Disclaimer: Não realizamos nenhuma investigação ao vivo. Esta foi uma parte do nosso trabalho universitário, onde assumimos as funções de investigador forense, determinando quais métodos eram aplicáveis. Você é bem-vindo para apresentar as suas próprias conclusões e resolver o caso. Tentamos seguir a metodologia global, ilustrando como deveria ser um relatório de investigação forense básico.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introdução
Tecnologia informática é a maior parte integrante da vida humana quotidiana, e está crescendo rapidamente, assim como os crimes informáticos, tais como fraude financeira, intrusão não autorizada, roubo de identidade e roubo intelectual. Para combater esses crimes relacionados à informática, a perícia informática desempenha um papel muito importante. “A Investigação Forense Computacional envolve a obtenção e análise de informações digitais para uso como prova em casos civis, criminais ou administrativos (Nelson, B., et al.., 2008)”.
A Investigação Forense Computacional geralmente investiga os dados que poderiam ser retirados de discos rígidos de computadores ou quaisquer outros dispositivos de armazenamento com aderência a políticas e procedimentos padrão para determinar se esses dispositivos foram comprometidos por acesso não autorizado ou não. Os Computer Forensics Investigators trabalham como uma equipe para investigar o incidente e conduzir a análise forense usando várias metodologias (por exemplo, Static and Dynamic) e ferramentas (por exemplo, ProDiscover ou Encase) para garantir que o sistema de rede de computadores esteja seguro em uma organização. Um investigador forense bem sucedido deve estar familiarizado com várias leis e regulamentos relacionados a crimes informáticos no seu país (por exemplo, Computer Misuse Act 1990, Reino Unido) e vários sistemas operacionais de computador (por exemplo, Windows, Linux) e sistemas operacionais de rede (por exemplo, Win NT). De acordo com Nelson, B., et al., (2008), Investigações Públicas e Investigações Privadas ou Corporativas são as duas categorias distintas que se enquadram nas Investigações Forenses de Computação. As investigações públicas serão conduzidas por agências governamentais, e as investigações privadas serão conduzidas por uma equipe forense de informática privada. Este relatório será focado em investigações privadas, uma vez que ocorreu um incidente em uma nova PME em Luton.
Este relatório também inclui um modelo de investigação informática, coleta de dados e seus tipos, aquisições de provas, ferramentas forenses, investigação maliciosa, aspectos legais da investigação informática forense e, finalmente, este relatório também fornece recomendações, contramedidas e políticas necessárias para garantir que esta PME será colocada em um ambiente de rede seguro.
Case Study
Uma nova PME em arranque (pequena e média empresa) sediada em Luton com um modelo de governo electrónico começou recentemente a notar anomalias nos seus registos contabilísticos e de produtos. Ela realizou uma verificação inicial dos arquivos de registro do sistema, e há uma série de entradas suspeitas e endereços IP com uma grande quantidade de dados sendo enviados fora do firewall da empresa. Eles também receberam recentemente uma série de reclamações de clientes dizendo que muitas vezes há uma mensagem estranha exibida durante o processamento de pedidos, e eles são frequentemente redirecionados para uma página de pagamento que não parece legítima.
A empresa faz uso de um pacote de eBusiness de propósito geral (OSCommerce) e tem uma pequena equipe de seis profissionais de suporte de TI, mas eles não sentem que têm a experiência para realizar uma investigação forense/malware em larga escala.
Como há uma concorrência crescente no domínio da alta tecnologia, a empresa está ansiosa para garantir que seus sistemas não estejam sendo comprometidos, e eles empregaram um investigador forense digital para determinar se alguma atividade maliciosa ocorreu, e para garantir que não haja malware dentro de seus sistemas.
A sua tarefa é investigar as suspeitas da equipe e sugerir à equipe como eles podem ser capazes de desinfectar quaisquer máquinas afectadas com malware, e garantir que nenhuma outra máquina nas suas instalações ou através da rede tenha sido infectada. A equipe também quer que você realize uma investigação forense digital para ver se você pode rastrear a causa dos problemas e, se necessário, preparar um caso contra os perpetradores.
A empresa utiliza o Windows Server NT para seus servidores. Os patches são aplicados mensalmente pela equipe de suporte de TI, mas a equipe tem notado que várias máquinas não parecem ter sido corrigidas.
Deliverables
Your deliverable in this assignment is a 5,000 word report discussing how you would approach the following:
– Malware investigation
– Digital Forensic Investigation
You should discuss a general overview of the methodology that you will use, and provide a reasoned argument as to why the particular methodology chosen is relevant.
Você também deve discutir o processo que você usará para coletar evidências e discutir as diretrizes relevantes que precisam ser seguidas ao coletar evidências digitais.
Como uma discussão contida em seu relatório, você também deve fornecer uma avaliação crítica das ferramentas e técnicas existentes que são usadas para investigações forenses digitais ou de malware e avaliar sua eficácia, discutindo questões como a consistência das abordagens adotadas, as habilidades necessárias pelos investigadores forenses, e os problemas relacionados com as metodologias existentes (especialmente com relação à ausência de uma única abordagem global comum para realizar tais investigações e os problemas que podem resultar quando há necessidade de realizar uma investigação que atravessa fronteiras internacionais).
Associação de Chefes de Polícia (ACPO)
Esta investigação forense será conduzida de acordo com as orientações da Associação de Chefes de Polícia (ACPO) e os seus quatro princípios também. Existem quatro princípios da ACPO envolvidos em provas eletrônicas baseadas em computador. Estes princípios devem ser seguidos quando uma pessoa conduz a Investigação Forense Computadorizada. O resumo desses princípios é o seguinte (ACPO, 2013);
Princípio 1: Os dados armazenados em um computador ou mídia de armazenamento não devem ser alterados ou modificados, pois esses dados podem ser apresentados posteriormente no tribunal.
