Análise Forense: Técnicas e Reconstituição de Ataques ... · São crimes cometidos por meio eletrônico, ou seja, o criminoso utiliza sistemas computacionais para cometer o tal

Análise Forense: Técnicas e Reconstituição de Ataques

Dezembro/2018

ISSN 2179-5568 – Revista Especialize On-line IPOG - Goiânia - Ano 9, Edição nº 16 Vol. 01 Dezembro/2018


Tiago Gonçalves Silva – [email protected]

Computação forense & Perícia digital

Instituto de Pós-Graduação – IPOG

Goiânia, GO, 02 de maio de 2018

Resumo

Com o crescimento da internet, segundo o IBOPE NetRatings, somos 120 milhões de

internautas sendo o Brasil o 4º país mais conectados, então, tornam-se possíveis vários tipos

de crimes digitais, que por serem crimes obrigam as agências legais estarem preparadas para

investigar estes crimes. No decorrer do artigo serão apresentados alguns métodos para

executar uma perícia em um sistema comprometido. Para darmos sequência e obtermos um

resultado, utilizaremos uma imagem de sistema comprometido disponibilizada pelo projeto

“The Honeynet Project’s Forensic Challenge”. Nesta imagem o invasor comprometeu

completamente o sistema proporcionando uma gama de vestígios a serem identificados e

demonstrados no decorrer do artigo.

Palavras-chave:Computação Forense, Hash Criptografico, Logs.

1. Introdução

Com o avanço da tecnologia percebemos que os computadores já fazem parte da vida das

pessoas, segundo a Pesquisa Nacional por Amostra de Domicílio (PNAD) em 2014, afirma

que cerca de 54,9% dos domicílios brasileiros já possuem acesso à internet (IBGE, 2014) e

com esse crescimento e acessibilidade da internet muitas atividades que antes só poderiam ser

realizadas pessoalmente agora podem ser realizadas por pessoas que estejam em qualquer

lugar do mundo, utilizando um computador com acesso à internet.

Como tudo possui suas vantagens e desvantagens, os crimes também vêm ganhando cada vez

mais espaço neste mundo tecnológico, segundo o Centro de Estudos e Respostas e Tratamento

de Incidentes de Segurança no Brasil (CERT.BR) os incidentes tem aumentado

significativamente, no ano de 2000 foram reportados 5997 incidentes de segurança, já em

2017 foram 833.775 incidentes reportados (CERT.BR, 2018), incidentes como: invasão,

roubos de informações, espionagem virtual, pornografia infantil, ataques de negação de

serviços, entre outros, são crimes que ocorrem com a utilização da internet. Por isso, os

assuntos como segurança da informação e computação forense tem ganhado destaque na área

digital.

O Termo Computação Forense compreende na utilização de técnicas e métodos para

aquisição, preservação, identificação, extração e análise de evidências que foram de alguma

forma processada ou armazenada em ambiente computacional (MELO, 2009).

Este artigo descreverá métodos utilizados por profissionais (Peritos Computacionais) na

obtenção de informações em mídias comprometidas utilizando diversas ferramentas, com


Dezembro/2018


foco na coleta de evidências, recuperação de dados, preservação, autenticidade e integridade

do sistema periciado e a informação coletada com seu devido relatório de reconstituição do

ataque.

2. Conceitos

Para um melhor entendimento do conteúdo utilizaremos alguns conceitos importantes.

2.1 Perícia Forense

São processos de utilização de técnicas e conhecimentos aplicados à computação forense,

técnicas utilizadas com apoio de ferramentas com objetivo de coletar, preservar e analisar

evidências na obtenção de documentação e provas digitais no âmbito judicial (MELO, 2009).

2.2 Perito Computacional

São profissionais capacitados e qualificados para executar a Perícia Forense, estes

profissionais possuem grandes habilidades em sistemas computacionais, sendo necessário ter

sólidos conhecimentos de Sistemas Operacionais e Arquitetura de Computadores (MELO,

2009).

2.3 Crime Digital

São crimes cometidos por meio eletrônico, ou seja, o criminoso utiliza sistemas

computacionais para cometer o tal delito. São exemplos de crimes digitais (MELO, 2009):

Roubo de informação

Invasão de Computadores

Divulgação de conteúdos proibidos

Pornografia (Pedofilia).

Etc...

2.4 Análise Forense

A definição de Análise Forense segundo o livro “Murder on the internet Express” (FARMER

AND VENEMA, 1999), é recuperar e analisar dados da maneira mais imparcial e livre de

distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado.

Portanto, o perito deve se preocupar em recuperar as evidências de maneira a preservar os

dados, evitando contaminação ou perda dos mesmos. Para isso, ele deve seguir seis

princípios:

• Minimizar perda de dados

• Evitar contaminação dos dados

• Registrar e documentar

• Analisar, impreterivelmente, apenas cópias dos dados


Dezembro/2018


• Reportar as informações coletadas

• Manter-se imparcial

O perito deve registrar e documentar todos os passos percorridos para evitar falhas nos

procedimentos. O perito deve manter-se imparcial no caso, pois em casos que envolvam

depoimentos em juízo ele deve provar que não comprometeu as provas. Por esse motivo,

sempre o processo de análise tem que ser feito em cópias dos dados, mantendo os originais

seguros contra modificações (RNP, 2008).

2.4.1 Motivações para realizar uma Análise Forense

Para uma organização às vezes nem sempre é interessante realizar uma análise forense em um

sistema comprometido, pois o processo de análise forense é demorado e consomem muitos

recursos, como peritos, computadores, espaço em disco etc., a maioria das vezes é mais

vantajoso apenas reinstalar o sistema comprometido, a não ser que a organização precise

realmente saber como partiu o ataque para responsabilizar o autor (RNP, 2008).

