IDENTIFICAÇÃO DO USO DE MÁQUINAS VIRTUAIS, PARA FINS ILÍCITOS, EM SISTEMAS OPERACIONAIS WINDOWS

Transcrição

1 a Pró-Reitoria de Pós-Graduação e Pesquisa Lato Sensu em Perícia Digital Trabalho de Conclusão de Curso IDENTIFICAÇÃO DO USO DE MÁQUINAS VIRTUAIS, PARA FINS ILÍCITOS, EM SISTEMAS OPERACIONAIS WINDOWS Autor: Vinicius Honorato Mota Lopes Orientador: Prof. Msc. Marcelo Beltrão Caiado Brasília - DF 2013

2 VINICIUS HONORATO MOTA LOPES IDENTIFICAÇÃO DO USO DE MÁQUINAS VIRTUAIS, PARA FINS ILÍCITOS, EM SISTEMAS OPERACIONAIS WINDOWS Artigo apresentado ao Programa de Pós-Graduação Lato Sensu em Perícia Digital da Universidade Católica de Brasília, como requisito parcial para obtenção do titulo de especialista em Perícia Digital. Orientador: Prof. Msc. Marcelo Beltrão Caiado Examinador: Prof. MSc. Paulo Roberto Corrêa Leão Brasília 2013

3 Artigo de autoria de Vinicius Honorato Mota Lopes, intitulada IDENTIFICAÇÃO DO USO DE MÁQUINAS VIRTUAIS, PARA FINS ILÍCITOS, EM SISTEMAS OPERACIONAIS WINDOWS, apresentada como requisito parcial para a obtenção do certificado de Especialista em Perícia Digital da Universidade Católica de Brasília, em 05 de Dezembro de 2013, defendido e aprovado pela banca examinadora abaixo assinada: Prof. Msc. Marcelo Beltrão Caiado Orientador Pós-Graduação em Perícia Digital UCB Prof. Msc. Paulo Roberto Corrêa Leão Examinador Pós-Graduação em Perícia Digital UCB Brasília 2013

4 AGRADECIMENTOS Agradeço ao orientador Prof. MSc Marcelo Caiado primordialmente pela chance concedida, pelo acompanhamento e sugestões neste projeto.

5 Now, don't hang on Nothing lasts forever but the earth and sky It slips away And all your money won't another minute buy Scorpions Dust in the Wind

6 IDENTIFICAÇÃO DO USO DE MÁQUINAS VIRTUAIS, PARA FINS ILÍCITOS, EM SISTEMAS OPERACIONAIS WINDOWS VINICIUS HONORATO MOTA LOPES Resumo: O uso de máquinas virtuais para testes controlados de malware, verificação do impacto de atualizações em sistemas operacionais e análise de novas distribuições são cenários bastantes utilizados por especialistas em computação. Por exemplo, com o recurso de snapshot 1 o trabalho de análise comportamental de vírus pode ser acompanhado desde sua infeção, neste sistema controlado, até os arquivos e registros acessados/modificados em sistemas Windows. Toda essa comodidade vem despertando interesse malicioso para o uso de máquina virtual em ações de pentesting ilícitas. Sistemas operacionais, como o Kali Linux, oferecem ferramentas prontas para um ataque massivo em uma rede local e ainda estão disponíveis na internet a todos. Este trabalho tem como finalidade subsidiar o perito digital com evidências e rastros deixados, pelo uso da ferramenta de virtualização VirtualBox, em uma estação de trabalho comprometida com sistema operacional Windows. Palavras-chave: Forense em Windows, Anti Forense, Máquinas Virtuais 1. INTRODUÇÃO A destinação de altos valores à compra e, principalmente, a renovação de recursos de Tecnologia de Informação e Comunicação (TIC) era vista como desperdício de capital em função do gasto com equipamentos que, em poucos anos, tornar-se-iam recursos legados, com depreciação muito alta e gerando impacto no ativo fixo da empresa. A virtualização proporciona um ou até vários ambientes centralizados e, consequentemente, mais controlados. A redução de custos no consumo de energia, melhor aproveitamento do espaço físico, consolidação de infraestrutura e facilidade para migração de ambientes, por exemplo, destacam-se como benefícios da virtualização. No campo empresarial soluções virtualizadas são bastante utilizadas. Não será discutido aqui as vantagens e desvantagens de virtualização muito menos conceitos mais intrínsecos do tema, mas a possibilidade de uma pessoa mal-intencionada utilizar um notebook com sistema operacional da família Microsoft Windows, com soluções virtualizadas, para ações ilícitas em uma rede local. Algumas destas soluções encontram-se prontas para uso, em Live CD, por exemplo, para serem usadas em um dos aplicativos de virtualização domésticos mais utilizados, o VirtualBox. 1 Recurso disponível em softwares de virtualização que permite salvar o estado de uma máquina virtual

7 1.1 JUSTIFICATIVA A relevância do projeto parte de que segundo o Computer Emergency Response Team (CERT), da Universidade Carnegie Mellon (Hammerstein, 2010), a Computação Forense é um processo fortemente baseado na capacidade da mão de obra, requerendo especialistas altamente treinados, com conhecimentos específicos sobre sistemas operacionais e ferramentas de coleta e análise forense. Segundo Barret e Kipper (2010), caso seja solicitado a um perito, treinado em forense computacional, que realize uma análise de um sistema comprometido esta será, em sua grande maioria, uma tarefa sem grandes desafios. Entretanto, se após o rastreamento de uma máquina atacante for constatado que esta não teria condições para realizar os ataques registrados nos logs do servidor, como por exemplo, a falta de ferramentas de pentesting ou registros de instalação destas o analista certamente encontraria problemas para elaborar seu laudo técnico. Tendo em mente a capacitação de mão-de-obra e diante deste novo cenário de ataques e técnicas antiforenses nos valemos de que a estratégia de análise deverá ser repensada. 1.2 DELIMITAÇÃO DO TEMA A meta deste trabalho é expor a criticidade e dificuldade de análise, por parte do perito digital, quando uma pessoa mal intencionada utiliza-se de uma máquina virtual para praticar ações ilícitas em uma rede local. 1.3 PROBLEMA Contextualização do problema Com o advento do uso de máquinas virtuais em ações ilícitas o procedimento de análise a ser conduzido pelo Perito Digital deverá ser revisto Enunciado do problema Como o uso de máquinas virtuais, previamente preparadas, para disseminação de ações ilícitas pode dificultar o trabalho do Perito Digital durante sua análise e quais evidências podem expor seu uso na máquina comprometida?

8 1.4 PROPÓSITOS Objetivos Específicos O conhecimento gerado por este trabalho foi motivado, pois, como exposto no final da introdução, observou-se o interesse em rever as técnicas de análise com a inclusão desta nova variável de virtualização e pela escassa literatura sobre Forense em sistemas virtuais Objetivos Específicos Este trabalho tem como objetivo alcançar: a) Definição de procedimentos para análise em ambiente Windows comprometido; b) Descrição de informações pertinentes ao trabalho do perito; e c) Avaliação de evidências que serão apresentadas em um estudo de caso de uma máquina comprometida. 2. ORGANIZAÇÃO Além da introdução formulada este trabalho está estruturado da seguinte forma: a) Capítulo 3: Abordagem de conceitos e ferramentas para melhor compreensão como: Virtualbox, estrutura de registro do Windows dentre outras; b) Capítulo 4: Serão enumeradas informações que devem ser verificadas no registro do Windows em máquinas comprometidas e a formulação de procedimentos para identificá-las tais como: identificação das principais chaves de registro alteradas pelo uso de mídias removíveis e do uso de máquinas virtuais; e c) Capítulo 5: Finalmente apresentaremos quais as principais alterações que a instalação do VirtualBox realiza em um sistema Windows visando auxiliar a detecção de seu uso. 3. EMBASAMENTO TEÓRICO 3.1 ATO ILÍCITO Segundo BITTAR (2007) ato ilícito é o procedimento, comissivo (ação) ou omissivo (omissão, ou abstenção), desconforme à ordem jurídica, que causa lesão a outrem, de cunho moral ou patrimonial. O conceito de ato ilícito é de suma importância para a responsabilidade civil, vez que este faz nascer a obrigação de reparar o dano. O ilícito repercute na esfera do Direito produzindo efeitos jurídicos não pretendidos pelo agente, mas impostos pelo ordenamento. Segundo CAVALCANTE (2012) na esfera de crimes e delitos a Lei nº /2012

9 altera o Código Penal para tipificar como infrações uma série de condutas no ambiente digital, principalmente em relação à invasão de computadores como mostrado no quadro 1. Quadro 1: Principais mudanças no Código Penal INVASÃO DE DISPOSITIVO INFORMÁTICO Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos. Fonte: Extrato da Lei nº ANTIFORENSE Para dificultar ainda mais o trabalho do perito digital, REIS (2003) afirma podem ocorrer muitas dificuldades na coleta e análise de vestígios deixados na máquina utilizada no ato ilícito. Criminosos podem utilizar métodos denominados antiforenses para esconder, danificar ou excluir seus rastros digitais na cena do crime. Portanto, a antiforense pode ser definida como a tentativa negativa de alterar a existência, quantidade e qualidade dos vestígios eletrônicos, ou também, dificultar ou impossibilitar a realização da investigação destas evidências (ROGERS, 2006). 3.3 VIRTUALBOX Adquirida e distribuída pela Sun Microsystems é um conjunto de ferramentas para virtualização destinado, segundo o site oficial do VirtualBox, tanto ao ambiente de desktop quanto ao ambiente de servidores. O VirtualBox oferece virtualização de sistemas operacionais de 32bit ou 64bit além de poder criar máquinas virtuais mesmo com processadores sem recursos de virtualização. O VirtualBox é executado em um sistema operacional já instalado que pode ser Windows, Linux, Mac OSX e Solaris. 3.4 REGISTRO DO WINDOWS O Registro do Windows é uma espécie de banco de dados, onde são armazenadas as informações sobre todos os programas instalados, estrutura de diretórios, informações do usuário, de drivers e etc. Ele existe desde as versões do Windows 3.x, mas passou a ser utilizado como padrão, a partir do Windows 95 (MICROSOFT KB ). O registro guarda informações acerca de ações realizadas, arquivos recentemente abertos, dispositivos de hardware removível, etc. O registro pode ainda conter dados ocultos,

10 propositalmente escondidos, úteis para uma investigação ou perícia. A estrutura do registro é dividida em cinco ou seis hives, dependendo da versão do sistema operacional. As chaves são as unidades básicas de informação e se distribuem de forma hierárquica pelas hives podendo conter outras chaves (subchaves) ou itens que armazenam dados reais, seus valores. As hives são identificadas inicialmente pelas letras HKEY (H de handle e KEY de chave) seguidas da classe de identificação, conforme veremos na figura 1. Figura 1: Exemplo de organização do registro no Windows 7 hive chave subchave valor dado Fonte: Captura de tela da máquina de trabalho As principais hives e suas respectivas descrições são mostradas no quadro 2. Quadro 2: Principais hives e suas descrições em sistemas Windows Root Key HKEY_CLASSES_ROOT (HKCR) HKEY_CURRENT_USER (HKCU) HKEY_USERS (HKU) HKEY_LOCAL_MACHINE (HKLM) HKEY_CURRENT_CONFIG (HKCC) HKEY_DYN_DATA (HKDD) Descrição Contém informações relativas à associação de arquivos aos respectivos softwares criadores, editores ou visualizadores. Contém informações relativas ao perfil do usuário ativo. Contém informações relativas a todos os usuários do equipamento e suas configurações pessoais. A Chave HKEY_CURRENT_USER possui um apontador para o usuário corrente. O usuário é identificado na chave pelo SID (security Indentifier). Mostra informações sobre configurações do computador aplicadas a qualquer usuário. Informações sobre perfil de hardware usado na máquina local são armazenadas nesta chave. Contém informações dinâmicas da sessão, como driver de dispositivo virtual (VxD), configurações de plug and play, etc., encontrada apenas nos Windows 9X Fonte: acessado em 13NOV2013

