Ferramentas Foss para

Transcrição

1

2 Ferramentas Foss para Perícia Forense de Rede Ramilton Costa Gomes Júnior Embaixador Fedora Brasil.

3 Whois Ramilton costa 1. Bacharel em Ciência da Computação UNIFENAS 2. Especialista em Segurança e Criptografia - UFF 3. Mestrando em Informática - UFES 4. Palestrante Latinoware, EML, Ensolba, Encatec, Colem; 5. Professor Universitário Graduação e Pósgraduação 6. Embaixador do Fedora Brasil.

4 Definição

5 Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor. (Melo, 2009, P.49)

6 Ferramentas FOSS

7 Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.

8 Ngrep Como usar: Depurar protocolos, como HTTP, SMTP, FTP; Identificar e analisar as comunicações de rede anômalas; Armazena, ler e reprocessar arquivos pcap.

9 Ngrep Exemplo: ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\w) (\Wsmtp$) (\Wsmtp\W)) ################################ U :1026 -> :53...smtp.aol.com... # U :53 -> : smtp.aol.com...smtp.cs...*...@.f..*......@..w.*...*...*...@.N..*...@...*...2.*.../...dns-02.ns././...dns-01.

10 Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;

11 Xplico Características: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, ; Multithreading; Suporta IPv4 e IPv6;

12

13

14

15 Tcpdump Tcpdump Útil para captura de dados durante a resposta a incidentes de segurança;

16 Tcpdump Como usar: Captura de pacotes; Análise de rede em tempo real; Análise de protocolos; Análise por flags;

17 Tcpdump Exemplo: Capturando todo o trafego que passa pela placa de rede eth0 e porta 80. Na sequencia grava no arquivo coleta.cap tcpdump -X -vvv -i eth0 -s n port 80 -w coleta.cap

18 Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;

19 Wireshark Como usar: Administradores de rede utilizam para solucionar problemas de rede; Engenheiros de segurança de rede usá-lo para examinar os problemas de segurança; Desenvolvedores usa para depurar implementações do protocolo; As pessoas usam para aprender protocolo de rede.

20

21

22 Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP;

23 Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vários programas; É utilizado para analisar protocolos HTTP.

24 Tcpflow tcpflow -r evidence02.pcap

25 Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise;

26 Tcpshow tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34: IP Header <Not an IPv4 datagram (ver=0)> Packet 2 Timestamp: 10:34: IP Header <Not an IPv4 datagram (ver=0)>

27 Tcptrace Análise de arquivos TCP Dump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;

28 Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;

29 Tcptrace tcptrace -q -xcollie estudo_de_caso.pcap > sessao.txt

30 Snort É um sistema de prevenção e detecção de intrusão de rede(ids / IPS);

31 Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;

32 Snort sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from /usr/lib/snort_dynamicpreprocessor/... Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_dns_preproc.so... done

33 Snort cat /var/log/snort/alert [**] [1: :2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45: :80 -> :54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: [**] [1: :2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45: : > :80 TCP TTL:64 TOS:0x0 ID:44640 IpLen:20 DgmLen:64 DF ***A**** Seq: 0xE162F3E1 Ack: 0x41E00D18 Win: 0x57 TcpLen: 44 TCP Options (6) => NOP NOP TS: NOP NOP Sack:

34 Tcpxtract Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;

35 Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");

36 Tcpxtract sudo tcpxtract -f evidence02.pcap Found file of type "png" in session [ :3588 -> :19202], exporting to png Found file of type "png" in session [ :3588 -> :19202], exporting to png Found file of type "png" in session [ :3588 -> :19202], exporting to png

37 Tcpreplay Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;

38 Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que você classificar o tráfego como cliente ou servidor;

39 Tcpreplay sudo tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets ( bytes) sent in seconds Rated: bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets: 572 Failed packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0

40 Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;

41 Chaosreader Como usar: Ele busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, s SMTP); Relatórios imagem conteúdo de HTTP GET/POST;

42 Chaosreader sudo./chaosreader0.94 evidence02.pcap $* is no longer supported at./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service :1036, :587 submission :1038, :587 submission :123, :123 ntp :1025, :514 syslog :52111, :514 syslog :1026, :53 domain :123, :123 ntp :137, :137 netbios-ns :138, :138 netbios-dgm index.html created.

43

44

45

46 Contatos: Facebook -