Então, quais são as motivações para se realizar uma análise forense? Existem diversas razões

para isso, que são descritas abaixo:

• Identificar Ataque: em muitas situações, quando um computador está

comprometido ele começa a perder desempenho, pois está sendo utilizada pelo

hacker ou vírus para fins diferentes daqueles a que o computador se destina. Um

dos procedimentos da análise forense é tentar identificar sinais de

comprometimento, isso pode ajudar a empresa a descobrir se outros computadores,

que apresentam o mesmo comportamento, estão comprometidos ou não (RNP,

2008).

• Extensão do Comprometimento: É comum aparecerem informações sobre o

comprometimento de outros sistemas dentro ou fora da empresa. Descobrir quais

computadores foram comprometidos é importante para manter a integridade da

informação que empresa quer proteger (RNP, 2008).

• Reconstruir a ordem dos eventos: Permite descobrir o que o invasor fez durante

o período em que teve acesso ao sistema, a correlação de eventos pode ajudar

determinar o que foi comprometido (RNP, 2008).

• Entender o modo operante do atacante: Esse item permite saber como o

atacante agiu, e com isso a empresa pode tomar diversas ações bem fundamentadas

para se proteger contra novos ataques (RNP, 2008).

2.4.2 Obtenção de evidências

Os princípios de análise forense estão fundamentados em métodos que buscam dar

credibilidade aos resultados obtidos, fornecendo métodos para a verificação da integridade

das evidências e dos procedimentos adotados.


Dezembro/2018


A documentação das atividades é fundamental para que uma análise possa ser aceita, tudo tem

que ser bem documentado para não prejudicar uma futura ação judicial contra os

responsáveis, pois pode inviabilizar uma avaliação do tratamento dado às evidências.

Além da correta documentação, pode-se citar mais alguns princípios importantes:

• Réplicas: É sempre recomendável fazer uma réplica completa da mídia a ser

periciada, para que seja possível a repetição dos processos e a busca da

confirmação dos resultados, sem que ocorra o dano à evidência original, devido a

algum erro do perito [Marshall 2008].

• Garantia de Integridade: No mundo real as evidências são armazenadas em

ambientes cujo acesso é restrito, são tiradas fotos, minuciosas descrições das peças

são escritas, com o intuito de verificar sua autenticidade posteriormente. No

mundo virtual a autenticidade e a integridade de uma evidência podem ser

verificadas através de algoritmos de hash criptográfico como o MD5, SHA-1 e o

SHA-2 (MARSHALL, 2008).

• Ferramentas Confiáveis: Não há como garantir a confiabilidade dos resultados

obtidos durante uma análise forense se as ferramentas utilizadas não forem

comprovadamente idôneas (MARSHALL, 2008).

2.4.3 Processos de Análise Forense

Tendo em vista a organização dos processos de Análise Forense, podemos dividir em quatro

etapas (MELO, 2009). Vejamos:

Processo Descrição

Aquisição Consiste em reunir os artefatos a serem analisados para obter o máximo

possível de provas.

Identificação Consiste na análise pericial nos artefatos coletados, é necessário estabelecer

com clareza quais são as conexões relevantes como datas, nomes,

organizações etc., dentre as quais foi estabelecida a comunicação eletrônica.

Avaliação Consiste na enumeração dos eventos em uma linha do tempo.

Apresentação Consiste no enquadramento das evidências dentro do formato jurídico como

o caso será ou poderá ser tratado. Tabela 1 - Etapas do processo de Análise Forense

2.4.4 Cadeia de custódia

É muito difícil obter, guardar e analisar dados a respeito de uma possível atividade criminosa

de forma a poder utilizar as provas obtidas em um tribunal com aceitação jurídica, o cuidado

na utilização das provas vem junto com a necessidade fundamental de documentação de toda

a investigação.

Todas as precauções devem ser consideradas e implementadas para se ter a certeza de que os

dados são precisos, confiáveis e que não foram alterados desde a sua obtenção e coleta.


Dezembro/2018


Devem ser registradas as informações a fim de identificar cada pessoa que lidar com as

provas, assim como cada pessoa que tiver acesso às provas e quando as mesmas são

repassadas de uma pessoa a outra.

Documentar cada passo dado na coleta e processamento dos dados.

Isto é a cadeia de custódia, uma boa prática é usar ferramentas confiáveis, salvar os dados em

mídia removível e garantir que estes dados possam ser autenticados desde a sua obtenção e

coleta, com métodos de cálculo de "hash” (RNP, 2008).

Um registro de Custódia deve conter:

• Data e hora de coleta de evidência

• De quem a evidência foi apreendida

• Informações sobre o Hardware, como fabricante, modelo, número de série etc.

• Nome da pessoa que coletou a evidência

• Descrição detalhada da evidência

• Nome e assinatura das pessoas envolvidas

• Identificação do caso e identificação da evidência (Tags)

• Assinaturas MD5/SHA1 das evidências, se possível.

• Informações técnicas pertinentes

3. Exemplo de Caso

A Análise Forense tem o objetivo de recuperar evidências que comprovem delitos cometidos

por meios eletrônicos e que deem indicações sobre o responsável pelo comprometimento

Neste artigo estudaremos um caso disponibilizado pelo projeto “The Honeynet Project's

Forensic Challenge”, o projeto é sem fins lucrativos de pesquisa de segurança, dedicado a

investigar ataques e identificar as técnicas utilizadas em ataques, para o desenvolvimento de

ferramentas de segurança de código aberto, o objetivo do projeto é melhorar a segurança da

internet e compartilhar os conhecimentos (The HoneyNet Project’s 2012).

Utilizaremos uma imagem de um sistema comprometido disponibilizada pelo projeto

(http://old.honeynet.org/misc/files/challenge-images.tar), o sistema estava em funcionamento

um padrão Red Hat Linux 6.2 Server com o sistema de fuso horário foi estabelecido para

GMT-0600 (CST), o sistema possui seis partições.

