segunda-feira, 9 de março de 2009

FORENSE COMPUTACIONAL


Análise de um desktop supostamente infectado por um Malware.


Neste blog iremos tratar de um assunto bastante conhecido do público, mas que de forma geral não se dá a devida importância: os Malwares.

Não é só de vírus que nos referimos como costumeiramente as pessoas pensam que pode infectar um computador, malware é uma designação mais abrangente e que se refere a toda ameaça que pode se instalar em um sistema computacional com o objetivo de danificá-lo ou simplesmente colher informações, permitir acesso remoto, entre outras formas de ação.

Atualmente as ameaças estão classificadas em:
Vírus;
Worms;
Trojans;
Spywares;
Loggers
Rootkit;
Backdoor;
Bots.

Para detalhes, consultar o link http://malwares-taxonomia.blogspot.com/

Todas essas ameaças, combinadas ou individualmente, constituem sério risco para os sistemas computacionais, principalmente para empresas, isso faz com que se percam dados confidenciais, lentidão do sistema, redução da produtividade, roubo de informações, como consequência há uma perda significativa do faturamento dessas empresas, no somatório, algo em torno de milhões de Reais somente no Brasil, no mundo segundo estudo datado de junho de 2007 há perdas em torno de 13 bilhões de dólares
(http://idgnow.uol.com.br/seguranca/2007/06/13/idgnoticia.2007-06-13.3829996661/),
que nos deixa mais preocupados quando lembramos que para que uma corporação funcione com mais agilidade ela deve estar conectada a internet, que é o caminho mais curto para se disseminar ameaças e infectar maior número de máquinas.


Baseado nessas informações iremos realizar procedimentos de análise forense (simplificado) em um computador que foi supostamente infectado, e emitir um laudo sobre essa máquina. Destacaremos as etapas com detalhes a serem seguidas, como: coleta, extração dos dados, análise e laudo pericial.

Vamos acompanhar as etapas a partir desse momento.

Fomos chamados para verificar um computador que se comportava de movo estranho em uma empresa, essa estação de trabalho é de um funcionário tem sua jornada de trabalho normal de segunda a sexta-feira, sendo permitidos trabalhos nos finais de semana somente em casos excepcionais e com a permissão de seus superiores.


COLETA:
Para preservar e garantir a originalidade do ambiente de coleta fizemos o hash do disco rígido C: da máquina em análise.

Hash do disco:
The hash value of C from sector 0 to 4185151 is:
384C0F2BEDEDDF479E59EDF00048807A
Completed on: 03/09/09 10:26:57
Elapsed time: 0:01:55

Como passo posterior, isolamos a máquina e começamos a coletar os dados, iniciando-se por aqueles mais voláteis, como conexão à rede, compartilhamentos abertos, informações de memória, e arquivos temporários.

Para isso utilizamos os seguintes softwares:
Netstat, do prompt do S.O. da máquina em análise;
TCPView, versão 2.51;
Process Explorer, versão 11.02;
Hijackthis, versão 1.99.1;
Encase, versão 3.22g.


EXTRAÇÃO:
Devido ao fato da estação de trabalho se comportar de modo estranho, fizemos inicialmente a extração dos dados on-line, constatado a presença da ameaça, passamos posteriormente a extração dos dados off-line para determinar pelo timeline quando o malware foi instalado.

Podemos constatar a existência de um trojan disfarçado de um programa que supostamente iria exibir informações referentes a revista masculina Playboy e posteriormente a identificação de um trojan.

Dados extraídos com TCPView:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
IEXPLORE.EXE:1684 UDP estacao1:1278 *:*
IEXPLORE.EXE:1684 TCP estacao1:1279 estacao1:0 LISTENING
IEXPLORE.EXE:1684 TCP estacao1.localdomain:1279 www.tim.com.br:http ESTABLISHED
IEXPLORE.EXE:1684 TCP estacao1:1280 estacao1:0 LISTENING
IEXPLORE.EXE:1684 TCP estacao1.localdomain:1280 www.tim.com.br:http ESTABLISHED
lsass.exe:664 UDP estacao1:isakmp *:*
Monica-Playboy.exe:560 UDP estacao1:1276 *:*
svchost.exe:1096 UDP estacao1:1027 *:*
svchost.exe:1096 UDP estacao1:1044 *:*
svchost.exe:1096 UDP estacao1:1051 *:*
svchost.exe:1096 UDP estacao1:1052 *:*
svchost.exe:1200 TCP estacao1:5000 estacao1:0 LISTENING
svchost.exe:1200 UDP estacao1:1900 *:*
svchost.exe:1200 UDP estacao1.localdomain:1900 *:*
svchost.exe:832 TCP estacao1:epmap estacao1:0 LISTENING
svchost.exe:832 UDP estacao1:epmap *:*
svchost.exe:952 TCP estacao1:1025 estacao1:0 LISTENING
svchost.exe:952 UDP estacao1:1026 *:*
svchost.exe:952 UDP estacao1:1031 *:*
svchost.exe:952 UDP estacao1:ntp *:*
svchost.exe:952 UDP estacao1.localdomain:ntp *:*
System:4 TCP estacao1:microsoft-ds estacao1:0 LISTENING
System:4 TCP estacao1.localdomain:netbios-ssn estacao1:0 LISTENING
System:4 UDP estacao1:microsoft-ds *:*
System:4 UDP estacao1.localdomain:netbios-ns *:*
System:4 UDP estacao1.localdomain:netbios-dgm *:*
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-