Princípio 2: Uma pessoa deve ser suficientemente competente no manuseio dos dados originais mantidos em um computador ou mídia de armazenamento, se necessário, e também deve ser capaz de dar as evidências explicando a relevância e o curso de suas ações.
Princípio 3: Uma trilha de auditoria ou outra documentação de todos os processos aplicados à evidência eletrônica baseada em computador deve ser criada e preservada. Um terceiro independente deve ser capaz de examinar esses processos e alcançar o mesmo resultado.
Princípio 4: Uma pessoa que é responsável pela investigação deve ter a responsabilidade geral pela contabilidade de que a lei e os princípios ACPO são seguidos.
Modelo de Investigação Informática
De acordo com Kruse II, W.G., e Heiser, J.G. (2010), uma investigação informática consiste em identificar as evidências, preservar essas evidências, extraí-las, documentá-las em cada processo, validá-las e analisá-las para encontrar a causa raiz e fornecer as recomendações ou soluções.
“Computer Forensics is a new field and there is less standardization and consistency across the courts and industry” (US-CERT, 2012). Cada modelo forense informático está focado numa área específica, como a aplicação da lei ou a descoberta de provas electrónicas. Não existe um modelo único de investigação forense digital que tenha sido universalmente aceite. Entretanto, foi geralmente aceito que a estrutura do modelo forense digital deve ser flexível, para que possa suportar qualquer tipo de incidente e novas tecnologias (Adam, R., 2012).
Kent, K., et.al, (2006) desenvolveram um modelo básico de investigação forense digital chamado Processo Forense de Quatro Passos (Four Step Forensics Process – FSFP) com a idéia de Venter (2006) de que a investigação forense digital pode ser conduzida mesmo por pessoas não-técnicas. Este modelo dá mais flexibilidade do que qualquer outro modelo para que uma organização possa adotar o modelo mais adequado com base nas situações que ocorreram. Estas são as razões que nos levaram a escolher este modelo para esta investigação. O FSFP contém os seguintes quatro processos básicos, como mostrado na figura:
Figure 1: FSFP Forensic Investigation Model
Source: Kent, K., et.al, (2006)
A seta “Preserve e Documente as Evidências” indica que devemos preservar e documentar todas as evidências durante o curso da investigação, pois estas podem ser submetidas ao tribunal como evidências em alguns casos. Discutiremos cada processo ou etapa do modelo de investigação do FSFP nas seções seguintes.
Escopo da Investigação
Os escopos das investigações forenses para este caso são os seguintes:
- Identificar as atividades maliciosas em relação aos 5Ws (Por que, Quando, Onde, O Que, Quem).
- Para identificar o lapso de segurança em sua rede.
- Para descobrir o impacto se o sistema de rede foi comprometido.
- Para identificar os procedimentos legais, se necessário.
- Para fornecer a ação corretiva a fim de endurecer o sistema.
-
Determinar se é necessária assistência forense, e se for o caso, então eles podem estar disponíveis para assistência durante a investigação, ou então temos de apresentar-lhes o relatório da investigação no final da investigação.
>
-
Obtendo permissão por escrito para conduzir a investigação forense, a menos que outro procedimento de autorização de resposta ao incidente esteja presente.
-
Discutir com os assessores jurídicos para identificar as possíveis questões que podem ser levantadas durante o manuseio impróprio das investigações.
-
As questões de confidencialidade e privacidade dos clientes são contabilizadas.
-
Reunir todas as informações disponíveis na avaliação do incidente, tais como a gravidade do incidente.
-
Identificar o impacto da investigação no negócio das PMEs, tais como tempo de inactividade da rede, duração da recuperação do incidente, perda de receitas e perda de informação confidencial.
-
Obter informação das redes, dispositivos de rede tais como router, switches, hub, etc, documentação da topologia de rede, computadores, servidores, firewall e diagrama de rede.
-
Identificando os dispositivos de armazenamento externo como pen drive, flash drive, disco rígido externo, CD, DVD, cartões de memória e computador remoto.
-
Identificando as ferramentas forenses que podem ser usadas nesta investigação.
-
Capturar o tráfego de rede ao vivo no caso das actividades suspeitas ainda estarem em execução com as ferramentas ‘netmon’.
-
Documentar todas as atividades durante a investigação que podem ser utilizadas em tribunal para verificar o curso de ação que foi seguido na investigação.
-
Imagear o disco rígido dos dispositivos alvo e hashing-los com MD5 para integridade dos dados.
-
HKEY_CLASSES_ROOT: assegura que os programas necessários estão sendo executados.
-
HKEY_CURRENT_USER: contém informação geral de um usuário que está atualmente logado no sistema.
-
HKEY_LOCAL_MACHINE: contém informação sobre hardware, drives, etc. de um sistema.
-
HKEY_USERS: contém toda a informação dos utilizadores de um determinado sistema.
-
HKEY_CURRENT_CONFIG: armazena informação sobre a configuração actual do sistema.
-
Listagens de processos.
-
Listagens de serviços.
-
Informação do sistema.
-
Usuários registados e registados.
-
Conexões de rede.
-
Informação de registo.
-
Binário de despejo de memória.
-
Procurar Malware Conhecido
-
Revisar Programas Instalados
-
Examinar Pré-Preenchimento
-
Inspectar Executáveis
-
Revisar Auto-início
-
Reavaliar Trabalhos Programados
-
Examinar Registos
-
Reavaliar Contas de Utilizador
-
Examinar Sistema de Ficheiros
-
Examinar Registro
-
Pontos de Restauração
-
Pesquisa por palavra-chave
-
Identificamos o acesso remoto persistente do atacante aos computadores da empresa.
-
A análise forense identificou que os sistemas tinham sido comprometidos.
-
Os patches não foram instalados em alguns sistemas.
-
Suspeito de malware foi encontrado em sistema comprometido.
-
Identificação desse malware e sua funcionalidade &O objectivo do malware levou-nos a concluir que se trata de malware ‘spamming’.
