10-windows by clayton Santos

Anรกlise forense

Sessรฃo de aprendizagem 10 Anรกlise forense avanรงada em Windows (parte 2)

Sumário Coleta de informações de redes Coleta de informações em registros do Windows Coleta de registros de eventos (logs) Análise de conteúdo do Recycle.Bin Análise de conteúdo do Clipboard Análise de conteúdo de arquivos Recuperação de dados ocultos ADS Análise do histórico de navegação Recuperação de senhas

Coleta de informações de redes Conexões de rede São evidências voláteis Podem dar pistas sobre a origem dos invasores Podem dar dicas sobre possíveis vazamentos de informação ou mau uso do sistema

Existem dois tipos de informação importantes de coletar: Conexões ativas, ou seja, aquelas que estão acontecendo no momento atual Portas abertas, ou os serviços que a máquina está oferecendo publicamente

O investigador deve comparar a saída de diversos comandos diferentes, pois os rootkits costumam esconder informações sobre conexões de redes e portas abertas.

Coleta de informações de redes Conexões de rede D:\IR\xp> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : COMPUTADOR Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : provedor.com.br Ethernet adapter Wireless Network Connection 2: Connection-specific DNS Suffix . : provedor.com.br Description . . . . . . . . . . . : Broadcom 802.11b/g WLAN Physical Address. . . . . . . . . : 00-90-4B-EA-0F-F3 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 192.168.0.194 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 DHCP Server . . . . . . . . . . . : 192.168.0.1 DNS Servers . . . . . . . . . . . : 192.168.0.10 192.168.0.1 Lease Obtained. . . . . . . . . . : quarta-feira, 30 de janeiro de 2008 16:42:06 Lease Expires . . . . . . . . . . : quarta-feira, 6 de fevereiro de 2008 16:42:06

Coleta de informações de redes Conexões de rede D:\IR\xp> iplist DiamondCS IP Enumerator v1.0 (www.diamondcs.com.au) # ADDRESS BROADCAST NETMASK -1040144192 192.168.0.194 255.255.255.255 255.255.255.0 16777343 127.0.0.1 255.255.255.255 255.0.0.0 19900608 192.168.47.1 255.255.255.255 255.255.255.0 3 interfaces found.

Coleta de informações de redes Conexões de rede D:\IR\xp> netstat -na Active Connections Proto Local Address TCP 0.0.0.0:135 TCP 0.0.0.0:445 TCP 127.0.0.1:1096 TCP 127.0.0.1:1097 TCP 127.0.0.1:12025 TCP 192.168.0.194:2355 TCP 192.168.0.194:2395 UDP 0.0.0.0:445 UDP 0.0.0.0:500 ...

Foreign Address 0.0.0.0:0 0.0.0.0:0 127.0.0.1:1097 127.0.0.1:1096 0.0.0.0:0 64.233.171.104:80 66.249.83.19:443 *:* *:*

State LISTENING LISTENING ESTABLISHED ESTABLISHED LISTENING LAST_ACK CLOSE_WAIT

Coleta de informações de redes Conexões de rede D:\IR\xp> netstat -nbv Active Connections TCP 127.0.0.1:1097 127.0.0.1:1096 2512 C:\WINDOWS\system32\mswsock.dll C:\WINDOWS\system32\WS2_32.dll C:\Program Files\Mozilla Firefox\nspr4.dll C:\Program Files\Mozilla Firefox\xpcom_core.dll C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\xpcom_core.dll C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\xpcom_core.dll -- unknown component(s) -[firefox.exe] ...

ESTABLISHED

Coleta de informações de redes Conexões de rede D:\IR\xp> openports DiamondCS OpenPorts v1.0 (-? SYSTEM [4] TCP 0.0.0.0:445 UDP 192.168.47.1:138 UDP 0.0.0.0:445 UDP 192.168.0.194:1900 TCP 192.168.0.194:1074 UDP 192.168.0.194:46759 UDP 127.0.0.1:2617 TCP 127.0.0.1:1101 TCP 127.0.0.1:1102 TCP 192.168.0.194:2670 TCP 127.0.0.1:1097 TCP 127.0.0.1:1096 TCP 192.168.0.194:2668

for help) 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 207.46.109.93:1863 0.0.0.0:0 0.0.0.0:0 127.0.0.1:1102 127.0.0.1:1101 66.249.83.83:443 127.0.0.1:1096 127.0.0.1:1097 66.249.83.19:443