Dados extraídos com Process Explorer:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Process PID CPU Description Company Name
System Idle Process 0
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 516 Windows NT Session Manager Microsoft Corporation
csrss.exe 580 Client Server Runtime Process Microsoft Corporation
winlogon.exe 604 Aplicativo de logon do Windows NT Microsoft Corporation
services.exe 652 1.54 Aplicativo de serviços e controle Microsoft Corporation
svchost.exe 832 Generic Host Process for Win32 Services Microsoft Corporation
IEXPLORE.EXE 1684 Internet Explorer Microsoft Corporation
svchost.exe 952 1.54 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1096 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1200 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1508 Spooler SubSystem App Microsoft Corporation
svchost.exe 1432 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 664 1.54 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1356 Windows Explorer Microsoft Corporation
ctfmon.exe 1616 CTF Loader Microsoft Corporation
cmd.exe 1580 Processador de comandos do Windows Microsoft Corporation
ntvdm.exe 1088 NTVDM.EXE Microsoft Corporation
taskmgr.exe 1940 Gerenciador de tarefas do Windows Microsoft Corporation
notepad.exe 1964 Bloco de notas Microsoft Corporation
cmd.exe 1260 Processador de comandos do Windows Microsoft Corporation
Tcpview.exe 1080 TCP/UDP endpoint viewer Sysinternals - www.sysinternals.com
Monica-Playboy.exe 560 RH
ntvdm.exe 1460 89.23 NTVDM.EXE Microsoft Corporation
cmd.exe 480 Processador de comandos do Windows Microsoft Corporation
procexp.exe 1840 4.62 Sysinternals Process Explorer Sysinternals
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-


ANÁLISE:
Confirmamos a presença da ameaça Virus.Dropper ou Trojan dropper (classificação da Symantec), mais informações em:
http://www.symantec.com/pt/br/security_response/writeup.jsp?docid=2002-082718-3007-99

Através do timeline contido na pasta Prefetch do sistema operacional Windows, localizamos o arquivo MONICA-PLAYBOY.EXE-0944CD11.pf, executado no domingo, dia 08/03/2009 às 15h06m48 e confirmamos sua execução com o programa Encase.


Constatação da existência no timeline do arquivo Monica-playboy.exe


Com a execução desse arquivo desencadeou a instalação do malware a partir da execução do arquivo ntvdm.exe, foi confirmado pelo timeline no Encase às 15h06m50

Por último às 15h07m10 da mesma data, foi verificado a execução do WhenU.SaveNow (spyware instalado após a execução do Internet Explorer que foi chamado pelo trojan).


LAUDO:
Pelas análises e evidências coletadas, concluímos que houve acesso indevido ao desktop tendo em vista que o suspeito tem jornada de trabalho de segunda a sexta-feira e o ocorrido relatado ocorreu em final de semana.

Identificamos que foi instalado o malware, tipo trojan na máquina suspeita que tem por intuito enviar informações sigilosas da máquina infectada para endereços na internet.

Diante de todas as evidências enumeradas notificamos que o suspeito é culpado por agir intencionalmente na instalação de malware em máquina corporativa que tem o objetivo de coletar informações sigilosas e também por em risco a segurança de toda a empresa.



