AnALise Forense. em Memoria. Ricardo Kléber Martins Galvão

Transcrição

1 AnALise Forense em Memoria Ricardo Kléber Martins Galvão SecurityDay :: 23/11/2013

2 Análise Forense Definindo e Contextualizando... A aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade (Manual de Patologia Forense do Colégio de Patologistas Americanos, 1990). Levantar evidências que contam a história do fato: Quando? Como? Porque? Onde? Normas e Procedimentos

3 Computação Forense Definindo e Contextualizando... Supre as necessidades das instituições legais para manipulação de evidências eletrônicas; Estuda a aquisição, preservação, identificação, extração, recuperação e análise de dados em formato eletrônico; Produz informações diretas e não interpretativas. Auxilia em investigações que apuram desde violações de normas internas a crimes eletrônicos

4 Computação Forense Use com moderação e responsabilidade... Lei /2012 Art. 154-A Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena detenção, de 03 (três) meses a 01 (um) ano, e multa. 1 o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. 2 o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

5 Computação Forense É necessário se especializar... A contestação de técnicas periciais utilizadas (quando provada tecnicamente) pode inviabilizar todo o esforço pericial... Na maioria das vezes é mais fácil provar que as técnicas utilizadas foram inadequadas que provar que o acusado é inocente... Boaz Guttman ( Não basta formação/conhecimento na área... Perícia em Informática é coisa séria!!!

6 Computação Forense Contextualizando... Conceitos Importantes Evidências Não-Voláteis x Voláteis Tipos de Análise: In Loco Post mortem Recuperação Extração

7 Computação Forense Contextualizando... O que Coletar/Analisar? Mídias Hds, pendrives, cds, dvds... Dispositivos não convencionais Câmeras digitais, óculos/relógios/pulseiras... (com dispositivos de armazenamento). Dados trafegando na rede Grampos digitais para interceptar dados trafegando entre equipamentos Dados em memória O que está (ou estava) na memória volátil

8 Computação Forense em... Mídias Captura, recuperação, extração e análise (com ferramentas apropriadas)

9 Computação Forense em... Redes Captura de tráfego e realização da Extração (com ferramentas apropriadas)

10 Computação Forense em... Memória Análise a quente dos dados da memória Dump (cópia de conteúdo de memória) e análise (com ferramentas apropriadas)

11 Análise Forense em Memória Definição e Pontos Relevantes Manipulação e/ou captura e análise de dados armazenados na memória volátil (passível de perda no desligamento ou sobrescrita no funcionamento normal) do equipamento O que buscar? Arquivos abertos, bibliotecas em execução, módulos ativos Processos em execução e conexões estabelecidas Senhas (sem criptografia) armazenadas temporariamente Informações de controle do Sistema Operacional Dados do registro (Windows) por exemplo... Malwares!!!

12 Análise Forense em Memória Análise a quente Abordagem que deve ser planejada com cuidado!!! Acesso ao sistema ligado Possibilidade de: Contaminação de dados Destruição de evidências Contestação judicial (quando for o caso) Provável impossibilidade de repetição de atividades de análise

13 Análise Forense em Memória Análise a quente Comandos "básicos" do Windows ipconfig, arp, nbtstat, netstat, net,... Ferramentas complementares (avançadas): Sysinternals Process Explorer Autoruns DiskMon NTFSInfo PortMon PsExec PsFile PsInfo PsList PsLogList PsService PsSuspend RAMMap Registry Usage RootKitRevealer Strings TCPView (...) Outros Desenvolvedores: NirSoft Foundstone

14 Análise Forense em Memória Análise a quente COFEE (Computer Online Forensic Evidence Extractor) Ferramenta Law Enforcement da Microsoft puter_online_forensics_evidence_extractor)_tool _and_documentation,_sep_2009

15 Análise Forense em Memória Análise a quente COFEE (Computer Online Forensic Evidence Extractor) Conjunto de comandos do próprio Windows e da Sysinternals arp.exe a at.exe autorunsc.exe getmac.exe handle.exe a hostname.exe ipconfig.exe /all msinfo32.exe /report %OUTFILE% nbtstat.exe n nbtstat.exe A nbtstat.exe S nbtstat.exe c net.exe share net.exe use net.exe file net.exe user net.exe accounts net.exe view net.exe start net.exe Session net.exe localgroup administrators /domain net.exe localgroup net.exe localgroup administrators net.exe group netdom.exe query DC netstat.exe ao netstat.exe no openfiles.exe /query/v psfile.exe pslist.exe pslist.exe t psloggedon.exe psservice.exe pstat.exe psuptime.exe quser.exe route.exe print sc.exe query sc.exe queryex sclist.exe showgrps.exe srvcheck \ tasklist.exe /svc whoami.exefee

