1) O documento discute análise forense computacional, incluindo definições, objetivos, casos conhecidos e desafios da área. 2) As etapas do processo investigativo são descritas, como aquisição, preservação, identificação, extração e análise de evidências digitais. 3) Vários tipos de mídias e sistemas de arquivos são explicados, assim como a importância da coleta e duplicação de evidências digitais de forma a preservar a cadeia de custódia.

1. - www.clavis.com.br -

2. Análise Forense Computacional Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias Clavis Segurança da Informação [email_address]

4. Fraudes contra o governo

5. Fraudes contra o usuário

6. Primeiro Caso Noticiado (Minneapolis Tribune, 18 de outubro de 1966): "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO" >> Breve Histórico

7. Introdução “ Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir dados ou o que aconteceu no passado em um sistema” (Dan Farmer e Wietse Venema – Computer Forensics Analysis Class Handouts) “ A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade” (Manual de Patologia Forense do Colégio de Patologistas Americanos) >> Definição

9. Como?

10. Porque?

11. Onde? >> Objetivos

14. Roubo de Dados e/ou Negação de Serviço

15. E­mails falsos (Phishing Scam, Difamação, Ameaças)

16. Transações bancárias (Internet Banking)

17. Disseminação de Pragas Vituais, Pirataria e Pedofilia

18. Crimes comuns com evidências em mídias digitais

19. Etc etc etc... >> Motivação

26. Processo Investigativo • Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial • Restrição na área de busca para não violar a privacidade de inocentes • Aderência com a Política de Segurança local >> Metodologia

27. Processo Investigativo • Aquisição • Preservação • Identificação • Extração • Recuperação • Análise • Apresentação (documentação / Laudo Pericial) >> Metodologia

28. Processo Investigativo • Inexistência de Normas e Leis • Cooperação internacional • Aumento do número de crimes cibernéticos • Aumento na capacidade de armazenamento • Novas técnicas (criptografia/anti-forense) >> Desafios

29. Processo Investigativo • Quais procedimentos e/ou ferramentas podem ser utilizados legalmente? • Obrigações dos provedores e usuários • Logs de acesso e dados cadastrais (Cyber-cafés e Lan-Houses) >> Aspectos Legais

30. Processo Investigativo • Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica • É fundamental ao perito a compreensão do Código de Processo Penal - "Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral”. >> Aspectos Legais

31. Processo Investigativo • Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas“. • Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". >> Aspectos Legais

32. Processo Investigativo • Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal): – “ ...os peritos guardarão material suficiente para a eventualidade de nova perícia...” (do Código de Processo Penal - Artigo 170) – Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura. >> Aspectos Legais

33. Processo Investigativo “ Todo contato deixa vestígio” Edmond Locard >> Tratamento de Evidências

35. Processo Investigativo Aquisição - O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: Câmeras digitais, óculos/relógios/pulseiras >> Tratamento de Evidências

36. Processo Investigativo Interfaces externas auxiliam no processo de aquisição: Exemplo: IDE/SATA para USB >> Tratamento de Evidências

37. Processo Investigativo É recomendado o uso de bloqueadores de escrita ( “Write Blockers” ) para aquisição a partir das mídias originais. >> Tratamento de Evidências

38. Processo Investigativo Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias. >> Tratamento de Evidências

39. Processo Investigativo Aquisição Remota • Mídias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes) • Uso da rede para envio de dados • Estação pericial remota • Essencial o uso de Criptografia • Principal Dificuldade: Atestar integridade dos dados >> Tratamento de Evidências

41. Backups em provedores de conteúdo

42. Servidores corporativos externos

43. Datacenters internacionais >> Tratamento de Evidências

44. Processo Investigativo Preservação • A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real. • Impedir alteração da mídia original antes e durante os procedimentos de aquisição • Assinaturas hash são utilizadas para garantir a integridade dos dados coletados >> Tratamento de Evidências

45. Processo Investigativo Identificação – Cadeia de Custódia • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) >> Tratamento de Evidências

46. Processo Investigativo Extração/Recuperação • Extração é o processo de retirar as informações disponíveis das mídias • Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. • Em alguns casos a manipulação dos dados poderá ser feita por um perito contratado por advogados que contestaram os laudos >> Tratamento de Evidências

