10-windows
-
Upload
clayton-santos -
Category
Documents
-
view
218 -
download
0
description
Transcript of 10-windows
Análise forense
Sessão de aprendizagem 10
Análise forense avançada em
Windows (parte 2)
Sumário
Coleta de informações de redes
Coleta de informações em registros do Windows
Coleta de registros de eventos (logs)
Análise de conteúdo do Recycle.Bin
Análise de conteúdo do Clipboard
Análise de conteúdo de arquivos
Recuperação de dados ocultos ADS
Análise do histórico de navegação
Recuperação de senhas
Coleta de informações de redes
Conexões de redeSão evidências voláteis
Podem dar pistas sobre a origem dos invasores
Podem dar dicas sobre possíveis vazamentos de informação ou mau
uso do sistema
Existem dois tipos de informação importantes de coletar:Conexões ativas, ou seja, aquelas que estão acontecendo no
momento atual
Portas abertas, ou os serviços que a máquina está oferecendo
publicamente
O investigador deve comparar a saída de diversos comandos diferentes, pois os rootkits costumam esconder informações sobre conexões de redes e portas abertas.
Coleta de informações de redes
Conexões de redeD:\IR\xp> ipconfig /all�Windows IP Configuration
Host Name . . . . . . . . . . . . : COMPUTADOR
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : provedor.com.br
Ethernet adapter Wireless Network Connection 2:
Connection-specific DNS Suffix . : provedor.com.br
Description . . . . . . . . . . . : Broadcom 802.11b/g WLAN
Physical Address. . . . . . . . . : 00-90-4B-EA-0F-F3
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.194
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.10
192.168.0.1
Lease Obtained. . . . . . . . . . : quarta-feira, 30 de janeiro de 2008 16:42:06
Lease Expires . . . . . . . . . . : quarta-feira, 6 de fevereiro de 2008 16:42:06
Coleta de informações de redes
Conexões de rede
D:\IR\xp> iplist�
DiamondCS IP Enumerator v1.0 (www.diamondcs.com.au)�
# ADDRESS BROADCAST NETMASK
-1040144192 192.168.0.194 255.255.255.255 255.255.255.0
16777343 127.0.0.1 255.255.255.255 255.0.0.0
19900608 192.168.47.1 255.255.255.255 255.255.255.0
3 interfaces found.
Coleta de informações de redes
Conexões de rede
D:\IR\xp> netstat -na�
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1096 127.0.0.1:1097 ESTABLISHED
TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
TCP 192.168.0.194:2355 64.233.171.104:80 LAST_ACK
TCP 192.168.0.194:2395 66.249.83.19:443 CLOSE_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
...
Coleta de informações de redes
Conexões de rede
D:\IR\xp> netstat -nbv�
Active Connections
TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED 2512
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\Program Files\Mozilla Firefox\nspr4.dll
C:\Program Files\Mozilla Firefox\xpcom_core.dll
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\xpcom_core.dll
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\xpcom_core.dll
-- unknown component(s) --
[firefox.exe]
...
Coleta de informações de redes
Conexões de redeD:\IR\xp> openports�DiamondCS OpenPorts v1.0 (-? for help)
SYSTEM [4]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
UDP 192.168.47.1:138 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0 LISTENING svchost.exe [380]
UDP 192.168.0.194:1900 0.0.0.0:0 LISTENING MsnMsgr.Exe [884]
TCP 192.168.0.194:1074 207.46.109.93:1863 ESTABLISHED
UDP 192.168.0.194:46759 0.0.0.0:0 LISTENING wmplayer.exe [984]
UDP 127.0.0.1:2617 0.0.0.0:0 LISTENING lsass.exe [1144]
TCP 127.0.0.1:1101 127.0.0.1:1102 ESTABLISHED
TCP 127.0.0.1:1102 127.0.0.1:1101 ESTABLISHED
TCP 192.168.0.194:2670 66.249.83.83:443 CLOSE_WAIT
TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED
TCP 127.0.0.1:1096 127.0.0.1:1097 ESTABLISHED
TCP 192.168.0.194:2668 66.249.83.19:443 ESTABLISHED
Coleta de informações de redes
Conexões de rede
D:\IR\xp> fport�
FPort v2.0 - TCP/IP Process to Port Mapper
Pid Process Port Proto Path
1364 -> 135 TCP
4 System -> 139 TCP
4 System -> 445 TCP
2156 -> 1025 TCP
884 MsnMsgr -> 1074 TCP C:\Program Files\MSN Messenger\MsnMsgr.Exe
2512 firefox -> 1096 TCP C:\Program Files\Mozilla Firefox\firefox.exe
2512 firefox -> 1097 TCP C:\Program Files\Mozilla Firefox\firefox.exe
2512 firefox -> 1101 TCP C:\Program Files\Mozilla Firefox\firefox.exe
...
Coleta de informações de redes
Coleta de informações de redes
Conexões de rede
D:\IR\xp> promiscdetect�
Adapter name:
- Broadcom 802.11b/g WLAN
Active filter for the adapter:
- Directed (capture packets directed to this computer)
- Multicast (capture multicast packets for groups the computer is a member of)
- Broadcast (capture broadcast packets)
- Promiscuous (capture all packets on the network)
WARNING: Since this adapter is in promiscuous mode there could be a sniffer
running on this computer!
Adapter name:
- Realtek RTL8139/810x Family Fast Ethernet NIC
Active filter for the adapter:
- Directed (capture packets directed to this computer)
- Multicast (capture multicast packets for groups the computer is a member of)
- Broadcast (capture broadcast packets)
Coleta de informações em registros do
WindowsRegistro do Windows
Uma das características que diferenciam a coleta de evidências
em Linux e Windows
Base hierárquica e centralizada de dados utilizada pelo
Windows para armazenar informações necessárias para a
configuração do sistema (para um ou mais usuários),
aplicações e dispositivos de hardware
O registro é um arquivo binário de dados
Para poder acessar os dados neste arquivo, devemos exportar
o registro em formato de texto ou utilizar ferramentas que
permitam realizar consultas no registro
A ferramenta mais utilizada é o regedit.exe da própria Microsoft
Coleta de informações em registros do
Windows
Registro Função
DEFAULT Armazena todas as informações originais do
usuário.
SAM Armazena informações do serviço Security Accounts Manager.
SECURITY Armazena informações de segurança.
SOFTWARE Armazena informações sobre os aplicativos e
operação.
SYSTEM Armazenas informações sobre o hardware da
máquina.
Registro do WindowsLocalizado em C:\windows\system32\config
Coleta de informações em registros do
Windows
Chaves de registro
HKEY_CURRENT_USER
HKEY_USERS
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
Coleta de informações em registros do
WindowsREG_BINARY Dados binários não-processados.
REG_DWORD Dados representados por um número de 4 bytes.
REG_EXPAND_SZ Seqüência de dados com extensão variável.
REG_MULTI_SZ Uma seqüência múltipla.
REG_SZ Seqüência de texto com extensão fixa.
REG_RESOURCE_LIST Série de matrizes para armazenar lista de recursos usada por driver de dispositivo de hardware ou pelos dispositivos físicos controlados por ele.
REG_RESOURCE_REQUIREMENTS_LIST Série de matrizes para armazenar lista de drivers de dispositivo de hardware.
REG_FULL_RESOURCE_DESCRIPTOR Série de matrizes para armazenar lista de drivers de dispositivo de hardware.
REG_NONE Dados sem um tipo específico.
REG_LINK Uma seqüência Unicode que nomeia um link simbólico.
REG_QWORD Dados representados por um número que seja um inteiro de 64 bytes.
Cópia do registro:D:\IR\xp> regdmp > d:\tmp\registry.txt�
D:\IR\xp> reg query HKCU\Software /s > d:\tmp\registry_HKCU.txt�
Principais buscas nos registros:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
Coleta de informações em registros do
Windows
Coleta de informações em registros do
Windows
Coleta de informações em registros do
Windows
Coleta de registros de eventos (logs)
EventLogs: arquivos de log do Windows
Application
Contém os registros enviados por programas e aplicativos.
Security
Contém os registros de segurança relacionados com tentativas de acesso ao terminal do sistema e violação de privilégios.
System
Contém os registros relacionados com o sistema e hardware; se um serviço não for inicializado corretamente será gerado um alerta.
Coleta de registros de eventos (logs)
EventLogs: arquivos de log do WindowsDa mesma forma que os arquivos de registro, os arquivos de
log estão armazenados no diretório c:\windows\system32\config
e possuem a terminação .evt .
D:\IR\xp> dir c:\windows\system32\config\*.evt�
Directory of c:\windows\system32\config
06/01/2008 14:42 65.536 Antiviru.evt
29/01/2008 05:11 65.536 Antivirus.Evt
29/01/2008 05:11 524.288 AppEvent.Evt
24/10/2006 19:23 65.536 Internet.evt
29/01/2008 05:11 524.288 SecEvent.Evt
29/01/2008 05:11 524.288 SysEvent.Evt
Coleta de registros de eventos (logs)
Registro de eventosD:\IR\xp> psloglist�
System log on \\COMPUTADOR:
[494907] WinDefend
Type: INFORMATION
Computer: COMPUTADOR
Time: 30/1/2008 20:03:49 ID: 2000
Windows Defender signature version has been updated.
Current Signature Version: 1.24.6025.0
Previous Signature Version: 1.24.5865.0
Update Source: User
Signature Type: AntiSpyware
Update Type: Delta
User: COMPUTADOR\Usuario
Current Engine Version: 1.1.3109.0
Previous Engine Version: 1.1.3109.0
…
Coleta de registros de eventos (logs)
Registro de eventos
D:\IR\xp> ..\2k\res_kit\dumpel /?�
DUMPEL Usage:
dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-
dx]
-d <days> Filters for event last days (number larger than zero)
-e nn Filters for event id nn (up to 10 may be specified)
-f <filename> Output filename (default stdout)
-l <name> Dumps the specified log (system, application, security)
-b Dumps a backup file (use -l to specify file name)
-m <name> Filters for events logged by name
-r Filters out events logged by name (must use -m too)
-s <servername> Remote to servername
-t Use tab to separate strings (default is space)
-c Use comma to separate fields
-ns Do not output strings
-format <fmt> Specify output format.
Coleta de registros de eventos (logs)
Registro de eventos
D:\IR\xp> dumpevt /logfile=app /all /outfile=\tmp\evtdump.txt�
Somarsoft DumpEvt V1.7.3, Copyright ⌐ 1995-1997 by Somarsoft, Inc.
LogType=Application
Computer=(local)
SystemRoot=C:\WINDOWS
Outfile=\tmp\evtdump.txt
Use HKEY_CURRENT_USER for saving record number
Format=yes
DateFormat=(locale dependent)
TimeFormat=HH':'mm':'ss
FieldSeparator=,
ReplaceFieldSeparator= (blank)
…
Coleta de registros de eventos (logs)
Análise de conteúdo do Recycle.Bin
Os arquivos removidos são enviados para uma pasta oculta representada no desktop pelo ícone de uma lixeira.Existe um diretório RECYCLER em cada partição do disco da máquina. Dentro deste diretório existem subdiretórios cujos nomes são as identificações de segurança do usuário (SID).Com a informação disponível é possível identificar qual usuário removeu um arquivo específico.Dentro do subdiretório representado pelo SID existem sempre dois arquivos: desktop.ini e INFO2.
Análise de conteúdo do Recycle.Bin
Recycle.Bin
D:\IR\xp> dir /a c:\RECYCLER\S-1-5-21-4042056708-2335835806-3410500470-
1006�
17/01/2008 00:05 389 Dc1
01/12/2007 14:50 83 Dc2.txt
29/01/2008 14:42 65 desktop.ini
30/01/2008 22:10 1.620 INFO2
D:\IR\xp> sid2user 5 21 4042056708 2335835806 3410500470 1006�
Name is Usuario
Domain is COMPUTADOR
Type of SID is SidTypeUser
Análise de conteúdo do Recycle.Bin
Recycle.Bin
D:\IR\xp> rifiuti c:\RECYCLER\S-1-5-21-4042056708-2335835806-
3410500470-1006\INFO2�
INFO2 File: c:\RECYCLER\S-1-5-21-4042056708-2335835806-3410500470-
1006\INFO2
INDEX DELETED TIME DRIVE NUMBER PATH SIZE
1 Tue Jan 29 20:21:58 2008 2 C:\s9k 4096
2 Thu Jan 31 00:10:42 2008 2 C:\dump.txt 4096
Análise de conteúdo do Clipboard
O conteúdo da área de transferência ou clipboard éuma evidência normalmente esquecida pelo investigador
Existem três tipos principais de informação que podem ser copiadas através da área de transferência: textos, imagens ou tabelas e arquivos
Para verificar se existem arquivos na área de transferência, pode-se usar o Explorer para colar o conteúdo da área de transferência em um diretório
Para objetos complexos, é possível colar o conteúdo em um documento aberto no WordPad
Análise de conteúdo do Clipboard
Clipboard
D:\IR\xp> pclip�
Informacoes de cartao de credito:
1234-1234-1234-1111
1234-1234-1234-1113
1234-1234-1234-1112
Análise de conteúdo de arquivos
Informações sobre arquivosD:\IR\xp> mac -d c:\windows�
MAC.pl
Collect MAC times and owner from files in a directory.
By default, search starts at current dir, looking at all files.
NOTE: Beginning and end of search are timestamped. Output is in CSV
format
for easy opening in Excel.
Start search,1201742514,Wed Jan 30 23:21:54 2008
File,Size,Last Access,Last Modification,Creation
c:\windows\0.log,0,BUILTIN\Administrators,Wed Jan 30 16:41:41 2008,Wed
Jan 30 16:41:41 2008,Wed Jan 9 08:19:37 2008
c:\windows\accessories.ico,13942,,Wed Jan 9 02:42:12 2008,Tue Jan 6
15:00:10 2004,Sat May 10 22:50:09 2003
c:\windows\AG-Rose.ico,5430,,Wed Jan 9 02:42:12 2008,Fri Jul 30
13:59:42 2004,Sat May 10 22:50:09 2003
Análise de conteúdo de arquivos
Informações sobre arquivos
D:\IR\xp> afind c:\windows\system32�
Searching...
c:\windows\system32\XPSViewer\en-us
Finished
D:\IR\xp> file -m ..\Cygwin\magic
c:\WINDOWS\NOTEPAD.EXE �
c:\WINDOWS\NOTEPAD.EXE: MS-DOS executable
(EXE), OS/2 or MS Windows
Análise de conteúdo de arquivos
Informações sobre arquivos
D:\IR\xp> filestat c:\boot.ini�
Dumping c:\boot.ini...
SD is valid.
SD's Owner is Not NULL
SID = BUILTIN/Administrators S-1-5-32-544
SID = / (Account Unknown) S-1-5-21-1607551490-981732888-1819828000-513
SID = BUILTIN/Administrators S-1-5-32-544
ACE 0 is an ACCESS_ALLOWED_ACE_TYPE
ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
SID = NT AUTHORITY/SYSTEM S-1-5-18
ACE 1 is an ACCESS_ALLOWED_ACE_TYPE
ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
Stream 1:
Stream name = ???$?? Size: 116
Stream 2:
Stream name = ???$?? Size: 211
Stream 3:
Stream name = ???$?? Size: 64
Creation Time - 07/08/2004 10:51:38
Last Mod Time - 30/11/2007 11:32:08
Last Access Time - 30/01/2008 23:16:27
Recuperação de dados ocultos ADS
Ocultação de dados:Alternate Data Streams (ADS) são dados associados a
arquivos
São utilizados por programas maliciosos e rootkits
para esconder informações no sistema
Entretanto, sua origem e motivação são nobres: ADS
são utilizados para armazenar informações extras
sobre um arquivo, como o Thumbnail de uma imagem
ou o ícone de um arquivo
Recuperação de dados ocultos ADS
Ocultação de dados:
D:\IR\xp> echo Este e um arquivo de textos > d:\tmp\file.txt�
D:\IR\xp> dir d:\tmp\file.txt�
31/01/2008 00:40 30 file.txt
D:\IR\xp> echo Este e um stream ADS > d:\tmp\file.txt:adsdata.txt�
D:\IR\xp> dir d:\tmp\file.txt�
31/01/2008 00:40 30 file.txt
D:\IR\xp> type d:\tmp\file.txt�
Este e um arquivo de textos
D:\IR\xp> less < d:\tmp\file.txt:adsdata.txt�
Este e um stream ADS
Recuperação de dados ocultos ADS
Ocultação de dados:
D:\IR\xp> type c:\windows\notepad.exe >
d:\tmp\file.txt:np.exe�
D:\IR\xp> start d:\tmp\file.txt:np.exe�
D:\IR\xp> dir d:\tmp\file.txt�
31/01/2008 00:43 30 file.txt
Recuperação de dados ocultos ADS
Ocultação de dados:D:\IR\xp> ads d:\tmp�
d:\tmp\teste.txt:adsdata.txt (23 bytes)
d:\tmp\teste.txt:np.exe (69120 bytes)
D:\IR\xp> streams d:\tmp\*�
d:\tmp\teste.txt:
:adsdata.txt:$DATA 23
:np.exe:$DATA 69120
D:\IR\xp> sfind d:\tmp�
Searching...