-
Determinamos que os atacantes tinham acesso aos sistemas do cliente utilizando o malware, fornecendo no link apropriado do site para o gateway de pagamento.
-
A maioria dos métodos descritos estão de alguma forma relacionados ao fator humano, portanto, o treinamento dos funcionários e o treinamento periódico sobre segurança irá aumentar a segurança da rede;
-
Casos frequentes de hacking de sites legítimos levam ao fato de que mesmo um usuário competente pode infectar seu computador. Portanto, chegamos às medidas clássicas de proteção: software antivírus, a instalação oportuna das últimas atualizações e o monitoramento do tráfego da Internet.
-
Autenticação e proteção por senha
-
Software antivírus
-
Firewalls (hardware ou software)
-
DMZ (zona desmilitarizada)
-
IDS (Sistema de detecção de intrusão)
-
Filtros de embalagem
-
Roteadores e switches
-
Servidores proxy
-
VPN (Virtual Private Networks)
-
Logging and auditoria
-
Tempo de controle de acesso
-
Software/hardware proprietário não está disponível no domínio público
-
Firewall
-
Logging and Audit
-
Contabilidade dos usuários e administradores;
-
Propor oportunidades de reconstrução de eventos;
-
Tenta detectar violações da segurança da informação;
-
Propor informação para identificar e analisar problemas.
-
política de segurança;
-
organização da segurança da informação;
-
gestão de ativos;
-
segurança dos recursos humanos;
-
segurança física e ambiental;
-
gestão de comunicações e operações;
-
controle de acesso;
-
a aquisição, desenvolvimento e manutenção de sistemas de informação;
-
gestão de incidentes de segurança da informação;
-
gestão da continuidade do negócio;
-
conformidade.
Desafios Legais da Investigação
De acordo com Nelson, B., et al., (2008), os desafios legais antes de iniciarmos a nossa investigação forense são os seguintes:
Preparação inicial
É óbvio que antes de iniciar a investigação, precisamos ter uma preparação para conduzir a investigação de forma eficiente. Isto é considerado uma medida proativa de investigação (Murray, 2012). Os seguintes passos precisam ser dados na fase de preparação:
>
Colha
“A fase de coleta é a primeira fase deste processo é identificar, rotular, registrar e adquirir dados das possíveis fontes de dados relevantes, enquanto segue diretrizes e procedimentos que preservam a integridade dos dados” (CJCSM 6510.01B, 2012). Há dois tipos diferentes de dados que podem ser coletados em uma investigação forense computadorizada. São dados voláteis e dados não voláteis (dados persistentes). Dados voláteis são os dados que existem quando o sistema está ligado e apagados quando desligado, por exemplo, memória de acesso aleatório (RAM), registro e caches. Dados não voláteis são os dados que existem num sistema quando o sistema está ligado ou desligado, por exemplo, documentos em HD. Uma vez que os dados voláteis têm vida curta, um investigador forense deve saber a melhor forma de os capturar. As evidências podem ser coletadas localmente ou remotamente.
Dados voláteis
A figura a seguir mostra como capturar os dados voláteis. A estação de trabalho forense deve estar localizada na mesma LAN onde a máquina alvo, neste caso o Windows NT Server, está localizada. As ferramentas ‘Cryptcat’ podem ser usadas na estação de trabalho forense para ouvir a porta do servidor Windows NT. Crie a unidade óptica do conjunto de ferramentas confiável no servidor Windows NT e abra a console confiável cmd.exe e use o seguinte comando:
cryptcat <ip address> 6543 -k key
Para capturar os dados na estação de trabalho forense, nós usamos o seguinte comando:
cryptcat -l -p 6543 -k key > > < nome do ficheiro>
Figure 2: Configuração de recolha de dados voláteis
Source: Reino, A.., (2012)
A tabela seguinte mostra as Ferramentas Gráficas de Interface com o Usuário, e seu uso e resultado pode ser usado na investigação forense do computador.
>
Quadro 1: Ferramentas Forenses de Dados Voláteis e seu uso e resultado
Fonte: Reino, A., (2012)
Também usamos várias ferramentas baseadas no Windows para capturar os dados voláteis da seguinte forma:
HBGray’s FastDump – Local Physical memory acquisition.
HBGray’s F-Response – Remote physical memory acquisition
ipconfig – Collecting subject system details.
netusers and qusers – Identificando usuários logados
doskey/history – Coletando histórico de comandos
netfile – Identificando os serviços e drivers
Finalmente, coletar o conteúdo da área de transferência também é muito importante em uma investigação forense de computador. Mais evidências podem ser encontradas a partir de uma máquina que ainda está em execução, então se as anomalias ainda estão lá no SME, então podemos recuperar muitas evidências importantes dos processos em execução, conexão de rede e os dados que estão armazenados na memória. Há muitas evidências quando a máquina está no estado volátil, e assim deve ser assegurado que os computadores afetados não estão desligados a fim de recolher tais evidências.
Dados não voláteis
Após os dados voláteis terem sido capturados, então vamos olhar para os dados não voláteis. O primeiro passo na coleta de dados não voláteis é copiar o conteúdo de todo o sistema de destino. Isto também é chamado de “imagens forenses”. As imagens ajudam a preservar os dados originais como evidência sem qualquer avaria ou alterações nos dados que ocorrem durante a investigação forense. As imagens forenses serão criadas por ferramentas forenses como o EnCase, ProDiscover e FTK. Um investigador forense usa um bloqueador de escrita para se conectar ao sistema de destino e copiar todo o conteúdo da unidade de destino para outro dispositivo de armazenamento, usando qualquer uma dessas ferramentas forenses. A clonagem do disco rígido não é outra coisa senão fazer uma cópia de todo o sistema. A diferença entre a imagem forense e a clonagem do disco rígido é que a imagem forense não pode ser acessada sem ferramentas forenses, mas a clonagem do disco rígido pode ser facilmente acessada com uma unidade de montagem. A clonagem de disco rígido contém apenas uma imagem bruta, e cada bit será copiado, e nenhum outro conteúdo extra será adicionado. A imagem forense contém metadados, ou seja, hashes e timestamps, e comprime todos os blocos vazios. A geração de imagens forenses será feita em hash com MD5 ou SHA-2 para garantir a integridade da evidência digital (Nelson, B., et al., 2008).
