10-windows

Análise forense

Sessão de aprendizagem 10

Análise forense avançada em

Windows (parte 2)

Sumário

Coleta de informações de redes

Coleta de informações em registros do Windows

Coleta de registros de eventos (logs)

Análise de conteúdo do Recycle.Bin

Análise de conteúdo do Clipboard

Análise de conteúdo de arquivos

Recuperação de dados ocultos ADS

Análise do histórico de navegação

Recuperação de senhas


Conexões de redeSão evidências voláteis

Podem dar pistas sobre a origem dos invasores

Podem dar dicas sobre possíveis vazamentos de informação ou mau

uso do sistema

Existem dois tipos de informação importantes de coletar:Conexões ativas, ou seja, aquelas que estão acontecendo no

momento atual

Portas abertas, ou os serviços que a máquina está oferecendo

publicamente

O investigador deve comparar a saída de diversos comandos diferentes, pois os rootkits costumam esconder informações sobre conexões de redes e portas abertas.


Conexões de redeD:\IR\xp> ipconfig /all�Windows IP Configuration

Host Name . . . . . . . . . . . . : COMPUTADOR

Primary Dns Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Hybrid

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : provedor.com.br

Ethernet adapter Wireless Network Connection 2:

Connection-specific DNS Suffix . : provedor.com.br

Description . . . . . . . . . . . : Broadcom 802.11b/g WLAN

Physical Address. . . . . . . . . : 00-90-4B-EA-0F-F3

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 192.168.0.194

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1

DHCP Server . . . . . . . . . . . : 192.168.0.1

DNS Servers . . . . . . . . . . . : 192.168.0.10

192.168.0.1

Lease Obtained. . . . . . . . . . : quarta-feira, 30 de janeiro de 2008 16:42:06

Lease Expires . . . . . . . . . . : quarta-feira, 6 de fevereiro de 2008 16:42:06


Conexões de rede

D:\IR\xp> iplist�

DiamondCS IP Enumerator v1.0 (www.diamondcs.com.au)�

# ADDRESS BROADCAST NETMASK

-1040144192 192.168.0.194 255.255.255.255 255.255.255.0

16777343 127.0.0.1 255.255.255.255 255.0.0.0

19900608 192.168.47.1 255.255.255.255 255.255.255.0

3 interfaces found.


Conexões de rede

D:\IR\xp> netstat -na�

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1096 127.0.0.1:1097 ESTABLISHED

TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED

TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING

TCP 192.168.0.194:2355 64.233.171.104:80 LAST_ACK

TCP 192.168.0.194:2395 66.249.83.19:443 CLOSE_WAIT

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:500 *:*

...


Conexões de rede

D:\IR\xp> netstat -nbv�

Active Connections

TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED 2512

C:\WINDOWS\system32\mswsock.dll

C:\WINDOWS\system32\WS2_32.dll

C:\Program Files\Mozilla Firefox\nspr4.dll

C:\Program Files\Mozilla Firefox\xpcom_core.dll

C:\Program Files\Mozilla Firefox\firefox.exe


C:\Program Files\Mozilla Firefox\firefox.exe


-- unknown component(s) --

[firefox.exe]

...


Conexões de redeD:\IR\xp> openports�DiamondCS OpenPorts v1.0 (-? for help)

SYSTEM [4]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

UDP 192.168.47.1:138 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 0.0.0.0:0 LISTENING svchost.exe [380]

UDP 192.168.0.194:1900 0.0.0.0:0 LISTENING MsnMsgr.Exe [884]

TCP 192.168.0.194:1074 207.46.109.93:1863 ESTABLISHED

UDP 192.168.0.194:46759 0.0.0.0:0 LISTENING wmplayer.exe [984]

UDP 127.0.0.1:2617 0.0.0.0:0 LISTENING lsass.exe [1144]

TCP 127.0.0.1:1101 127.0.0.1:1102 ESTABLISHED

TCP 127.0.0.1:1102 127.0.0.1:1101 ESTABLISHED

TCP 192.168.0.194:2670 66.249.83.83:443 CLOSE_WAIT

TCP 127.0.0.1:1097 127.0.0.1:1096 ESTABLISHED

TCP 127.0.0.1:1096 127.0.0.1:1097 ESTABLISHED

TCP 192.168.0.194:2668 66.249.83.19:443 ESTABLISHED


Conexões de rede

D:\IR\xp> fport�

FPort v2.0 - TCP/IP Process to Port Mapper

Pid Process Port Proto Path

1364 -> 135 TCP

4 System -> 139 TCP

4 System -> 445 TCP

2156 -> 1025 TCP

884 MsnMsgr -> 1074 TCP C:\Program Files\MSN Messenger\MsnMsgr.Exe

2512 firefox -> 1096 TCP C:\Program Files\Mozilla Firefox\firefox.exe



...


Conexões de rede

D:\IR\xp> promiscdetect�

Adapter name:

- Broadcom 802.11b/g WLAN

Active filter for the adapter:

- Directed (capture packets directed to this computer)

- Multicast (capture multicast packets for groups the computer is a member of)

- Broadcast (capture broadcast packets)

- Promiscuous (capture all packets on the network)

WARNING: Since this adapter is in promiscuous mode there could be a sniffer

running on this computer!

Adapter name:

- Realtek RTL8139/810x Family Fast Ethernet NIC

Active filter for the adapter:

- Directed (capture packets directed to this computer)

- Multicast (capture multicast packets for groups the computer is a member of)

- Broadcast (capture broadcast packets)

Coleta de informações em registros do

WindowsRegistro do Windows

Uma das características que diferenciam a coleta de evidências

em Linux e Windows

Base hierárquica e centralizada de dados utilizada pelo

Windows para armazenar informações necessárias para a

configuração do sistema (para um ou mais usuários),

aplicações e dispositivos de hardware

O registro é um arquivo binário de dados

Para poder acessar os dados neste arquivo, devemos exportar

o registro em formato de texto ou utilizar ferramentas que

permitam realizar consultas no registro

A ferramenta mais utilizada é o regedit.exe da própria Microsoft


Windows

Registro Função

DEFAULT Armazena todas as informações originais do

usuário.

SAM Armazena informações do serviço Security Accounts Manager.

SECURITY Armazena informações de segurança.

SOFTWARE Armazena informações sobre os aplicativos e

operação.

SYSTEM Armazenas informações sobre o hardware da

máquina.

Registro do WindowsLocalizado em C:\windows\system32\config


Windows

Chaves de registro

HKEY_CURRENT_USER

HKEY_USERS

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG


WindowsREG_BINARY Dados binários não-processados.

REG_DWORD Dados representados por um número de 4 bytes.

REG_EXPAND_SZ Seqüência de dados com extensão variável.

REG_MULTI_SZ Uma seqüência múltipla.

REG_SZ Seqüência de texto com extensão fixa.

REG_RESOURCE_LIST Série de matrizes para armazenar lista de recursos usada por driver de dispositivo de hardware ou pelos dispositivos físicos controlados por ele.

REG_RESOURCE_REQUIREMENTS_LIST Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_FULL_RESOURCE_DESCRIPTOR Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_NONE Dados sem um tipo específico.

REG_LINK Uma seqüência Unicode que nomeia um link simbólico.

REG_QWORD Dados representados por um número que seja um inteiro de 64 bytes.

Cópia do registro:D:\IR\xp> regdmp > d:\tmp\registry.txt�

D:\IR\xp> reg query HKCU\Software /s > d:\tmp\registry_HKCU.txt�

Principais buscas nos registros:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*


Windows


Windows


EventLogs: arquivos de log do Windows

Application

Contém os registros enviados por programas e aplicativos.

Security

Contém os registros de segurança relacionados com tentativas de acesso ao terminal do sistema e violação de privilégios.

System

Contém os registros relacionados com o sistema e hardware; se um serviço não for inicializado corretamente será gerado um alerta.


EventLogs: arquivos de log do WindowsDa mesma forma que os arquivos de registro, os arquivos de

log estão armazenados no diretório c:\windows\system32\config

e possuem a terminação .evt .

D:\IR\xp> dir c:\windows\system32\config\*.evt�

Directory of c:\windows\system32\config

06/01/2008 14:42 65.536 Antiviru.evt

29/01/2008 05:11 65.536 Antivirus.Evt

29/01/2008 05:11 524.288 AppEvent.Evt

24/10/2006 19:23 65.536 Internet.evt

29/01/2008 05:11 524.288 SecEvent.Evt

29/01/2008 05:11 524.288 SysEvent.Evt


Registro de eventosD:\IR\xp> psloglist�

System log on \\COMPUTADOR:

[494907] WinDefend

Type: INFORMATION

Computer: COMPUTADOR

Time: 30/1/2008 20:03:49 ID: 2000

Windows Defender signature version has been updated.

Current Signature Version: 1.24.6025.0

Previous Signature Version: 1.24.5865.0

Update Source: User

Signature Type: AntiSpyware

Update Type: Delta

User: COMPUTADOR\Usuario

Current Engine Version: 1.1.3109.0

Previous Engine Version: 1.1.3109.0

…


Registro de eventos

D:\IR\xp> ..\2k\res_kit\dumpel /?�

DUMPEL Usage:

dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-

dx]

-d <days> Filters for event last days (number larger than zero)

-e nn Filters for event id nn (up to 10 may be specified)

-f <filename> Output filename (default stdout)

-l <name> Dumps the specified log (system, application, security)

-b Dumps a backup file (use -l to specify file name)

-m <name> Filters for events logged by name

-r Filters out events logged by name (must use -m too)

-s <servername> Remote to servername

-t Use tab to separate strings (default is space)

-c Use comma to separate fields

-ns Do not output strings

-format <fmt> Specify output format.


