Análise forense
Sessão de aprendizagem 7 Linha de tempo e reconstrução do ataque
Sumário Identificar a linha de tempo Ferramentas necessárias Correlação de informações Reconstrução do ataque
Linha de tempo Objetivo Criar um histórico das ações e eventos encontrados no sistema comprometido, de forma a identificar quando e como ocorreu a invasão, dando uma visão clara do ataque e dos métodos utilizados pelo invasor para invadir e tomar o controle do sistema.
Problemas As informações coletadas em um sistema comprometido não são confiáveis, e por isso é importante o analista correlacionar as informações obtidas na máquina com outras fontes, tais como logs de roteadores e firewalls, servidores de e-mail e de arquivos e informações obtidas em entrevistas com potenciais suspeitos.
Linha de tempo Para criar uma linha de tempo, o analista deve: Descobrir quando a máquina foi instalada ou iniciada Descobrir quando a máquina foi identificada como invadida, e o horário em que começou a atividade de análise forense e de contenção do ataque Obter informações do momento em que a máquina foi efetivamente desligada Registrar informações de tempo das evidências coletadas
Ferramentas O analista deve utilizar as ferramentas para coletar informaçþes sobre as evidências encontradas: # istat /data/compromised/compromised_hda1.img 30578 inode: 30578 Allocated Group: 2 uid / gid: 0 / 0 mode: -rw-r--r-size: 228 num of links: 1 Inode Times: Accessed: Sun Aug 10 16:26:18 2003 File Modified: Wed Aug 6 12:09:17 2003 Inode Modified: Wed Aug 6 12:09:17 2003 Direct Blocks: 71142
Ferramentas Algumas ferramentas podem facilitar o trabalho de coleta de informaçþes: # fls -alrp -m / -z PDT /data/compromised/compromised_hda1.img | mactime -g /mnt/image/etc/group -p /mnt/image/etc/passwd > /data/compromised/compromised_hda1.img Sun Sep 25 1983 18:45:00 48856 m.. -/-rwxr-xr-x root root 92017 /usr/bin/top 8268 m.. -/-rwx------ root root 92010 /usr/bin/sl2 4060 m.. -/-rwxr-xr-x root root 92009 /usr/bin/sense Sun Aug 10 2003 14:33:19 36692 .a. -/-rwxr-xr-x root root 92022 /bin/ls 8268 .a. -/-rwx------ root root 92010 /usr/bin/sl2 2 .a. -/-rw-r--r-- root root 92023 /usr/lib/libsss
Correlação de informações Informações coletadas na máquina precisam ser correlacionadas com fontes externas: Logs de firewall Logs de roteadores Logs de servidores de e-mail Entrevistas com suspeitos Descrições e documentação na internet As informações de datas devem estar sempre com o mesmo timezone para evitar inconsistências. É importante que as máquinas estejam com os horários sempre corretos, de preferência atualizados pelo serviço NTP.
Correlação de informações As evidências encontradas devem ser correlacionadas com as informações de tempo fornecidas pelas ferramentas forenses:
Sun Aug 10 2003 16:30:30
0 mac -/---------- root root 35804 /dev/hdx1 0 mac -/---------- root root 35833
Sun Aug 10 2003 16:30:52 5636 ma. -/-rw-r--r-- root /usr/lib/adore.o
root
/dev/hdx2
47169
Reconstrução do ataque Após encontrar e correlacionar informações de tempo das evidências coletadas, o analista deve tentar reconstruir as ações executadas pelos invasores, desde o momento da invasão até o momento em que a máquina foi levada para análise A reconstrução do ataque deve tentar descobrir o modo como o invasor obteve acesso ao sistema, identificando possíveis vulnerabilidades e ferramentas utilizadas no ataque e no controle do sistema Uma boa prática é criar uma tabela descrevendo os eventos de acordo com a linha de tempo
Reconstrução do ataque Data
Ação / Evidência
06/Ago/2003 11:16:40
Last login: Wed Aug 6 11:16:40 on tty2
06/Ago/2003 12:09:17
Reinicialização do servidor (/etc/issue).
10/Ago/2003 13:24:29
Possível comprometimento do serviço HTTPS.
10/Ago/2003 13:33:57
Parada dos serviços syslogd e klogd.
10/Ago/2003 14:33:19
Possível instalação das ferramentas descritas na URL www.ntfs.com/ntfs-mft.htm
10/Ago/2003 15:52:10
Parada do serviço HTTPD.
10/Ago/2003 16:30:30
Infecção pelo vírus RST.b.
10/Ago/2003 16:30:52
Instalação do rootkit Adore.
10/Ago/2003 20:30:39
Começo da investigação (comando date no console)
Reconstrução do ataque Finalmente, o analista deve identificar possíveis soluções para os problemas e vulnerabilidades identificados Se possível, devem ser sugeridas formas de se proteger ou identificar atividades como as ocorridas no sistema analisado Esta parte da análise forense permite ao responsável pela máquina invadida entender o que aconteceu, para que possa se proteger de futuros ataques
Conclusões Aprendemos a organizar as evidências encontradas numa linha de tempo, identificando os momentos chaves da invasão e o comprometimento do servidor. A linha de tempo é uma ferramenta indispensável para analisar o sistema. O objetivo final da análise forense e do relatório de reconstrução do ataque é criar um documento que possa ser utilizado pela empresa como conhecimento formalizado a partir dos erros e prevenção contra futuros ataques.