Análise Forense RAM

AnliseForenseemMemriaRAM
Publicadoem21deabrilde2017
ElizerPereiraSeguir
EspecialistaemSeguranadaInformaoeForenseCo
1.Objetivo
Oobjetivodesteartigodemostrarcomorealizaraanliseforensedememria
RAM,apresentandoalgunsexemplosdeinformaesquepodemserrecuperadase
analisadas,comafinalidadedeajudaraidentificarindciosdeincidentesde
seguranabemcomofraudesedemaisilcitospraticadosatravsdeumsistemade
informao.
2.BoasPrticasparaAnliseForenseComputacional
2.1NIST
ONationalInstituteofStandardsandTechnology(NIST)(emportugus:
InstitutoNacionaldePadreseTecnologia)mundialmenteconhecidocomo
referncianapublicaodedocumentosquetrazempadresdetecnologiade
formabemdetalhadaebemabrangente.
ODocumento80086GuidetoIntegratingForensicTechniquesinto
IncidentResponse(emportugus:GuiaparaIntegrarTcnicasForenseem
RespostaIncidentes)trazumasriederecomendaesparaprocedercomuma
anliseforenseparaincidentesdesegurana,desdeacoletadedadosata
elaboraodeumrelatriofinal.Downloaddodocumentonolinkabaixo:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800
86.pdf
2.1.1EtapasrecomendadaspeloNISTparaAnliseForense
ColetarIdentificar,rotular,eprocedercomaaquisiodedadosdediversas
fontes,deformadocumentadaegarantindoaintegridadedosdados.
ExaminarProcessarosdadoscoletados,quenormalmenterequermtodos
manuaiseformasautomatizadas,tentandojidentificarpossveisdadosrelevantes
investigao.
AnalisarDarcontinuidadeaoprocessamentodeumaformamaiscuidadosae
jtendoumdirecionamentodoqueinvestigar.Nestaetapademaiscoletasde
outrasfontesdedadospodemtrazerevidnciasadicionais.
ReportarDescreveroresultadodaanlisequedeveincluirorelatodetudo
quefoirealizadodesdeaprimeiraetapa.Aesrealizadas,bemcomoferramentas
eprocedimentoutilizados,analisardemaisriscosesugerirmelhoriasdecontroles
internos,ferramentas,afimdereduziroimpactoaonegciodetectando
fragilidadesquepossamocasionaremrecorrnciadeumincidente,porexemplo.
2.2RFC3227
ARFC3227,trazboasprticasparaaquisiodeevidenciasdigitais.Aordemem
queestassocoletadas,podedeterminarosucessoouoinsucessodeuma
investigao.
EssaordemchamadadeOrdemdeVolatilidade,quecomooprprionome
sugere,orientaqueosdadosvolteisdevemsercoletadosprimeiro.
Umdadovoltilqualquerdadoquepodeserperdidocomodesligamentodo
sistema,comoporexemploumaregistrodeumaconexocomumsitedainternet
queaindaestejapresentenamemriaRAM.
Devemospriorizaraaquisiodeevidnciasseguindodamaisvoltilparaamenos
voltil,conformeabaixo:
Caches
Tabelasderoteamento,tabelasdeprocessos,memria
Arquivostemporriosdesistema
Discorgido
Logsremotos,dadosdemonitoramento
Configuraofsicaderede,topologiaderede
Mdias(CDs,DVDs,etc)
3.AnliseForenseemMemriaRAM
AMemriadeacessoaleatrio(doinglsRandomAccessMemory,normalmente
abreviadaparaRAM)umtipodememriaquepermitealeituraeaescrita,
utilizadaemsistemaseletrnicosdigitais.
Aoexecutarumprograma,elelidoemumdispositivodearmazenamento,seja
umdiscorgido,umCD,etc,transferidoparaamemriaRAM,eentoser
executadopeloprocessador.OacessomemriaRAMvantajosopelofatodela
possuirtaxasdetransfernciamuitomaisalta,emrelaoaodiscorgidopor
exemplo.
Adesvantagemficaporcontadaperdadosdadosarmazenadosquandoo
computadordesligado.
Quandoocomputadorligado,oprocessodeinicializaodosistemaboot,
refeitotendobibliotecas,driverseconfiguraesdeprefernciacopiados
novamenteparaamemriaRAM.
AmemriaRAMpodeconterdiversostiposdearquivosdesdeprogramas