d:\tmp
teste.txt:adsdata.txt Size: 23
teste.txt:np.exe Size: 69120
Finished
Análise do histórico de navegação
Histórico de navegação
D:\IR\xp> pasco -d "c:\Documents and Settings\Usuario\Cookies\index.dat“�
History File: c:\Documents and Settings\hp\Cookies\index.dat
TYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY
HTTP HEADERS
URL Cookie:[email protected]
/serviceswitching/Thu Jan 10 04:00:46 2008 Wed Jan 30 23:56:31
2008 [email protected][1].txt
URL Cookie:[email protected]/ Thu Jan 10 11:59:48 2008 Thu Jan
31 03:28:55 2008 [email protected][1].txt URL
URL Cookie:[email protected]/ Thu Jan 31 01:16:36 2008
Thu Jan 31 01:16:36 2008 [email protected][1].txt URL
Análise do histórico de navegação
Histórico de navegação
D:\IR\xp> galleta "C:\Documents and Settings\Usuario\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt"�
Cookie File: C:\Documents and Settings\hp\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt
SITE VARIABLEVALUE CREATION TIME EXPIRE TIME FLAGS
.google.com TRUE / FALSE 1262741102 PREFID=66ce23137a6d713d:FF=
4:LD=en:NR=10:TM=1153453246:LM=1199669113:DV=AA:GM=1:IG=3:S=61TCN1UHJwM0IeCa
il.google.com FALSE /mail FALSE 1348445213 gmailchat
60644 .google.com TRUE /mail/ FALSE 1262402786__utmx
173272373. Thu Jan 1 00:00:00 1970 Thu Jan 1 00:00:00 1970
.google.com TRUE /FALSE 1506634851 rememberme true
Análise do histórico de navegação
Análise do histórico de navegação
Análise do histórico de navegação
Recuperação de senhas
Ferramentas do kit para recuperação de senhas de diversos serviços do Windows e de aplicativos instalados.As ferramentas expõem informações privativas dos usuários do computador, que podem não fazer parte da investigação.Por isso, o investigador deve ter consciência da importância de manter estas informações sob sigilo, e não utilizá-las para qualquer finalidade que não seja uma ação direta da investigação.O computador em uso não deve utilizar senhas pessoais.
Recuperação de senhas
accesspv.exe
lsasecretsview.exe
mailpv.exe
mspass.exe
netpass.exe
pspv.exe
pstpassword.exe
rdpv.exe
wirelesskeyview.exe
Conclusões
Conhecemos ferramentas e técnicas para coleta de informações importantes em sistemas Windows.
Aprendemos técnicas para realização de análise forense e ferramentas para uma resposta inicial a um incidente.
O aluno já possui conhecimentos para realizar análises em computadores comprometidos e identificar os responsáveis e eventos que comprometeram o sistema.
É importante que o aluno entenda que este material serve como uma base para que ele possa pesquisar e se aprofundar no assunto.
Bibliografia