A coleta de dados pode ser feita em investigação offline e investigação online. As imagens forenses podem ser feitas com investigação offline. O tráfego de rede ao vivo pode ser feito com investigação online usando ferramentas etéreas ou Wireshark. Os logs de firewall, antivírus e controladores de domínio serão coletados para a investigação sob a coleta de dados não-voláteis. Também serão coletados os logs do servidor Web, logs de eventos do Windows, logs da base de dados, logs do IDS e logs de aplicativos. Uma vez coletadas todas as evidências digitais, elas devem ser documentadas na cadeia da documentação do registro de custódia. A cadeia da documentação dos logs de custódia é manter a integridade das evidências do início ao fim da investigação até que este relatório de investigação seja apresentado (Nelson, B., et al., 2008).
Antes de realizar qualquer outro processo, necessitamos de fazer uma imagem do disco bit a bit, que acessará todo o volume e copiará a mídia original, incluindo os arquivos apagados. Depois que o disco for imitado, devemos fazer um hash de tudo para garantir que os dados sejam autênticos e que a integridade dos dados seja mantida durante toda a investigação. Os valores do hash devem ser registrados em múltiplos locais e devemos garantir que não faremos nenhuma alteração nos dados desde o momento da coleta dos dados até o final da investigação. A maioria das ferramentas ajuda a alcançar isso, acessando os meios em um estado somente leitura (SANS, 2010). Os discos rígidos do sistema alvo, dispositivos de armazenamento externo e o disco rígido do Windows NT Server devem ser adquiridos para a investigação forense digital neste caso.
Examinação
Após termos reunido todas as evidências disponíveis, precisamos conduzir o exame com a ajuda de várias ferramentas de investigação forense computacional. Também examinamos o sistema de arquivos, registro do Windows, rede e banco de dados de exame forense, como segue:
Exame do sistema de arquivos
NTFS é o sistema de arquivos da Nova Tecnologia e o disco NTFS é um arquivo. MFT é a Tabela de Arquivos Mestre que contém informações sobre todos os arquivos e discos, e é também o primeiro arquivo em NTFS. Os registros no MFT também são chamados de metadados. Metadados são dados sobre dados (Nelson, B., et. al., 2008). Os arquivos podem ser armazenados no MFT de duas formas: residentes e não-residentes. Um arquivo com menos de 512 bytes pode ser acomodado em MFT como arquivos residentes e um arquivo com mais de 512 bytes pode ser armazenado fora de MFT como arquivos não-residentes. Quando um ficheiro é apagado no Windows NT, o ficheiro será renomeado pelo SO e movido para a reciclagem com uma identidade única. O sistema operacional armazena informações sobre o caminho original e o nome do arquivo original no arquivo info2. Mas se um arquivo for excluído da lixeira, os clusters associados são marcados como disponíveis para novos dados. NTFS é mais eficiente do que FAT, pois é mais rápido na recuperação de seu espaço excluído. Os discos NTFS são um fluxo de dados, o que significa que eles podem ser anexados a outro arquivo existente. Um arquivo de fluxo de dados pode ser armazenado da seguinte forma:
C:echo text_mess > file1.txt:file2.txt
Este arquivo pode ser recuperado pelo seguinte comando:
C:more < file1.txt:file2.txt
W2K.Stream e Win2K.Team são vírus que foram desenvolvidos usando um fluxo de dados, e foram desenvolvidos com a intenção de alterar o fluxo de dados original. Como um investigador, devemos estar cientes dos sistemas de arquivos Windows FAT e NTFS em profundidade (Nelson, B., et. al., 2008).
Exame do Registro do Windows
De acordo com (Carvey, H., 2005) um registro pode ser tratado como um arquivo de log porque contém dados que podem ser recuperados por um investigador forense os valores da chave associada são chamados de “Lastwrite” time, que é armazenado como um FILETIME e considerado como o tempo de última modificação de um arquivo. Com arquivos é frequentemente difícil obter uma data e hora precisas de modificação do arquivo, mas a Lastwrite mostra quando o registro foi modificado pela última vez. Fantastic irá rever alguns passos (Carvey, H., 2005) que estão listados abaixo para analisar o registro do Windows da organização para garantir que o problema dentro e fora da organização é conhecido e está sendo resolvido para proteger e manter a reputação da empresa.
O registro do Windows é uma ordem de bancos de dados em um computador usado pela Microsoft no Windows 98, Windows CE, Windows NT e Windows 2000 para armazenar um usuário ou aplicativo de usuário e configuração de dispositivos de hardware, que é usado como um ponto de referência durante a execução de um programa ou processos (Windows, 2013). A estrutura comum do registro do Windows está dividida em “Hives” que são:
O registo do Windows consiste em informação volátil e não volátil. Isto significa que um investigador deve pelo menos estar familiarizado com cada significado e funcionalidade das colmeias, chaves, dados e valores de um registo Window antes de se submeter a qualquer investigação forense de um computador para obter um relatório de investigação forense bem sucedido.
Autostart Location: é um local no registo onde as aplicações são definidas para serem lançadas sem uma iniciação do utilizador. Com esta funcionalidade um malware que afeta o Luton SME pode ser executado persistentemente quando a máquina é ligada sem uma interação direta com o usuário, porque já foi programado para se auto-iniciar ou quando um usuário executa alguns comandos ou processos específicos.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option é um registro do Windows no qual um atacante pode usar a chave para redirecionar uma cópia original de uma aplicação para a sua cópia trojaned (Carvey, H., 2005). Luton SME pode estar sob este ataque: um redirecionamento da página de pagamento do cliente para uma página ilegítima.