Com as imagens iremos montar em uma estação, para utilizarmos as técnicas e ferramentas

para analisarmos e obtermos um resultado satisfatório, com as imagens montadas, iremos

fazer a autenticação para verificar a integridade das imagens obtidas.

Após montarmos e autenticarmos as imagens, começaremos a procura de evidências e

analisarmos o conteúdo obtido para montarmos a ordem cronológica dos eventos do sistema.

Analisar o disco de um computador invadido pode ser uma tarefa demorada, por isso, é

importante definir onde começará a procura, o Linux nos oferece diversas ferramentas e


Dezembro/2018


comandos que podem auxiliar na Análise Forense, desde a criação, montagem e coleta de

evidências até a validação das informações obtidas, reparos e recuperação de dados.

Um bom ponto de partida são informações coletadas nos logs do sistema, onde podemos

encontrar informações muito valiosas para nossa análise.

Iremos utilizar algumas ferramentas que irão nos auxiliar nas buscas por evidências de

rootkits e exploits utilizados para o comprometimento do sistema, também utilizaremos

diversos comandos do próprio sistema operacional que nos auxiliará nas buscas.

Como alguns logs e históricos de comandos podem ter sido apagados pelo invasor,

utilizaremos ferramentas e técnicas para a recuperação de possíveis dados apagados.

Utilizaremos alguma ferramenta de automação de análise forense como, por exemplo, a

ferramenta Autopsy, que agiliza muito o trabalho dos peritos.

Com as informações obtidas poderemos fazer a reconstituição do ataque, ou seja, detalhar os

passos que o invasor utilizou no sistema.

3.1 Autenticando a imagem adquirida

Após a obtenção da imagem devemos autenticar e documentar todas as informações

coletadas, essas informações podem ser autenticadas através do comando md5sum, esse

comando gera um hash criptográfico dos dados passados como entrada.

Pode se gerar o hash de um arquivo da seguinte maneira:

#md5sum “arquivo à ser autenticado”

A imagem que estamos utilizando como exemplo, possuem seis partições, ou seja, são seis

imagens diferentes sendo uma imagem para cada partição utilizada no servidor

comprometido.

Cada imagem das partições deve ser autenticada, ou seja, é necessário gerar o hash

criptográfico para cada partição. O exemplo a seguir está gerando o hash da primeira imagem.

# md5sum /honey/honeypot.hda1.dd

a1dd64dea2ed889e61f19bab154673ab /honey/honeypot.hda1.dd

Após autenticar todas as imagens o próximo passo é montar as imagens.

3.2 Montando a imagem comprometida

Para evitar que algum arquivo comprometido na imagem seja executado, ou que um arquivo

de dispositivo seja usado indevidamente, a montagem deve ser feita respeitando os seguintes

parâmetros:

Somente para leitura (ro).,utilizando um dispositivo de loopback (loop, necessário para

montar imagem de disco), o sistema não deve atualizar a data de acesso dos arquivos

(noatime), e não deve considerar nenhum arquivo na imagem como arquivo de dispositivo ou

executável (nodev, noexec).


Dezembro/2018


#mount arquivo.dd ponto de montagem –o ro, loop, noatime, nodev,

noexec -t ext2

Exemplo de montagem da primeira imagem:

#mount /honey/honeypot.hda1.dd /mnt/honey/boot/ -o ro, loop,

noatime, nodev, noexec -t ext2

Após montar todas as imagens é hora de começar a análise.

3.3 Obtenção e análise de evidências

Com as imagens montadas e devidamente documentadas, começaremos a utilizar técnicas

para obter algumas evidências, começaremos verificando alguns arquivos de logs e históricos

de comandos.

3.3.1 Arquivos de logs

Os arquivos de logs representam uma das fontes de informações mais valiosas sobre as

atividades do sistema. A análise destes arquivos é uma etapa muito importante.

Deve-se levar em conta que esses arquivos de logs podem ser alterados pelo invasor, ou

direcionados para uma área vazia do sistema operacional como /dev/null.

Arquivo de log Descrição e Características

utmp Registra os usuários atualmente “logados” no sistema. Apresenta-se

no formato binário e pode ser acessado pelos comandos w, who,

users e finger. Encontra-se no diretório /var/run

wtmp Registra todos os logins, logouts, reboots, shutdowns e mudanças no

tempo do sistema. Apresenta-se no formato binário e pode ser

acessado pelos comandos last e ca

btmp Registra as tentativas mal sucedidas de login. Apresenta-se no

formato binário e pode ser acessado pelo comando lastb

lastlog Registra o momento e origem do login mais recente de cada usuário.

Apresenta-se no formato binário e pode ser acessado pelo comando

lastlog

boot.log e demesg Registram as mensagens relativas ao processo de inicialização do

sistema. Apresentam-se no formato texto

messages ou

syslog

Registra vários eventos e informações do sistema e aplicativos.

Representa o principal arquivo de log do sistema e geralmente

contém informações encontradas também em outros arquivos de log

como, por exemplo, tentativas mal sucedidas de login

secure Registra mensagens privadas de programas relativos a autorização de

usuários. Apresenta-se no formato texto

sulog Registra o uso do comando su

access_log Registra os acessos ao servidor http. Apresenta-se no formato texto


Dezembro/2018


xferlog Registra os acessos ao servidor FTP. Apresenta-se no formato texto

cron Registra a execução de tarefas agendadas. Apresenta-se no formato

texto

maillog Registra mensagens relativas aos serviços de correios eletrônicos.

Apresenta-se no formato texto

aculog Registra o uso de conexões dial-out

pacct ou acct Registram os processo executados por cada usuário. Apresenta-se no

formato binário e podem ser acessados pelos comandos lastcomm,

acctcom e as

histoy files

(.history,

.sh_history,

.bash_history)

Registram os comandos recentemente executados por cada usuário.

