segunda-feira, 9 de março de 2009

FORENSE COMPUTACIONAL


Análise de um desktop supostamente infectado por um Malware.


Neste blog iremos tratar de um assunto bastante conhecido do público, mas que de forma geral não se dá a devida importância: os Malwares.

Não é só de vírus que nos referimos como costumeiramente as pessoas pensam que pode infectar um computador, malware é uma designação mais abrangente e que se refere a toda ameaça que pode se instalar em um sistema computacional com o objetivo de danificá-lo ou simplesmente colher informações, permitir acesso remoto, entre outras formas de ação.

Atualmente as ameaças estão classificadas em:
Vírus;
Worms;
Trojans;
Spywares;
Loggers
Rootkit;
Backdoor;
Bots.

Para detalhes, consultar o link http://malwares-taxonomia.blogspot.com/

Todas essas ameaças, combinadas ou individualmente, constituem sério risco para os sistemas computacionais, principalmente para empresas, isso faz com que se percam dados confidenciais, lentidão do sistema, redução da produtividade, roubo de informações, como consequência há uma perda significativa do faturamento dessas empresas, no somatório, algo em torno de milhões de Reais somente no Brasil, no mundo segundo estudo datado de junho de 2007 há perdas em torno de 13 bilhões de dólares
(http://idgnow.uol.com.br/seguranca/2007/06/13/idgnoticia.2007-06-13.3829996661/),
que nos deixa mais preocupados quando lembramos que para que uma corporação funcione com mais agilidade ela deve estar conectada a internet, que é o caminho mais curto para se disseminar ameaças e infectar maior número de máquinas.


Baseado nessas informações iremos realizar procedimentos de análise forense (simplificado) em um computador que foi supostamente infectado, e emitir um laudo sobre essa máquina. Destacaremos as etapas com detalhes a serem seguidas, como: coleta, extração dos dados, análise e laudo pericial.

Vamos acompanhar as etapas a partir desse momento.

Fomos chamados para verificar um computador que se comportava de movo estranho em uma empresa, essa estação de trabalho é de um funcionário tem sua jornada de trabalho normal de segunda a sexta-feira, sendo permitidos trabalhos nos finais de semana somente em casos excepcionais e com a permissão de seus superiores.


COLETA:
Para preservar e garantir a originalidade do ambiente de coleta fizemos o hash do disco rígido C: da máquina em análise.

Hash do disco:
The hash value of C from sector 0 to 4185151 is:
384C0F2BEDEDDF479E59EDF00048807A
Completed on: 03/09/09 10:26:57
Elapsed time: 0:01:55

Como passo posterior, isolamos a máquina e começamos a coletar os dados, iniciando-se por aqueles mais voláteis, como conexão à rede, compartilhamentos abertos, informações de memória, e arquivos temporários.

Para isso utilizamos os seguintes softwares:
Netstat, do prompt do S.O. da máquina em análise;
TCPView, versão 2.51;
Process Explorer, versão 11.02;
Hijackthis, versão 1.99.1;
Encase, versão 3.22g.


EXTRAÇÃO:
Devido ao fato da estação de trabalho se comportar de modo estranho, fizemos inicialmente a extração dos dados on-line, constatado a presença da ameaça, passamos posteriormente a extração dos dados off-line para determinar pelo timeline quando o malware foi instalado.

Podemos constatar a existência de um trojan disfarçado de um programa que supostamente iria exibir informações referentes a revista masculina Playboy e posteriormente a identificação de um trojan.

Dados extraídos com TCPView:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
IEXPLORE.EXE:1684 UDP estacao1:1278 *:*
IEXPLORE.EXE:1684 TCP estacao1:1279 estacao1:0 LISTENING
IEXPLORE.EXE:1684 TCP estacao1.localdomain:1279 www.tim.com.br:http ESTABLISHED
IEXPLORE.EXE:1684 TCP estacao1:1280 estacao1:0 LISTENING
IEXPLORE.EXE:1684 TCP estacao1.localdomain:1280 www.tim.com.br:http ESTABLISHED
lsass.exe:664 UDP estacao1:isakmp *:*
Monica-Playboy.exe:560 UDP estacao1:1276 *:*
svchost.exe:1096 UDP estacao1:1027 *:*
svchost.exe:1096 UDP estacao1:1044 *:*
svchost.exe:1096 UDP estacao1:1051 *:*
svchost.exe:1096 UDP estacao1:1052 *:*
svchost.exe:1200 TCP estacao1:5000 estacao1:0 LISTENING
svchost.exe:1200 UDP estacao1:1900 *:*
svchost.exe:1200 UDP estacao1.localdomain:1900 *:*
svchost.exe:832 TCP estacao1:epmap estacao1:0 LISTENING
svchost.exe:832 UDP estacao1:epmap *:*
svchost.exe:952 TCP estacao1:1025 estacao1:0 LISTENING
svchost.exe:952 UDP estacao1:1026 *:*
svchost.exe:952 UDP estacao1:1031 *:*
svchost.exe:952 UDP estacao1:ntp *:*
svchost.exe:952 UDP estacao1.localdomain:ntp *:*
System:4 TCP estacao1:microsoft-ds estacao1:0 LISTENING
System:4 TCP estacao1.localdomain:netbios-ssn estacao1:0 LISTENING
System:4 UDP estacao1:microsoft-ds *:*
System:4 UDP estacao1.localdomain:netbios-ns *:*
System:4 UDP estacao1.localdomain:netbios-dgm *:*
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-



Dados extraídos com Process Explorer:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Process PID CPU Description Company Name
System Idle Process 0
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 516 Windows NT Session Manager Microsoft Corporation
csrss.exe 580 Client Server Runtime Process Microsoft Corporation
winlogon.exe 604 Aplicativo de logon do Windows NT Microsoft Corporation
services.exe 652 1.54 Aplicativo de serviços e controle Microsoft Corporation
svchost.exe 832 Generic Host Process for Win32 Services Microsoft Corporation
IEXPLORE.EXE 1684 Internet Explorer Microsoft Corporation
svchost.exe 952 1.54 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1096 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1200 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1508 Spooler SubSystem App Microsoft Corporation
svchost.exe 1432 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 664 1.54 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1356 Windows Explorer Microsoft Corporation
ctfmon.exe 1616 CTF Loader Microsoft Corporation
cmd.exe 1580 Processador de comandos do Windows Microsoft Corporation
ntvdm.exe 1088 NTVDM.EXE Microsoft Corporation
taskmgr.exe 1940 Gerenciador de tarefas do Windows Microsoft Corporation
notepad.exe 1964 Bloco de notas Microsoft Corporation
cmd.exe 1260 Processador de comandos do Windows Microsoft Corporation
Tcpview.exe 1080 TCP/UDP endpoint viewer Sysinternals - www.sysinternals.com
Monica-Playboy.exe 560 RH
ntvdm.exe 1460 89.23 NTVDM.EXE Microsoft Corporation
cmd.exe 480 Processador de comandos do Windows Microsoft Corporation
procexp.exe 1840 4.62 Sysinternals Process Explorer Sysinternals
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-


ANÁLISE:
Confirmamos a presença da ameaça Virus.Dropper ou Trojan dropper (classificação da Symantec), mais informações em:
http://www.symantec.com/pt/br/security_response/writeup.jsp?docid=2002-082718-3007-99

Através do timeline contido na pasta Prefetch do sistema operacional Windows, localizamos o arquivo MONICA-PLAYBOY.EXE-0944CD11.pf, executado no domingo, dia 08/03/2009 às 15h06m48 e confirmamos sua execução com o programa Encase.


Constatação da existência no timeline do arquivo Monica-playboy.exe


Com a execução desse arquivo desencadeou a instalação do malware a partir da execução do arquivo ntvdm.exe, foi confirmado pelo timeline no Encase às 15h06m50

Por último às 15h07m10 da mesma data, foi verificado a execução do WhenU.SaveNow (spyware instalado após a execução do Internet Explorer que foi chamado pelo trojan).


LAUDO:
Pelas análises e evidências coletadas, concluímos que houve acesso indevido ao desktop tendo em vista que o suspeito tem jornada de trabalho de segunda a sexta-feira e o ocorrido relatado ocorreu em final de semana.

Identificamos que foi instalado o malware, tipo trojan na máquina suspeita que tem por intuito enviar informações sigilosas da máquina infectada para endereços na internet.

Diante de todas as evidências enumeradas notificamos que o suspeito é culpado por agir intencionalmente na instalação de malware em máquina corporativa que tem o objetivo de coletar informações sigilosas e também por em risco a segurança de toda a empresa.



Conclusão:

Pudemos constatar pelas análises executadas que em um ambiente de trabalho temos que adotar políticas rígidas de controle de acesso a máquinas, mantê-las atualizadas e ter um bom antivírus instalado para evitar danos, principalmente aos dados e às informações da empresa, além de utilizar-se de softwares de proteção aos dados, para que eles circulem somente dentro da corporação com suas devidas autorizações.
Estudos revelam que mais de 50% de ex-funcionários desviam dados corporativos e o que dizer daqueles que ainda estão de posse desses dados?
(http://computerworld.uol.com.br/seguranca/2009/02/26/pesquisa-mostra-que-59-dos-ex-funcionarios-desviam-dados-corporativos
Portanto, devemos tirar essas informações como lição e analisar nossas políticas de acessos corporativos para melhor proteger os dados mais importantes de nossa empresa.

Nenhum comentário:

Postar um comentário