executveis,informaesdeportasdecomunicaoderede,arquivosderegistro
dosistemaoperacional,registrodenavegaoemsitesdainternet,fotos,arquivos
detexto,etc.
Comocitamosanteriormente,estecontedopodeserperdidocomodesligamento
damquina,enumaAnaliseForenseComputacional,ajcitadaOrdemde
Volatilidadedeveserseguidamandatoriamente,paragarantirqueevidnciasno
sejamperdidas.
3.1CriandoumaImagemdaMemriaRAM
OsoftwareutilizadoparaestafinalidadeseraDumpIT,softwaregratuito
encontradonolinkabaixo:
http://www.downloadcrew.com/article/23854dumpit
Recomendao:
AimagemnodevesergravadadiretamentenamquinaqueteramemriaRAM
analisada.OsoftwareDumpITdevesercopiadoeexecutadoapartirdeum
dispositivodearmazenamentoexterno(ex:pendrive,hdexterno).
Execuo:
ExecutarosoftwareDumpITcomprivilgiosdeadministrador:
OSoftwareDumpITirexibirconformeabaixo,otamanhodamemria
Addressspacesize,quenoexemploexibeumamemriaRAMde16GB,onde
oresultadodoarquivodeimagemgeradoteraproximadamenteomesmo
tamanho.
OCaminhoondeoarquivosersalvo,mostradoemDestinatione
correspondeaocaminhodeondeoprogramaDumpITestsendoexecutado.
Porpadroonomedoarquivoseronomedamquina(hostname)seguidoda
datadeexecuodoprocessodeimagem.Oarquivosalvoporpadroem
formatoraw.
Parainiciaroprocesso,bastapressionarateclaY.
SerexibidaamensagemProcessingqueindicaqueaimagemforenseda
memriaestsendoprocessada:
SerexibidaemensagemSuccessqueindicarseoprocessofoiconcludocom
sucesso.
4.VolatiliyFramework
Paramostraralgunsexemplosbsicosdeevidnciasquepodemserencontradasna
memriaRAM,precisaremosanalisaroarquivosgerado.Paratalfinalidadeiremos
utilizarosoftwareVolatilityFramework.
OVolatilityFrameworkumaferramentadecdigolivreegratuita,paraanlise
dememriaRAM.NormalmenteutilizadaemambientesLinux,ejpresenteem
algumasdistribuies,comooKaliLinuxporexemplo.
IremosutilizaroVolatilityemambienteWindows,notendoimpactoalgumno
resultadoenemnoscomandosutilizados.Downloadnolinkabaixo:
http://www.volatilityfoundation.org/25
Dica:Apsodownload,renomeieoexecutvelpara
apenasVolatility.exe,paratornaraindamaissimplesaexecuodos
comandos.
4.1Plugins
Ospluginssomdulosqueiroexecutarumafunoespecficanoarquivode
imagemgerado,comoofocoapenasdemonstraralgunsplugins,sugiroqueleia
sobreosdemais(esovrios!)nositeacimacitado.
4.2ExtraindoInformaes
ImageinfoTrazinformaesdoSistemaoperacional
Esteplugintrarainformaoessencialparaanlise,poisidentificaroperfilque
serutilizadoportodososoutrosplugins.
Oscomandosaseguirdevemserexecutadosdiretamentedo
promptdecomandodoWindows(executar>CMD)
Comandoutilizado:
volatilityf20160915125011.rawimageinfo
NalinhaSuggestedProfile,utilizamossempreaprimeirasugestoexibido
queosistemaoperacionalWin7SP0x86(Windows7,semservicepackinstalado,
naversode32bits).
Depossodainformaodoperfil,agorapodemosutilizardemaisplugins.
PslistListaprocessosemexecuo
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86pslist>pslist.txt
fnomedoarquivo
profile=Win7SP0x86Instruiparautilizaroperfildesistemaoperacional
anteriormentedetectado.
pslistPluginaserexecutado
>pslist.txtInstruoparasercriadoumarquivodetextocomomesmonomedo
plugin,issopossibilitaumamelhorvisualizao,almdegravarasadaparauma
anliseposterior
Podemosnotartodososprocessosqueestavamemexecuonomomentoda
realizaodaimagemforensedamemriaRAM,inclusiveoprpriosoftware
utilizadoparatal,emdestaque.
