"projeto muffin de resposta a incidentes – uma receita para causar indigestão nos...

Projeto MUFFIN de Resposta a Incidentes

Uma receita para causar indigestão nos

malwares

Tony Rodrigues, CISSP, CFCP

inv.forense arroba gmail ponto com

Projeto MUFFIN

Quem sou ?

• Tony Rodrigues, CISSP, CFCP, Security+

• Gestor/TI e Consultor em Segurança de Informações

• Perito/Investigador/Pesquisador em Computação Forense

• Blog: http://forcomp.blogspot.com

Projeto MUFFIN

Um talento na culinária !

Ainda assim ...

Projeto MUFFIN

Vamos assar um MUFFIN !

Projeto MUFFIN

Agenda

• Introdução– Resposta a Incidentes em 2 minutos

• Ferramentas disponíveis para IR

– Utilitários

– Coletores

– Toolkits

• Projeto MUFFIN: Causando Indigestão

nos malwares

• Conclusão

Projeto MUFFIN

Resposta a Incidentes

• Usa técnicas semelhantes à

Computação Forense

• Objetivo de conter e minimizar

impactos ao negócio

• Foco no efeito x foco na causa

Projeto MUFFIN

CSIRT

• Time de Resposta a Incidentes em

Segurança de Informações

• Equipes fixas ou acionadas no evento

• Na maioria das vezes monitora, coleta,

analisa e responde aos eventos

• Necessita de treinamento e ferramentas

adequadas

Projeto MUFFIN

Na Teoria

Preparação

Identificação

Contenção

Erradicação

Restauração

Acompanhamento

Projeto MUFFIN

Na Prática

Despreparo

Maior

Window Of

Exposure

Correria

Maior

Downtime

Maior

Impacto

Vestígios

destruídos

Projeto MUFFIN

Verizon Report confirma

Problemas na Identificação,

falta de foco na preparação !

Projeto MUFFIN

Nosso Foco hoje é ...

Preparação:

Ferramentas

Projeto MUFFIN

Ferramentas Disponíveis

• Importantes na coleta de dados

voláteis

• Utilitários

• Coletores

• Toolkits de Incident Response

Projeto MUFFIN

Utilitários

• Comandos do Shell

• Netstat, Nbtstat, Dir

• Nirsoft

• Cports, Myeventviewer,

IPNetInfo,MyLastSearch,

IECacheView

• SysInternals

• Autorunsc, ShareEnum, Streams,

Utilitários PS*

• MiTec

• WFA, WRR, MailViewer

Projeto MUFFIN

Coletores

• Automatizam a coleta de

informações

• WFT

• IRCR2

• FRUC/FPSC

• COFEE (*não é FOSS)

Projeto MUFFIN

Toolkits de Resposta a Incidentes

• Trazem pacotes e ferramentas em

um mesmo módulo

• WinTaylor (CAINE)

• DEFT Extra

• HELIX IR

• COFEE

Projeto MUFFIN

COFEE

• Criado pela Microsoft para Agentes da Lei

(Polícias, Agencias do Gov, etc)

• Automatiza a execução de ferramentas

preparadas previamente

• Pontos fracos

• Não está disponível para corporações

• Dados no pendrive podem ser

atacados

• Ferramentas podem ser

comprometidas ou bloqueadas por AV

• Várias ferramentas alteram o estado

dos dados voláteis

• Foi alvo de ataque do DECAF

Projeto MUFFIN

COFEE

Projeto MUFFIN

COFEE

Projeto MUFFIN

COFEE

Projeto MUFFIN

DECAF

• Surgiu inicialmente para ataque

direto ao COFEE

• Baseado em assinaturas

• Foi estendido para atacar outras

toolkits

• Caine

• DEFT

• Helix

• Usuário pode fazer suas

próprias assinaturas

• O autor desativou o código

• Terceiros liberaram nova versão

Projeto MUFFIN

Helix IR

• Traz os principais utilitários para

Resposta a Incidentes em Windows

• Foi o pioneiro e o mais utilizado até

por volta de meados de 2009

• Pontos fracos

• Não teve atualizações desde

junho/2009

• Só funciona em CD

• Menu gráfico tem grande

“footprint”