16 Análise Forense em Memória Análise a quente COFEE (Computer Online Forensic Evidence Extractor) DECAF = Ferramenta para detecção e subversão de dados enviados para o COFEE Spoof de MAC Address Kill em processos ativos Shutdown na máquina Desabilita adaptadores de rede Desabilita portas USB Desabilita Floppy Drive (!!??) Desabilita CD/DVD-ROM Desabilita portas Seriais e Paralelas Apaga arquivos e pastas Apaga logs do Event Viewer Remove clientes torrent Apaga cache, cookies e histórico do browser

17 Análise Forense em Memória Dump + Análise post mortem Desafio inicial: Estrutura (não é um sistema de arquivos estruturado) Busca por expressões regulares (comando strings) = padrões/evidências Método manual Uso de ferramentas específicas para manipular imagens de memória Encontrar offsets das principais estruturas Extrair estruturas da memória/dump Recuperar evidências Análise Independe do sistema de arquivos analisado

18 Análise Forense em Memória A Captura (Dump) Captura (dump) pode ser realizada via hardware ou software Captura via Hardware (especializado) Suspensão do processador Captura da imagem via DMA (Direct Memory Access) Ex: Tribble Card Placa que deve ser instalada ANTES do comprometimento do sistema Vídeo de exemplo (Youtube):

19 Análise Forense em Memória A Captura (Dump) Captura (dump) via software Linux: Ferramentas para Aquisição (dump): dd/dcfldd (/dev/fmem) Windows: Ferramentas para Aquisição (dump): dd para Windows (dd.exe) Memparser (Chris Betz) Win32dd Win64dd DumpIt (Moonsols)

20 Análise Forense em Memória A Captura (Dump) Captura (dump) via software :: Outras Ferramentas: Mandiant Memoryze Mantech Memory DD Winen32/64 (Guidance) FastDump (HBGary) wiki/tools:memory_imaging

21 Análise Forense em Memória Análise post mortem Após aquisição de imagem de memória (dump) Uso de strings/grep e buscas específicas Carving Manual Exemplo (Sistemas Windows) Qual a Versão do Windows? Dump de memória + strings = arquivo_strings cat arquivo_strings egrep '(KB[0-9]{6})' grep -i windows Busca por expressões regulares: Nomes de pessoas/usuários s eventualmente disponíveis na memória Nomes de documentos, programas, senhas...

22 Análise Forense em Memória Análise post mortem Outras ferramentas para análise de imagens (dumps): FATKit WMFT Procenum Idetect VAD Tools FlyPaper WinDbg Memoryze (Mandiant) PTK (Framework) EnCase (Guidance) FTK (Access Data) F-Response HBGary Responder KnTTools

23 Análise Forense em Memória Framework Específico para Análise (múltiplos S.O.) Volatility (+plugins) Versão Atual: Linguagem de Desenvolvimento: Python Blog (alternativo): Plugins:

24 Análise Forense em Memória Framework Específico para Análise (múltiplos S.O.) Volatility (+plugins) Versão estável (pacote) de sua distribuição (Linux/Debian): apt-get install volatility Versão estável atualizada = Subversion (SVN): svn checkout

25 Análise Forense em Memória Framework Específico para Análise (múltiplos S.O.) # python vol.py -h Volatility Foundation Volatility Framework Usage: Volatility - A memory forensics analysis platform. Principais opções/parâmetros: -h help da ferramenta --conf-file=/root/.volatilityrc arquivo de configuração (default) -d modo de depuração (debug) --plugins=plugins diretório para plugins extras --info informações sobre todos os objetos

26 Análise Forense em Memória Framework Específico para Análise (múltiplos S.O.) # python vol.py --info Volatility Foundation Volatility Framework Profiles VistaSP0x64 VistaSP0x86 (...) Plugins apihooks atoms (...) - A Profile for Windows Vista SP0 x64 - A Profile for Windows Vista SP0 x86 - Detect API hooks in process and kernel memory - Print session and window station atom tables

27 Análise Forense em Memória com Volatility Uso em Dumps de Memória de Sistemas Windows Exemplos de uso de plugins no Volatility: python vol.py {plugin} -f {arquivo_dump} Informações sobre o sistema da imagem analisada: $ python vol.py imageinfo -f {arquivo_dump} Módulos/bibliotecas carregados: $ python vol.py modules -f {arquivo_dump} Sockets (Ips e portas com data/hora: $ python vol.py sockets -f {arquivo_dump} Processos ativos c/data/hora: $ python vol.py pslist -f {arquivo_dump}

