Beruflich Dokumente
Kultur Dokumente
Publicadoem21deabrilde2017
ElizerPereiraSeguir
EspecialistaemSeguranadaInformaoeForenseCo
1.Objetivo
Oobjetivodesteartigodemostrarcomorealizaraanliseforensedememria
RAM,apresentandoalgunsexemplosdeinformaesquepodemserrecuperadase
analisadas,comafinalidadedeajudaraidentificarindciosdeincidentesde
seguranabemcomofraudesedemaisilcitospraticadosatravsdeumsistemade
informao.
2.BoasPrticasparaAnliseForenseComputacional
2.1NIST
ONationalInstituteofStandardsandTechnology(NIST)(emportugus:
InstitutoNacionaldePadreseTecnologia)mundialmenteconhecidocomo
referncianapublicaodedocumentosquetrazempadresdetecnologiade
formabemdetalhadaebemabrangente.
ODocumento80086GuidetoIntegratingForensicTechniquesinto
IncidentResponse(emportugus:GuiaparaIntegrarTcnicasForenseem
RespostaIncidentes)trazumasriederecomendaesparaprocedercomuma
anliseforenseparaincidentesdesegurana,desdeacoletadedadosata
elaboraodeumrelatriofinal.Downloaddodocumentonolinkabaixo:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800
86.pdf
2.1.1EtapasrecomendadaspeloNISTparaAnliseForense
ColetarIdentificar,rotular,eprocedercomaaquisiodedadosdediversas
fontes,deformadocumentadaegarantindoaintegridadedosdados.
ExaminarProcessarosdadoscoletados,quenormalmenterequermtodos
manuaiseformasautomatizadas,tentandojidentificarpossveisdadosrelevantes
investigao.
AnalisarDarcontinuidadeaoprocessamentodeumaformamaiscuidadosae
jtendoumdirecionamentodoqueinvestigar.Nestaetapademaiscoletasde
outrasfontesdedadospodemtrazerevidnciasadicionais.
ReportarDescreveroresultadodaanlisequedeveincluirorelatodetudo
quefoirealizadodesdeaprimeiraetapa.Aesrealizadas,bemcomoferramentas
eprocedimentoutilizados,analisardemaisriscosesugerirmelhoriasdecontroles
internos,ferramentas,afimdereduziroimpactoaonegciodetectando
fragilidadesquepossamocasionaremrecorrnciadeumincidente,porexemplo.
2.2RFC3227
ARFC3227,trazboasprticasparaaquisiodeevidenciasdigitais.Aordemem
queestassocoletadas,podedeterminarosucessoouoinsucessodeuma
investigao.
EssaordemchamadadeOrdemdeVolatilidade,quecomooprprionome
sugere,orientaqueosdadosvolteisdevemsercoletadosprimeiro.
Umdadovoltilqualquerdadoquepodeserperdidocomodesligamentodo
sistema,comoporexemploumaregistrodeumaconexocomumsitedainternet
queaindaestejapresentenamemriaRAM.
Devemospriorizaraaquisiodeevidnciasseguindodamaisvoltilparaamenos
voltil,conformeabaixo:
Caches
Tabelasderoteamento,tabelasdeprocessos,memria
Arquivostemporriosdesistema
Discorgido
Logsremotos,dadosdemonitoramento
Configuraofsicaderede,topologiaderede
Mdias(CDs,DVDs,etc)
3.AnliseForenseemMemriaRAM
AMemriadeacessoaleatrio(doinglsRandomAccessMemory,normalmente
abreviadaparaRAM)umtipodememriaquepermitealeituraeaescrita,
utilizadaemsistemaseletrnicosdigitais.
Aoexecutarumprograma,elelidoemumdispositivodearmazenamento,seja
umdiscorgido,umCD,etc,transferidoparaamemriaRAM,eentoser
executadopeloprocessador.OacessomemriaRAMvantajosopelofatodela
possuirtaxasdetransfernciamuitomaisalta,emrelaoaodiscorgidopor
exemplo.
Adesvantagemficaporcontadaperdadosdadosarmazenadosquandoo
computadordesligado.
Quandoocomputadorligado,oprocessodeinicializaodosistemaboot,
refeitotendobibliotecas,driverseconfiguraesdeprefernciacopiados
novamenteparaamemriaRAM.
