Você está na página 1de 40

Forense de

Rede

Uma abordagem atualizada


Introdução - parte 1

01 Introdução 03 Ferramentas
Uteis

02 Captura e
Intecptação 04 Conclusão
É necessário enfatizar que
infraestruturas de redes mal

Introdução
estruturadas criam um cenário
onde durante uma resposta a
incidente de segurança tem-se
A Forense de Rede é uma pouco ou, às vezes, nenhuma
abordagem comum em fonte de evidência para dar
resposta a incide de suporte a uma Análise Forense.
segurança. Essa E que em muitos cenários o
apresentação irá tratar De maior desafio é a Criptografia.
ferramentas, técnicas e
metódos.
Fluxo de uma
Forense de Rede
Forense de Rede - Ações a serem executadas
Extração de Correlação com Correlação com
dados e Correlação com Informações informações de
Coleta das Forense in Vivo coletadas em outros Logs/Eventos.
Evidências ativos de rede (SIEM)

Análise de
arquivos
PCAP

Correlação de Análise de Identificação de


informações apuradas Estática de Artefatos
Anomalias (IDS /
outras etapas Artefatos (File Carving)
HoneyPot)
(Post Mortem / Memória) (Malware / Maldocs)
Coleta da Evidências
Do ponto de vista macro a coleta da dados periciais pode ser
dividido em duas partes.

● Informações das atividades de redes do ativo comprometido

● Informações de outros ativos que possam ter dados, em geral


logs, relacionados a ativo comprometido.

Nesse ponto, deve-se ter em mente que quanto melhor


estruturada a segurança de redes, maior será a capacidade de se
ter dados que poderão ter pistas ou até mesmo serem evidências
relevantes.

Ou seja, se houver dispositivos como Firewall, HIDS, IDS/IPS,


servidores de logs, SIEM, a possibilidade de encontrar
informações úteis a uma análise é muito grande.
Correlação - Forense in Vivo
A Correlação com as informações apuradas na Forense in Vivo
com informações da Forense de Rede, é muito importante, e
deveria ser algo orgânico.

Considerando que durante a Forense In Vivo é extraído dados


relevantes do estado do sistema operacional de um sistema
comprometido.

É natural apurar informações de atividades de rede suspeitas, que


serão "indicadores de comprometimento (IOC)".

Uma vez identificado indicadores de comprometimento


relacionados a conexões estranhas, será natural buscar nos ativos
de rede informações correlatas.
Prof. Sandro Melo - sandromelo.sec@gmai.comP
Correlação - Outros Ativos
Correlação com informações coletadas em outros ativos de rede é
importante e também ajuda a entender melhor os detalhes de um
incidente de segurança.

Redes corporativas devidamente estruturadas, certamente terão


fontes de informações, como logs de Firewall, Proxy, IDS/IPS. Em
alguns casos a possibilidade de análise de arquivos PCAP
oriundos de IDS/IPS.

Alguns cenários onde se tenha Honeypot, também tem-se a


possibilidade de coleta de dados relevantes.

Prof. Sandro Melo - sandromelo.sec@gmai.comP


Correlação - SIEM
Ter-se um SIEM, é praticamente uma obrigação para ter a possibilidade de
identificação de atividades anômalas, ou suporte a uma resposta de
incidente relacionado a um ativo de rede.

O uso de soluções comerciais como Splunk, ou livres como Graylog e


Kibana (ELK / Wazuh), são requisitos para "dias melhores", ainda que se
esteja atuando em uma resposta de incidente.
Analise - PCAP
Nem sempre se tem arquivos PCAP, mas esses arquivos podem ser de fato
uma fonte rica de informações sobre um determinado ataque.

Identifique como extrair esse tipo de informação de IDS/IPS e Honeypots.

Durante uma resposta a incidente pode-se/deve-se tentar coletar


informações de conexões suspeitas. Diante disso, o uso de switches que
oferecem o recurso de "port mirror", são importantes.
Identifacação de Anomalias
Isto está totalmente relacionado com o uso de IDS/IPS e Honeypot. Nestes
dispositivos esse tipo de análise/identificação acontece de forma
dinamica, ou seja, no mesmo momento que se tem o ataque.

Durante uma investigação de arquivos PCAP, deve-se também buscar


informações de anomalias, nesses casos ferramentas como Wireshark,
Suricata, Snort entre outras são necessárias.

Prof. Sandro Melo - sandromelo.sec@gmail.com P


File Carving
File Carving, também denominado Data Carving, é o termo usado para
classificar técnicas e ferramentas que tem por objetivo
reconstruir/recuperar arquivos transmitidos em uma comunicação de
Redes
Análise de Artefatos
Um vez que é recuperado arquivos durante a etapa de File Carving ou mesmo são
identificados outros artefatos em um sistema comprometido, uma abordagem
recomendável é que seja feito uma análise estática de tais artefatos.

O objetivo é uma melhor identificação do tipo do artefato que pode ser um malware ou
um maldoc. E, caso possível, a sua finalidade.

Com as informações resultantes de uma Análise Estática, pode-se tomar a decisão de


um Análise Dinâmica.