LISTENING LISTENING LISTENING svchost.exe [380] LISTENING MsnMsgr.Exe [884] ESTABLISHED LISTENING wmplayer.exe [984] LISTENING lsass.exe [1144] ESTABLISHED ESTABLISHED CLOSE_WAIT ESTABLISHED ESTABLISHED ESTABLISHED

Coleta de informações de redes Conexões de rede D:\IR\xp> fport FPort v2.0 - TCP/IP Process to Pid Process Port 1364 -> 135 4 System -> 139 4 System -> 445 2156 -> 1025 884 MsnMsgr -> 1074 Messenger\MsnMsgr.Exe 2512 firefox -> 1096 Firefox\firefox.exe 2512 firefox -> 1097 Firefox\firefox.exe 2512 firefox -> 1101 Firefox\firefox.exe ...

Port Mapper Proto Path TCP TCP TCP TCP TCP C:\Program Files\MSN TCP

C:\Program Files\Mozilla

TCP

C:\Program Files\Mozilla

TCP

C:\Program Files\Mozilla

Coleta de informaĂ§Ăľes de redes

Coleta de informações de redes Conexões de rede D:\IR\xp> promiscdetect Adapter name: - Broadcom 802.11b/g WLAN Active filter for the adapter: - Directed (capture packets directed to this computer) - Multicast (capture multicast packets for groups the computer is a member of) - Broadcast (capture broadcast packets) - Promiscuous (capture all packets on the network) WARNING: Since this adapter is in promiscuous mode there could be a sniffer running on this computer! Adapter name: - Realtek RTL8139/810x Family Fast Ethernet NIC Active filter for the adapter: - Directed (capture packets directed to this computer) - Multicast (capture multicast packets for groups the computer is a member of) - Broadcast (capture broadcast packets)

Coleta de informações em registros do Windows Registro do Windows Uma das características que diferenciam a coleta de evidências em Linux e Windows Base hierárquica e centralizada de dados utilizada pelo Windows para armazenar informações necessárias para a configuração do sistema (para um ou mais usuários), aplicações e dispositivos de hardware O registro é um arquivo binário de dados Para poder acessar os dados neste arquivo, devemos exportar o registro em formato de texto ou utilizar ferramentas que permitam realizar consultas no registro A ferramenta mais utilizada é o regedit.exe da própria Microsoft

Coleta de informações em registros do Windows Registro do Windows Localizado em C:\windows\system32\config Registro

Função

DEFAULT

Armazena todas as informações originais do usuário.

SAM

Armazena informações do serviço Security Accounts Manager.

SECURITY

Armazena informações de segurança.

SOFTWARE

Armazena informações sobre os aplicativos e operação.

SYSTEM

Armazenas informações sobre o hardware da máquina.

Coleta de informações em registros do Windows Chaves de registro HKEY_CURRENT_USER HKEY_USERS HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG

Coleta de informações em registros do Windows REG_BINARY

Dados binários não-processados.

REG_DWORD

Dados representados por um número de 4 bytes.

REG_EXPAND_SZ

Seqüência de dados com extensão variável.

REG_MULTI_SZ

Uma seqüência múltipla.

REG_SZ

Seqüência de texto com extensão fixa.

REG_RESOURCE_LIST

Série de matrizes para armazenar lista de recursos usada por driver de dispositivo de hardware ou pelos dispositivos físicos controlados por ele.

REG_RESOURCE_REQUIREMENTS_LIST

Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_FULL_RESOURCE_DESCRIPTOR

Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_NONE

Dados sem um tipo específico.

REG_LINK

Uma seqüência Unicode que nomeia um link simbólico.

REG_QWORD

Dados representados por um número que seja um inteiro de 64 bytes.