47. Processo Investigativo Análise • Extração de Informações a partir dos dados coletados • Geralmente iniciada pela criação da linha do tempo de atividades >> Tratamento de Evidências

50. Autor(es) do Laudo

51. Resumo do incidente

52. Relação de evidências analisadas e seus detalhes

53. Conclusão

54. Anexos

55. Glossário

56. Metodologia / técnicas / softwares utilizados >> Apresentação de Resultados

57. Mídias e Sistemas de Arquivos Dispositivo mais utilizado para armazenamento de dados Dados gravados em “trilhas” e “setores” de forma magnética Principais Componentes: • Cylinder • Head • Platter >> Discos Rígidos (HDs)

58. Mídias e Sistemas de Arquivos Memória flash do tipo NAND com interface USB Vantagens: • Menor e mais leve • Regravável • Rápido e com alto poder de armazenamento • Não requer fonte externa de energia Principais usos: • Dados Pessoais • Aplicações e Sistemas Operacionais • Players de audio e vídeo >> Memórias Flash

60. Mídias e Sistemas de Arquivos Sistemas de arquivos para Linux: • EXT • EXT2 • EXT3 • EXT4 • ReiserFS • XFS • ZFS >> Particionamento e Abstrações

61. Mídias e Sistemas de Arquivos Sistemas de arquivos para Windows: • FAT • FAT32 • NTFS >> Particionamento e Abstrações

62. Mídias e Sistemas de Arquivos • ISO 9660 (International Organization for Standardization) • Sistema de arquivos para CDs e DVDs • Compatibilidade com diversos sistemas operacionais: Microsoft Windows, Mac OS, e UNIX-like >> Particionamento e Abstrações

64. Memória de periféricos (ex: memória de vídeo)

65. Memória principal do sistema

66. Tráfego de rede (pacotes em trânsito na rede)

67. Estado do sistema operacional

68. Dispositivos de armazenagem secundária

69. Dados, Informações e Evidências • Aquisição de uma imagem de um HD é, em muitos casos, o ponto de partida de uma investigação • A técnica conhecida como "dead analysis" determina que o HD a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o HD íntegro • A imagem deve copiar todos os dados do HD, incluindo as partes não utilizadas >> Coleta

70. Dados, Informações e Evidências O que utilizar ? • Existem várias ferramentas para esta tarefa • A maioria implementa o mesmo formato (raw) • Esse é, literalmente, uma cópia fiel do HD • Formato gerado pela ferramenda dd (padrão) • Entretanto não é o único formato disponível >> Coleta

71. Dados, Informações e Evidências Imagens RAW – Pontos Positivos • Formato facilmente “montável” • Independe de ferramentas específicas • Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) • Disponível em utilitários tanto para Linux quanto para Windows >> Coleta

72. Dados, Informações e Evidências >> Coleta Imagens RAW – Pontos Negativos • Arquivos muito grandes e sem suporte a compactação • Não é possível adicionar dados da investigação ao arquivo raw • Não monta facilmente se estiver dividido • Algumas operações são mais lentas devido ao grande tamanho

73. Dados, Informações e Evidências Outros Tipos de Imagens: • Expert Witness (E01) Propietário do Encase Permite compactação (sem perda) • Advanced Forensic Format (AFF) Tentativa de padronização Usa compactação e tratamento de erros Em fase de testes >> Coleta

74. Dados, Informações e Evidências • Plano de contingência para eventuais erros causados por algum procedimento da análise • Recomeda-se o uso de pelo menos duas cópias >> Duplicação e Preservação

75. Dados, Informações e Evidências • Principal ferramenta “dd” • Cópia bit-stream • Faz cópia de qualquer dispositivo que possa ser montado e acessado no Linux • Outras ferramentas podem ler e analisar arquivos gerados pelo “dd” Sintaxe: dd if=/*origem* of=/*destino* >> Duplicação e Preservação

76. Dados, Informações e Evidências Cópia remota: Máquina origem • dd if=/dev/hda | netcat IP_destino 1234 Máquina destino • netcat -l -p 1234 > imagem.dd >> Duplicação e Preservação