AmemriaRAMpodeconterdiversostiposdearquivosdesdeprogramas
executveis,informaesdeportasdecomunicaoderede,arquivosderegistro
dosistemaoperacional,registrodenavegaoemsitesdainternet,fotos,arquivos
detexto,etc.
Comocitamosanteriormente,estecontedopodeserperdidocomodesligamento
damquina,enumaAnaliseForenseComputacional,ajcitadaOrdemde
Volatilidadedeveserseguidamandatoriamente,paragarantirqueevidnciasno
sejamperdidas.
3.1CriandoumaImagemdaMemriaRAM
OsoftwareutilizadoparaestafinalidadeseraDumpIT,softwaregratuito
encontradonolinkabaixo:
http://www.downloadcrew.com/article/23854dumpit
Recomendao:
AimagemnodevesergravadadiretamentenamquinaqueteramemriaRAM
analisada.OsoftwareDumpITdevesercopiadoeexecutadoapartirdeum
dispositivodearmazenamentoexterno(ex:pendrive,hdexterno).
Execuo:
ExecutarosoftwareDumpITcomprivilgiosdeadministrador:
OSoftwareDumpITirexibirconformeabaixo,otamanhodamemria
Addressspacesize,quenoexemploexibeumamemriaRAMde16GB,onde
oresultadodoarquivodeimagemgeradoteraproximadamenteomesmo
tamanho.
OCaminhoondeoarquivosersalvo,mostradoemDestinatione
correspondeaocaminhodeondeoprogramaDumpITestsendoexecutado.
Porpadroonomedoarquivoseronomedamquina(hostname)seguidoda
datadeexecuodoprocessodeimagem.Oarquivosalvoporpadroem
formatoraw.
Parainiciaroprocesso,bastapressionarateclaY.
SerexibidaamensagemProcessingqueindicaqueaimagemforenseda
memriaestsendoprocessada:
SerexibidaemensagemSuccessqueindicarseoprocessofoiconcludocom
sucesso.
4.VolatiliyFramework
Paramostraralgunsexemplosbsicosdeevidnciasquepodemserencontradasna
memriaRAM,precisaremosanalisaroarquivosgerado.Paratalfinalidadeiremos
utilizarosoftwareVolatilityFramework.
OVolatilityFrameworkumaferramentadecdigolivreegratuita,paraanlise
dememriaRAM.NormalmenteutilizadaemambientesLinux,ejpresenteem
algumasdistribuies,comooKaliLinuxporexemplo.
IremosutilizaroVolatilityemambienteWindows,notendoimpactoalgumno
resultadoenemnoscomandosutilizados.Downloadnolinkabaixo:
http://www.volatilityfoundation.org/25
Dica:Apsodownload,renomeieoexecutvelpara
apenasVolatility.exe,paratornaraindamaissimplesaexecuodos
comandos.
4.1Plugins
Ospluginssomdulosqueiroexecutarumafunoespecficanoarquivode
imagemgerado,comoofocoapenasdemonstraralgunsplugins,sugiroqueleia
sobreosdemais(esovrios!)nositeacimacitado.
4.2ExtraindoInformaes
ImageinfoTrazinformaesdoSistemaoperacional
Esteplugintrarainformaoessencialparaanlise,poisidentificaroperfilque
serutilizadoportodososoutrosplugins.
Oscomandosaseguirdevemserexecutadosdiretamentedo
promptdecomandodoWindows(executar>CMD)
Comandoutilizado:
volatilityf20160915125011.rawimageinfo
NalinhaSuggestedProfile,utilizamossempreaprimeirasugestoexibido
queosistemaoperacionalWin7SP0x86(Windows7,semservicepackinstalado,
naversode32bits).
Depossodainformaodoperfil,agorapodemosutilizardemaisplugins.
PslistListaprocessosemexecuo
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86pslist>pslist.txt
fnomedoarquivo
profile=Win7SP0x86Instruiparautilizaroperfildesistemaoperacional
anteriormentedetectado.
pslistPluginaserexecutado
>pslist.txtInstruoparasercriadoumarquivodetextocomomesmonomedo
plugin,issopossibilitaumamelhorvisualizao,almdegravarasadaparauma
anliseposterior
Podemosnotartodososprocessosqueestavamemexecuonomomentoda
realizaodaimagemforensedamemriaRAM,inclusiveoprpriosoftware
utilizadoparatal,emdestaque.