Coleta de informações em registros do Windows Cópia do registro: D:\IR\xp> regdmp > d:\tmp\registry.txt D:\IR\xp> reg query HKCU\Software /s > d:\tmp\registry_HKCU.txt

Principais buscas nos registros: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

Coleta de informaĂ§Ăľes em registros do Windows

Coleta de registros de eventos (logs) EventLogs: arquivos de log do Windows Application Contém os registros enviados por programas e aplicativos.

Security Contém os registros de segurança relacionados com tentativas de acesso ao terminal do sistema e violação de privilégios.

System Contém os registros relacionados com o sistema e hardware; se um serviço não for inicializado corretamente será gerado um alerta.

Coleta de registros de eventos (logs) EventLogs: arquivos de log do Windows Da mesma forma que os arquivos de registro, os arquivos de log estão armazenados no diretório c:\windows\system32\config e possuem a terminação .evt . D:\IR\xp> dir c:\windows\system32\config\*.evt Directory of c:\windows\system32\config 06/01/2008 14:42 65.536 Antiviru.evt 29/01/2008 05:11 65.536 Antivirus.Evt 29/01/2008 05:11 524.288 AppEvent.Evt 24/10/2006 19:23 65.536 Internet.evt 29/01/2008 05:11 524.288 SecEvent.Evt 29/01/2008 05:11 524.288 SysEvent.Evt

Coleta de registros de eventos (logs) Registro de eventos D:\IR\xp> psloglist System log on \\COMPUTADOR: [494907] WinDefend Type: INFORMATION Computer: COMPUTADOR Time: 30/1/2008 20:03:49 ID: 2000 Windows Defender signature version has been updated. Current Signature Version: 1.24.6025.0 Previous Signature Version: 1.24.5865.0 Update Source: User Signature Type: AntiSpyware Update Type: Delta User: COMPUTADOR\Usuario Current Engine Version: 1.1.3109.0 Previous Engine Version: 1.1.3109.0 â&#x20AC;Ś

Coleta de registros de eventos (logs) Registro de eventos D:\IR\xp> ..\2k\res_kit\dumpel /? DUMPEL Usage: dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [dx] -d <days> Filters for event last days (number larger than zero) -e nn Filters for event id nn (up to 10 may be specified) -f <filename> Output filename (default stdout) -l <name> Dumps the specified log (system, application, security) -b Dumps a backup file (use -l to specify file name) -m <name> Filters for events logged by name -r Filters out events logged by name (must use -m too) -s <servername> Remote to servername -t Use tab to separate strings (default is space) -c Use comma to separate fields -ns Do not output strings -format <fmt> Specify output format.

Coleta de registros de eventos (logs) Registro de eventos D:\IR\xp> dumpevt /logfile=app /all /outfile=\tmp\evtdump.txt Somarsoft DumpEvt V1.7.3, Copyright ⌐ 1995-1997 by Somarsoft, Inc. LogType=Application Computer=(local) SystemRoot=C:\WINDOWS Outfile=\tmp\evtdump.txt Use HKEY_CURRENT_USER for saving record number Format=yes DateFormat=(locale dependent) TimeFormat=HH':'mm':'ss FieldSeparator=, ReplaceFieldSeparator= (blank) …

Coleta de registros de eventos (logs)

Análise de conteúdo do Recycle.Bin Os arquivos removidos são enviados para uma pasta oculta representada no desktop pelo ícone de uma lixeira. Existe um diretório RECYCLER em cada partição do disco da máquina. Dentro deste diretório existem subdiretórios cujos nomes são as identificações de segurança do usuário (SID). Com a informação disponível é possível identificar qual usuário removeu um arquivo específico. Dentro do subdiretório representado pelo SID existem sempre dois arquivos: desktop.ini e INFO2.

