– 3Corder
• Objetivo
– Ajudar nos 3 problemas listados
OctaneLabs W@rpSpeed

59. C.O.R.E
• Núcleo da ferramenta de indexação
– Endereça P2
• Responsável por:
– Case Management
– Configurações
– Catálogo de Mídias
– Extratores
– Interfaces

60. C.O.R.E
• Características:
– Multi-imagem Forense
• Incluindo HDs, SSDs e pendrives
– Diferentes formatos de imagens
• AFF, Encase, DD
– Diferentes SOs e Sistemas de arquivos
• Windows, Linux, iOS, Android
– Dumps de memória
– Dumps de rede

61. fLEGIO
• Indexação Forense Distribuída
– “Legião Forense”
– Endereça diretamente P1 e P2
• Responsável por:
– Agentes-Parsers
– Filas de vestígios
– Controle de Erros
– Armazenamento de resultados
– Coordenação dos processos de indexação

62. fLEGIO
• Características:
– Agentes-Parsers executando nas estações
• Processamento distribuído dos vestígios
• Idle Mode
• Overnight Mode
– Agentes Multiplataformas
• Diferentes SOs, incluindo tablets e smartphones
– Comunicação e processamento protegido
– Direcionamento de carga conforme
capacidade de processamento

63. fLEGIO
• Características:
– Parsers de estruturas de memória, disco e
rede
– Banco de Dados NOSQL
– Controle de Resiliência

64. Scalos
• Tecnologia de aceleração de parsers
– Projeto: Uso de GPUs em Computação
Forense
– Uso de RegExp em GPU !
• CUDA grep Project
– Scalos: Star Trek
– Endereça P1 e P2
• Responsável por:
– Executar em GPU códigos parsers
recomendados

65. Scalos
• Características:
– Implementação de parsers com indicação
para GPU
– Agentes-parsers terão performance superior
– Agentes-parsers com capacidade de
adaptação (com/sem GPU, CUDA ou
OpenCL)

66. RADAR
• Núcleo de Correlação Forense
– Endereça P3
• Responsável por:
– Execução de queries no BD de vestígios
– Correlacionar vestígios
– Alertas de anti-forense e ataques
– Browser nas mídias

67. RADAR
• Características:
– Importação de IoCs e Yara
– Criação de Ingests
– Queries ad-hoc
– Correlação entre mídias diversas, incluindo
dumps de rede e memória
– Alertas baseados em queries

68. TREfayne
• Núcleo de Redes Neurais aplicada à
Computação Forense
– Projeto: Uso de Machine Learning em
Computação Forense
– Star Trek: O Organiano Trefayne “muito
intuitivo”
– Endereça P3
• Responsável por:
– Analisar o caso indexado
– Emitir alertas baseados em IA

69. TREfayne
• Características:
– Redes treinadas em diversos ataques e
técnicas anti-forense
– Alertas especializados
– Acionado pelo RADAR

70. 3Corder
• Carver
– Projeto OctaCarver
– Star Trek: Tricorder
– Endereça P3
• Responsável por:
– Extrair arquivos e conteúdos de mídias “não
mapeadas”

71. 3Corder
• Características:
– Análise de mídias buscando arquivos
– Uso de GPU
– Uso de Hash baseado em setores

72. Diagramas

73. W@rpSpeed
C.O.R.E
+
3Corder
Scalos
RADAR
+
TREfayne
fLEGIO

74. Extratores
C.O.R.E + 3Corder
3Corder
C.O.R.E
Extratores

75. fLEGIO+Scalos
Enumerator
Agente-
Parser
Parsers
Entrada
Agente-Parser
Scalos
Saida
Saver
Doctor
Parsers
NoSQL
Itens

76. RADAR + TREfayne
NoSQL
Extratores
RADAR
TREfayne
Ingests

77. Fases de Desenvolvimento

78. Fases
• Fase 1
– C.O.R.E
• SO Windows
• NTFS
• Extratores de arquivos
• Base: SleuthKit
– fLEGIO
• Estrutura básica dos Agentes-Parsers
• Filas de Entrada e Resultados
• Coordenação dos agentes
• Database
• Parsers básicos

79. Fases
• Fase 1
– Scalos
• Estudo de programação paralela
• CUDA
• OpenCL
– TREfayne
• Estudo dos métodos de treinamento
– RADAR
• Interface de queries
• Estrutura dos Ingests

80. Fases
• Fase 1
– 3Corder
• Mapeamento via hash de setores

81. Fases
• Fase 2
– C.O.R.E
• Dumps de Memória
• FAT e Extn
• Extratores de estruturas de memória
– fLEGIO
• Parsers diversos
• Doctor
• Controle de resiliência dos agentes

82. Fases
• Fase 2
– Scalos
• Identificação dos parsers-Scalos
• Identificação de capacidade (GPU - CUDA ou
OpenCL)
• Implementação dos parsers
– TREfayne
• Treinamento e criação da rede neural
• Processo de submissão dos dados à rede neural

83. Fases
• Fase 2
– RADAR
• Implementação dos Ingests
• Importação de IoC
– 3Corder
• Mapeamento de tipo de arquivo pelo setor
• Algoritmo tradicional de carving

84. Fases
• Fase 3
– C.O.R.E
• Dumps de Rede
• MacOS e sistemas de arquivos de Smartphones
• Extratores de estruturas de rede
– fLEGIO
• Parsers diversos
• Parsers adaptados à carga
• Parsers em modo overnight e idle

85. Fases
• Fase 3
– Scalos
• Continuar na implementação de novos parsers
– TREfayne
• Interfaces

86. Fases
• Fase 3
– RADAR
• Implementação dos Ingests
• Importação de Yara
– 3Corder
• Uso de programação paralela
• Algoritmos de validação

87. Concluindo
• Os problemas narrados são reais e
continuarão a acontecer
• W@arpSpeed tem condições de
endereçar cada um dos problemas
• É o mais audacioso projeto de
Computação Forense da atualidade !
– Não fique de fora !

88. References
• OctaneLabs
– http://www.octanelabs.net
• Moonsols (Dumpit, Win32dd)
– http://www.moonsols.com/
• Mandiant (Red Line, Memoryze)
– http://www.mandiant.com/
• HBGary (Responder Community Edition)
– http://www.hbgary.com/
• Volatility
– https://www.volatilesystems.com/default/volatility/
• Xplico
– https://www.xplico.org/
• NetWitness
– https://community.rsa.com/thread/188114

89. References
• http://www.forensicswiki.org/wiki/Forensics_on_GPUs
• http://bkase.github.io/CUDA-grep/finalreport.html
• http://yararules.com/
• https://en.wikipedia.org/wiki/Indicator_of_compromise
• http://simson.net/ref/2015/2015-08-10_hashcarving.pdf
• http://simson.net/ref/2014/2014-02-
21_RPI_Forensics_Innovation.pdf

90. Thanks to
• Agradecimentos do OctaneLabs
– Aos amigos Capivaras ;)
– Demais organizadores da BHack

91. Readings
http://forcomp.blogspot.com

92. Perguntas !

93. Obrigado !
inv.forense arroba gmail
ponto com
@octanelabs
( Tony Rodr i gues)