28 Análise Forense em Memória com Volatility Exemplos de Uso :: Sistemas Windows Saída do parâmetro imageinfo: # python vol.py imageinfo -f imagem_windows.raw Volatility Foundation Volatility Framework Determining profile based on KDBG search... Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 Number of Processors : 1 Image Type (Service Pack) : 3 Image date and time : :29:25 UTC+0000 Image local date and time : :29:

29 Análise Forense em Memória com Volatility Exemplos de Uso :: Sistemas Windows Saída do parâmetro pslist: # python vol.py pslist -f imagem_windows.raw Volatility Foundation Volatility Framework Determining profile based on KDBG search... Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit x823c8830 System x82156a18 SMSS.EXE :05:13 UTC x81e42020 CSRSS.EXE :05:16 UTC x81f1a978 WINLOGON.EXE :05:16 UTC x81ead620 SERVICES.EXE :05:16 UTC x LSASS.EXE :05:16 UTC x SVCHOST.EXE :05:16 UTC x81d82158 SVCHOST.EXE :05:17 UTC x81f1f228 SVCHOST.EXE :05:18 UTC x8227bb28 EXPLORER.EXE :05:29 UTC x81d5ada0 ALG.EXE :05:33 UTC x82088a78 WORDPAD.EXE :08:40 UTC x820d3c10 cmd.exe :28:24 UTC x81f6d228 win32dd.exe :29:24 UTC+0000 (...)

30 Análise Forense em Memória com Volatility Exemplos de Uso :: Sistemas Windows Saída do parâmetro connscan: # python vol.py connscan -f imagem_windows.raw Volatility Foundation Volatility Framework Offset(P) Local Address Remote Address Pid x02350cd : : x024b : :139 4

31 Análise Forense em Memória com Volatility Windows 8 :: O que há de novo!!?? Suporte do Volatility para Windows8: - Versão 3.0 (em desenvolvimento) Addition of Windows 8 / Server 2012 Support/Testing Novos Profiles para Windows 8 = Win8SP0x86 Win8SP0x64 - Tutorial da nova versão: - Versão Atual (desenvolvimento) [24/02/2013] Preview Release 0.2: - Instalação via SVN: svn checkout volatility #./vol.py --help The Volatility Memory Forensic Framework technology preview (3.0_tp2)

32 Análise Forense em Memória com Volatility Windows 8 :: O que há de novo!!?? Plugins Disponíveis (versão 3.0_tp2): kdbgscan pslist pstree psscan dlllist dlldump pedump handles getsids cmdscan consoles procinfo memmap procexedump vadinfo vadwalk vadtree vaddump evtlogs modules modscan moddump driverscan filescan mutantscan symlinkscan thrdscan connections connscan sockets sockscan netscan hivescan hivelist printkey hivedump hashdump lsadump userassist shimcache getservicesids crashinfo hibinfo imagecopy raw2dmp malfind yarascan svcscan ldrmodules impscan apihooks idt gdt threads callbacks driverirp devicetree psxview timers

33 Análise Forense em Memória com Volatility Windows 8 :: O que há de novo!!?? Última Dica sobre o Volatility: - Versão 3.0 (em desenvolvimento) Traz, adicionalmente, ferramenta de Dump de Memória: WinPMEM /usr/share/volatility-3.0-tp2/tools/windows/winpmem Versão 1.1 Copyright 2012 Michael Cohen <scudette@gmail.com> Licença: Apache 2.0

34 Análise Forense em Memória com Volatility Imagens para Praticar NIST Computer Forensic Reference Data Sets (CFReDS Project): - Arquivo com várias amostras de imagens de memória: Imagens de Memórias disponibilizadas pelo Volatility (para testes):

35 Distribuições Específicas Facilitando a vida do Perito :) Distribuição Específica para Computação Forense Versão Atual: 8.0 Versão LiveCD e LiveUSB

36 Distribuições Específicas Facilitando a vida do Perito :) Nova Geração das distribuições para pentesting Sucessor do Backtrack Linux (7 anos de desenvolvimento) Desenvolvido pela Offensive Security Baseado no Debian 7.0 (Wheezy) Disponível desde 11/03/2013 ISO (Live / Instalador) e Máquina Virtual (Vmware)

37 Quer saber mais sobre Segurança da Informação? Palestras: Vídeos: Twitter: