07-reconstrucao
-
Upload
clayton-santos -
Category
Documents
-
view
213 -
download
0
description
Transcript of 07-reconstrucao
Sumário
Identificar a linha de tempo
Ferramentas necessárias
Correlação de informações
Reconstrução do ataque
Linha de tempo
ObjetivoCriar um histórico das ações e eventos encontrados no sistema
comprometido, de forma a identificar quando e como ocorreu a
invasão, dando uma visão clara do ataque e dos métodos
utilizados pelo invasor para invadir e tomar o controle do
sistema.
ProblemasAs informações coletadas em um sistema comprometido não
são confiáveis, e por isso é importante o analista correlacionar
as informações obtidas na máquina com outras fontes, tais
como logs de roteadores e firewalls, servidores de e-mail e de
arquivos e informações obtidas em entrevistas com potenciais
suspeitos.
Linha de tempo
Para criar uma linha de tempo, o analista deve:
Descobrir quando a máquina foi instalada ou iniciada
Descobrir quando a máquina foi identificada como
invadida, e o horário em que começou a atividade de
análise forense e de contenção do ataque
Obter informações do momento em que a máquina foi
efetivamente desligada
Registrar informações de tempo das evidências
coletadas
Ferramentas
O analista deve utilizar as ferramentas para coletar informações sobre as evidências encontradas:
# istat /data/compromised/compromised_hda1.img 30578����
inode: 30578
Allocated
Group: 2
uid / gid: 0 / 0
mode: -rw-r--r--
size: 228
num of links: 1
Inode Times:
Accessed: Sun Aug 10 16:26:18 2003
File Modified: Wed Aug 6 12:09:17 2003
Inode Modified: Wed Aug 6 12:09:17 2003
Direct Blocks:
71142
Ferramentas
Algumas ferramentas podem facilitar o trabalho de coleta de informações:# fls -alrp -m / -z PDT
/data/compromised/compromised_hda1.img | mactime -g /mnt/image/etc/group -p /mnt/image/etc/passwd > /data/compromised/compromised_hda1.img����
Sun Sep 25 1983 18:45:00 48856 m.. -/-rwxr-xr-x root
root 92017 /usr/bin/top
8268 m.. -/-rwx------ root root 92010 /usr/bin/sl2
4060 m.. -/-rwxr-xr-x root root 92009
/usr/bin/sense
Sun Aug 10 2003 14:33:19 36692 .a. -/-rwxr-xr-x root
root 92022 /bin/ls
8268 .a. -/-rwx------ root root 92010 /usr/bin/sl2
2 .a. -/-rw-r--r-- root root 92023 /usr/lib/libsss
Correlação de informações
Informações coletadas na máquina precisam ser correlacionadas com fontes externas:
Logs de firewall
Logs de roteadores
Logs de servidores de e-mail
Entrevistas com suspeitos
Descrições e documentação na internet
As informações de datas devem estar sempre com o mesmo timezone para evitar inconsistências.
É importante que as máquinas estejam com os horários sempre corretos, de preferência atualizados pelo serviço NTP.
Correlação de informações
As evidências encontradas devem ser correlacionadas com as informações de tempo fornecidas pelas ferramentas forenses:
Sun Aug 10 2003 16:30:30 0 mac -/---------- root root 35804 /dev/hdx1
0 mac -/---------- root root 35833 /dev/hdx2
Sun Aug 10 2003 16:30:52 5636 ma. -/-rw-r--r-- root root 47169 /usr/lib/adore.o
Reconstrução do ataque
Após encontrar e correlacionar informações de tempo das evidências coletadas, o analista deve tentar reconstruir as ações executadas pelos invasores, desde o momento da invasão até o momento em que a máquina foi levada para análise
A reconstrução do ataque deve tentar descobrir o modo como o invasor obteve acesso ao sistema, identificando possíveis vulnerabilidades e ferramentas utilizadas no ataque e no controle do sistema
Uma boa prática é criar uma tabela descrevendo os eventos de acordo com a linha de tempo
Reconstrução do ataque
Data Ação / Evidência
06/Ago/2003 11:16:40 Last login: Wed Aug 6 11:16:40 on tty2
06/Ago/2003 12:09:17 Reinicialização do servidor (/etc/issue).
10/Ago/2003 13:24:29 Possível comprometimento do serviço HTTPS.
10/Ago/2003 13:33:57 Parada dos serviços syslogd e klogd.
10/Ago/2003 14:33:19 Possível instalação das ferramentas descritas na URL www.ntfs.com/ntfs-mft.htm
10/Ago/2003 15:52:10 Parada do serviço HTTPD.
10/Ago/2003 16:30:30 Infecção pelo vírus RST.b.
10/Ago/2003 16:30:52 Instalação do rootkit Adore.
10/Ago/2003 20:30:39 Começo da investigação (comando date no console)
Reconstrução do ataque
Finalmente, o analista deve identificar possíveis soluções para os problemas e vulnerabilidades identificados
Se possível, devem ser sugeridas formas de se proteger ou identificar atividades como as ocorridas no sistema analisado
Esta parte da análise forense permite ao responsável pela máquina invadida entender o que aconteceu, para que possa se proteger de futuros ataques
Conclusões
Aprendemos a organizar as evidências encontradas numa linha de tempo, identificando os momentos chaves da invasão e o comprometimento do servidor.
A linha de tempo é uma ferramenta indispensável para analisar o sistema.
O objetivo final da análise forense e do relatório de reconstrução do ataque é criar um documento que possa ser utilizado pela empresa como conhecimento formalizado a partir dos erros e prevenção contra futuros ataques.