Registro de eventos

D:\IR\xp> dumpevt /logfile=app /all /outfile=\tmp\evtdump.txt�

Somarsoft DumpEvt V1.7.3, Copyright ⌐ 1995-1997 by Somarsoft, Inc.

LogType=Application

Computer=(local)

SystemRoot=C:\WINDOWS

Outfile=\tmp\evtdump.txt

Use HKEY_CURRENT_USER for saving record number

Format=yes

DateFormat=(locale dependent)

TimeFormat=HH':'mm':'ss

FieldSeparator=,

ReplaceFieldSeparator= (blank)

…


Os arquivos removidos são enviados para uma pasta oculta representada no desktop pelo ícone de uma lixeira.Existe um diretório RECYCLER em cada partição do disco da máquina. Dentro deste diretório existem subdiretórios cujos nomes são as identificações de segurança do usuário (SID).Com a informação disponível é possível identificar qual usuário removeu um arquivo específico.Dentro do subdiretório representado pelo SID existem sempre dois arquivos: desktop.ini e INFO2.


Recycle.Bin

D:\IR\xp> dir /a c:\RECYCLER\S-1-5-21-4042056708-2335835806-3410500470-

1006�

17/01/2008 00:05 389 Dc1

01/12/2007 14:50 83 Dc2.txt

29/01/2008 14:42 65 desktop.ini

30/01/2008 22:10 1.620 INFO2

D:\IR\xp> sid2user 5 21 4042056708 2335835806 3410500470 1006�

Name is Usuario

Domain is COMPUTADOR

Type of SID is SidTypeUser


Recycle.Bin

D:\IR\xp> rifiuti c:\RECYCLER\S-1-5-21-4042056708-2335835806-

3410500470-1006\INFO2�

INFO2 File: c:\RECYCLER\S-1-5-21-4042056708-2335835806-3410500470-

1006\INFO2

INDEX DELETED TIME DRIVE NUMBER PATH SIZE

1 Tue Jan 29 20:21:58 2008 2 C:\s9k 4096

2 Thu Jan 31 00:10:42 2008 2 C:\dump.txt 4096


O conteúdo da área de transferência ou clipboard éuma evidência normalmente esquecida pelo investigador

Existem três tipos principais de informação que podem ser copiadas através da área de transferência: textos, imagens ou tabelas e arquivos

Para verificar se existem arquivos na área de transferência, pode-se usar o Explorer para colar o conteúdo da área de transferência em um diretório

Para objetos complexos, é possível colar o conteúdo em um documento aberto no WordPad


Clipboard

D:\IR\xp> pclip�

Informacoes de cartao de credito:

1234-1234-1234-1111

1234-1234-1234-1113

1234-1234-1234-1112


Informações sobre arquivosD:\IR\xp> mac -d c:\windows�

MAC.pl

Collect MAC times and owner from files in a directory.

By default, search starts at current dir, looking at all files.

NOTE: Beginning and end of search are timestamped. Output is in CSV

format

for easy opening in Excel.

Start search,1201742514,Wed Jan 30 23:21:54 2008

File,Size,Last Access,Last Modification,Creation

c:\windows\0.log,0,BUILTIN\Administrators,Wed Jan 30 16:41:41 2008,Wed

Jan 30 16:41:41 2008,Wed Jan 9 08:19:37 2008

c:\windows\accessories.ico,13942,,Wed Jan 9 02:42:12 2008,Tue Jan 6

15:00:10 2004,Sat May 10 22:50:09 2003

c:\windows\AG-Rose.ico,5430,,Wed Jan 9 02:42:12 2008,Fri Jul 30

13:59:42 2004,Sat May 10 22:50:09 2003


Informações sobre arquivos

D:\IR\xp> afind c:\windows\system32�

Searching...

c:\windows\system32\XPSViewer\en-us

Finished

D:\IR\xp> file -m ..\Cygwin\magic

c:\WINDOWS\NOTEPAD.EXE �

c:\WINDOWS\NOTEPAD.EXE: MS-DOS executable

(EXE), OS/2 or MS Windows


Informações sobre arquivos

D:\IR\xp> filestat c:\boot.ini�

Dumping c:\boot.ini...

SD is valid.