Prof. Sandro Melo - sandromelo.sec@gmai.comP


Correlação - Post Mortem e Memória
Em um cenário ideal as informações de um Forense de Rede devem ser
correlacionados com as informações apuradas de um Análise
Post-Mortem e uma Análise de Memória

É fato que, quando se é possível combinar informações de diferentes


análises forense, tem-se a possibilidade fazer uma "fotografia" muito mais
realista de um incidente.

Diante disso, é importante sempre que possível correlacionar informações


oriundas da Análise Post-Mortem (disco rígido, pendrive, etc) com as
informações da Forense da Memória (dump da memória RAM )do ativo de
comprometido.
Captura e Intecptação - parte 2

01 Introdução 03 Ferramentas
Uteis

02 Captura e
Intecptação 04 Conclusão
Captura e
Intecpetação
Nessa etapa, o uso de sniffers e
também possibilidade de utilizar
recurso de ativos redes como
Além da captura de logs por exemplo o recurso de "port
dos ativos da rede, é mirror" do switches são
recomendável a importantes.
interceptação das
comunicações de redes
suspeitas
Correlação - Forense in Vivo

14 Bytes 20 Bytes 20 Bytes 1460 Bytes

14 byes - Cabeçalho Ethernet ( endereçamento físico)

20 bytes - Cabeçalho IP

20 Bytes - Cabeçalho de Transporte

1460 bytes - Payload ('área de dados da aplicação)

Prof. Sandro Melo - sandromelo.sec@gmai.comP


Captura
Utilizar como sniffer o tcpdump, para coletar todo os quadros que passem pela interface,
capturadando corretamente :
- Payload
- Cabeçalho de Transporte
- Cabeçalho IP
- Cabeçalho Ethernet;

# tcpdump -l -n -vv -s 1514 -w captura.pcap

# tcpdump -l -n -vv -s 1514 host 10.0.0.1 -w captura.pcap


Ferramentas Uteis - parte 3

01 Introdução 03 Ferramentas
Uteis

02 Captura e
Intecptação 04 Conclusão
Ferramentas
Uteis Além de ferramentas tem-se
distribuições Linux
customizadas com ferramentas
Existe um número para diferentes tipo de análises
significativo de Forense.
ferramentas de qualidade
FOSS
Análise Estática - Extração de Dados
A geração de um arquivo de strings do Dump de memória é um passo inicial importante que
pode permitir identificar informações relevantes.

# strings -a captura.pcap > strings,txt

# srch_strings captura.pcap | grep "\.exe"

O uso de Regex será um mecanismo fundamental para o tratamento do arquivo de strings, dessa
forma, o uso de ferramentas como: GREP, EGREP, GLARK.
Análise Estática - Extração de Dados
Exemplos de uso de Regex para extração de informações relevantes a parti das Strings do
arquivo de dump de memória:

# grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" captura.pcap

# grep -i "\/exploit\/" captura.pcap

# grep -i "rootkit\/" captura.pcap


Análise Estática - Bulk_extractor
Outra forma que pode possibilitar a extração de artefatos é a utilização de
ferramentas como Bulk_extractor/, originalmente desenvolvida pelo Prof.
Simson L. Garfinkel da Escola Naval Americana, que facilita a extração de
dados como: numeros IP, números de cartões de créditos, emails, urls,
numeros de telefones...

O Bulk_extractor pode ser utilizado para analisar um arquivo RAW, um arquivo


PCAP, um Dump de Memória.
Análise Estática - Bulk_extractor
Exemplificação do bulk_extractor:

Extração de informações genéricas de redes


# bulk_extractor -E net -o bulk_output/ captura.pcap

Extração de informações de emails:


bulk_extractor -e net -e email -o bulk_output/ captura.pcap
Análise Estática - Bulk_extractor
Resultado:

# ls -alh pericia/
total 1.1M
drwxr-xr-x 2 root root 4.0K 2015-07-03 23:15 .
drwx------ 40 root root 4.0K 2015-07-03 23:15 ..
-rw-r--r-- 1 root root 0 2015-07-03 23:15 alerts.txt
-rw-r--r-- 1 root root 423K 2015-07-03 23:16 domain.txt
-rw-r--r-- 1 root root 78K 2015-07-03 23:16 email.txt
-rw-r--r-- 1 root root 20K 2015-07-03 23:16 ether.txt
-rw-r--r-- 1 root root 669 2015-07-03 23:16 find.txt
-rw-r--r-- 1 root root 5.6K 2015-07-03 23:16 report.xml
-rw-r--r-- 1 root root 1.5K 2015-07-03 23:16 rfc822.txt
-rw-r--r-- 1 root root 505K 2015-07-03 23:16 url.txt
Análise Estática - Bulk_extractor
Extração de dados - Dsniff
Deve-se fazer uso de ferramentas clássicas para recuperação de outros tipos
de dados como, mensagens “instant messages”, email. Um bom exemplo é o
velho kit de ferramentas do dsniff

# tcpdump -i eth0 -w trafego_de_rede.pcap -s 1514

# dsniff -p tcpxtract.conf
# msgsnarf -p trafego_de_rede.pcap
# mailsnarf -p trafego_de_rede.pcap
# urlsnarf -p trafego_de_rede.pcap
File Carving - Tcpxtract
é uma ferramenta que automatiza a recuperação de arquivos baseada no
conceito de File Carving de informações de cabeçalhos e rodapés de um
arquivo fazendo de forma automática uma análise completa em um arquivo
PCAP na sua forma bruta.