• Várias ferramentas alteram o

estado dos dados voláteis

• Foi alvo de ataque do DECAF

Projeto MUFFIN

DEFT EXTRA

• Criado por um grupo italiano

• Interface gráfica para várias ferramentas e

utilitários de captura de dados voláteis

• Pontos fracos

• Versão em CD não é prática

• Dados no pendrive podem ser atacados

• Ferramentas podem ser

comprometidas ou bloqueadas por

AV(versão pendrive)

• Várias ferramentas alteram o estado

dos dados voláteis

• Menu gráfico tem grande “footprint”

• Foi alvo de ataque do DECAF

Projeto MUFFIN

CAINE WinTaylor

• Também foi criado por um grupo italiano

• Interface gráfica para várias ferramentas e

utilitários de captura de dados voláteis

• Pontos fracos

• Versão em CD não é prática

• Dados no pendrive podem ser atacados

• Ferramentas podem ser comprometidas

ou bloqueadas por AV (versão

pendrive)

• Várias ferramentas alteram o estado

dos dados voláteis

• Menu gráfico tem grande “footprint”

• Foi alvo de ataque do DECAF

Projeto MUFFIN

Toolkit de IR dos Sonhos

Não deve ter os pontos fracos:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Muffin ao invés de Sonho !

Projeto Muffin: Indigesto para os malwares

Master

Unit

For

Forensics

INvestigation

Objetivo: Criar uma toolkit de Resposta a Incidentes

que não possua as vulnerabilidades ou fraquezas

mapeadas nas toolkits atuais

Projeto MUFFIN

Aprovado até na TV !

Hummmmm !

Projeto MUFFIN

Eis então ...

Receita de MUFFIN Cheff Tony Rodrigues

Projeto MUFFIN

Ingredientes

• Um pendrive U3 com boa capacidade

• Utilitários 32-bit e 64-bit

• Nirsoft

• SysInternals

• Dumpers de Memória

• MiTeC

• Commands e utilitários CLI dos SOs

usados na sua empresa

• Forno Indicado: CD Burner

• Linux e Windows

• Cryptcat

• Hydan

• USB Hacksaw/Switchblade

Projeto MUFFIN

Escolhendo os utilitários

Escolha o sabor e separe os ingredientes

Projeto MUFFIN

Escolhendo os utilitários

• Utilitários 32-bit e 64-bit

• Nirsoft, SysInternals, MiTeC

• Dumpers de Memória

• Commands e utilitários CLI

• WinTaylor, Cofee e DEFT Extra são bons pontos

de partida para ajudar na seleção dos utilitários

• Confira o hash com o original do site !

• Preferência para CLI

• A maioria da Nirsoft possui GUI e CLI

• Menor “footprint”

Projeto MUFFIN

Escolhendo os utilitários

• Todos os commands e utilitários devem

ser homologados em cada SO/Service

Pack existente na empresa

• Confira os que alteram timestamps ou

criam temporários

• Desejável é não usá-los

• Pode-se documentar as alterações

introduzidas

Projeto MUFFIN

Objetivos atingidos

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Preparando a estrutura e automatizando a coleta

Unte a forma

Projeto MUFFIN

Preparando a estrutura e automatizando a coleta

• Preparando a estrutura da toolkit

• Crie um diretório no HD

• Crie subdiretórios de acordo com:

• SO

• 32/64bit

• Combinações de SO (ex: Todos, WinVistaWin7, etc)

• Colocar apenas os SOs presentes na empresa

• Dentro de cada diretório de SO devem estar, em seus

respectivos subdiretórios:

• As ferramentas e suas dependências

• O command e seus utilitários de apoio

• Cada um devidamente homologado

Projeto MUFFIN

Preparando a estrutura e automatizando a coleta

• Combinações de SO

• São os diretórios que conterão ferramentas

e utilitários homologados para mais de um

SO/Service Pack

• Ex:C:\MUFFIN

C:\MUFFIN\WinXP

C:\MUFFIN\WinXP\cmd

C:\MUFFIN\WinXP\utilxx

C:\MUFFIN\Vista32\cmd

C:\MUFFIN\Vista32\utilyyy

C:\MUFFIN\Vista64\cmd

C:\MUFFIN\Vista64\utilzzz

C:\MUFFIN\WinXPVista\utilaaa

C:\MUFFIN\Todos\utilkkk

Projeto MUFFIN

Preparando a estrutura e automatizando a coleta

• Automatizando a coleta

• WFT

• Batch

• Melhor dos dois mundos

Projeto MUFFIN

Automatizando a coleta - WFT

• A ordem e os utilitários podem ser configurados no arquivo

wft.cfg

• Outros parâmetros podem ser passados pela linha de

comando

• Exemplo de Formato do .cfg (~ seria o TAB):

EHWP~\WinXP\sr.exe~NA~<%toolpath%><%executable%>

> <%dst%><%output%>~restorepoints~Restore

Points~<FONT face='Tahoma' size='4'><B>Restore

Points</B></FONT> &nbsp; <P><B>Restore Points</B> --

Exibe os Restore Points da máquina<P>

• Um .bat pode ser criado para capturar o SO e chamar o

WFT com os parâmetros e .cfg específicos

Projeto MUFFIN

Automatizando a coleta - Batch

• Um grande arquivo batch (coletor) que trate a

ordem e os utilitários

• Essa opção tem menor “footprint” que o WFT

• O IRCR2 pode ser usado como modelo

• Parâmetros podem ser passados pela linha de

comando

• Um outro .bat pode ser criado para capturar o SO e

chamar o coletor com os parâmetros específicos

• Resultados dos comandos preferencialmente em

.csv ou xml

• Antes de executar um utilitário, o hash dele pode

ser calculado/validado para garantir a integridade

Projeto MUFFIN

Automatizando a coleta – Melhor dos Mundos

• Um utilitário de preparação prévia

• Semelhante ao oferecido pelo COFEE

• Tem relacionado todos os comandos, options,

ferramentas e utilitários disponíveis na

estrutura

• Usuário indica a ordem e os parâmetros a

serem executados

• Pode criar perfis diferentes, dependendo do

tipo de incidente

• A saída pode ser

• Um arquivo cfg do WFT

• Um batch customizado só com as

chamadas

Projeto MUFFIN

Objetivos atingidos

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Evitando alterações nos dados colhidos

Prepare as forminhas

Projeto MUFFIN

Evitando alterações nos dados colhidos

• Saídas das ferramentas devem ser redirecionadas

• Para um drive local (pendrive)

• Para um endereço de rede (via cryptcat).

• Sempre por um utilitário de cálculo de hash

• Redirecione os erros também !

• O hash vai permitir verificar a integridade dos

resultados

• O cryptcat possibilitará comunicação segura dos

dados para um servidor de coleta

• Deve ser implementado na automação da coleta,

no batch

• O servidor deverá estar em modo Listening ...

Projeto MUFFIN

Evitando alterações nos dados colhidos

• Hash detecta alterações, mas não as evita !

• O rootkit TDL3 tem algo interessante a nos favorecer

• Implementa um Sistema de Arquivos próprio

• Dados são criptografados no interior

• O MUFFIN poderá fazer exatamente igual ?

• Não, não temos como usar Kernel Mode

• A técnica pode ser adaptada

• Todas as saídas podem ser armazenadas juntas

• Criptografadas

• Em um arquivo único ou espalhadas pelo disco

• Ataques precisariam ser direcionados

Projeto MUFFIN

Objetivos atingidos

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Obfuscando o trabalho

Junte os ingredientes em um grande pote e misture bem

Projeto MUFFIN

Obfuscando o trabalho

• Ferramentas de Antivírus costumam atrapalhar

operações de IR

• Bloqueiam a execução de alguns utilitários

• Removem o utilitário ou o põem em

quarentena

• Ferramentas de anti-forense ou anti-

investigação podem detectar utilitários de IR e

os atacar

• Como o DECAF

• Detecção baseada em assinaturas

• Por hash do arquivo

• Por hash de um trecho

Projeto MUFFIN

Algumas estratégias

• Packers

• Evita detecção por hash do arquivo completo

• Não é garantido contra hash de parte do

arquivo

• Antivirus conseguem detectar (fazem o

unpack)

• Multi-packing

• Várias passadas com Packers diferentes

• Perdem funcionalidade

• Nem sempre o programa continua funcional

• Não garantido contra todos os AVs

Projeto MUFFIN

Algumas estratégias

• Crypters

• Evita detecção por hash do arquivo

completo e por partes

• Um código stub fica adicionado ao

código real criptografado

• AV e assinaturas detectam pelo código

stub, que é conhecido

Projeto MUFFIN

Hydan

• Apresentado inicialmente na BlackHat 2004 por

Crazydog

• Engenhoso projeto de esteganografia

• Esconde conteúdo em arquivos executáveis

• Não altera o tamanho do arquivo

• O executável continua 100% funcional

• Troca operações funcionalmente idênticas

• Ex: add eax, 50 trocada por sub eax, -50

• Vulnerável a análise de freqüência

• Muitas operações “sub” com operandos

negativos são naturalmente incomuns

Projeto MUFFIN

Modificando Hydan

• Conteúdo de entrada (estego) => string aleatória

• Objetivo não é esconder a string, mas gerar

um executável aleatoriamente diferente com

mesmas funcionalidades

• Ampliar número de instruções semelhantes

• Não estamos presos a troca de instruções

com mesmo número de bytes

• Inserir NOPs aleatórios

• Inserir bytes aleatórios como código nunca

executado

• Trabalhar códigos 64-bit

• Não é sensível à análise de freqüência

• Não é detectado por assinatura por hash

Projeto MUFFIN

FUD (Fully Undetectable) ?

• Ainda não

• Strings aleatórias com seqüência de bits

semelhantes podem geram longos trechos

não alterados

• Mesclando Hydan e Crypters

• Um Crypter criptografa o executável

• O código stub é alterado pelo Hydan

Modificado

• O conjunto será

• Indetectável por hash do arquivo

• Praticamente indetectável por hash de parte

do arquivo

Projeto MUFFIN

Aplicando ao Muffin

• Um dos utilitários do Muffin fará a preparação:

• A rotina descrita será aplicada sobre cada

executável das ferramentas

• Novos hash devem ser calculados para os

arquivos

• Como resultado, as ferramentas da toolkit terão

hash único literalmente em qualquer ponto

• Detecção por assinatura provavelmente não vai

mais ocorrer

• Nem bloqueio de ferramentas por Antivirus

Projeto MUFFIN

Objetivos atingidos

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Gerando o .iso e copiando para o pendrive

Leve ao forno brando

Projeto MUFFIN

Gerando o .iso

• É preciso empacotar o grupo de utilitários

• Um arquivo autorun.inf deve ser colocado na

raiz do MUFFIN

• Esse arquivo aponta para executar o .bat que

aciona a coleta automatizada (ou que aciona

o WFT)

• O conteúdo deve ser preparado em um CD

burner

• Criar um arquivo no formato .iso

Projeto MUFFIN

Levando para um pendrive

• O arquivo .iso precisa ser colocado em um

pendrive

• Problema: Pendrives são read-write

• Ferramentas ainda podem ser

comprometidas (infectadas)

• Autorun pode ser trocado por malicioso

• Ainda precisamos colocar os

resultados no pendrive

Projeto MUFFIN

Pendrive U3

• Modelos específicos de pendrive

• Vários fabricantes possuem linha

U3

• Logicamente divididos em 2

partições

• Uma read-only que funciona

como um CD (CDFS)

• Uma read-write “normal”

• Muito utilizados para aplicações

portable

• A partição CDFS só pode ser

escrita por programas específicos

Projeto MUFFIN

Pendrive U3

• USB Hacksaw/Switchblade

• Projeto da hak5.org

• Executa um arquivo pelo autorun

que vasculha a máquina

procurando por PDFs, DOCs, etc.

• Um .iso crackeado sobrescreve a

partição normal do pendrive U3

através de um software específico

Projeto MUFFIN

Gravando o .iso

• Algumas maneiras:

• LPInstaller.exe

• U3_tool.exe

• Estamos sem sorte ...

Projeto MUFFIN

Gravando o .iso - LPInstaller

• Utilitário que atualiza pendrives U3 com

um .iso

• Específico para U3 Sandisk

• Carrega o .iso e gera a partição CDFS

no pendrive

• Originalmente, carrega o novo .iso a

partir do site da SanDisk

• Pode carregar a partir de um arquivo

.iso local

Projeto MUFFIN

Gravando o .iso – U3 Tool

• Utilitário free que atualiza pendrives U3

com um .iso

• Homologado para U3 Sandisk e

Verbatim

• Hospedado no SourceForge

• Disponível para Windows e Linux

• Carrega o .iso e gera a partição CDFS

no pendrive

• Pode carregar a partir de um arquivo

.iso local

Projeto MUFFIN

Gravando o .iso – Quebrando pedras

• LPInstall e U3_Tool não funcionaram

• Como eles trabalham ?