11 As estruturas das hives são armazenadas fisicamente em arquivos. As principais hives (SAM, Security, Software e System) podem ser coletadas no diretório Windows\system32\config, como ilustradas na figura abaixo. Figura 2: Arquivos das Hive do registro Fonte: Captura de tela do Windows XP no diretório Windows\System32\Config Outro arquivo que merece destaque é o NTUSER.DAT que está dentro do diretório raiz de cada usuário. Ele contém configurações personalizadas, inclusive do Windows, dos softwares instalados na máquina. Quando um usuário se loga no sistema o arquivo é montando junto à hive HKEY_CURRENT_USER e realizado o inverso durante o logoff. 3.5 MFT (MASTER FILE TABLE) Em sistemas de arquivos NTFS a MFT serve como contêiner para armazenar metadados de todos os objetos do sistema operacional (arquivo, diretórios e arquivo de metadados). Estes valores são os principais alvos de ações antiforense. Neste trabalho não discutiremos toda a estrutura do MFT. Ao invés disso, focaremos em dois atributos, $STANDARD_INFORMATION_ATTRIBUTE ($SIA) e $FILE_NAME ($FNA). Segundo Halan Carvey (2012), as informações contidas no $SIA dos arquivos e diretórios são conjuntos de timestamps, registrados em formato UTC em NTFS e em hora local da máquina em FAT32, armazenados em registros de 72 bytes. Estes valores de tempo referem-se aos tempos de última modificação, acesso, de atributo MFT alterado e criação, ou tempos MACB. Será adotada neste trabalho a sintaxe MACE. No quadro 3 segue uma descrição de cada elemento. Quadro 3: timestamps MACE Letra M A C Descrição Modificado, última data/hora que o arquivo foi aberto, editado e salvo Acessado, data/hora do último acesso ao conteúdo do arquivo Criado, data/hora de quando o arquivo é criado E Chave modificada no registro MFT, refere-se ao tamanho ou localização do arquivo Fonte:

12 Adicionalmente, cada arquivo em NTFS terá pelo menos um atributo $FNA nos registros MFT. Este atributo contém 66 bytes de metadados, seu nome, referência à pasta pai e os 4 timestamps da tabela 3. Como técnica antiforense é possível mascarar os rastros de acesso pelo invasor nos arquivos do sistema. Caso haja permissão de escrita aos arquivos é possível modificar 2 seus valores de timestamp no atributo $SIA. 4 IDENTIFICAÇÃO DO VIRTUALBOX EM SISTEMAS WINDOWS Existem diversos arquivos no Windows que se forem analisados podem fornecer informações importantes sobre o uso indevido nestas máquinas. Segundo CARVEY (2009, pg 158) o Registro é uma mina de ouro em informações para administradores e peritos forenses. Em muitos casos softwares usados por atacantes deixam rastros no registros e pistas sobre o incidente. O sistema comprometido pode ter sido acessado por vários usuários. O analista não pode confiar fielmente nos timestamps pois estes podem ter sido adulterados (CARVEY, 2011, pg 161). Sendo assim, é necessário analisar outras informações, que serão descritas a seguir, para que haja uma melhor abordagem a respeito das atividades associadas a cada usuário e comprovar que um usuário em especial executou o VirtualBox, para fins ilícitos, em uma estação de trabalho comprometida. 4.1 ARQUIVOS LNK (ATALHOS) Um arquivo LNK pode revelar o que o usuário acessou (volume, nó de rede ou arquivo), seu identificador de classe (GUID), seu caminho completo, timestamps, número serial do volume e o endereço MAC de onde o acesso partiu por exemplo (MICROSOFT, KB ). Quando um atalho é criado, a partir da instalação de um programa por exemplo, os timestamps criado, modificado e acessado são setados para o atual momento. Durante todo o ciclo de vida do atalho seu timestamp criado permanece inalterado. O timestamp de data de modificação do atalho representa o último acesso ao programa apontado pelo atalho. PARSONAGE (2009) 4.2 ARQUIVOS MAIS RECENTES USADOS (MRU 3 ) E PROGRAMAS EXECUTADOS (RUNMRU) São mantidas no registro chaves que salvam, de forma ordenada, o acesso a arquivos e programas. Na figura 3 pode-se perceber que houve 4 acessos distribuídos entre arquivos PNG, ZIP e diretórios. 2 Técnica conhecida como time stomping. 3 A sigla MRU vem de most recently used. MICROSOFT, KB