SD's Owner is Not NULL

SID = BUILTIN/Administrators S-1-5-32-544

SID = / (Account Unknown) S-1-5-21-1607551490-981732888-1819828000-513

SID = BUILTIN/Administrators S-1-5-32-544

ACE 0 is an ACCESS_ALLOWED_ACE_TYPE

ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN

SID = NT AUTHORITY/SYSTEM S-1-5-18

ACE 1 is an ACCESS_ALLOWED_ACE_TYPE

ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN

Stream 1:

Stream name = ???$?? Size: 116

Stream 2:


Stream 3:


Creation Time - 07/08/2004 10:51:38

Last Mod Time - 30/11/2007 11:32:08

Last Access Time - 30/01/2008 23:16:27


Ocultação de dados:Alternate Data Streams (ADS) são dados associados a

arquivos

São utilizados por programas maliciosos e rootkits

para esconder informações no sistema

Entretanto, sua origem e motivação são nobres: ADS

são utilizados para armazenar informações extras

sobre um arquivo, como o Thumbnail de uma imagem

ou o ícone de um arquivo


Ocultação de dados:

D:\IR\xp> echo Este e um arquivo de textos > d:\tmp\file.txt�

D:\IR\xp> dir d:\tmp\file.txt�

31/01/2008 00:40 30 file.txt

D:\IR\xp> echo Este e um stream ADS > d:\tmp\file.txt:adsdata.txt�


31/01/2008 00:40 30 file.txt

D:\IR\xp> type d:\tmp\file.txt�

Este e um arquivo de textos

D:\IR\xp> less < d:\tmp\file.txt:adsdata.txt�

Este e um stream ADS


Ocultação de dados:

D:\IR\xp> type c:\windows\notepad.exe >

d:\tmp\file.txt:np.exe�

D:\IR\xp> start d:\tmp\file.txt:np.exe�


31/01/2008 00:43 30 file.txt


Ocultação de dados:D:\IR\xp> ads d:\tmp�

d:\tmp\teste.txt:adsdata.txt (23 bytes)

d:\tmp\teste.txt:np.exe (69120 bytes)

D:\IR\xp> streams d:\tmp\*�

d:\tmp\teste.txt:

:adsdata.txt:$DATA 23

:np.exe:$DATA 69120

D:\IR\xp> sfind d:\tmp�

Searching...

d:\tmp

teste.txt:adsdata.txt Size: 23

teste.txt:np.exe Size: 69120

Finished


Histórico de navegação

D:\IR\xp> pasco -d "c:\Documents and Settings\Usuario\Cookies\index.dat“�

History File: c:\Documents and Settings\hp\Cookies\index.dat

TYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY

HTTP HEADERS

URL Cookie:[email protected]

/serviceswitching/Thu Jan 10 04:00:46 2008 Wed Jan 30 23:56:31

2008 [email protected][1].txt

URL Cookie:[email protected]/ Thu Jan 10 11:59:48 2008 Thu Jan

31 03:28:55 2008 [email protected][1].txt URL

URL Cookie:[email protected]/ Thu Jan 31 01:16:36 2008

Thu Jan 31 01:16:36 2008 [email protected][1].txt URL


Histórico de navegação

D:\IR\xp> galleta "C:\Documents and Settings\Usuario\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt"�

Cookie File: C:\Documents and Settings\hp\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt

SITE VARIABLEVALUE CREATION TIME EXPIRE TIME FLAGS

.google.com TRUE / FALSE 1262741102 PREFID=66ce23137a6d713d:FF=

4:LD=en:NR=10:TM=1153453246:LM=1199669113:DV=AA:GM=1:IG=3:S=61TCN1UHJwM0IeCa

il.google.com FALSE /mail FALSE 1348445213 gmailchat

60644 .google.com TRUE /mail/ FALSE 1262402786__utmx

173272373. Thu Jan 1 00:00:00 1970 Thu Jan 1 00:00:00 1970

.google.com TRUE /FALSE 1506634851 rememberme true


Ferramentas do kit para recuperação de senhas de diversos serviços do Windows e de aplicativos instalados.As ferramentas expõem informações privativas dos usuários do computador, que podem não fazer parte da investigação.Por isso, o investigador deve ter consciência da importância de manter estas informações sob sigilo, e não utilizá-las para qualquer finalidade que não seja uma ação direta da investigação.O computador em uso não deve utilizar senhas pessoais.


accesspv.exe

lsasecretsview.exe

mailpv.exe

mspass.exe

netpass.exe

pspv.exe

pstpassword.exe

rdpv.exe

wirelesskeyview.exe

Conclusões

Conhecemos ferramentas e técnicas para coleta de informações importantes em sistemas Windows.

Aprendemos técnicas para realização de análise forense e ferramentas para uma resposta inicial a um incidente.

O aluno já possui conhecimentos para realizar análises em computadores comprometidos e identificar os responsáveis e eventos que comprometeram o sistema.

É importante que o aluno entenda que este material serve como uma base para que ele possa pesquisar e se aprofundar no assunto.

Bibliografia

10-windows

Documents

Transcript of 10-windows