Web

get Updater.exe

Manda o Updater.exe !

Execute-o depois do

download

get novo .iso

Tá na mão !

O novo .iso, por favor

Aqui. Não me aborreça mais ...

Grave o .iso no dir /xxx/yyy

Projeto MUFFIN

Gravando o .iso – Quebrando pedras

• É hora de enganar o Updater

• Localize o autorun.inf

• Capture a URL na seção UPDATE do

arquivo

• Essa URL permite chegar ao programa

de update do pendrive

• Ative um sniffer e execute o programa

• Analise o tráfego e tome nota da path

de onde o executável está baixando o

.iso de atualização

Projeto MUFFIN

Gravando o .iso – Quebrando pedras II

• Instale um webserver e recrie a path do

passo anterior

• Coloque o .iso com o MUFFIN nessa path

local com o mesmo nome do passo

anterior

• Crie uma entrada no arquivo hosts para o

domínio da URL capturada

• Essa entrada deve apontar para

localhost

• Execute o programa de atualização

• A partição CDFS será atualizada com o

.iso do MUFFIN

Projeto MUFFIN

Objetivos atingidos

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Projeto MUFFIN

Usando o MUFFIN

Sirva depois de esfriar

Projeto MUFFIN

Usando o MUFFIN

• Ao plugar o pendrive, o Windows montará

as duas partições

• O autorun.inf vai executar o .bat

principal

• A partição read-write do pendrive deve

ser usada para armazenar os

resultados

• Ou ainda, os resultados podem ser

enviados via rede

• O Cryptcat precisa estar esperando

os dados no servidor

Projeto MUFFIN

Usando o MUFFIN II

Sirva também aos vizinhos

Projeto MUFFIN

Usando o MUFFIN II

• Uma forma de usar o MUFFIN remotamente

• Coloque o pendrive com o MUFFIN na

estação de controle

• Use o SysInternals Psexec para mapear (Net

Use), na máquina remota investigada, a

partição CDFS

• Use Psexec para executar o .bat principal

• Os resultados devem ser enviados para a

estação de controle via rede

• Pode ser feito em paralelo nas máquinas

suspeitas, diminuindo o tempo de coleta de

informações em uma infestação por malwares

Projeto MUFFIN

Objetivos atingidos ao final

Resolvemos as fraquezas:

Requerer leitor de CD

Ferramentas e utilitários que não podem ser

atualizadas com facilidade

Manter dados coletados que podem ser atacados

e/ou modificados

Permitir o comprometimento ou o bloqueio (AV) das

ferramentas e utilitários

Utilizar ferramentas que alteram o estado dos dados

voláteis

Uso de menu gráfico com grande “footprint”

Não coletar automaticamente os dados voláteis

Ser vulnerável à ataque por assinatura

Esse não deu ainda

Projeto MUFFIN

Um objetivo mal atingido

• É possível filtrar ferramentas que alterem

substancialmente os dados voláteis

• Principalmente os MAC Times e o espaço

não-alocado

• Não é a solução final

• Sugestão

• Acesso direto aos arquivos requisitados por

fora do sistema de arquivos. Ex: TSK

• Uma camada intermediária faria um hook das

requisições ao disco pelo sistema de

arquivos, acessando por fora

• Ainda não validado !

Projeto MUFFIN

Status do Projeto MUFFIN

• Lançado no You Shot The Sheriff V

• Versão 0.1 disponível

• Formato de procedimento, documentando o

processo de criação de um pendrive MUFFIN

• Meta: automatizar esse processo de criação

• MUFFIN Baker: Trabalha na criação do

pendrive MUFFIN

• MUFFIN Report: Trabalha nas saídas e

dados coletados, criando relatórios e

correlacionando informações

Projeto MUFFIN

Projeto MUFFIN - Escopo

• Escopo inicial até versão 1.0

• MUFFIN Baker for Windows

• Pendrive MUFFIN somente com utilitários

Windows

• MUFFIN Report for Windows

• Escopo Médio Prazo (até v. 2.0)