13 Figura 3: Exemplo de arquivos mais recentes usados no WindowsXP Fonte: \Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs Outra chave que merece destaque é aquela que mantêm salvo os programas executados pelo menu iniciar (tecla de atalho Windows+R). A ordem, como mostrado na figura a seguir, está definida pelo arquivo MRUList visualizando-se a sequência de execução (MRUList: ba) do mspaint e logo após uma chamada ao regedit. Figura 4: Exemplo de programas executados no WindowsXP Fonte: \Software\Microsoft\Windows\CurrentVersion\RunMRU 4.3 MOUNTEDDEVICE Nesta chave são armazenadas informações sobre dispositivos e volumes montados no sistema.

14 Figura 5: Volumes montados em uma máquina WindowsXP Fonte: HKEY_LOCAL_MACHINE\System\MountedDevices Como pode ser visto na figura 5 há dois tipos básicos de nomes. DosDevices que se referem a drives ou letras de volumes e aqueles que começam com \??\Volume que se referem a volumes. A partir de MountedDevice e USBSTOR (que será mostrado adiante) é possível precisar a letra usada pelo dispositivo de armazenamento usb. CARVEY (2011) menciona estudos de Rob Lee (SANS) em que o timestamp LastWrite indica quando o dispositivo foi conectado ao sistema na atual seção. Aqui é possível identificar se um volume do TrueCrypt 4 foi usado no sistema. Este ponto merece destaque caso o uso da ferramenta não faça parte da rotina do proprietário da estação de trabalho. 4.4 REGISTRO DE USO DE MÍDIA REMOVÍVEL Quando mídias removíveis são plugadas, assinaturas e rastros são gravados no registro. Assim que seu driver for legalmente carregado uma chave é criada, em destaque, conforme figura 6. A sub-chave, em azul, na figura 6 representa o identificador de classe do dispositivo (Device Class ID). Em dispositivos onde o serial não está presente em seu descritor uma única subchave (Unique Instance ID) é gerada. As duas subchaves representam quantas vezes um smartfone android foi plugado na máquina (no caso da figura, 2 vezes) e correspondem ao serial do dispositivo. 4 Ferramenta utilizada para criptografia de volumes obtida em

15 Figura 6: Extrato do registro mostrando o Device Class ID e Unique Instace ID Fonte: Captura de tela do Windows 8 Assim se o invasor for detido com um pendrive é possível, com ajuda das informações mostradas acima, inferir se este foi usado no sistema para praticar alguma ação ilícita. 4.5 USERASSIST Diversos estudiosos (HAOYANG, KEYU, XIAOHONG e HONGBIAO; 2012) apontam que outro lugar importante para o perito checar é a chave UserAssist. Nesta parte do registro há chaves com identificadores únicos (GUID) e em cada uma delas contém subchaves chamadas count que abrigam registros de acesso (codificados em ROT13 5 ) do usuário ao sistema tais como: acesso aos componentes do painel de controle, atalhos, programas, documentos, mídias e etc. Cada registro de acesso contem um valor hexadecimal de 16 bytes. O quinto byte (da esquerda para a direita) representa, por exemplo, quantas vezes uma aplicação foi executada. Vale salientar que o contador se inicia em 5. Os últimos 8 bytes representam o timestamp (em formato UTC) de sua última execução. Como exemplo prático será extraída a chave grifada em azul (figura 7) e faremos a decodificação 6 desta que se encontra em rot13: Figura 7: Exemplo da chave UserAssist no Windows XP 5 Do inglês, ROTate by 13 places (ROTacionar 13 posições) é um método de cifragem aplicável apenas aos caracteres alfabéticos com passo Decodificação utilizando a ferramenta online

