Forense em RAM Identificando Malware

Documentos relacionados
Direito digital e código penal. Prof. Nataniel Vieira

Manual de Direito Digital

Daniel Moreno. Novatec

Crimes Digitais.

Cyber Security Novas Tecnologias com Novos Riscos Visões Preventiva e Legal

Uma Introdução à Análise de Vulnerabilidades e Pentest. Bernardo Bensusan Elise Cieza

PROVA DISCURSIVA P 4

TÓPICOS ESPECIAIS II

Análise Forense em Redes de Computadores. Marcus Fábio Fontenelle, M.Sc. Network+ Security+ ISFS ITILF ITSM20F LPIC-1 MCSE

MITO OU VERDADE? 11/02/2013 MITO OU VERDADE? MITO OU VERDADE? MITO OU VERDADE? Dois antivírus funcionam melhor que um?

Computação Forense, investigação em ambiente computacional

TECNOLOGIA DA INFORMAÇÃO

ARQUIVOLOGIA. Legislação Arquivística. Parte 3. Excertos (Constituição, Código Cicvil e Código Penal) Prof. Antonio Botão

O tratamento penal dos crimes digitais no Brasil

Internet Banking. SICOOBNET: Proteja suas transações financeiras

Políticas de Segurança

Perícia Forense Computacional - Introdução

NOÇÕES DE INFORMÁTICA

CENTRAL DE CURSOS 29/06/2014

DIREITO DA SOCIEDADE DA INFORMAÇÃO

Segurança em Computadores. <Nome> <Instituição> < >

No Windows 7 Professional, em português, Ana recebeu as seguintes tarefas: - Verificar se os componentes de hardware do computador estão

FUNDAÇÃO LUSÍADA CENTRO UNIVERSITÁRIO LUSÍADA. Disciplina: Tecnologia da Informação Nota: Visto:

O QUE É? O Microsoft Windows Server é um sistema operacional destinado para servidores.

Noções de Direito e Legislação em Informática

PLANO DE CURSO. Formação para Profissionais. PORTUGAL ANGOLA MOÇAMBIQUE CABO VERDE SÃO TOMÉ E PRÍNCIPE BRASIL

Torne-se um Sysadmin Linux. Prof. Juliano Ramos

Instituto de Ciências Matemáticas e de Computação Universidade de São Paulo

INSTITUTO DE SERVIÇOS EDUCACIONAIS VALE DO PARANAPANEMA LTDA CNPJ: / FACULDADES INTEGRADAS DE TAGUAÍ

Console de Gerenciamento. 1. Baixe o instalador através do site de acordo com o manual descrito anteriormente.

PROVA DISCURSIVA - DIREITO ANTES DE FAZER A PROVA, LEIA COM ATENÇÃO AS INSTRUÇÕES ABAIXO:

LABORATÓRIO DE PERÍCIA DIGITAL

WWW = WORLD WIDE WEB

Todos os Dispositivos, Todos os Membros da Família - Simplesmente Protegidos*

O acúmulo de dados nesta memória pode gerar uma série de problemas para suas atividades cotidianas ao computador.

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 122/360

Política de Segurança de Informações

Forense Digital / Computacional

NOÇÕES DE INFORMÁTICA

USO PROFISSIONAL DE COMPUTADORES

USO DE CANAIS DIGITAIS Cartilha educativa para clientes

Questões de Concursos Aula 02 INSS INFORMÁTICA. Prof. Márcio Hunecke

Book com terminologias DE SEGURANÇA DA INFORMAÇÃO

Guia de instalação. Configuração necessária Instalação e ativação - 1 -

CEM CADERNO DE EXERCÍCIOS MASTER. Informática. Período:

CLIPPING SERVICE. Clipping Service 2014 Todos direitos reservados

Investigação Digital


NOÇÕES DE INFORMÁTICA. Segurança da Informação Pragas Virtuais Parte 1 Prof. Flávio Lima

Forense em Rede com Wireshark.

Verificador Slimterm TCP-IP

INSTALAÇÃO PRINTERTUX. Tutorial

PC-BA INVESTIGADOR DE POLÍCIA. CONHECIMENTOS BÁSICOS (30 Questões)

Professor Jorge Alonso Módulo VIII Armazenamento e Computação nas Nuvens

UNIVERSIDADE DO VALE DO ITAJAÍ UNIVALI CENTRO DE CIÊNCIAS JURÍDICAS E SOCIAIS CURSO DE DIREITO UNIDADE KOBRASOL

VISÃO GERAL SOBRE A. LEI Nº /2012 ( Lei Carolina Dieckmann )

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Introdução a Informática

MANUAL DE EMISSÃO E INSTALAÇÃO DO CERTIFICADO TIPO A1 (INTERNET EXPLORER)

INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES PÚBLICOS MUNICIPAIS DE SANTOS

A consciência digital, independente da idade, é o caminho mais seguro para o bom uso da internet, sujeita às mesmas regras de ética, educação e

Por que todo mundo fala sobre o Marco Civil da Internet e o que sua empresa tem a ver com isso?

