Weitere ähnliche Inhalte Ähnlich wie Workshop Análise Forense Computacional - Clavis Segurança da Informação && Riosoft (20) Mehr von Clavis Segurança da Informação (20) Workshop Análise Forense Computacional - Clavis Segurança da Informação && Riosoft1. Técnicas e Ferramentas para
Análise Forense Computacional
Rafael Soares Ferreira
Clavis Segurança da Informação
rafael@clavis.com.br
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
2. $ whoami
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• CSO (Clavis & Green Hat)
• Pentester
• Investigador Forense
• Incident Handler
• Hacker Ético (CEHv6 – ecc943687)
• Instrutor e Palestrante
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
3. Agenda
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Técnicas
• Ferramentas
• Exemplos
• Dúvidas
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
4. Início...
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Plano de Investigação
✔ Sintomas
✔ Objetivos
✔ Indicadores de Sucesso
✔ Perguntas a Serem Respondidas
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
5. Coleta de Dados
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Princípio de Locard
• Persistência dos Dados
• “Anômalo”, “Anormal”, “Suspeito”...
• Documentação: O que? Como? Porque?
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
6. Live Analysis
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Processos e Conexões
• Memória RAM
➔ Chaves Criptográficas
➔ Bibliotecas Carregadas
➔ Programas em execução
➔ Strings
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
7. Correlação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Juntos e Misturados!
• Linha do tempo
• Contextualização
• Invasão => Impacto => Evasão
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
8. Tópicos Relacionados
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Análise de Artefatos
• Captura / Análise de Tráfego
• Criptoanálise
• Esteganografia
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
9. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Identificação de rootkits:
chkrootkit
• Dump da memória:
memdump, xwd
• Cópia de mídias:
dd, dcfldd
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
10. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Cópia remota:
nc, ssh
• Configurações da rede:
ifconfig, iwconfig, route, arp, netstat
• Tráfego de rede:
wireshark, xplico, ngrep, tcpxtract
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
11. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Atividade de usuários:
w, who, last, lastlog
• Processos:
ps
• Kernel e módulos:
uname, lsmod
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
12. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Propriedades de arquivos:
stat
• Análise de dados
strings, grep
• Análise de binários suspeitos
nm, ldd, hexdump, objdump
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
13. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Windows
Sysinternals
• Estaganografia
stegdetect, outguess, steghide
•Ferramentas para análise:
Sleuthkit, Autopsy, Foremost
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
14. Exemplos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Arquivo Apagado
• Tráfego de Rede
• Análise de Logs
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
15. Arquivo Apagado
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Autopsy (File Analysis)
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
16. Arquivo Apagado
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Autopsy (Data Unit)
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
17. Tráfego de Rede
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Comando Identificado
● Conexão ftp iniciada
● Transferência de arquivo
● ((4 << 8) | 56) → Porta 1080
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
18. Tráfego de Rede
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Arquivo Transferido
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
19. Tráfego de Rede
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Análise do Arquivo Capturado
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
20. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Log do IDS
Nov 7 23:11:51 lisa snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP:
216.216.74.2:710 ->
172.16.1.107:871
11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871
UDP TTL:42 TOS:0x0 ID:16143
Len: 456
3E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >...............
00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 00 ................
. . . . . .
8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 .N..V...1...@...
B0 FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e
63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream
74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root
2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >>
20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf
3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in
65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos
74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t...............
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
21. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Timeline
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
22. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Recuperação de Arquivo Apagado
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
23. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Rootkit Identificado
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
24. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Análise de Artefatos
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
25. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Arquivo de Instalação Identificado
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
26. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Análise dos Logs
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
27. Análise de Logs
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Recuperação dos Logs Apagados
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
28. Dúvidas?
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Perguntas?
Críticas?
Sugestões?
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
29. Fim...
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Muito Obrigado!
Rafael Soares Ferreira
rafael@clavis.com.br
@rafaelsferreira
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.