Um investigador forense pode examinar o local de autostart para determinar se o problema de Luton SME resulta de uma ação executada por um usuário, um malware ou por um atacante na organização. De acordo com (Carvey, H., 2005) a maneira confiável de acessar a localização automática é usar as ferramentas AutoRuns de SysInternals.com que podem fornecer uma lista de locais de inicialização automática.
Atividade do usuário: ação e atividades de um usuário podem ser investigadas na colméia HKEY_CUREENT_USER que é criada a partir da colméia HKEY_USERSID. As informações do utilizador são mapeadas para o HKEY_CURRENT_USER. O NTUSER.DAT contém informações sobre as definições das especificações de registo de um utilizador. O exame desta colmeia dá a um investigador forense uma boa pista sobre as actividades e as acções tomadas por um utilizador.
Lista de Utilizações Mais Recentes (MRU): MRU detém as acções específicas recentes tomadas por um utilizador e mantém um registo das actividades para referência futura. Por exemplo, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU mantém uma lista executada de comandos executados por um usuário. Cada comando executado na caixa de execução irá adicionar uma entrada de valor chave à colmeia, como mostrado abaixo:
Figure3: Conteúdo da chave ExplorerRunMRU.
Source: Carvey, H., (2005)
Um investigador forense pode estudar esta colmeia para obter a última hora de escrita de cada comando a partir da lista MRU, como mostrado acima. Com isto, o investigador do SME Luton poderá analisar a partir do registro se foi atividade do usuário, uma ação malware ou um ataque que está afetando a organização.
UserAssist: de acordo com (Carvey, H.., 2005) UserAssist que é encontrado sob o hives HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist consiste em duas chaves que comumente se parecem com identificadores globalmente únicos que mantêm registros criptografados de cada objeto, aplicação, etc. que um usuário acessou no sistema. Se um investigador tiver acessado o registro criptografado, que não é mais definitivo, ele pode indicar alguma ação que o usuário fez para acionar o Malware através de uma aplicação ou qualquer atividade que ele possa ter feito.
USB removable Storage: de acordo com Farmer, College e Vermont (2008) todos os dispositivos conectados ao sistema estão sendo mantidos em um registro de computador sob a seguinte chave HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. A figura abaixo mostra um exemplo de IDs de drive de um pen drive:
Figure4: Exemplo de conteúdo da chave USBSTOR, mostrando IDs de instância de dispositivo.
Source: Carvey, H., (2005)
Usando as colmeias da unidade montada, um investigador terá uma pista quando analisar o conteúdo da ID do dispositivo mantido no registro para saber qual dispositivo estava sendo montado na organização Luton SME. Com o exame persistente de cada chave de valor, um investigador pode identificar dispositivos de armazenamento USB removíveis e mapeá-los para o parentidprefix.
SIDs sem fio: De acordo com (Carvey, H., 2005) SSIDs de redes sem fio usadas em um computador podem ser encontradas em HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Ao navegar para valores chave, eles contêm subchaves que se parecem com identificadores globalmente únicos, que quando abertos, um investigador pode navegar para o ActiveSettings que revela cada SSID sem fio na forma de um tipo de dado binário. Quando clicado com o botão direito do mouse para modificar, ele revela os SSIDs em formato escrito simples. Embora o endereço IP e outras informações de rede possam ser encontradas em HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, um investigador pode usar esta informação para ligar um usuário na organização Luton SME a um determinado período de tempo se o endereço IP da pessoa parecer ser descoberto sob o registro Window acima.
O registro Window também pode ser uma fonte vital de prova em uma investigação forense se o investigador souber onde obter dados disponíveis que possam ser bem apresentados para a organização Luton SME. O Fantastic tentou analisar alguns dos registros básicos do Windows que poderiam ter causado o redirecionamento de sua página Web, rastreou a atividade do usuário e todos os programas necessários que um usuário tinha executado, dispositivos usados no servidor ou em qualquer computador da organização, e também revelou o endereço IP dos usuários.
Exame forense de rede
A aquisição, coleta e análise dos eventos que ocorrem na rede é chamada de forense de rede. Às vezes também é conhecido como forense de pacotes ou mineração de pacotes. O objetivo básico da análise forense de rede é o mesmo, que é coletar informações sobre os pacotes no tráfego da rede, tais como os emails, as consultas, a navegação no conteúdo da web, etc., e manter essas informações em uma única fonte e realizar uma inspeção adicional (WildPackets, 2010).