77. Dados, Informações e Evidências • Remoção de arquivo é uma abstração do FS • Dados permanecem intactos até serem sobrescritos • Taxa de utilização do disco não é uniforme >> Recuperação de Arquivos

78. Tráfego de Rede • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados >> Análise do Tráfego de Rede

79. Tráfego de Rede • Pacotes contendo comandos, saídas de comandos e códigos de NOP’s; • Flood de pacotes para um determinado serviço ou máquina >> Análise do Tráfego de Rede

80. Tráfego de Rede Requisições HTTP suspeitas: • Mesma URL em várias requisições • URL’s contendo referências a comandos >> Análise do Tráfego de Rede

81. Tráfego de Rede • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) >> Análise do Tráfego de Rede

82. Tráfego de Rede Tcpdump • Ferramenta tradicional de captura de tráfego • Aceita filtros por expressões • Biblioteca padrão para captura de tráfego: libpcap s capturados >> Análise do Tráfego de Rede

83. Tráfego de Rede Wireshark • Mais completo dos analisadores de tráfego • Possibilita remontar uma sessão • Estrutura em árvore • Possibilidade de criação de filtros >> Análise do Tráfego de Rede

84. Esteganografia >> Definição Conjunto de princípios e técnicas empregadas para esconder uma mensagem dentro de outra. Pode ser aplicada em: Textos Imagens Áudios Vídeos

85. >> Exemplo simples - Imagem A imagem ao lado apresenta 3 valores RGB diferentes: (0, 0, 0) - Preto (255, 255, 255) - Branco (255, 255, 254) – Branco (?!?!) Esteganografia

86. Substituindo o “pseudo-branco” por roxo é possível ver o desenho de um urso, como visto ao lado: Esteganografia >> Exemplo simples - Imagem

87. Como Luiz Antônio vai invadir a Suécia ?!?! Esteganografia >> Exemplo simples - Texto

88. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Esteganografia >> Exemplo simples - Texto

89. Como Luiz Antônio vai invadir a Suécia ?!?! C omo L uiz A ntônio v ai i nvadir a S uécia ?!?! Mensagem escondida: CLAVIS Esteganografia >> Exemplo simples - Texto

90. JP Hide-&-Seek (JPHS) Esteganografia >> Exemplo - Imagem

91. Análise de Artefatos • Análise de um código malicioso para descoberta de suas funcionalidades • Tipos de análise: Estática – Engenharia Reversa – Disassemblers Dinâmica – Comportamental – Debuggers >> Tipos e Objetivo

92. Análise de Artefatos • Execução do Malware dentro de um ambiente controlado • Análise comparativa do sistema • É finalizada quando o Malware termina sua execução ou entra em execução estacionária • Ferramenta: OllyDBG, GDB ... >> Análise Dinâmica

93. Análise de Artefatos • Leitura do código • “ Descompilação” • Uso de disassemblers • Elevado conhecimento de linguagens de baixo nível • Tempo dedicado e paciência >> Análise Estática

94. Análise de Artefatos • Máquina isolada ou máquina virtual (Sandbox) • Acesso à rede seja praticamente nulo (host-only) • Sistemas operacionais distintos • Dificultar comprometimento da máquina host • Uso de snapshots >> Técnicas de Confinamento

95. Ferramentas >> Ferramentas Nativas - UNIX • strings – Extrai mensagens de texto de arquivos ou dispositivos • grep – Procura por padrões em arquivos – Utilizado como filtro por vários comandos no Linux • file – Identifica o tipo de arquivo

96. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Conexões TCP # netstat –natp | tee conexoes.tcp – Conexões UDP # netstat –naup | tee conexoes.udp – Processos em Execução # ps aux | tee processos

97. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Tráfego para determinado endereço: # tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump – Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos

98. Ferramentas >> Ferramentas Nativas - UNIX • Coleta de informações voláteis – Informações sobre porta específica (TCP) # fuser –v <porta>/tcp > porta.tcp – Informações sobre porta específica (UDP) # fuser –v <porta>/udp > porta.udp – Módulos Ativos # lsmod | tee –a modulos.info # cat /proc/modules | tee –a modulos.info