Conclusão:

Pudemos constatar pelas análises executadas que em um ambiente de trabalho temos que adotar políticas rígidas de controle de acesso a máquinas, mantê-las atualizadas e ter um bom antivírus instalado para evitar danos, principalmente aos dados e às informações da empresa, além de utilizar-se de softwares de proteção aos dados, para que eles circulem somente dentro da corporação com suas devidas autorizações.
Estudos revelam que mais de 50% de ex-funcionários desviam dados corporativos e o que dizer daqueles que ainda estão de posse desses dados?
(http://computerworld.uol.com.br/seguranca/2009/02/26/pesquisa-mostra-que-59-dos-ex-funcionarios-desviam-dados-corporativos
Portanto, devemos tirar essas informações como lição e analisar nossas políticas de acessos corporativos para melhor proteger os dados mais importantes de nossa empresa.

quarta-feira, 11 de fevereiro de 2009

GPG E SUAS APLICAÇÕES PRÁTICAS

Capítulo 01 - Histórico do GPG

Para falar do GnuPG ou como é conhecido, GPG, temos que nos reportar ao uso da criptografia assimétrica e assinatura digital desenvolvida por Philip Zimmermann em 1991 para auxílio de ativistas políticos. Esse software ficou conhecido como PGP - Pretty Good Privacy – traduzido para Privacidade Muito Boa, que foi fácil de usar, muito seguro e teve seu código fonte disponibilizado. Devido ao fato de que nos Estados Unidos proibia exportar software de criptografia forte, Philip foi alvo de investigação criminal, que foi encerrada em 1996. Na primavera de 1997 foi feita a liberação pública do software e mesmo com sérias restrições outros países puderam ter acesso ao seu uso pela disseminação pela internet. Então seu criador fundou PGP Corporation, empresa que melhorou e agregou novas funcionalidades ao software e o tornou pago. Nesse mesmo ano a PGP Inc. propôs a IETF que fosse criado um padrão aberto de criptografia, chamado OpenPGP, a partir daí um grupo iniciou o trabalho que hoje está descrito na RFC 2440.

Com esse grupo criado, em julho 1998 foi publicado o esboço do OpenPGP, um software de criptografia baseado e compatível com o PGP, mas com a diferença que está sob licença Gnu (Licença de Pública Geral – ver link http://pt.wikipedia.org/wiki/GNU_General_Public_License para maiores informações) que o torna software livre. Em setembro de 1999 foi lançada a versão 1.0.0 do GnuPG. Ainda em 1999 o governo alemão decidiu que a cifragem forte não estaria regulada e que seria recomendada seu uso a todos, dando então, subsídios para que um grupo europeu pudesse trabalhar fortemente no GPG, que culminou na ferramenta que utilizaremos, o GPG for Windows, e que também, devemos lembrar as versões desenvolvidas para plataforma Linux em todas suas distribuições.


Capítulo 02 - O GPG para Windows (como instalar, criar as chaves e enviar a chave pública para a Internet)

Instalação do GPG for Windows

1 – O GPG for Windows é um software livre sob licença GnuPG, é possível baixá-lo no site www.gpg4win.org, com ele você poderá criar suas chaves pública e privada e ainda pode enviar a chave pública para o keyserver para que outras pessoas possam utilizá-la para decriptar suas mensagens/arquivos.

2 – A instalação desse software é muito simples e em poucos passos, por isso que não entraremos em detalhes, mas recomendamos que deixe marcado para a instalação as opções WinPT e GPGee, com isso deixe desmarcado as demais opções, pois não necessitaremos delas, no demais é clicar em avançar, e depois em finalizar.

3 – Devemos criar, inicialmente, um par de chaves: pública e privada. Para isso acesse o programa em Iniciar, Programas, GnuPG For Windows e em seguida WinPT.



4 – Aparecerá na bandeja do sistema (aquela barra inferior na tela do Windows onde ficam informações de data e hora) o ícone de uma chave, clique com o botão da direita e selecione Key Manager, se aparecer a mensagem solicitando criar sua chave esse é o momento, se não, clique no menu em Key, New, Normal, em seguida entre com suas informações de nome e correio eletrônico. Nesse momento será solicitada uma senha referente a essa chave que será criada. Logo após isso o sistema irá gerar a chave e uma caixa de diálogo é exibida, quando terminar o sistema informará que se deve fazer uma cópia de segurança da chave, ao que deve ser executado para evitar extravios (de preferência salvar em mais de um local seguro e em mídias confiáveis).

5 – Para que você disponibilize sua chave ao público, envie-a para um servidor que publica e gerencia essas chaves, para isso clique com o botão da direita em cima da chave e selecione Send to Key Server, daí selecione o servidor para qual será enviada, de preferência envie para todos os possíveis. Verifique se o seu firewall não irá bloquear a transmissão do envio da chave.

6 – Você também pode requisitar chaves públicas de outras pessoas, para isso clique no menu em Key Server, na janela que aparece no campo “Key ID or email address you want to search for”, digite o nome da pessoa ou email e clique no botão “Receive”, note que poderá aparecer mais de uma chave por usuário publicado no servidor. Com essa chave será possível criptografar dados que só o dono da chave privada conseguirá descriptografar ou ainda, descriptografar o que lhe for enviado criptografado pela chave privada daquele proprietário para a geração das informações criptografadas.



