forense remota utilizando ferramentas open source
DESCRIPTION
Apresentacao no II Congresso de Computacao Forense realizado pela Universidade Presbiteriana Mackenzie. Profissionais envolvidos no estudo de caso Julio Cesar R. Benatto Jose Francci NettoTRANSCRIPT
José Francci Neto Júlio César R. Benatto
AGENDA - Introdução
- Forense Computacional - Preparação - Aquisição - Análise - Relatórios
- Estudo de Caso
- Cenário - Engage the Target - Mestasploit - Aquisição remota - Passo a passo - Comandos - Enumerando drivers - Bloqueador de escrita - Mapeando drive remotamente - Montando drive / Bloqueador de escrita - Realizando aquisição remota - Análise da imagem coletada - Comparação / Conversão
- Conclusão - Open Source x Software Pago
Forense Computacional Processo Macro.
PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO
Atividade suspeita
Preparação O que é necessário para execução da atividade
• Pessoas;
• Processos;
• Infra.
Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.
• Criação de imagem forense; • 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.
Análise Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.
Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.
• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a análise;
• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial
• Conclusivo e sem opiniões.
Estudo de Caso Aquisição remota através metasploit.
Cenário • Kali Linux
• Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client
• Mount • dcfldd • Autopsy
• Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08
Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades
METASPLOIT
• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para
exploração de vulnerabilidades • Forense
Aquisição Remota Metodologia Forense utilizando Software Livre
Passo a passo psexec > use exploit/windows/smb/psexec
Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp
Comandos SESSION Background Session 1...
Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives
Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver
Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1
Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio
Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Comparação/Conversão FTK IMAGER www.accessdata.com
Comparação/Conversão ENCASE V7.08 www.guidance.com
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Open Source x Software Pago Aprendizado
x Tempo
x Facilidade de uso
x Cenário
Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/
Próximos passos...
Muito Obrigado!
José Francci Neto [email protected] http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto [email protected] http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740