• Pendrive MUFFIN com ferramentas Linux

• MUFFIN Baker e Report rodando em Linux

via Wine

• Escopo Longo Prazo (3.0 e além)

• MUFFIN Baker e Report rodando em Linux e

MAC nativamente

Projeto MUFFIN

Projeto MUFFIN - Detalhes

• Desenvolvimento: Lazarus

• Banco de Dados: SQLite

• Google Code: https://code.google.com/p/muffin-

project

• Interface Gráfica: Analogia com receita de muffin

• Ingredientes: Ferramentas e utilitários de coleta

de dados voláteis

• Despensa: Grupo de ferramentas (ingredientes)

validados para uso em um pendrive MUFFIN

• Receita: Lista de execução de utilitários,

ordenada e com parâmetros

• Forno: Menu onde gravamos uma Receita de

MUFFIN no pendrive

Projeto MUFFIN

Projeto MUFFIN –Screen Shot beta – Menu Receita

Projeto MUFFIN

Projeto MUFFIN - Roadmap

• Version 0.1

• Documento com procedimento

• Version 0.2

• MUFFIN Baker

• Despensa

• Sem GUI, sem atualizações automaticas

• Receita

• Seleciona Ingredientes da Despensa

• Indica parâmetros de execução para os

Ingredientes

• Indica ordem de execução dos Ingredientes

• Forno

• Grava as Receitas em pendrives comuns

(sem U3 nessa versão)

Projeto MUFFIN

Projeto MUFFIN - Roadmap II

•Version 0.3

• MUFFIN Baker

• Despensa

• GUI

• Receita

• O script de automação da coleta (batch)

validará os ingredientes antes da

execução

• Forno

• Uso de modelos U3 de pendrives

Projeto MUFFIN

Projeto MUFFIN - Roadmap II

• Version 0.4

• MUFFIN Baker

• Despensa

• Atualização automática e manual das

ferramentas (Ingredientes)

• Receita

• Saída das ferramentas armazenada de

forma criptografada

• Forno

• Ingredientes 32-bit obfuscados

• Version 0.5

• MUFFIN Baker

• Forno => Ingredientes 64-bit obfuscados

• MUFFIN Report mostrando dados coletados

Projeto MUFFIN

Projeto MUFFIN - Roadmap III

• Version 1.0

• MUFFIN Baker

• Forno

• Obfuscação com técnicas avançadas

• MUFFIN Report correlacionando saídas e

informações

Projeto MUFFIN

Conclusão

Resposta a Incidentes depende muito de

uma boa preparação para ser eficiente

Ter ferramentas adequadas é reflexo da boa

preparação

O MUFFIN foi criado para atuar na Resposta a

Incidentes cobrindo as maiores

vulnerabilidades das Toolkits disponíveis

MUFFIN é totalmente código livre e o projeto

precisa de colaboradores !

Projeto MUFFIN

Referências

• Verizon Report

– http://newscenter.verizon.com/press-releases/verizon/2010/2010-data-breach-

report-from.html

• Nirsoft

– http://www.nirsoft.net/

• MiTeC

– http://www.mitec.cz/

• SysInternals

– http://technet.microsoft.com/pt-br/sysinternals/default

• WFT

– http://www.foolmoon.net/security/wft/

• CAINE

– http://www.caine-live.net/

• DEFT

– http://www.deftlinux.net/

• HELIX

– https://www.e-fense.com/store/index.php?_a=viewProd&productId=11

Projeto MUFFIN

Referências II

• COFEE

– http://www.microsoft.com/industry/government/solutions/cofee/default.aspx

• Cryptcat

– http://sourceforge.net/projects/cryptcat/

• Hydan

– http://www.crazyboy.com/hydan/

• USB Hacksaw

– http://dotnetwizard.net/soft-apps/hack-u3-usb-smart-drive-to-become-ultimate-

hack-tool/

• U3-Tool

– http://u3-tool.sourceforge.net/

• LPInstaller

– http://u3.sandisk.com/download/apps/LPInstaller.exe

Projeto MUFFIN

Sugestões de Leitura

http://forcomp.blogspot.com

http://www.e-evidence.info

Projeto MUFFIN

Perguntas !

Projeto MUFFIN

Obrigado !

inv.forense arroba gmail

ponto com

(Tony Rodrigues)