Capítulo 03 - GPG e o Gmail (como integrar o GPG no gmail através dos plugins do firefox)

Iremos aprender aqui como instalar o plugin FireGPG para usar os recursos de assinar e criptografar mensagens do Gmail através do navegador Mozilla Firefox.

Essa interface permite encriptar, decriptar, assinar ou verificar assinaturas digitais em páginas da web usando as funcionalidades do GPG, mas especificamente aqui destacaremos a interface do Gmail que permite que possamos usar os recursos do plugin diretamente no webmail.


Vamos, então, instalar o software seguindo o passo a passo descrito abaixo:

Instalação do plugin do Firefox

1 – Acesse o site http://pb.getfiregpg.org/ vá até a área de download e clique em download FireGPG.



2 – Clique no link Install, localizado na barra à direita.

3 – Clique no link Download FireGPG e aguarde a tela de exibição de complementos que irá aparecer.

4 – Após aparecer um alerta de segurança para garantir instalação solicitada, clique no botão Instalar agora.



5 – Depois do plugin instalado será necessário reinicializar o navegador, para isso clique no botão Reiniciar o Firefox.



6 – Logo que o navegador é carregado, aparece uma janela contendo os complementos instalados, nele você vai encontrar o plugin do FireGPG, com as informações de versão e as opções de alteração de configurações e desativação e desinstalação.



7 – Vá até o menu, em ferramentas, complementos (na versão em português), na guia Gmail e lá terá possibilidade de alterar diversas opções referentes a esse plugin.




Capítulo 04 - Usando o GPG através do Gmail

- Enviando uma mensagem assinada:

Com a extensão gpg instalada no Firefox que vimos anteriormente, podemos usar a opção “assinar mensagem”, será solicitada sua senha da assinatura digital, em seguida será solicitada a senha do Server smtp (g-mail), nesse caso digite sua senha de acesso a sua caixa postal.

A mensagem seguirá com um anexo com o nome signature.asc (que é sua assinatura digital).

O receptor Outlook da mensagem deverá ter o gpg4win para verificar a autenticidade da assinatura, para recebimento via Gmail ou Yahoo como teste no nosso caso, na mensagem aparecerá um ícone de um envelope com uma chave, quando colocamos o ponteiro do mouse sobre esse ícone, aparece a mensagem “Este remetente é verificado pelo DomainKeys”, que significa que a mensagem tem assinatura autêntica.


- Enviando uma mensagem assinada e criptografada:

Com a extensão gpg instalada no Firefox ao marcar “assinar e criptografar a mensagem”, será solicitada sua senha da assinatura digital, em seguida será solicitada a senha do Server smtp (g-mail), nesse caso digite sua senha de acesso a sua caixa postal.



A mensagem seguirá com dois anexos com o nome encrypted.asc e signature.asc


- Recebendo uma mensagem assinada e criptografada:

Ao receber uma mensagem criptografada, salve o arquivo encrypted.asc, abra-o pelo bloco de notas e use a chave pública para descriptografar, como fazer? Simples, após salva-lo no bloco de notas, abra e você verá um texto mais ou menos assim (para proteção dos dados não iremos aqui exibir o texto criptografado corretamente):

-----B EGIN PGP MESSAGE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Use GnuPG with Firefox : http://getfiregpg.org (Version: 0.7.4)
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=2bSZ
-----END PGP MESSAGE-----




Selecione todo o texto e inclusive o que está contido em:

-----B EGIN PGP MESSAGE-----

e

-----END PGP MESSAGE-----


Copie o texto selecionado para a área de transferência, clique com o botão da direita no ícone localizado na bandeja do Windows e selecione a opção Clipboard, em seguida em Decrypt/Verify e o texto claro será exibido.

No caso da mensagem também ser enviada para outro cliente do Gmail, ao abrir a mensagem recebida , será solicitada qual chave será utilizada para descriptografar, em seguida será aberto a mensagem como a figura abaixo que consta os cadeados, isso demonstra que a mensagem foi descriptografada com sucesso.




Conclusão


Nossa recomendação para maior segurança é utilizar ferramentas de criptografia, em especial o GPG4Win por ser um software de fácil utilização e de criptografia de alta segurança, tanto para envio de mensagens quanto para criptografia de arquivos. Para abordagem de criptografia de arquivos, será tema futuro em nosso blog .

Até lá e grande abraço.
Ricardo Borba.