A análise forense de rede pode ser aplicada de duas formas principais. A primeira é relacionada à segurança, onde uma rede é monitorada em busca de tráfego suspeito e qualquer tipo de intrusão. É possível para o atacante apagar todos os arquivos de log de um host infectado, então nesta situação a evidência baseada na rede vem a jogar na análise forense. A segunda aplicação da análise forense de rede está relacionada à aplicação da lei, onde o tráfego de rede que foi capturado poderia ser trabalhado para recolher os ficheiros que foram transferidos através da rede, pesquisa de palavras-chave e análise da comunicação humana que foi feita através de e-mails ou outras sessões semelhantes. (Hunt, 2012)
Ferramentas e Técnicas de Forense de Rede
Podemos realizar qualquer operação com um DVD/CD-ROM de arranque forense, unidade Flash USB ou mesmo um disquete. Primeiro, precisamos de despejar a memória, e isto é preferido para ser feito com uma unidade Flash USB com tamanho suficiente. Devemos também realizar uma avaliação de risco quando estamos prestes a recolher dados voláteis para avaliar se é seguro e relevante recolher esses dados ao vivo, o que pode ser muito útil em uma investigação. Devemos utilizar conjuntos de ferramentas forenses durante todo o processo, pois isso ajudará a atender os requisitos de uma investigação forense. Estas ferramentas devem ser confiáveis e podem ser adquiridas entre as ferramentas livremente distribuídas para as ferramentas comerciais. (7safe, 2013)
Algumas informações muito importantes e discretas devem ser coletadas de uma máquina em execução, com a ajuda de ferramentas confiáveis como:
Existem muitos tipos diferentes de ferramentas forenses de rede, cada uma com funções diferentes. Alguns são apenas farejadores de pacotes e outros lidam com identificação, impressão digital, localização, mapeamento, comunicações por e-mail, serviços web, etc. A tabela abaixo lista algumas das ferramentas de código aberto que podem ser utilizadas para a perícia de rede e suas funcionalidades. (Hunt, 2012)
Ferramenta | Plataforma | Site Web | Atributos |
TCPDumpWindump | Unix & Windows | wwwww.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix& Windows | www.wireshark.org | F |
Sleuth Kit | Unix | wwwww.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | wwww.snort.org | F |
F: Filtro & recolher; L: Análise de log; R: Remontagem do fluxo de dados; C: Correlação dos dados; A: Vista da camada de aplicação
Tabela 2: Ferramentas forenses de rede
Source: (Hunt, 2012)
Exame forense de banco de dados
Um banco de dados é uma coleção de dados ou informações que é representada na forma de arquivos ou uma coleção de arquivos. A recuperação dos dados da base de dados pode ser feita com um conjunto de consultas. A base de dados forense pode ser definida como a aplicação de investigação informática e as técnicas de análise para recolher as provas da base de dados e apresentá-las em tribunal. Uma investigação forense precisa ser feita nas bases de dados, porque uma base de dados tem dados sensíveis onde há uma grande chance de uma violação de segurança por parte dos intrusos para obter essas informações pessoais.
No estudo de caso é mencionado que uma grande quantidade de dados está sendo enviada para fora da base de dados, então agora a tarefa da equipe do Fantástico é realizar uma investigação forense na base de dados com a ajuda de ferramentas forenses. A investigação forense da base de dados tem como foco a identificação, preservação e análise de dados. De acordo com Khanuja, H.K., e Adane, D.S., (2011), para acessar a base de dados os usuários precisam obter permissões como autorização e autenticação dos servidores da base de dados. Uma vez feita a autorização, somente o usuário pode acessar os dados e, se desejar, pode alterar os dados. Agora, se verificarmos os logs de auditoria da base de dados, podemos obter uma lista dos utilizadores que obtiveram permissões de acesso aos dados. A equipe precisa procurar na base de dados os endereços IP que estão remotamente conectados, pois há chances de alterar os dados pelo usuário autorizado ou não autorizado.
De acordo com Dave, P., (2013), com a ajuda da investigação podemos rastrear as operações da DDL (Data Definition Language), que são usadas para definir a estrutura da base de dados, e DML (Data Manipulation Language), que são usadas para gerenciar os dados dentro da base de dados e pode identificar se há alguma transação pré e pós transações ocorridas na base de dados. Esta investigação também nos pode ajudar a saber se existem linhas de dados que são apagadas intencionalmente pelo usuário e é capaz de recuperá-las, e também nos ajuda a provar ou refutar que ocorreu uma violação de segurança de dados dentro da base de dados, e nos ajuda a determinar o escopo da intrusão da base de dados. A ferramenta forense v1.0.03 do Windows é usada com um arquivo de configuração personalizado que executará os comandos DMV (Distributed Management Views) e DBCC (Database Consistency Checker) para reunir os dados que são suficientes para provar ou desaprovar a intrusão, como dito anteriormente (Fowler, K., 2007).
Análise
Anexo: precisamos analisar as evidências que reunimos e examinamos. Vamos olhar para os dados para ver se algum arquivo oculto ou inusitado é apresentado ou não. Em seguida, se há algum processo incomum em execução e se há algum soquete aberto de forma incomum. Também verificaremos se algum pedido de aplicação ocorreu de forma incomum. Em seguida, vamos verificar a conta, se alguma conta incomum é apresentada ou não. Encontraremos também o sistema de nível de patching, se ele foi atualizado ou não. Pelo resultado dessas análises, saberemos se alguma atividade maliciosa é apresentada ou não. Depois desenvolveremos uma estratégia adicional para a investigação forense, como a análise completa da memória, análise completa dos sistemas de arquivos, correlação de eventos e análise da linha do tempo (Nelson, B., et. al., 2008). De acordo com este estudo de caso, há atividades maliciosas presentes em seu sistema de rede e isso também foi confirmado por nossa análise inicial. A fim de encontrar as capacidades de código malicioso e seu objetivo, temos que fazer a análise executável de malware. A análise executável de malware pode ser dividida em Análise estática e Análise comportamental.
Análise malware
De acordo com o relatório da Verizon “2012 Data Breach Investigations Report”, 99% das vulnerabilidades levaram a que os dados ficassem comprometidos por alguns dias ou menos, enquanto 85% levou várias semanas para investigar. Este é um sério desafio para os departamentos de segurança, pois os atacantes têm muito tempo para trabalhar em um ambiente comprometido. Mais “tempo livre” leva a mais dados roubados e danos mais graves. Isso se deve principalmente ao fato de que as medidas de segurança atuais não se destinam a lidar com ameaças mais complexas (2012 Data Breach Investigations Report, Verizon, 2012).
O ponto ao realizar uma investigação de cena de crime malware: certas partes de um PC Windows estão no caminho certo para reter dados que se identificam com a instalação e utilização do malware. Exames legais das estruturas negociadas fora da estrutura incorporaram uma auditoria de valores de hash de registro, confusão de assinaturas, arquivos empacotados, logs de colisão, pontos de restauração do sistema e o pagefile. Uma investigação mundial dos Sistemas de Arquivos e Registros de Eventos pode ser direcionada para distinguir exercícios ao redor do tempo em que o malware foi animado no sistema. Além disso, especialistas avançados podem também rever o Registro para entradas não habituais, como nas áreas de Autostart, e ajustes ao redor do tempo da instalação do malware. Caçadas de palavras-chave podem ser realizadas para descobrir referências a malware e associações com outros hosts negociados. Vetores de ataque normais são reconhecidos, incorporando anexos de e-mail, histórico de navegação na Web e logons não autorizados.