Informática CESGRANRIO

INFORMÁTICA Professor: Daniel Garcia

Limitação de largura de banda para usuários PPTP no Roteadores RV016, RV042, RV042G e RV082 VPN

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 44/360

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Librix...3. Manual Eletrônico...3. Opções de Suporte...3. Dicas para a Instalação...4. Configuração de Dispositivos Básicos...6

Informática. Polícia Rodoviária Federal

Aula 4 Hardware & Software

Ferramentas de Pentest

CARTILHA DE SEGURANÇA PREVENÇÃO À FRAUDES

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 104/360

GTER-34: II Semana da Infraestrutura da Internet no Brasil. Questões Jurídicas Atuais da Segurança da Informação

Manual de Instalação e Ativação OFFICE BANKING BRADESCO OBB PLUS

SPIN-SP - Software Process Improvement Network de São Paulo

Capítulo 11: Implementação de Sistemas de Arquivos. Operating System Concepts 8th Edition

Prof. Ravel Silva ( SIMULADO 01 - PERITO PF QUESTÕES

Sistema operacional. Linux Debian 8 Windows 7

Instrução de Trabalho: Instalar Client

Catálogo de Serviços e Sistemas de TI

Manual de Instalação Flex

Prezados, SOBRE O WARSAW MÓDULO DE SEGURANÇA BANCÁRIA

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Fundamentos da Informática e Manutenção de Computadores. Professor: Orlando Filho Graduação: Sistemas de Informação

Linux e Segurança: porque ele é tão seguro?

Objetivo: Instalar e configurar o Microsoft Windows 7 Ferramentas: VMware Player, Microsoft Windows 7

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

Guia de instalação. Configuração necessária Instalação e ativação - 1 -

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

MANUAL DE EMISSÃO E INSTALAÇÃO DO CERTIFICADO TIPO A1 (GOOGLE CHROME)

PROVA BANCO DO NORDESTE ANALISTA BANCÁRIO 1 QUESTÕES DE INFORMÁTICA

Segurança da Informação

CPU. Memória. Periféricos, dispositivos de entrada, saída 07/04/2017

CERTIFICADO DIGITAL A3

Transcrição:

Forense em RAM Identificando Malware Prof. Marcos Monteiro Presidente Associação de Peritos em Computação Forense APECOF

Condutas CondutasIndevidas IndevidasPraticadas Praticadas por porcomputador Computador

Condutas CondutasIndevidas IndevidasPraticadas Praticadas por porcomputador Computador Crimes CrimesCibernéticos Cibernéticos

Condutas CondutasIndevidas IndevidasPraticadas Praticadas por porcomputador Computador Crimes CrimesCibernéticos Cibernéticos Ações AçõesPrejudiciais PrejudiciaisAtípicas Atípicas ou ouconduta CondutaDanosa DanosaAtípica Atípica

Condutas CondutasIndevidas IndevidasPraticadas Praticadas por porcomputador Computador Crimes CrimesCibernéticos Cibernéticos Impróprios Imprópriosou ou Abertos Abertos Ações AçõesPrejudiciais PrejudiciaisAtípicas Atípicas ou ouconduta CondutaDanosa DanosaAtípica Atípica

Condutas CondutasIndevidas IndevidasPraticadas Praticadas por porcomputador Computador Crimes CrimesCibernéticos Cibernéticos Impróprios Imprópriosou ou Abertos Abertos Ações AçõesPrejudiciais PrejudiciaisAtípicas Atípicas ou ouconduta CondutaDanosa DanosaAtípica Atípica Próprios Própriosou ou Exclusivamente Exclusivamente Cibernéticos Cibernéticos

Escopo da Investigação e perícia Extrajudicial Judicial Judiciário Investigação Investigação extrajudicial extrajudicial Equipe Equipeinterna interna Profissional Profissionalexterno externo Empresa externa Empresa externa Pessoa Física Ação AçãoJudicial Judicial Perito PeritoOficial Oficial Assistente AssistenteTécnico Técnico Pessoa Jurídica de Direito Privado Ministério Publico Pessoa Jurídica de Direito Público Sindicância Sindicância Comissão Comissãode desindicância sindicância Corregedoria Corregedoria Promotor Promotor Inquérito InquéritoPolicial Policial Polícia Judiciária (civil ou federal) Investigador Investigador Perito PeritoCriminal Criminal Médico Médicolegista legista

Lei nº 12.737 Invasão de dispositivo informático Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