16 Quadro 4: Extrato da chave da figura 7 Chave UserAssist Chave decodificada HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\IZHFRE\Zrhf qbphzragbf\ap.rkr UEME_RUNPATH:C:\Documents and Settings\VMUSER\Meus documentos\nc.exe Figura 8: Valor da chave da figura 7 Analisando-se seu valor hexadecimal (figura 9) e convertendo o timestamp 7 concluímos que o usuário VMUSER, ou alguém que roubou sua identidade, executou o nc.exe (netcat 8 ) 2 vezes (7 5) e sua última execução foi, conforme figura 8, às 16:21:35 do dia 14 de nov. de Figura 9: Timestamp da figura ARQUIVOS PREFETCH É um componente do gerenciador de memória do Windows que foi introduzido no Windows XP para aumentar a velocidade de processo de boot e reduzir o tempo gasto para programas iniciarem (RUSSINOVICH e SOLOMON, 2005). 7 Utilizada a ferramenta DCode disponível em 8 Ferramenta de rede que permite abrir portas TCP/UDP em uma máquina

17 Segundo CARVEY (2012) muitos analistas reconhecem seu valor para a forense. Com a ajuda de outros artefatos, é possível constatar se um usuário ou um invasor tentou camuflar suas atividades. A idéia baseia-se na monitoração de aplicações para coletar e armazenar, em local único, todas as informações necessárias para sua execução. Desta forma, o sistema não precisa vasculhar todo o sistema de arquivos em busca de DLL e outras informações pertinentes para a execução da aplicação. Cada arquivo prefetch inclui o nome da aplicação seguido de um traço mais um hash que contem o caminho da aplicação e os argumentos usados. Os arquivos prefetch possuem metadados onde é possível, por exemplo, verificar a última execução de um programa, de qual volume do sistema de arquivos este foi executado e seu número de execuções. Visando facilitar a análise arquivos prefetch utilizaremos a ferramenta WinPrefetchView 9 que mostra de forma amigável suas informações (figura 10). Figura 10: Extrato da ferramenta WinPrefetchView no WindowsXP 4.7 DELEÇÃO DE CHAVES DE REGISTRO Assim como arquivos, chaves de registro não somem por completo quando são apagadas. O espaço que a chave ocupa dentro do arquivo na hive é marcado como disponível podendo assim ser sobrescrito. Infelizmente, sua estrutura física não é tão simples como nos sistemas de arquivos e não há material fornecido pela Microsoft em apoio a este estudo. O estudo sobre a recuperação de chaves de registros que foram apagadas não será contemplado neste trabalho devido a sua complexidade como citado acima. 9 Ferramenta disponível em

18 4.9 VESTÍGIOS DE INSTALAÇÃO E USO DO VIRTUALBOX Segundo YIN (2010, p. 22) um estudo de caso é uma das várias maneiras de realizar uma pesquisa de ciência social. Em geral, o estudo de caso é o método preferido quando: as questões como ou por que são propostas; o investigador tem pouco controle sobre os eventos; e o enfoque está sobre um fenômeno contemporâneo no contexto da vida real. Sendo assim, a partir das informações elencadas e analisadas anteriormente, serão expostas as alterações que a instalação do VirtualBox efetua (sistemas de arquivos e registro) em uma máquina virtual utilizando o sistema operacional Windows XP. Para termos de estudo, uma rede local não possui acesso à internet e uma de suas máquinas foi usada para realizar um ataque de força bruta contra o serviço SSH em um servidor (foram constatadas várias tentativas de acesso pelo IP daquela em um curto espaço de tempo). Durante a análise, o perito constatou que a máquina com Windows XP não seria capaz de executar tais ações ilícitas pois não se observou nenhuma ferramenta de intrusão instalada. Sendo assim, a estratégia de análise deverá ser repensada e visando enriquecer este ensaio, serão mostradas as principais evidências deixadas pela ferramenta mesmo após sua desinstalação. Foi realizado um dump do registro da máquina com o FTK Imager 10 e para melhor ilustração dos resultados serão utilizadas as ferramentas já apresentadas com a adição do Windows Registry Recovery 11 (WRR). Conforme mostrado no item 3.2, máquinas comprometidas podem ter sido alvos de técnicas de antiforense, mas esta análise não será realizada, pois o assunto é extenso ficando assim postergado para projetos futuros BUSCANDO POR ARQUIVOS LNK Após a desinstalação do VirtualBox não há rastros visíveis de atalhos. Utilizando-se a ferramenta FTK Imager é possível encontrar evidências. Nas figuras 11 e 12 é possível constatar que arquivos apagados no sistema não desaparecem por completo, pois suas entradas no registro MFT apenas ficam marcadas como livres. Figura 11: Encontrado arquivo LNK do VirtualBox mesmo após desinstalação 10 Ferramenta de aquisição de dados para análise forense obtida em 11 Software para análise de arquivos de hive obtida em

