Forense Remota utilizando ferramentas Open Source
-
Upload
julio-cesar-roque-benatto -
Category
Technology
-
view
679 -
download
10
description
Transcript of Forense Remota utilizando ferramentas Open Source
José Francci Neto Júlio César R. Benatto
AGENDA - Introdução
- Forense Computacional - Preparação - Aquisição - Análise - Relatórios
- Estudo de Caso
- Cenário - Engage the Target - Mestasploit - Aquisição remota - Passo a passo - Comandos - Enumerando drivers - Bloqueador de escrita - Mapeando drive remotamente - Montando drive / Bloqueador de escrita - Realizando aquisição remota - Análise da imagem coletada - Comparação / Conversão
- Conclusão - Open Source x Software Pago
Forense Computacional Processo Macro.
PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO
Atividade suspeita
Preparação O que é necessário para execução da atividade
• Pessoas;
• Processos;
• Infra.
Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.
• Criação de imagem forense; • 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.
Análise Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.
Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.
• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a análise;
• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial
• Conclusivo e sem opiniões.
Estudo de Caso Aquisição remota através metasploit.
Cenário • Kali Linux
• Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client
• Mount • dcfldd • Autopsy
• Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08
Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades
METASPLOIT
• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para
exploração de vulnerabilidades • Forense
Aquisição Remota Metodologia Forense utilizando Software Livre
Passo a passo psexec > use exploit/windows/smb/psexec
Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp
Comandos SESSION Background Session 1...
Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives
Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver
Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1
Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio
Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Comparação/Conversão FTK IMAGER www.accessdata.com
Comparação/Conversão ENCASE V7.08 www.guidance.com
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
Open Source x Software Pago Aprendizado
x Tempo
x Facilidade de uso
x Cenário
Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/
Próximos passos...
Muito Obrigado!
José Francci Neto [email protected] http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto [email protected] http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740