Análise de conteúdo do Recycle.Bin Recycle.Bin D:\IR\xp> dir /a c:\RECYCLER\S-1-5-21-4042056708-2335835806-34105004701006 17/01/2008 00:05 389 Dc1 01/12/2007 14:50 83 Dc2.txt 29/01/2008 14:42 65 desktop.ini 30/01/2008 22:10 1.620 INFO2

D:\IR\xp> sid2user 5 21 4042056708 2335835806 3410500470 1006 Name is Usuario Domain is COMPUTADOR Type of SID is SidTypeUser

Análise de conteúdo do Recycle.Bin Recycle.Bin D:\IR\xp> rifiuti c:\RECYCLER\S-1-5-21-4042056708-23358358063410500470-1006\INFO2 INFO2 File: c:\RECYCLER\S-1-5-21-4042056708-2335835806-34105004701006\INFO2 INDEX 1 2

DELETED TIME DRIVE NUMBER Tue Jan 29 20:21:58 2008 Thu Jan 31 00:10:42 2008

PATH 2 2

SIZE C:\s9k 4096 C:\dump.txt

4096

Análise de conteúdo do Clipboard O conteúdo da área de transferência ou clipboard é uma evidência normalmente esquecida pelo investigador Existem três tipos principais de informação que podem ser copiadas através da área de transferência: textos, imagens ou tabelas e arquivos Para verificar se existem arquivos na área de transferência, pode-se usar o Explorer para colar o conteúdo da área de transferência em um diretório Para objetos complexos, é possível colar o conteúdo em um documento aberto no WordPad

Análise de conteúdo do Clipboard Clipboard D:\IR\xp> pclip Informacoes de cartao de credito: 1234-1234-1234-1111 1234-1234-1234-1113 1234-1234-1234-1112

Análise de conteúdo de arquivos Informações sobre arquivos D:\IR\xp> mac -d c:\windows MAC.pl Collect MAC times and owner from files in a directory. By default, search starts at current dir, looking at all files. NOTE: Beginning and end of search are timestamped. Output is in CSV format for easy opening in Excel. Start search,1201742514,Wed Jan 30 23:21:54 2008 File,Size,Last Access,Last Modification,Creation c:\windows\0.log,0,BUILTIN\Administrators,Wed Jan 30 16:41:41 2008,Wed Jan 30 16:41:41 2008,Wed Jan 9 08:19:37 2008 c:\windows\accessories.ico,13942,,Wed Jan 9 02:42:12 2008,Tue Jan 6 15:00:10 2004,Sat May 10 22:50:09 2003 c:\windows\AG-Rose.ico,5430,,Wed Jan 9 02:42:12 2008,Fri Jul 30 13:59:42 2004,Sat May 10 22:50:09 2003

Análise de conteúdo de arquivos Informações sobre arquivos D:\IR\xp> afind c:\windows\system32 Searching... c:\windows\system32\XPSViewer\en-us Finished

D:\IR\xp> file -m ..\Cygwin\magic c:\WINDOWS\NOTEPAD.EXE c:\WINDOWS\NOTEPAD.EXE: MS-DOS executable (EXE), OS/2 or MS Windows

Análise de conteúdo de arquivos Informações sobre arquivos D:\IR\xp> filestat c:\boot.ini Dumping c:\boot.ini... SD is valid. SD's Owner is Not NULL SID = BUILTIN/Administrators S-1-5-32-544 SID = / (Account Unknown) S-1-5-21-1607551490-981732888-1819828000-513 SID = BUILTIN/Administrators S-1-5-32-544 ACE 0 is an ACCESS_ALLOWED_ACE_TYPE ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = NT AUTHORITY/SYSTEM S-1-5-18 ACE 1 is an ACCESS_ALLOWED_ACE_TYPE ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN Stream 1: Stream name = ???$?? Size: 116 Stream 2: Stream name = ???$?? Size: 211 Stream 3: Stream name = ???$?? Size: 64 Creation Time - 07/08/2004 10:51:38 Last Mod Time - 30/11/2007 11:32:08 Last Access Time - 30/01/2008 23:16:27

Recuperação de dados ocultos ADS Ocultação de dados: Alternate Data Streams (ADS) são dados associados a arquivos São utilizados por programas maliciosos e rootkits para esconder informações no sistema Entretanto, sua origem e motivação são nobres: ADS são utilizados para armazenar informações extras sobre um arquivo, como o Thumbnail de uma imagem ou o ícone de um arquivo

Recuperação de dados ocultos ADS Ocultação de dados: D:\IR\xp> echo Este e um arquivo de textos > d:\tmp\file.txt D:\IR\xp> dir d:\tmp\file.txt 31/01/2008 00:40

30 file.txt

D:\IR\xp> echo Este e um stream ADS > d:\tmp\file.txt:adsdata.txt D:\IR\xp> dir d:\tmp\file.txt 31/01/2008 00:40

30 file.txt

D:\IR\xp> type d:\tmp\file.txt Este e um arquivo de textos D:\IR\xp> less < d:\tmp\file.txt:adsdata.txt Este e um stream ADS

Recuperação de dados ocultos ADS Ocultação de dados: D:\IR\xp> type c:\windows\notepad.exe > d:\tmp\file.txt:np.exe D:\IR\xp> start d:\tmp\file.txt:np.exe D:\IR\xp> dir d:\tmp\file.txt 31/01/2008 00:43

30 file.txt

Recuperação de dados ocultos ADS Ocultação de dados: D:\IR\xp> ads d:\tmp d:\tmp\teste.txt:adsdata.txt (23 bytes) d:\tmp\teste.txt:np.exe (69120 bytes) D:\IR\xp> streams d:\tmp\* d:\tmp\teste.txt: :adsdata.txt:$DATA 23 :np.exe:$DATA 69120 D:\IR\xp> sfind d:\tmp Searching... d:\tmp teste.txt:adsdata.txt Size: 23 teste.txt:np.exe Size: 69120 Finished

Análise do histórico de navegação Histórico de navegação D:\IR\xp> pasco -d "c:\Documents and Settings\Usuario\Cookies\index.dat“

History File: c:\Documents and Settings\hp\Cookies\index.dat TYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY HTTP HEADERS URL Cookie:hp@onlinestores.metaservices.microsoft.com /serviceswitching/Thu Jan 10 04:00:46 2008 Wed Jan 30 23:56:31 2008 hp@onlinestores.metaservices.microsoft[1].txt URL Cookie:hp@rad.msn.com/ Thu Jan 10 11:59:48 2008 Thu Jan 31 03:28:55 2008 hp@rad.msn[1].txt URL URL Cookie:hp@ad.adnetwork.com.br/ Thu Jan 31 01:16:36 2008 Thu Jan 31 01:16:36 2008 hp@ad.adnetwork.com[1].txt URL

Análise do histórico de navegação Histórico de navegação D:\IR\xp> galleta "C:\Documents and Settings\Usuario\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt" Cookie File: C:\Documents and Settings\hp\Application Data\Mozilla\Firefox\Profiles\1jwwc64n.default\cookies.txt SITE

VARIABLE VALUE

CREATION TIME

EXPIRE TIME

FLAGS

.google.com TRUE / FALSE 1262741102 PREF ID=66ce23137a6d713d:FF= 4:LD=en:NR=10:TM=1153453246:LM=1199669113:DV=AA:GM=1:IG=3:S=61TCN1UHJwM 0IeCa il.google.com FALSE /mail FALSE 1348445213 gmailchat 60644 .google.com TRUE /mail/ FALSE 1262402786 __utmx 173272373. Thu Jan 1 00:00:00 1970 Thu Jan 1 00:00:00 1970 .google.com TRUE /FALSE 1506634851 rememberme true

Análise do histórico de navegação

Recuperação de senhas Ferramentas do kit para recuperação de senhas de diversos serviços do Windows e de aplicativos instalados. As ferramentas expõem informações privativas dos usuários do computador, que podem não fazer parte da investigação. Por isso, o investigador deve ter consciência da importância de manter estas informações sob sigilo, e não utilizá-las para qualquer finalidade que não seja uma ação direta da investigação. O computador em uso não deve utilizar senhas pessoais.

Recuperação de senhas accesspv.exe lsasecretsview.exe mailpv.exe mspass.exe netpass.exe pspv.exe pstpassword.exe rdpv.exe wirelesskeyview.exe

Conclusões Conhecemos ferramentas e técnicas para coleta de informações importantes em sistemas Windows. Aprendemos técnicas para realização de análise forense e ferramentas para uma resposta inicial a um incidente. O aluno já possui conhecimentos para realizar análises em computadores comprometidos e identificar os responsáveis e eventos que comprometeram o sistema. É importante que o aluno entenda que este material serve como uma base para que ele possa pesquisar e se aprofundar no assunto.

Bibliografia