99. Ferramentas >> Ferramentas Nativas - UNIX Perícia com Estação Pericial Remota - Netcat (nc) • Recebimento de dados da máquina periciada: # nc –l –p <porta> | tee <arquivo> • Envio de informações para a máquina remota: # cat <arquivo> | nc <máquina remota> <porta remota>

100. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial – dd • Geração da Imagem: # dd if=/dev/hda1 of=imagem.dd • Montando uma imagem: # mount <imagem> <destino> -o ro,loop

101. Ferramentas >> Ferramentas Nativas - UNIX Geração de Imagem Pericial Remotamente - dd + ssh • Gerando uma Imagem de forma segura (criptografia): # dd if=/dev/hdb2 | ssh user@host dd of=imagem.img

102. Ferramentas >> Ferramentas Nativas - UNIX Identificação da Imagem Pericial • Verificando Imagem (integridade): # dd if=/dev/hda1 | md5sum –b deve ser igual a # dd if=imagem.dd | md5sum –b

103. Ferramentas >> Ferramentas Nativas - UNIX • Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas funcionalidades importantes • O dd_rescue serve para realizar aquisições de mídias com problemas (o dd não é tolerante a erros) • O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e verificação de integridade

104. Ferramentas >> The Coroner's Toolkit (TCT) • Criado por Dan Farmer e Wietse Venema • 6 de agosto de 1999 • IBM T.J. Watson Research Center • Palestra promovida pela IBM: “ UNIX Computer Forensics Analysis”

105. Ferramentas >> The Coroner's Toolkit (TCT) • Coleção de scripts Perl • Ferramentas mais conhecidas: grave­robber: captura de informações ils / mactime: informações sobre acesso a arquivos findkey: recuperação de chaves criptográficas unrm / lazarus: recuperação de arquivos apagados

106. Ferramentas >> The Coroner's Toolkit (TCT) • Uso do TCT em recuperação de dados apagados: unrm + lazarus Visualização via browser Identificação de tipo (provável) de dado recuperado baseado em legenda

107. Ferramentas >> The Coroner's Toolkit (TCT) • Coleta de dados (varredura de áreas “apagadas”) unrm /dev/hdb1 >> imagem.out • Geração de código HTML para análise lazarus -h -D . –H . -w . imagem.out -h cria um documento HTML -D <dir> direciona a escrita de blocos -H <dir> direciona os principais arquivos HTML -w <dir> direciona outras saídas HTML

108. Ferramentas >> The Coroner's Toolkit (TCT) Limitações: • Não reconhece partições NTFS, FAT e EXT3 • Interface Pouco Amigável • Ausência de mecanismo de catalogação de perícias realizadas

109. Ferramentas >> Sleuth Kit • Inicialmente chamado T@SK ­ The @stake Sleuth Kit • Baseado no TCT • Criado por Brian Carrier (2002) • Analisa sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3 • Também criador de ferramentas de otimização baseadas no TCT - TCTUTILS

110. Ferramentas >> The Autopsy Forensic Browser • Interface gráfica (escrita em Perl) para o Sleuth Kit • Baseada em HTML, semelhante a um gerenciador de arquivos • Permite analisar arquivos, diretórios, blocos de dados e i­nodes (alocados ou apagados) • Permite a busca por palavras­chave ou expressões regulares.

111. Ferramentas >> The Autopsy Forensic Browser • Pode ser executado diretamente no sistema comprometido • Possibilita armazenamento de casos para eventual análise posterior • Individualiza os investigadores de um mesmo caso

112. Ferramentas >> The Autopsy Forensic Browser • Iniciado via linha de comando • Acessado via navegador web • Galeria de “Cases” (Case Gallery) • Galeria de “Hosts” (Host Gallery) • Gerenciador de “Hosts” (Host Manager) • Imagem associadas a casos

113. Analisar a imagem recuperada de um disquete e responder as questões propostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? Estudo de Caso 1