19 Figura 12: Visualização do instalador do VirtualBox apagado REGISTRO DE USO DE MÍDIA REMOVÍVEL Como citado, não há acesso à internet, assim o invasor provavelmente teria plugado alguma mídia removível com ferramentas de pentesting. Utilizando o WRR com os arquivos de hive da máquina é possível observar nas figuras 13 e 14 que uma mídia removível foi plugada pelo usuário e o sistema atribuiu ao volume a letra E. Apoiando-se na citação do item 4.3 sobre o registro LastWrite, podemos afirmar que esta ação ocorreu por volta das 03:44:10. Figura 13: Volumes montados pelo usuário

20 Figura 14: Propriedades da chave da figura anterior Finalmente utilizado o arquivo NTUSER.DAT (figura 15) pode-se perceber que uma imagem ISO, possivelmente do sistema operacional Kali Linux 12, foi usada a partir da mídia removível identificada anteriormente para ser usada junto ao VirtualBox como LiveCD. Figura 15: Arquivo com as informações do usuário IDENTIFICANDO VESTÍGIOS NAS CHAVES USERASSIST Utilizando a ferramenta citada é possível constatar que o VirtualBox foi executado várias vezes como mostrado na figura 16. Figura 16: Visualização dos arquivos do VirtualBox executados na máquina 12 Distribuição Linux, baseada em Debian, especializada em Testes de Intrusão e Auditoria de Segurança obtida em

21 4.9.4 VISUALIZAÇÃO DE ARQUIVOS PREFETCH Seguem-se os arquivos que ratificam ainda mais a execução do VirtualBox na máquina. Mesmo que estes sejam excluídos é possível recuperá-los nos registros MFT como mostrado na figura 17. Figura 17: Registros sobre arquivos prefetch na estrutura MFT Na figura 18 é mostrada uma melhor visualização dos arquivos. Figura 18: Formatação dos arquivos prefetch com ferramenta WinPrefetchView

22 4.9.5 OUTRAS CONSIDERAÇÕES O VirtualBox armazena na raiz da pasta do usuário um diretório denominado VirtualBox Vms que abriga todas as máquinas virtuais criadas pelo usuário e seus respectivos arquivos de configurações e logs. Figura 2: Pasta VirtualBox VMs do caso de uso Segundo o BLOG da ORACLE, na pasta Logs da figura 19 é possível, ao se analisar o arquivo Vbox.txt, precisar quando uma máquina virtual foi iniciada e desligada a partir das ocorrências de texto Changing the VM state from CREATED to POWERING_ON e Guest state at power off respectivamente. No arquivo KaliLinux.txt, figura 20, estão configurações interessantes ao analista: as informações de rede, mídias usadas e seu disco rígido virtual. É possível ratificar que foi utilizada a ISO do Kali Linux (tag XML DVDImages ) a partir do pendrive plotado no item A resposta para o IP da máquina WindowsXP ter aparecido nos logs de SSH do servidor deve-se ao fato da máquina virtual estar realizado NAT (subtag de Network ) com a interface de rede da máquina física. Figura 3: Extrato do arquivo KaliLinux.txt