A configuração originalmente definada no arquivo tcpxtract.conf que


armazena uma lista de assinaturas válidas de dados de cabeçalho e rodapé de
arquivos.
File Carving - Tcpxtract
Onde cada assinatura contém um valor conhecido, o tamanho máximo do
arquivo, se o valor do cabeçalho é sensível a letras maiúsculas e minúsculas, a
extensão mais comum do tipo de arquivo.

Sabendo-se que o cabeçalho de um arquivo tem um padronização, veja o


exemplo de um arquivo JPEG:

$ hexdump /usr/share/pixmaps/faces/flower.jpg | head -n 5


0000000 d8ff e0ff 1000 464a 4649 0100 0101 6000
0000010 6000 0000 e1ff 1600 7845 6669 0000 4d4d
0000020 2a00 0000 0800 0000 0000 0000 dbff 4300
0000030 0500 0403 0404 0503 0404 0504 0505 0706
0000040 080c 0707 0707 0b0f 090b 110c 120f 1112
File Carving - Tcpxtract
Sabendo-se que o valor - D9ff – Identificar o fim de um arquivo jpeg

$ hexdump /usr/share/pixmaps/faces/flower.jpg | tail -n 4


0000dc0 65e1 b2b4 319f fbc8 ae62 bd19 d133 5219
0000dd0 e6a3 7a3a 9183 a164 2b2a e603 854a afd2
0000de0 b06d c6b2 27e9 c413 cf1f 8f9f 9135 3b3f
0000df0 bf6e d9ff
File Carving - Tcpxtract
Exemplo de configuração:

# GIF and JPG files (very common)


gif(3000000, \x47\x49\x46\x38\x37\x61, \x00\x3b);
gif(3000000, \x47\x49\x46\x38\x39\x61, \x00\x00\x3b);
jpg(1000000, \xff\xd8\xff\xe0\x00\x10, \xff\xd9);
jpg(1000000, \xff\xd8\xff\xe1);
File Carving - Tcpxtract
Todavia, quando é demandado a recuperação de arquivos a partir de uma
captura de rede, é possível a partir de um arquivo PCAP, cuja a captura foi
realizada considerando a captura completa do payload.

Exemplo de captura: 1514 bytes

# tcpdump -i eth0 -w captura.pcap -s 1514

# tcpxtract -c /etc/tcpxtract.conf -f trafego_de_rede.pcap


Anomalia - Snort

Snort

Sniffing Packet Decoder


Packet Stream
(Trafego de Rede)
Preprocessor
(Plug-ins) Data Flow

Detection Engine
(Plug-ins)

Output Stage
Alerts/Logs
(Plug-ins)
Anomalia - Snort
Utilizando de ferramentas com Snort Suricata para realizar análise de arquivos
PCAP, é um abordagem interessante e quase sempre necessária.

É importante ter em mente que um IDS/IPS, também atua como sniff, ou seja,
primeiro captura o tráfego de rede depois processa/analisa.

Exemplificando do uso do Snort no modo CLI para realizar uma análise de um


arquivo pcap a partir da base de Assinaturas para gerar um arquivo de alerta.

# snort -vde -c /etc/snort/snort.conf -r captura.pcap -l /tmp


Anomalia - Snort
Alert: [**] [122:1:0] (portscan) TCP Portscan [**]
07/05-20:12:20.027006 4D:41:43:44:41:44 -> 4D:41:43:44:41:44
type:0x800 len:0xAE
192.168.1.171 -> 192.168.1.111 PROTO255 TTL:0 TOS:0x0 ID:23285
IpLen:20 DgmLen:160 DF

● [**] – Definição do Alerta, caracterizando o tipo de ataque

● TTL: Time to Live

● TOS: Tipo de Serviço

● ID:23285 – Identificação da sessão


Chaosreader
O Chaosreader, poderoso script desenvolvido em PERL que possibilita
uma análise de um arquivo PCAP muito prática e objetiva.

Exemplo de uso:
# chaosreader arquivo.pcap
# chaosreader -b 4441 arquivo.pcap
Conclusão - parte 4

01 Introdução 03 Ferramentas
Uteis

02 Captura e
Intecptação 04 Conclusão
Conclusão
As Técnicas e Ferramentas de Forense de Rede podem ser
usadas tanto em um Análise Forense como também em ações
de uma Resposta a Incidente.
O número de FOSS ferramentas de qualidade é significativo.

Prof. Sandro Melo - sandromelo.sec@gmai.comP


Dúvidas?

Por favor, levante a mão...


Obrigado Para manter contato:

sandromelo.sec@gmail.com
https://www.linkedin.com/in/sandromelo

CREDITS: This presentation template was


created by Slidesgo, including icons by
Flaticon, and infographics & images by Freepik

Please keep this slide for attribution