José Francci Neto Júlio César R. Benatto

AGENDA - Introdução

- Forense Computacional - Preparação - Aquisição - Análise - Relatórios

- Estudo de Caso

- Cenário - Engage the Target - Mestasploit - Aquisição remota - Passo a passo - Comandos - Enumerando drivers - Bloqueador de escrita - Mapeando drive remotamente - Montando drive / Bloqueador de escrita - Realizando aquisição remota - Análise da imagem coletada - Comparação / Conversão

- Conclusão - Open Source x Software Pago

Forense Computacional Processo Macro.

PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO

Atividade suspeita

Preparação O que é necessário para execução da atividade

• Pessoas;

• Processos;

• Infra.

Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.

• Criação de imagem forense; • 1 source > 2 targets

• Bloqueador de escrita;

• Geração hash;

• Cadeia de custódia;

• Ata notarial.

Análise Durante uma análise forense são analisados diversos artefatos que podem

conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.

Download – É possível determinar arquivos que o usuário tenha feito download.

Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de

mensagens instantâneas.

Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta

em análise (Data Carving) e verificar e acessar os dados que estão marcados como

excluídos na MFT (Master File Table).

Execução de programas – Pode-se determinar programas executados no

ambiente em análise.

Uso de dispositivos móveis – É possível determinar dispositivos móveis

conectados no computados analisado.

Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de

forma imparcial.

• Resposta aos quesitos;

• Análise imparcial;

• Remontar os passos adotados durante a análise;

• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial

• Conclusivo e sem opiniões.

Estudo de Caso Aquisição remota através metasploit.

Cenário • Kali Linux

• Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client

• Mount • dcfldd • Autopsy

• Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08

Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades

METASPLOIT

• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para

exploração de vulnerabilidades • Forense

Aquisição Remota Metodologia Forense utilizando Software Livre

Passo a passo psexec > use exploit/windows/smb/psexec

Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp

Comandos SESSION Background Session 1...

Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives

Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver

Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1

Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio

Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Comparação/Conversão FTK IMAGER www.accessdata.com

Comparação/Conversão ENCASE V7.08 www.guidance.com

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy

Open Source x Software Pago Aprendizado

x Tempo

x Facilidade de uso

x Cenário

Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/

Próximos passos...

Muito Obrigado!

José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187

Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740