Segundo a Syngress “Malware Forensics – Investigating and Analyzing Malicious Code, 2003”, deve ser feita uma investigação com base no seguinte:
Antes de iniciar a análise de malware, precisamos criar o ambiente de análise de malware, como o VMware e o Norton Ghost. VMware é um ambiente de análise de malware com base virtual e Norton Ghost é um ambiente dedicado à análise de malware.
Análise estática
Análise estática é o tipo de análise de malware que é usado para conduzir a análise sem executar a programação de malware. A análise estática é melhor do que a análise dinâmica em termos de análise segura. Como o programa malware não está sendo executado, não há medo de apagar ou alterar os arquivos. É sempre melhor fazer a análise estática de malware em um sistema operacional diferente, onde o malware não é projetado para ser executado ou causar impacto. Porque um investigador pode acidentalmente clicar duas vezes no programa malware para executar, e isso irá afetar o sistema. Existem muitas maneiras de fazer a análise estática, como File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format and Disassembly (Kendall, K., 2007).
Dynamic Analysis
Dynamic Analysis é o tipo de análise de malware em que o código malware é executado e observa o seu comportamento. Também é chamada Análise de Comportamento Malware. A Análise Dinâmica não é segura para conduzir a menos que estejamos prontos para sacrificar o ambiente de análise de malware. Nós podemos analisar o malware simplesmente monitorando o comportamento das funções do malware. Existem muitas ferramentas para conduzir a análise dinâmica de malware, mas os Process Monitor da SysInternals e Wireshark são as ferramentas mais utilizadas e freeware (Kendall, K., 2007).
De acordo com Kendall, K., (2007), em quase todos os casos de malware, uma simples análise estática e dinâmica de malware irá encontrar todas as respostas que serão exigidas pelos investigadores de malware para o código malware em particular.
>
Perguntas
Após nossa investigação, resumimos nossos resultados da seguinte forma:
Acções Remediais
Foram consideradas acima as formas mais comuns de software malicioso para a rede. Do acima exposto, é possível tirar duas importantes conclusões:
De acordo com Shiner, D.L.D., e Cross, M., (2002), existem grandes contramedidas para proteger contra malware:
No nosso caso, as mais úteis são as seguintes:
Firewall verifica todas as páginas da Web que entram no computador do utilizador. Cada página da Web é interceptada e analisada pelo firewall para código malicioso. Se uma página da Web acessada pelo usuário contém código malicioso, o acesso a ela é bloqueado. Ao mesmo tempo, ele exibe uma notificação de que a página solicitada está infectada. Se a página Web não contiver código malicioso, ela fica imediatamente disponível para o usuário.
Por meio do registro, entendemos coletar e armazenar informações sobre eventos que ocorrem no sistema de informação. Por exemplo, quem e quando tentou entrar no sistema e como esta tentativa terminou, quem e que recursos de informação foram utilizados, o quê e quem modificou os recursos de informação, e muitos outros.
Auditoria é uma análise dos dados acumulados, realizada prontamente, quase em tempo real (Shiner, D.L.D., e Cross, M., 2002). A implementação do registro e auditoria tem os seguintes objetivos principais:
Políticas de segurança
Os critérios mais completos para avaliar mecanismos de segurança em nível organizacional são apresentados na norma internacional ISO 17799: Código de Prática para a Gestão da Segurança da Informação, adoptado em 2000. A ISO 17799 é a versão internacional da norma britânica BS 7799. A ISO 17799 contém regras práticas para a gestão da segurança da informação e pode ser usada como critério para avaliar os mecanismos de segurança em nível organizacional, incluindo medidas de segurança administrativa, processual e física (ISO/IEC 17799:2005).
As regras práticas estão divididas nas seguintes seções:
>
>
Estas seções descrevem os mecanismos de segurança em nível organizacional atualmente implementados em organizações governamentais e comerciais no mundo todo (ISO1799, 2005).
Perguntas gerais surgem após considerar a necessidade acima de alguma combinação de requisitos de negócios para a Internet. Que software e hardware e medidas organizacionais devem ser implementadas para atender às necessidades da organização? Qual é o risco? Quais devem ser os padrões éticos para a organização realizar suas tarefas com a ajuda da Internet? Quem deve ser responsável por isso? A base das respostas a essas perguntas é uma política conceitual de segurança para a organização (Swanson, M., 2001).
A próxima seção contém fragmentos de hipotéticas políticas de segurança de trabalho seguro na Internet. Esses fragmentos foram projetados com base na análise dos principais tipos de equipamentos de segurança.
As políticas de segurança podem ser divididas em duas categorias: política técnica implementada usando hardware e software, e política administrativa, realizada pelas pessoas que usam o sistema e as pessoas que o executam (Swanson, M., 2001).