23 O arquivo KaliLinux.vmdk, ressaltado na tag XML HardDisks, é o disco rígido virtual criado para acomodar o sistema operacional instalado, no caso o Kali Linux. Com todos esses arquivos mostrados na figura 19 é possível reativar a máquina virtual para então realizar uma segunda bateria de análises forenses e descobrir quais as ferramentas ilícitas utilizadas e seus respectivos timestamps. Como este arquivo tende a ocupar vários clusters devido ao seu tamanho, na ordem de 2-4GB, a simples remoção pode tornar sua recuperação problemática devido à fragmentação do sistema de arquivos no WindowsXP. 5 CONCLUSÃO Ficou comprovado que sempre haverão vestígios e evidências que auxiliarão o perito em sua análise por anormalidades e abuso em máquinas. Há muitas outras fontes para coleta de evidências não citadas tais como: Logs de Eventos, verificação de memória e pagefiles.sys 13 que poderiam agregar ainda mais valor, mas o uso destas merecem trabalhos dedicados devido à extensão e complexidade de cada tema exposto. Outro ponto a ser levado em consideração foi o não uso de técnicas antiforese. A coleta de evidências não será prejudicada desde que o perito tenha um conhecimento mínimo do que fora apresentado. Caso chaves de registros tivessem sido apagas, arquivos removidos e logo após o desfragmentador de disco fosse executado, os resultados poderiam ser bem mais obscuros. 6 PROJETOS FUTUROS Tendo em vista o aprimoramento deste trabalho sugere-se a formalização de procedimentos para aquisição de dados em forense de máquinas virtuais e a elaboração de técnicas para recuperação de chaves de registro apagadas. Outra vertente que poderia ser explorada seria a identificação e análise de técnicas de antiforense que visam ocultar intenções ilícitas e destruição de evidências. 13 É um arquivo criado para sanar insuficiência de memória RAM em sistemas Windows

24 ABSTRACT Keywords: Forensics on Windows, Anti Forensics, Virtual Machines The use of Virtual machines for malware s controlled tests, veryfication the impact of upgrades in operating systems and analysis of new distributions are scenarios used by computer experts. For example, with the recurse of snapshot behavioral analysis of virus can be traced from their infection, in this controlled system, to the files and records accessed/modified in Windows systems. This feature raises interest for the use of virtual machine actions in illegal pentesting. Operating systems, such as Linux Kali, are ready to offer a complete environment of attacks on a local network and these tools are still available on the internet for everybody. This work aims to subsidize digital expert with evidence and traces, left by use of the VirtualBox virtualization tool, on a compromised workstation with Windows operating system. REFERÊNCIAS BARRET, Diane e KIPPER, Gaeg. Virtualization and Forensics, A digital Forensic Investigator s guide to virtual enviorements. Burlington, MA, 2010, Syngress Publising, Inc CARVEY, Harlan. Windows forensic analysis: DVD toolkit, 2ª ed..burlington, MA, 2009 Syngress Publising, Inc. Windows Forensic Analysis Toolkit, 3ª ed. Burlington, MA, 2012, Syngress Publising, Inc ForensicsWiki, disponível em < Acesso em: 13 nov HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the antiforense problem. Acesso em 14 de nov Disponível em: < MICROSOFT, MS-SHLLINK: Shell Link (.LNK) Binary File Format. 08 de ago. de Acesso em 14 de nov Disponível em: < Ovide Decroly. TrabalhosFeitos.com. 10, Acesso em 14 de nov. de ROGERS, M. Panel session at CERIAS Information Security Symposium. Disponível em Acessado em 14 de nov MICROSOFT, KB Informações do Registro do Windows para usuários avançados. Disponível em: Acessado em: 14 de ago de MICROSOFT, KB Como limpar as listas MRU do Windows Explorer. Disponível em: Acessado em: 14 de ago. De LEE, Rob (2009). Guide to Profiling USB Device. SANS INSTITUTE. Disponível em Acessado em: 14 de ago. de 2013.