114. >> Exame de Conteúdo (File Analysis) Estudo de Caso 1

115. >> Exame de Conteúdo do Arquivo Apagado Estudo de Caso 1

116. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1

117. >> Exame de Conteúdo do Arquivo Scheduled Visits.exe Estudo de Caso 1

118. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1

119. >> Exame de Conteúdo do Arquivo coverpage.jpgc Estudo de Caso 1

122. Quanto tempo durou o ataque?

125. Houve a utilização de algum malware ? Se sim, diga seu nome.

126. Trata-se de um ataque manual ou automatizado? Perguntas Estudo de Caso 2

128. Quanto tempo durou o ataque?

130. Quais os sistemas envolvidos? Estudo de Caso 2

132. Quanto tempo durou o ataque?

134. Que informações você encontrou sobre o host atacante? Trata-se de um computador pertencente ao bloco de endereços ip alocado à empresa Verizon Internet Services Inc. (http://www.verizon.net) Segundo o órgão responsável pela alocação de endereços ip na américa do norte (ARIN - https://ws.arin.net/whois): OrgName: Verizon Internet Services Inc. OrgID: VRIS Address: 1880 Campus Commons Dr City: Reston StateProv: VA PostalCode: 20191 Country: US NetRange: 98.108.0.0 - 98.119.255.255 CIDR: 98.108.0.0/14, 98.112.0.0/13 Estudo de Caso 2

136. Quanto tempo durou o ataque?

138. Quantas sessões TCP foram encontradas no log ? Uma vez que o envio de pacotes contendo a flag SYN não constitui estabelecimento de conexão, percebe-se a necessidade de adoção de outra forma de julgamento para determinar a existência de handshakes completos. Utlizando os filtros &quot;tcp.flags == 0x02&quot; (SYN), &quot;tcp.flags == 0x11&quot; (FIN/ACK) e &quot;tcp.flags == 0x12&quot; (SYN/ACK) podemos acompanhar a evolução dos estados da comunicação. Embora apenas 4 conexões tenham sido finalizadas com pacotes FIN, existiu uma quinta conexão que foi encerrada através de um sinal RST após os estados iniciais de estabelecimento da conexão. Logo, concluímos que existiram 5 sessões entre os hosts durante todo o ataque. Estudo de Caso 2

140. Quanto tempo durou o ataque?

142. Quanto tempo durou o ataque? Segundo a ferramenta Wireshark, todo o processo durou 16,219218 segundos. . . . Estudo de Caso 2

144. Quanto tempo durou o ataque?

146. Qual o sistema operacional do host atacado? Qual o serviço? Qual a vulnerabilidade? Sistemas operacionais da família Microsoft Windows esperando por conexões na porta 445. A vulnerabilidade-alvo é uma checagem incorreta de parâmetros no Microsoft Windows LSASS (Local Security Authority Subsystem Service), permitindo que parâmetros extremamente longos fornecidos a um conjunto de funções resulte em corrupção da stack, podendo levar à execução arbitrária de comandos. Estudo de Caso 2

148. Quanto tempo durou o ataque?

149. Qual o sistema operacional do host atacado?

151. Você pode criar um resumo das atividades realizadas pelo atacante? - Estabelece uma conexão na porta 445 para fechá-la em seguida - Acessa o compartilhamento padrão IPC$ através de uma sessão nula (frame 20) - Já conectado, inicia uma requisição para abrir o named pipe sarpc - Explora a vulnerabilidade CVE-2003-0533 - Acompanhando a conexão iniciada no frame 36, supomos que o shellcode utilizado na exploração abre um terminal na porta 1957 com o programa “ cmd.exe”, aguardando conexões. Estudo de Caso 2

152. Você pode criar um resumo das atividades realizadas pelo atacante? - O atacante conecta e executa os seguintes comandos: - Ao executar as instruções do atacante, percebemos a seguinte conexão ftp iniciada pelo sistema explorado: - Ainda de acordo com a tela ao lado, devemos procurar pela transferência do arquivo na porta 1080 (PORT 192,150,11,111,4,56) Obs: a conta é: ((4 << 8) | 56) Estudo de Caso 2