DlllistExibelistadasdllscarregadasparacadaprocesso
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86dlllist>dlllist.txt
fnomedoarquivo
profile=Win7SP0x86InstruiparautilizaroperfildeSistemaoperacional
anteriormentedetectado.
dlllistPluginaserexecutado
>dlllist.txtInstruoparasercriadoumarquivodetextocomomesmonomedo
plugin
Estecomandogerouumarquivogrande,listandoosexecutveisesuasrespectivas
DLLs,deformabemdetalhada,exibindoinclusiveocaminhodecadaumadelas.
Seriatilporexemplo,paraidentificararquivosmaliciosossendocarregados
juntamentecomprogramasjconhecidosdosistemaoperacional.
NetscanExibeconexesderede
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86netsca>
netscan.txt
fnomedoarquivo
profile=Win7SP0x86InstruiparautilizaroperfildeSistemaoperacional
anteriormentedetectado.
netscanPluginaserexecutado
>netscan.txtInstruoparasercriadoumarquivodetextocomomesmonome
doplugin
OnetscantalvezsejaumdospluginsmaisteisutilizadospeloVolatility.
Eletrazinformaesmuitoimportantesbemcomoprotocolos,portas,IPs,e
executveisenvolvidosnacomunicaoderededamquinaemquesto.
Comestasinformaespoderamosidentificarpossveisconexesparaendereos
IPssuspeitos,oqueocorreemmquinasinfectadaspormalwares,porexemplo.
DumpregistryExtraiarquivosderegistro
Comando:
volatilityf20160915125011.rawprofile=Win7SP0x86dumpregistry
dumpc:\registrydump
fnomedoarquivo
profile=Win7SP0x86InstruiparautilizaroperfildeSistemaoperacional
anteriormentedetectado.
dumpregistrydumpPluginaserexecutado+caminhododiretrioondesero
extradososarquivosderegistro
SeroextradosapartirdaimagemdiversosarquivosderegistrodoWindows,mas
trabalharemoscomos4principais.
OsarquivosderegistroSYSTEM,SOFTWARE,SAM,NTUSER",contmuma
sriedeinformaesarespeitodeinformaesdeinstalaodosistema
operacional,softwaresinstalados,informaesdecredenciais,informaesanvel
deusuriocomoltimosarquivosabertos,informaesderede,etc.
Altereonomedosarquivosparaestepadroabaixo:
SYSTEM.REG
SOFTWARE.REG
SAM.REG
NTUSER.DAT
4.3AnalisandoArquivosdeRegistro
IremosutilizaraferramentaRegistyReportparacriarumrelatriogeralcom
todasasinformaesencontradasnestesarquivos.Downloadnolinkabaixo:
http://www.gaijin.at/dlregreport.php
AbriroRegistryReport
ClicaremFile,selecionaraopoImportfromfolder,apontarparaapasta
comosarquivosanteriormenteextradoseclicarOK.
EmseguidanovamenteemfileselecionaraopoCreateReport
Salvarorelatrio
Orelatriogeradotrarinformaesdosarquivosderegistrodeformaorganizada.
5.Concluso
Aideiafoiapenasmostrardeumamaneirasimples,comoevidnciasimportantes
podemserextradasatravsdaanlisedamemriaRAM.
Asboasprticasparaaquisiodeevidncias,nosmostroucomoasetapasdevem
serseguidassistematicamente,deformaqueumprocedimentoexecutadodeforma
errada,podeocasionarnaperdadeevidnciasimportantesparasolucionaruma
investigao.
6.Referncias
Melo,Sandro.ComputaoForenseeSoftwareLivre:AltaBooks,2009.ISBN,
8576082888,9788576082880.
Morimoto,CarlosEduardo.HardwareII,oguiadefinitivo/CarlosEduardo
Morimoto..PortoAlegre:SulEditores,2010.1086p.ISBN9788599593165.
1.
NISTSP80086GuidetoIntegratingForensicTechniquesintoIncident
Response
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication80086.pdf
RFC3227GuidelinesforEvidenceCollectionandArchiving
http://www.rfcbase.org/rfc3227.html
ElizerPereira
EspecialistaemSeguranadaInformaoeForense
Seguir
3artigos