Apresentam-se no formato texto e encontram-se no diretório de cada

usuário

logs de firewall e

sistemas de

detecção de

intrusão

Registram conexões permitidas e ou rejeitadas e eventos

caracterizados como possíveis intrusões

Tabela 2 - Arquivos de logs

Ao começar a verificar os arquivos de logs percebemos que o log “Secure” que registra

mensagens privadas de programas relativos às autorizações de usuários possuem registros

importantes nesta análise, este log apresenta-se no formato texto.

# cat secure

Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2


Este arquivo de log nos mostra que foram feitas conexões telnetd partindo do ip

216.216.74.2. Normalmente o sistema não disponibiliza acesso telnet, por falta de segurança

desse protocolo.

Com essas informações podemos verificar de onde partiu estas tentativas de conexões

utilizando o protocolo telnet, utilizaremos o comando whois:

Whois é um protocolo desenvolvido exclusivo para consultar informações de contato e

informações do DNS sobre entidades na internet (TANENBAUM, 2003].

Ao utilizar o comando whois obtém-se informações importantes sobre esta conexão via telnet

que acessou o sistema, informações da localidade que partiu a conexão (País, Cidade, Estado)

e informações do responsável pelo domínio.

Exemplo de utilização do comando whois.

# whois “Domínio ou IP”

Após a verificação dos logs, já podemos afirmar que já temos informações importantes sobre

a análise, informações que devem estar documentadas.

http://pt.wikipedia.org/wiki/DNS

http://pt.wikipedia.org/wiki/Internet


Dezembro/2018


3.3.2 Arquivos de históricos de comandos

Uma das principais preocupações do invasor ao conseguir acesso ao sistema é apagar seus

rastros deixados, por isso na maioria das vezes os arquivos de logs e históricos não são

encontrados no sistema comprometido.

Os históricos de comandos são criados pelo Shell que o usuário executa e, geralmente são

armazenados em arquivo no fim da seção, com isso, alguns invasores costumam remover o

histórico e redirecionar o arquivo para o dispositivo /dev/null.

# find /mnt/honey/ -name .*history –ls

Com a utilização deste comando podemos localizar os arquivos de históricos.

Com a busca do arquivo de histórico, percebemos se o arquivo contém informações

importantes, ou seja, os comandos utilizados pelo invasor, neste caso o invasor redirecionou

os arquivos de histórico para /dev/null, então o sistema não grava nada do que foi feito no

histórico.

3.3.3 Ferramentas de verificação de arquivos de sistema

A procura de evidências manualmente pode ser muito demorada, nesses casos, pode ser mais

eficiente utilizar algumas ferramentas para facilitar a pesquisa.

Utilizaremos três ferramentas: o software chkrootkit [Murilo and Steding 2009], o antivírus

Clamav [Franklin 2009] e o Rkhunter [Boelen 2018].

3.3.3.1 Chkrootkit

Iremos começar, utilizando o software chkrootkit para examinar a existência de evidências de

algum rootkit que tenha sido instalado no disco comprometido.

Vejamos os programas contidos no pacote Chkrootkit.

Chklastlog - Ferramenta que verifica se houve alguma mudança no arquivo lastlog do

sistema

Chkwtmp - Ferramenta que verifica indícios de remoções de entrada no arquivo

/var/log/wtmp

Ifpromisc - Ferramenta que verifica se há interfaces de rede em modo promíscuo, estado

geralmente associado a instalação de sniffers.

O Chkrootkit é um shell script que contém chamadas para todos os outros programas do

pacote, este shell script implementa, dentro de seu código, e faz diversos testes procurando

vestígios que caracteriza a presença de algum rootkit ou malware [Murilo and Steding 2009].

Utilizaremos o comando a seguir para verificar se há rootkits ou malwares no sistema.

# /opt/chkrootkit-0.48/chkrootkit /mnt/honey

Os resultados nos mostram que alguns arquivos no sistema estão infectados, como podemos

ver:


Dezembro/2018


Checking `ifconfig'... INFECTED

Checking `identd'... INFECTED

Checking `ps'... INFECTED

Checking `top'... INFECTED

3.3.3.2 Clamav

Utilizaremos o antivírus Clamav (FRANKLIN, 2009) para verificação de existência de vírus

no sistema. Com o comando a seguir será possível fazer a varredura em todas as partições

montadas dentro do diretório /mnt/honey.

# clamscan -i -r /mnt/honey/

Known viruses: 465915

Scanned directories: 1290

Scanned files: 22156

Infected files: 4

Data scanned: 370.42 MB

Time: 89.546 sec (1 m 29 s)

Com o resultado obtido mostra a detecção de quatro arquivos infectados. Sendo possíveis

Exploit que possivelmente foram utilizados para explorar vulnerabilidades existentes no

sistema.

3.3.3.3 Rkhunter

Rkhunter é uma ferramenta digital que assegura aos usuários segurança quanto à questão de

ferramentas maliciosa instalados no sistema (BOELEN, 2018). O Rkhunter faz uma varredura

em todo o sistema à procura de rootkits, backdoors e exploits locais e executa testes como:

• Comparação de hash MD5

• Localiza arquivos padrões utilizados por rootkits

• Erros de permissão em arquivos binários

• Localiza arquivos ocultos

Ao utilizar o Rkhunter em nossa análise o resultado final nos traz informações sobre a

infecção da imagem com um rootkit.

# rkhunter -c -r /mnt/honey

Com a execução do Rkhunter foi localizado na imagem o seguinte Rootkit:

Rootkit names : TeLeKiT Rootkit

3.3.4 Comandos do próprio Sistema Operacional

Como já citado, o próprio Sistema Operacional possui diversas ferramentas que nos auxiliam

na busca por evidências. Vejamos alguns comandos úteis na Análise Forense.