153. Você pode criar um resumo das atividades realizadas pelo atacante? Estudo de Caso 2

155. Houve a utilização de algum malware ? Se sim, diga seu nome.

156. Trata-se de um ataque manual ou automatizado? Perguntas Estudo de Caso 2

157. Qual a vulnerabilidade utilizada exatamente? A vulnerabilidade empregada foi “Microsoft Windows LSASS Buffer Overrun” CVE: CVE-2003-0533 MS Bulletin: MS04-011 A vulnerabilidade reside no parâmetro szDomainName da função não-documentada DsRoleUpgradeDownlevelServer() de NETAPI32.DLL. Caso forneçamos szDomainName grande demais, LSASS.EXE (que provê funcionalidades ao Active Directory) travará. Note que, idealmente, esta funcionalidade só deveria estar disponível ao host local. No entanto, devido a particularidades da API este tipo de checagem não é feito. Também é possível utilizar esta vulnerabilidade para aumento de privilégios localmente. Estudo de Caso 2

160. Houve a utilização de algum malware ? Se sim, diga seu nome. Estudo de Caso 2

163. Trata-se de um ataque manual ou automatizado? - Todos os passos do ataque listados anteriormente duraram apenas 16 segundos, tempo insuficiente para que uma pessoa cumprisse todas etapas do processo. - Entre os comandos passados via terminal, o atacante pediu que o computador afetado efetuasse conexão com um endereço ip inválido (0.0.0.0). Um erro tão primário dificilmente seria cometido por alguém digitando os comandos. A provável causa do fornecimento deste endereço é a ocorrência de algum erro no momento da obtenção do endereço da interface de rede pelo bot. Estudo de Caso 2

164. Sistema Operacional: Red Hat Linux 6.2 Server com instalação padrão Sintomas: Tráfego anômalo detectado pelo IDS Objetivo: Reconstruir os passos do invasor e analisar o impacto destes no sistema Estudo de Caso 3

165. Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 -> 172.16.1.107:871 11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871 UDP TTL:42 TOS:0x0 ID:16143 Len: 456 3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >............... 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................ . . . . . . 8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 [email_address] B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e 63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream 74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root 2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >> 20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf 3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in 65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t............... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ >> Log do IDS Estudo de Caso 3

166. Copiando dados das partições e fazendo hashes >> Coleta de Informações Estudo de Caso 3

167. Remontar as partições do sistema comprometido como somente leitura Criar uma linha do tempo com o The Coroner's Toolkit >> Coleta de Informações Estudo de Caso 3

168. Analisando a linha do tempo, observamos: >> Reconhecimento e análise de evidências Estudo de Caso 3

169. Recuperar o arquivo deletado no inode 8133 Analisar o arquivo e seu contexto >> Reconhecimento e análise de evidências Estudo de Caso 3

170. Nome de domínio encontrado no arquivo “egg.log” >> Reconhecimento e análise de evidências Estudo de Caso 3

171. Voltando a linha do tempo >> Reconhecimento e análise de evidências Analisando arquivo “inetd” encontrado Estudo de Caso 3

172. Histórico de comandos comprometido Criação de arquivos confirmando rootkit >> Reconhecimento e análise de evidências Estudo de Caso 3

173. Verificando se os arquivos foram modificados >> Reconhecimento e análise de evidências Conteúdo dos arquivos Estudo de Caso 3

174. Mais uma vez, linha do tempo >> Reconhecimento e análise de evidências Continua até aqui Estudo de Caso 3

175. Recuperando arquivo suspeito >> Reconhecimento e análise de evidências O servidor recém-instalado foi executado! Estudo de Caso 3

176. Analisando os arquivos de log >> Reconhecimento e análise de evidências As datas batem? Estudo de Caso 3

177. Recuperando logs apagados >> Reconhecimento e análise de evidências Shell Code encontrado! Estudo de Caso 3

178. Como o invasor conseguiu o acesso? Qual era o propósito do invasor quando invadiu? Como o invasor pretendia manter o acesso à máquina? >> Correlacionamento de Evidências O que aconteceu e em que ordem? O que foi instalado na máquina invadida? >> Reconstrução dos fatos Estudo de Caso 3

179. Fim... Muito Obrigado! Rafael Soares Ferreira [email_address]