Forense Remota utilizando ferramentas Open Source

José Francci Neto
Júlio César R. Benatto

AGENDA

- Introdução
-

Forense Computacional
Preparação
Aquisição
Análise
Relatórios

- Estudo de Caso
-

Cenário
Engage the Target
Mestasploit
Aquisição remota
Passo a passo
Comandos
Enumerando drivers
Bloqueador de escrita
Mapeando drive remotamente
Montando drive / Bloqueador de escrita
Realizando aquisição remota
Análise da imagem coletada
Comparação / Conversão

- Conclusão
-

Open Source x Software Pago

Forense Computacional
Processo Macro.

PREPARAÇÃO > AQUISIÇÃO > ANÁLISE

Atividade
suspeita

> RELATÓRIO

O que é necessário para execução da atividade

• Pessoas;
• Processos;
• Infra.

Preparação

Aquisição

Realizar uma cópia bit a bit da origem que será submetida à análise.

• Criação de imagem forense;
• 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.

Análise

Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do
computador ou sistema investigado.

Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.

Relatórios

Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.

• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a
análise;
• Linguagem de adequada ao interlocutor;
• Relatório técnico
• Laudo pericial
• Conclusivo e sem opiniões.

Aquisição remota através metasploit.

Estudo de Caso

Cenário
• Kali Linux
• Metasploit
• Psexec
• EnunDrives
• NBD-Server
• NBD-Client
• Mount
• dcfldd
• Autopsy
• Windows XP SP3
• Equipe de TI (empresa)
• FTK Imager
• EnCase V7.08

Engage the Target
Windows
Credenciais Administrativas Válidas
Sem Exploração de Vulnerabilidades

METASPLOIT

Framework para Pentest
Desenvolvido em ruby
Constante atualização
Ambiente de pesquisa para
exploração de vulnerabilidades
• Forense
•
•
•
•

Aquisição Remota
Metodologia Forense utilizando Software Livre

Passo a passo
psexec
> use exploit/windows/smb/psexec

Comandos
PAYLOAD
> set PAYLOAD /windows/meterpreter/reverse_tcp

Comandos
SESSION
Background Session 1...

Enumerando os Drives
enum_drives
> use post/windows/gather/forensics/enum_drives

Bloqueador de Escrita
nbdserver
> use post/windows/gather/forensics/nbdserver

Mapeando Drive Remotamente
nbd-client
:~# nbd-client localhost 10005 /dev/nbd0p1

Montando Drive/Bloqueador de Escrita
mount
:~#mount -r /dev/nbd0p1 /diretorio

Realizando Aquisição Remota

dcfldd (dcfldd.sourceforge.net)
:~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5

Análise da Imagem coletada
Autopsy Forensic Browser
www.sleuthkit.org/autopsy

Comparação/Conversão
FTK IMAGER
www.accessdata.com

Comparação/Conversão
ENCASE V7.08
www.guidance.com

Open Source x Software Pago
Aprendizado
x
Tempo
x
Facilidade de uso
x
Cenário

Aquisição remota de Memória RAM
DumpIt
http://www.moonsols.com/windows-memory-toolkit/

Próximos passos...

José Francci Neto
neto@francci.net
http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto
jcbenatto@gmail.com
http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740

Muito Obrigado!

Forense Remota utilizando ferramentas Open Source

Mais conteúdo relacionado

Mais procurados

Semelhante a Forense Remota utilizando ferramentas Open Source

Forense Remota utilizando ferramentas Open Source