Dezembro/2018


3.3.4.1 Strings

Esse comando extrai de um arquivo ou imagem caracteres que podem ser mostrados em um

terminal. Normalmente, dentro de um arquivo executável, por exemplo, existem mensagens e

textos que são apresentados durante a execução do mesmo.

#strings –a arquivo

A opção –a garante que o comando irá varrer todos os arquivos.

O comando strings dentro de uma imagem pode revelar informações ou identificar pista sobre

o invasor como, arquivos que ele acessou, mensagens de erros fornecidas, nomes de funções e

bibliotecas utilizadas. Em alguns casos é possível encontrar palavras comumente utilizadas

por atacantes, na forma de senhas (a palavra “sartori" é usada como senha em alguns rootkits),

gírias (a palavra “hacked", por exemplo).

Uma forma bem útil de se utilizar o comando strings é retirar o que é string dentro de uma

imagem e redirecionar para um arquivo para utilizá-la como fonte para outras coletas.

Exemplo:

# strings -a -n4 /honey/honeypot.hda1.dd >

/hone/honeypot.hda1.img.str









3.3.4.2 Grep

O comando Grep procura por padrões em um arquivo, usados em conjunto com o comando

strings torna-se uma ferramenta importante para encontrar evidências.

# grep -i -n Troj /honey/honeypot.hda8.img.str

198654:echo "Trojaning in progress"

245849:envoye_don_le_trojan

Após executar o comando acima, podemos ver a execução de um trojan.

Com a utilização das ferramentas citadas, e analisando os resultados já podemos descrever

alguns passos do atacante.

1° - O atacante faz instalação do servidor ssh-1.2.27;


Dezembro/2018


2° - O atacante utilizou a pasta /mnt/honey/usr/man/.Ci/ para descompactação do

arquivo named.tar e execução de binários, logo após a descompactação foi criada a pasta bin

onde o mesmo executou o binário install (./install), e depois excluiu o arquivo named.tar;

3° - O Atacante apagou os arquivos de históricos (/root/.bash_history, \.bash_history,

~games/.bash_history), logo após cria links simbólicos redirecionando os mesmos para

/dev/null;

4° - Ainda no mesmo diretório executa o arquivo binário fix para substituir arquivos

binários do sistema como: top, syslogd, ifconfig, ls, netstat por aquivos possivelmente

alterados. Logo após ele para o serviço syslogd e todos os processos filhos com o comando

killall -HUP syslogd, e executa os arquivos addbd e snif;

Com essas informações obtidas e documentadas, podemos passar para outra parte

muito importante também, a recuperação de dados apagados.

3.3.5 Recuperação de arquivos apagados

A primeira coisa a fazer antes de recuperar arquivos é descobrir mais informações sobre o

sistema de arquivos. Para isso vamos utilizar a ferramenta fsstat.

O fsstat exibe todos os detalhes do sistema de arquivo. Abaixo segue o exemplo de utilização

da ferramenta

# fsstat /honey/honeypot.hda8.dd

FILE SYSTEM INFORMATION

--------------------------------------------

File System Type: Ext2

Volume Name:

Volume ID: ca30f07dda90619fd411b6b20af11456

Last Written at: Thu Nov 9 01:10:13 2000

Last Checked at: Sat Nov 4 22:55:29 2000

Last Mounted at: Sun Nov 5 13:33:19 2000

Unmounted Improperly

Last mounted on:

Source OS: Linux

Dynamic Structure

InCompat Features: Filetype,

Read Only Compat Features: Sparse Super,

METADATA INFORMATION

--------------------------------------------


Dezembro/2018


Inode Range: 1 - 66529

Root Directory: 2

Free Inodes: 59484

CONTENT INFORMATION

--------------------------------------------

Block Range: 0 - 266079

Block Size: 1024

Reserved Blocks Before Block Groups: 1

Free Blocks: 225447

Com a utilização da ferramenta podemos identificar que o sistema de arquivos da imagem

analisada é Ext2, e que o tamanho padrão do bloco de disco é de 1024 bytes.

Sabendo o tamanho do bloco do disco, podemos começar a procurar por arquivos removidos,

anteriormente vimos que o invasor executou arquivos binários partindo do arquivo

“named.tar” e logo após removeu o mesmo, para obtermos informações sobre arquivos

removidos ou sobrescritos que ainda estão armazenados no disco utilizaremos o comando fls.

# fls -f linux-ext2 -adpr /honey/honeypot.hda5.dd

O comando acima exibe os arquivos apagados e sobrescritos, vemos também os inodes onde

eles se encontram, vimos que alguns arquivos estão sobrescritos “realloc”.

Como podemos ver o arquivo que procuramos não foi sobrescrito. Vamos descobrir mais

informações sobre o inode em que esse arquivo está armazenado utilizando o comando istat:

# istat -f linux-ext2 /honey/honeypot.hda5.dd 109861

De acordo com o comando acima, o inode não está alocado e que o inode foi modificado no

dia 08/11/2000 às 12:54:43. Para descobrir qual o nome do arquivo que está alocado neste

inode, é necessário utilizar a ferramenta ffind:

# ffind -f linux-ext2 /honet/honeypot.hda5.dd 109861

• /man/.Ci/named.tar

Para tentar recuperar o arquivo inteiro utilizaremos a ferramenta icat, como é mostrado no

exemplo abaixo:

# icat -f linux-ext2 /honey/honeypot.hda5.dd 109861 >

/honey/named.tar

# tar xvf /honey/named.tar

Com a utilização do comando citado acima, recuperamos o arquivo named.tar, após extrair o

arquivo podemos visualizar os arquivos utilizados pelo atacante, como exemplo os scripts

utilizados.

3.3.5.1 Recuperando arquivos parcialmente sobrescritos


Dezembro/2018


Recuperar um arquivo apagado pode ser uma tarefa muito simples. No entanto, a informação

que queremos pode ter sido sobrescrita. Nesses casos talvez seja possível recuperar uma parte

da evidência, o que pode nos dar mais pista sobre o caso.

Os primeiros passos a serem tomados é extrair da imagem do disco, todos os espaços que não

estiverem alocados para nenhum arquivo, o comando para extrair os blocos não alocados é o

dls:

# dls -f linux-ext2 /honey/honeypot.hda8.dd >

/honey/hda8.img.dls

O arquivo /honey/hda8.img.dls contém todos os blocos de disco que não estavam alocados

para arquivos.

Vamos tentar encontrar neste arquivo a existência de algum histórico de comando. Como

vimos anteriormente, o invasor utilizou um arquivo named.tar e logo após o removeu.

Procurando pela execução do comando rm -rf, podemos encontrar algum histórico de

comando que tenha armazenado o que o invasor fez.

# grep -ab "rm -rf" /honey/hda8.img.dls

O parâmetro utilizado com o comando grep serve para que ele analise o arquivo binário e

mostre o endereço em bytes onde ocorre o padrão procurado, a partir deste resultado obtemos

a informação de arquivos de históricos deletados e o arquivo named.tar que foi utilizado pelo

invasor.

O endereço em bytes que encontramos necessita ser convertido em um endereço de bloco de

disco, como cada bloco tem 1024 bytes de tamanho, dividindo o número encontrado pelo

tamanho do bloco, temos o bloco em que o texto procurado está armazenado. Para isso vamos

utilizar uma funcionalidade do shell bash:

# echo $((92321290/1024))

90157

Para saber em que posição do disco original vamos encontrar o mesmo texto, precisamos

utilizar o comando dcalc:

# dcalc -u 90157 /honey/honeypot.hda8.dd

96117

Descobrimos então que o endereço real do bloco que armazena o arquivo procurado é 96117.

Podemos verificar que o bloco não está alocado utilizando o comando dstat:

# dstat /honey/honeypot.hda8.dd 96117

Fragment: 96117

Not Allocated

Group: 11


Dezembro/2018


Precisamos agora descobrir se existe algum inode que aponte para esse bloco. Com isso

poderemos encontrar o arquivo completo que contém o comando rm -rf /root/.bash_history.

Utilizaremos o comando find para isso:

# ifind -a -d 96117 /mnt/hda8/imagens/honeypot.hda8.dd

Inode not found

Como não encontramos um inode que apontasse para esse bloco, teremos que recuperar os

blocos de disco que conseguirmos, e tentar recuperar o máximo possível do arquivo original.

Isso é feito com o comando dcat, neste momento é importante lembrar que quando um

arquivo é gravado no disco o algoritmo de gravação tentará gravar os dados em posições

sequenciais no disco, por isso quando for necessário recuperar partes do arquivo, tente

recuperar blocos imediatamente antes e depois daquele em que está a informação de que você

precisa, pois quase sempre será possível recuperar mais um pedaço do arquivo.

# dcat -f linux-ext2 /mnt/hda8/imagens/honeypot.hda8.dd 96112 7

O comando executado acima informa o dcat para capturar sete blocos a partir do bloco 96112.

3.4 Ferramentas de automação de análise

Teoricamente poderíamos fazer todo um inquérito através de ferramentas de linha de

comando, mas este processo pode se tornar muito trabalhoso até que sejam obtidos os

resultados pretendidos, então podemos utilizar ferramentas para automatizar estas tarefas,

tornando a análise mais produtiva.

A seguir utilizaremos a ferramenta de automação de análise, Autopsy.

3.4.1 Autopsy

O Autopsy é uma ferramenta de Auditoria e Análise Forense, o Autopsy foi desenvolvido

para automatizar o processo da perícia sem limitar o que um investigador pode fazer, pois

podemos conciliar a sua aplicação com outras ferramentas do sistema e do próprio Sleuth Kit

(framework de ferramentas em que o Autopsy é baseado) para obtermos resultados detalhados

e precisos do processo de invasão (TSK, 2018).

Autopsy é baseado em HTML e é basicamente um servidor Web que trabalha como

um front-end de ferramentas do TSK (The Sleuth Kit) (TSK, 2018).

Para uma análise o Autopsy fornece gestão de casos, a fim de possibilitar ter vários hosts por

caso e cada máquina pode ter o seu próprio horário e banco de dados de hashs.

Todas as ações são registradas de modo que possamos manter informado sobre o que está

analisando, podemos fazer anotações sobre provas que foram encontradas criando uma cadeia

de custódia das informações.

3.4.1.1 Modos de Análise

O Autopsy também permite classificar todos os arquivos baseados nos tipos e fazer páginas

HTML com os screenshots de evidências encontradas por ele, existe na ferramenta um evento


Dezembro/2018


sequenciador que lhe permite fazer anotações baseadas em dados temporais das provas, e que

tipo de dados (MARCELLA AND MENENDEZ, 2008).

3.4.1.2 Procura de evidências no Autopsy

As evidências devem ser procuradas de acordo com as seguintes técnicas:

• Listagens de arquivos: permitem verificar e analisar arquivos e diretórios, inclusive aqueles

apagados.

• Conteúdo do arquivo: permite a visualização do conteúdo do arquivo que pode ser visto em

hexadecimal, raw, ou em strings ASCII.

• Hash Databases: mantêm um banco de dado de hash de todos os arquivos e sistemas de

arquivos.

• Organização por tipo de arquivo: permite organizar os arquivos conforme as assinaturas de

tipos de arquivos.

• Timeline das ações: permite criar uma linha de tempo, das ações ocorridas no sistema.

• Procura por palavra: permite procurar uma String específica dentro do sistema de arquivo.

• Data Unit Analisys: os “data units” são os arquivos guardados no hard disk.

• Detalhes do sistema de arquivo: permite visualizar os detalhes do sistema de arquivo que

podem ser vistos, incluindo o layout do disco e o time activity.

No Autopsy as investigações são organizadas como Cases (Casos), onde cada um deles pode

possuir um ou mais hosts.

Uma sequência de eventos pode ser organizada de acordo com um IDS ou até logs de

firewall, os relatórios da ferramenta são gerados em formato ASCII, facilmente lidos em

qualquer sistema operacional.

3.5 Análise manual X Análise automatizada

A utilização manual das diversas ferramentas para Análise Forense se dá na maioria das vezes

em utilização de prompt de comando, ou seja, as informações resultantes das ferramentas são

apresentadas na forma de saída de comandos, tornando esse trabalho mais demorado e um

pouco mais complexo.

Com a utilização de alguma ferramenta de automação de Análise Forense, no nosso caso

utilizamos como exemplo a ferramenta Autopsy, tornando mais ágil e produtivo o trabalho

executado, pois a própria ferramenta automatiza diversos processos e o resultado é obtido em

forma de relatório facilitando a leitura dos resultados.

Sendo assim as duas formas apresentadas fornecem resultados bastante semelhantes,

concluímos que a escolha se dá ao critério do perito, pois mesmo utilizando a ferramenta de

automação não se limita apenas a tal ferramenta, é possível utilizar outras ferramentas no

processo.


Dezembro/2018


3.6 Cronologia e reconstrução do ataque

Até agora podemos afirmar que é possível encontrar em um sistema comprometido diversos

tipos de evidências que permite ao analista descobrir o que aconteceu no sistema e

provavelmente, quem foi o responsável pela invasão.

Devemos sempre lembrar que as informações coletadas em um sistema comprometido não

são totalmente confiáveis, é importante correlacionar todas as evidências coletadas na

máquina com outros dados, coletados em outros locais. Por exemplo, informações

conseguidas entrevistando potenciais suspeitos, logs de firewall, roteadores, servidores de e-

mail, servidores de arquivos.

O objetivo de se montar uma cronologia dos acontecimentos é tentar identificar o momento

em que as evidências encontradas foram criadas modificadas ou acessadas.

Inicialmente, vamos identificar as informações que temos sobre o sistema.

No arquivo boot.log podemos visualizar quando a máquina foi ligada.

# cat /mnt/honey/var/log/boot.log

No arquivo acima podemos ver que o sistema foi iniciado no dia 5 de novembro às 09:33

porém não temos o ano, para isso executaremos o seguinte comando:

# ls -ls /mnt/honey/var/log/boot.log

1 -rw-r--r-- 1 root root 999 Nov 5 2000 /mnt/ honey/ var/log

/boot.log

Podemos ver que foi no ano 2000. Então a máquina foi iniciada no dia 5 de novembro de

2000 às 09:33.

Sabemos também através do arquivo “secure” que houve uma conexão telnet no dia 08 de

novembro de 2000 às 00:08:40



O próximo passo é obter as informações de data/hora de acesso e modificação de todos os

arquivos no sistema. Essas informações permitirão ordenar cronologicamente as evidências

encontradas anteriormente.

Os pacotes de ferramentas forenses que estamos utilizando possuem duas ferramentas que,

quando utilizadas em conjunto permitem extrair essas informações. A ferramenta fls que pode

ser utilizada para mostrar informações de tempo dos arquivos listados. Mas como essas

informações não estão em um formato muito fácil de ser entendido, vamos utilizar a

ferramenta mactime para converter o padrão unixtime em um formato mais fácil de ser

entendido.

Analisando as mactimes geradas percebemos as seguintes alterações em “hosts.deny” e logo

após em “hosts.allow”.


Dezembro/2018


Wed Nov 08 2000 14:45:18 0 .a. -/-rw-r--r-- root root 26217

/etc/hosts.deny

161 .a. -/-rw-r--r—root root 26216 /etc/hosts.allow

Como já vimos, o invasor removeu o arquivo hosts.deny e logo após criou outro, e fez o

mesmo com o arquivo de log wtmp, depois parou os processos klogd e syslogd e removeu

todos os arquivos de log no diretório /etc/init.d/*log*. O invasor removeu todos os arquivos

de log que pudessem mostrar informações de como conseguiu seu acesso.

Examinando momentos depois, verificamos quando o invasor excluiu os arquivos de

históricos e os redirecionou para /dev/null.

Wed Nov 08 2000 14:52:09

9 m.c l/lrwxrwxrwx root root 46636 /root/.bash_history ->

/dev/null

9 m.c l/lrwxrwxrwx root root 23 /.bash_history -> /dev/null

Logo abaixo vemos a execução de possíveis scrips e arquivos binários partindo do diretório

/usr/man/.C

Após a utilização dos scripts o invasor removeu suas ferramentas utilizadas na invasão.

Neste trecho do arquivo de log temos o horário em que o invasor possivelmente fez “logout”

na máquina:

Wed Nov 08 2000 15:03:15

24 .a. -/-rw-r--r—root root 46631 /root/.bash_logout

Somente no outro dia temos um novo login, mas provavelmente não é do invasor, já que não

foi registrado mais nenhuma execução de nenhum programa, e o ultimo registro que tivemos

foi no dia 09 de Novembro de 2000 às 03:11:49.

3.7 Reconstituição do ataque

A última coisa a ser feita em uma análise forense é reconstituir o ataque e as ações do invasor

com base nas informações e evidências coletadas.

Normalmente, é usada uma tabela para relacionar os eventos, as evidências e as ações

identificadas.