Política Comum de Segurança para uma Organização:
-
Qualquer sistema de informação deve ter uma política de segurança
-
A política de segurança deve ser aprovada pela gerência da organização
-
A política de segurança deve chegar a todos os funcionários de uma forma simples e compreensível
-
A política de segurança deve incluir:
-
definição da segurança da informação, seus principais objetivos e seu escopo, bem como sua importância como mecanismo, que permite utilizar colectivamente a informação
-
a posição de liderança sobre os propósitos e princípios da segurança da informação
-
identificar responsabilidades gerais e específicas para fornecer segurança da informação
-
ligações a documentos relacionados com políticas de segurança, tais como directrizes ou regras detalhadas de segurança para os utilizadores
>
>
>>979797>>
- >
A política de segurança deve satisfazer certos requisitos:
-
corresponder à legislação nacional e internacional
-
conter disposições para a formação do pessoal em questões de segurança
-
incluir instruções de detecção e prevenção de software malicioso
-
definir as consequências das violações da segurança política
-
considerar requisitos de continuidade de negócios
>
>
>
-
É necessário definir uma pessoa responsável pelo procedimento de revisão e atualização das disposições da política de segurança
-
A revisão da política de segurança deve ser realizada como resultado dos seguintes casos
-
Alterações na infra-estrutura organizacional da organização
-
Alterações na infra-estrutura técnica da organização
- >
-
Subjunto à revisão regular da política de segurança estão as seguintes características
-
o custo e impacto das contramedidas no desempenho da organização(ISO/IEC 17799:2005)
-
Propósito do Relatório
-
Autor do Relatório
-
Síntese do Incidente
-
Evidência
-
Análise
-
Conclusões
-
Documentos de apoio
-
7safe, (2013) “Good Practice Guide for Computer-Based Electronic Evidence”, Disponível em: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Acessado em 12 de janeiro de 2014.
-
ACPO (2013), “Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Disponível em http://www.australiansecuritymagazine.com.au/, Acessado em 31 de dezembro de 2013.
-
Aquilina, M.J, (2003), “Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), “Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, “Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), “SQL – Uma Carreira na Base de Dados Forense! Disponível em http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, acedido a 2 de Janeiro de 2014.
-
Fowler, K., (2007), “Forensic Analysis of a SQL Server 2005 Database Server”, Disponível em https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, acedido a 2 de Janeiro de 2014.
-
Han, D.R., (2012), “SME Cyber Security and the Three Little Pigs”, revista ISACA, Vol 6, disponível em www.isaca.org/journal, acessada em 05 de janeiro de 2014.
-
Hunt, R., (2012), “New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), “Information technology – Security techniques – Code of practice for information security management”, Disponível em http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Acessado em 10 de janeiro de 2014.
-
ISO1799, (2005), “ISO 17799 Information and Resource Portal”, Disponível em http://17799.denialinfo.com/ , Acessado em 10 de janeiro de 2014.
-
Kendall, K,(2007), “Practical Malware Analysis”, Mandiant Intelligent Information Security, Disponível em http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Acessado em 10 de janeiro de 2014.
-
Kent, K, and Grance, T., (2006), “Guide to Integrating Forensic Techniques into Incident Response”, Disponível em: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Acesso em 13 de Janeiro de 2014.
-
Kent, K., et.al., (2006). “Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., e Adane, D.S., (2011), “Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapura: IACSIT Press.
-
Kruse II, W.G., e Heiser, J.G. (2010), “Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
-
Microsoft, (2013), “Windows Registry Information for Advanced Users” Disponível em https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et. al., (2008), “Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Curso Tecnologia.
-
Nolan, Richard, et. al. Guia Forense de Resposta a Incidentes para Pessoal Técnico. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), “Forensics of a Windows System”, Roche.
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Disponível em: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Acesso em 13 de Janeiro de 2014.
-
Shiner, D.L.D., e Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), “NIST Security Self-Assessment Guide for Information Technology Systems” Disponível em http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Acessado em 9 de janeiro de 2014.
-
US-CERT, (2012), “Computer Forensics”, Disponível em http://www.us-cert.gov/reading-room/forensics.pdf, Acessado em 30 de dezembro de 2013.
-
Venter, J. P, (2006), “Process Flows for Cyber Forensics Training and Operations”, Disponível em http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, acessado em 30 de dezembro de 2013.
-
Wong, L.W.,(2006) “Forensic Analysis of the Windows Registry” Disponível em http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Acessado em 10 de janeiro de 2014.
>979797>
Relatórios
Um relatório forense destaca as evidências no tribunal e também ajuda a reunir mais evidências e pode ser usado em audiências no tribunal. O relatório deve conter o escopo da investigação. Um investigador forense computadorizado deve estar ciente do tipo de relatório forense computadorizado, como relatório formal, relatório escrito, relatório verbal e plano de exame. Um relatório formal contém os factos das conclusões da investigação. Um relatório escrito é como uma declaração ou uma declaração juramentada, que pode ser feita sob juramento, de modo que deve ser clara, precisa e detalhada. Um relatório verbal é menos estruturado e é um relatório preliminar que aborda as áreas de investigação ainda não cobertas. Um plano de exame é um documento estruturado que ajuda o investigador a compreender as questões a serem esperadas quando ele está justificando as evidências. Um plano de exame também ajuda o advogado a compreender os termos e funções que foram utilizados na investigação forense em computador (Nelson, B., et al., 2008). Geralmente um relatório forense computadorizado contém as seguintes funções:
Existem muitas ferramentas forenses para gerar o relatório de investigação forense, como o ProDiscover, FTK e EnCase (Nelson, B., et al., 2008).
Conclusões
Este relatório contém como conduzir a Investigação Forense Computadorizada e Investigação Malware em vários métodos e usando várias ferramentas. Este relatório também contém os quatro principais procedimentos de política de segurança da ACPO e IS017799 que devem ser implementados em todas as organizações para melhorar a arquitetura da rede de segurança. Ele também analisou o modelo de Investigação Forense de Quatro Primeiros Passos e porque escolhemos este modelo para conduzir a investigação forense para este caso. Ele também tem importantes etapas de preparação antes de iniciar a investigação. Depois, este relatório tem uma parte de análise onde analisamos os dados que coletamos por vários métodos para produzir os resultados. Este relatório também tem as recomendações para evitar a quebra de segurança no futuro.
A investigação forense digital é um processo desafiador, porque cada incidente é diferente de outros incidentes. Um investigador forense computadorizado deve ser competente o suficiente em Técnico e Legal para conduzir a investigação. Como a evidência que é fornecida por um investigador forense computadorizado pode ser uma parte importante do caso, o relatório da investigação deve ser preciso e detalhado.
>