DlllistExibelistadasdllscarregadasparacadaprocesso
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86dlllist>dlllist.txt
fnomedoarquivo
profile=Win7SP0x86InstruiparautilizaroperfildeSistemaoperacional
dlllistPluginaserexecutado
>dlllist.txtInstruoparasercriadoumarquivodetextocomomesmonomedo
plugin
Estecomandogerouumarquivogrande,listandoosexecutveisesuasrespectivas
DLLs,deformabemdetalhada,exibindoinclusiveocaminhodecadaumadelas.
Seriatilporexemplo,paraidentificararquivosmaliciosossendocarregados
juntamentecomprogramasjconhecidosdosistemaoperacional.
NetscanExibeconexesderede
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86netsca>
netscan.txt
fnomedoarquivo
netscanPluginaserexecutado
>netscan.txtInstruoparasercriadoumarquivodetextocomomesmonome
doplugin
OnetscantalvezsejaumdospluginsmaisteisutilizadospeloVolatility.
Eletrazinformaesmuitoimportantesbemcomoprotocolos,portas,IPs,e
executveisenvolvidosnacomunicaoderededamquinaemquesto.
Comestasinformaespoderamosidentificarpossveisconexesparaendereos
IPssuspeitos,oqueocorreemmquinasinfectadaspormalwares,porexemplo.
DumpregistryExtraiarquivosderegistro
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86dumpregistry
dumpc:\registrydump
fnomedoarquivo
dumpregistrydumpPluginaserexecutado+caminhododiretrioondesero
extradososarquivosderegistro
SeroextradosapartirdaimagemdiversosarquivosderegistrodoWindows,mas
trabalharemoscomos4principais.
OsarquivosderegistroSYSTEM,SOFTWARE,SAM,NTUSER",contmuma
sriedeinformaesarespeitodeinformaesdeinstalaodosistema
operacional,softwaresinstalados,informaesdecredenciais,informaesanvel
deusuriocomoltimosarquivosabertos,informaesderede,etc.
Altereonomedosarquivosparaestepadroabaixo:
SYSTEM.REG
SOFTWARE.REG
SAM.REG
NTUSER.DAT
4.3AnalisandoArquivosdeRegistro
IremosutilizaraferramentaRegistyReportparacriarumrelatriogeralcom
todasasinformaesencontradasnestesarquivos.Downloadnolinkabaixo:
http://www.gaijin.at/dlregreport.php
AbriroRegistryReport
ClicaremFile,selecionaraopoImportfromfolder,apontarparaapasta
comosarquivosanteriormenteextradoseclicarOK.
EmseguidanovamenteemfileselecionaraopoCreateReport
Salvarorelatrio
Orelatriogeradotrarinformaesdosarquivosderegistrodeformaorganizada.
5.Concluso
Aideiafoiapenasmostrardeumamaneirasimples,comoevidnciasimportantes
podemserextradasatravsdaanlisedamemriaRAM.
Asboasprticasparaaquisiodeevidncias,nosmostroucomoasetapasdevem
serseguidassistematicamente,deformaqueumprocedimentoexecutadodeforma
errada,podeocasionarnaperdadeevidnciasimportantesparasolucionaruma
investigao.
6.Referncias
Melo,Sandro.ComputaoForenseeSoftwareLivre:AltaBooks,2009.ISBN,
8576082888,9788576082880.
Morimoto,CarlosEduardo.HardwareII,oguiadefinitivo/CarlosEduardo
Morimoto..PortoAlegre:SulEditores,2010.1086p.ISBN9788599593165.
1.
NISTSP80086GuidetoIntegratingForensicTechniquesintoIncident
Response
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication80086.pdf
RFC3227GuidelinesforEvidenceCollectionandArchiving
http://www.rfcbase.org/rfc3227.html
ElizerPereira
EspecialistaemSeguranadaInformaoeForense
Seguir
3artigos

Análise Forense RAM

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Análise Forense RAM

Hochgeladen von

Copyright:

Verfügbare Formate

AnliseForenseemMemriaRAM

Das könnte Ihnen auch gefallen