Data Ação/Evidência

05-Nov-2000 09:33:40 Inicialização do Sistema

08-Nov-2000 00:08:40 Possível acesso ao sistema via telnet

08-Nov-2000 14:45:18 Substituição dos arquivos hosts.deny e hosts.allow

08-Nov-2000 14:45:18 Parada dos serviços syslogd e klogd

08-Nov-2000 14:51:53 Possível cópia da pasta .Ci utilizada pelo invasor


Dezembro/2018


08-Nov-2000 14:52:10 Remoção do arquivos de histórico (/.bash_history,

/root/.bash_history), e redirecionamento para /dev/null

08-Nov-2000 14:52:13 Execução de scripts e arquivos binários partindo do diretório

/usr/man/.Ci, possível instalação de Rootkits e Exploit

08-Nov-2000 14:53:10 Instalação do serviço ssh

08-Nov-2000 14:54:05 Remoção de arquivos do diretório /usr/man/.Ci, utilizados pelo

invasor

08-Nov-2000 14:55:58 Alteração dos arquivos shadow e passwd através do script

/usr/man/.Ci/do

08-Nov-2000 14:56:11 Execução do script /usr/man/.Ci/rmS para remover arquivos de

instalação de serviços utilizados pelo invasor

08-Nov-2000 15:03:15 Possível logout do invasor

09-Nov-2000 02:37:30 Possível login efetuado por outro usuário

16-Abr-2012 23:00:00 Começa a Investigação

Tabela 3 - Cronologia e Reconstituição do Ataque

4 Conclusão

Com a necessidade de investigar os crimes cometidos através de ambientes computacionais,

surge a necessidade de utilizar e criar novas técnicas para investigar tais crimes.

Neste artigo utilizamos algumas técnicas existentes para análisar e coletar evidências em um

sistema comprometido.

Com a utilizaçao de diversas ferramentas, incluindo algumas do próprio sistema operacional

que nos oferece diversas informações importantes, como exemplo, os logs, analizamos e

obtivemos um resultado satisfatório, este resultado que teve por objetivo comprovar a autoria

e identificar as técnicas utilizadas na invasão, incluindo os passos que o invasor utilizou para

comprometer o sistema, também foi possível localizar de onde partiu o ataque.

Com todas as informações devidamente documentadas e autenticadas, foi possível fazer a

reconstituição do ataque, identificando a ordem cronológica dos eventos executados pelo

invasor. Com essa cronologia foi possível montar uma tabela com a reconstituição do ataque,

esta tabela nos mostra quando o atacante iniciou sua primeira conexão até quando deslogou

do sistema.

A finalidade de executar uma análise forense em um sistema comprometido nem sempre se dá

ao âmbito judicial, mas também para identificar as técnicas utilizadas pelos invasores, e com

estas informações se preparar para evitar novos ataques.

No âmbito judicial estas informações devidamente autenticadas podem ser apresentadas

perante juízo como forma de prova para comprovar a responsabilidade de tal ato à um

determinado indivíduo.


Dezembro/2018


A importância da Análise Forense Computacional para a segurança digital, não está voltada

apenas para identificar responsáveis por delitos digitais, mas também, identificar as técnicas e

ferramentas utilizadas por criminosos digitais. Com a identificação dessas técnicas é possível

desenvolver novas ferramentas para detectar e proteger contra ações destes criminosos.

A sugestão para futuros trabalhos é o desenvolvimento de uma plataforma para Análise

Forense em dispositivos móveis como, smartphones e tablets, pois estes dispositivos já se

dispõe de grande capacidade de processamento tornando-se possíveis ferramentas para

realização de crimes digitais, ou até mesmo sendo vítimas de ataques.

Referências BOELEN, Michael (2018) “The Rootkit Hunter Project”, http://rkhunter.sourceforge.net/,

acesso em Março 2018.

CGI (2018) “Comitê Gestor da Internet no Brasil”, http://www.cgi.br/, acesso em Março

2018.

CERT.BR (2018), “Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil - Estatística de Incidentes de Segurança”,

http://www.cert.br/stats/incidentes/”, acesso em Março 2018.

FARMER AND VENEMA (1999), “Murder on the internet Express”, 1st Edition, Prentice

Hall.

FARMER AND VENEMA (2006) “Perícia Forense Computacional, Teoria e Prática”, 1ª

Edição, Prentice Hall, Brasil.

FRANKLIN ST, Fifth Floor (2009) “Clam Antivírus”, http://www.clamav.net/lang/pt/about/,

acesso em Março 2018.

MARCELLA, Albert J. and Menendez, Jr. Doug (2008) “Cyber Forensics”, 2th Edition,

Auerbach Publications, United States of America.

MARSHALL, Angus M. (2008) “Digital Forensics, Digital Evidence in Criminal

Investigation”, 1st Edition, JohnWiley & Sons, Ltd, United Kingdom.

MELO, Sandro (2009) “Computação Forense com Software Livre”, Editora Alta Books,

Brasil.


Dezembro/2018


MURILO, Nelson and Steding-Jessen, Klaus (2009) “Provides open source application to

check for presence of rootkits installed on Linux/Unix machines”,

http://www.chkrootkit.org, acesso em Fevereiro 2018.

NORTHCUTT, Stephen (2000) “Como Detectar Invasão em Redes, um Guia para

Analistas”, 1ª Edição, Ciência Moderna, Brasil.

RNP (2008) “Rede Nacional de Ensino e Pesquisa – (Auditoria e Análise Forense)”,

Brasil.

TANENBAUM, Andrew S. (2003) “Redes de Computadores”, 4ª Edição, Editora Campus,

Brasil.

The HoneyNets Project’s (2012), “The HoneyNet Project’s Forensic Challenge”,

http://old.honeynet.org /challenge/index.html, acesso em Janeiro 2018.

TSK (2018) “The Sleuth Kit”, http://www.sleuthkit.org/autopsy/index.php, acesso em

Fevereiro 2018.

IBGE (2014), “Acesso à internet e à televisão e posse de telefone móvel celular para uso

pessoal”, / IBGE, Coordenação de Trabalho e Rendimento. – Rio de Janeiro. 89p.

Documents

Análise Forense: Técnicas e Reconstituição de Ataques ... · São crimes cometidos por meio eletrônico, ou seja, o criminoso utiliza sistemas computacionais para cometer o tal