VESTÍGIO EVIDÊNCIA CIRCUNSTANCIAL COMPLEMENTAR PROVA MATERIAL INFORMATIVA INDÍCIO

Materialidade Digital Dados Voláteis Podem ser modificados usuários logados, processos, conexões de redes, área de transferência... Dados Transitórios (de curta de duração) Reside na memória a cache usuários que fizeram logout informações de abertura de conexão de rede

Materialidade Digital Dados Voláteis Podem ser modificados Dados Transitórios (de curta de duração) Reside na memória a cache usuários logados, processos, conexões de redes, área de transferência... usuários que fizeram logout informações de abertura de conexão de rede Dados Não Voláteis Usado no armazenamento secundário arquivos em geral, swap, registros, eventos

Materialidade Digital Dados Voláteis Podem ser modificados Dados Transitórios (de curta de duração) Reside na memória a cache usuários que fizeram logout informações de abertura de conexão de rede Dados Não Voláteis Usado no armazenamento secundário usuários logados, processos, conexões de redes, área de transferência... arquivos em geral, swap, registros, eventos Dados Frágeis Arquivos temporários podem ser modificados como ultimo acesso, acesso de arquivos

Caso Concreto Joaozinho é um promissor empresário do ramo de importação de chiclete PLOC e caramelo Zorro; muito preocupado com segurança, possui um microcomputador exclusivo para transações bancárias pela Internet, sempre mantendo o Sistema Operacional e Antivírus atualizados, porem Joaozinho percebeu uma transferência bancária no valor de R$ 9.000,00 de sua conta na qual ele desconhecia, em contato com o banco, eles recomendaram que o empresario modificasse suas senhas de Internet, mas mesmo com a mudança uma nova transferencia bancária continuou ocorrendo.

Processo = Programa em execução

Conexões de redes netstat -nab

DUMP de RAM

FTK-Imager

Volatility O Volatility é uma coletânea de ferramentas abertas em python formando um framework sob a licença GNU GPL v2 para a extração de vestígios digitais voláteis presentes em memória RAM de máquinas com Sistema Operacional Microsoft Windows.

O que é possível? Processos em execução; Sockets de rede; Conexões abertas de rede; Arquivos e DLLs carregados para cada processo; Registros utilizados para cada processo; Módulos de Kernel do Sistema Operacional; Mapeamento de Endereços físicos e virtuais; Mapa de Memória de cada processo; E mais outras coisitas...

# volatility -h

Informações do DUMP # volatility -f dumpmemoria.vmem imageinfo

PROCESSOS # volatility -f dumpmemoria.vmem pslist

PROCESSOS por ORDEM DE CHAMADA # volatility -f dumpmemoria.vmem pstree

ALOCAÇÃO DE MEMÓRIA DO PROCESSO # volatility -f dumpmemoria.vmem psscan

SID de cada processo # volatility -f dumpmemoria.vmem getsids

DLL de cada processo # volatility -f dumpmemoria.vmem dlllist

É possível ler o Registro do Windows Ver Firewall # volatility printkey -f dumpmemoria.vmem -K 'ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile'

Alterações do SAM # volatility printkey -f dumpmemoria.vmem userassist

Alterações de Perfis Existentes # volatility printkey -f dumpmemoria.vmem -K 'Software\Microsoft\Windows\CurrentVersion\Run'

Conexões de Rede no momento do DUMP # volatility -f dumpmemoria.vmem connections

Conexões de Rede que foram recentemente encerradas # volatility -f dumpmemoria.vmem connscan

whois

Google

Zeus O Zeus ou Zbot é um trojan que rouba nomes e senhas de acessos a internet relacionados a internet banking bem como permite um atacante remoto acessar um backdoor deixado ou presente na máquina; Desabilita o firewall da máquina; Geralmente disseminado por e-mail por meio de SPAM; Cria um arquivo com nome mutex AVIRA_210X que realiza um bypass no firewall para depois ser copiado com um arquivo de nome sdra64.exe de forma escondida para o Sistema Operacional;

Zeus Modifica as entradas de registro do windows para que o arquivo autoexec.bat rode o malware toda vez que o sistema operacional reiniciar Adds value: "ParseAutoexec" With data: "1" To subkey: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Conecta-se no IP 193.104.41.75 para baixar o arquivo de configuração do malware e salva como local.ds onde irá conter diversos sites relacionados a internet banking; Armazena as informações roubadas no arquivo user.ds;

Arquivos abertos # volatility -f dumpmemoria.vmem filescan

Arquivos abertos # volatility -f dumpmemoria.vmem filescan egrep -i 'sdra64 user.ds local.ds AVIRA'

www.apecof.org.br

Obrigado! Prof. Marcos Monteiro +55 (85) 9 8805-4112 contato@marcosmonteiro.com.br

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback