Digital Forensics and Incident Response (DFIR) : Renato Marinho

Material de uso exclusivo pelos alunos do curso de
Residência em Segurança da Informação da UFC
Direitos autorais reservados. Proibida a reprodução,

ainda que parcial, sem autorização prévia (Lei
9.610/98)
Digital Forensics and Incident Response (DFIR)

Renato Marinho
Digital Forensics and Incident Response

Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Renato Marinho
• Chefe de Pesquisas do Morphus Labs
• Incident Handler no SANS Internet Storm Center
• Doutorando em Informática Aplicada (Unifor)
• Atuação na área de Cyber Segurança desde 2001
• Palestras em eventos nacionais e internacionais tais como Fórum Nacional de

CSIRTS, Botconf, BSides e RSA Conference
• Certificações GCFA, CISSP, PMP, CRISC

Copyright 2023, Renato Marinho
2 renatomarinho@gmail.com
Background da turma
• Apresentação;
• Possui alguma experiência com o tema de resposta a incidentes?
• É familiarizado com o MITRE ATT&CK e termos como IOC, Hash, imagens de disco e
memória?
• Expectativas para a disciplina?

Digital Forensics and Incident Response 3 renatomarinho@gmail.com
Ementa do Curso
• Introdução ao tema de resposta a incidentes e perícia digital; conceitos de evento e incidente;

overview do processo de resposta a incidentes e da metodologia forense computacional,
frameworks de referência para a disciplina;
• Metodologia Forense Computacional: coleta, preservação e análise de evidências e

apresentação dos resultados;
• Estudo de caso: apresentação de uma resposta a incidente para um caso real, como foi
analisado e seus resultados;
• Preparação do ambiente de laboratório;

Ementa do Curso
• Forense em Memória RAM: identificação de processos suspeitos, identificação de processos

maliciosos; análise de objetos de processos (DLLs, Handles, Threats, Mutants), extração de
senhas em texto claro da memória (Mimikatz); análise de artefatos de rede; Exercícios;
• Forense em dispositivos de armazenamento: coleta e preservação de dados, ferramentas

criação e análise de linha do tempo; indexação e análise com o Autopsy;
• Relatório: como estruturar um documento para apresentar os resultados da análise;

Ementa do Curso
• Avaliação da disciplina:
• Aplicação das técnicas e ferramentas estudadas durante a disciplina para análise e

resolução de incidentes no modelo CTF (Capture the Flag);

• Bibliografia:

Ementa do Curso
renatomarinho@gmail.com
Dinâmica do Curso
• Ao longo das aulas, resolveremos um caso fictício de um incidente provocado por um código malicioso na
Empresa X. A situação é a seguinte:
• A Empresa X está tratando um incidente com malware na unidade de Fortaleza e, apesar dos
esforços da equipe de TI, não tem obtido sucesso. O malware parece ter a capacidade de se
movimentar lateralmente na rede pois algumas máquinas que já haviam sido formatadas e limpas
voltaram a ser infectadas;
• A situação vem causando fortes impactos e a organização resolveu nos contratar para a realização
de uma análise forense de um dos computadores impactados. O objetivo de obter informações que a
levem a responder ao incidente de forma apropriada.

Dinâmica do Curso
• A Empresa X quer saber:
• Qual código malicioso está presente no host e quando a infecção ocorreu?
• Qual foi a porta de entrada da ameaça no host?
• O código malicioso tem capacidade de movimentação lateral? Se sim, qual técnica está sendo utilizada?
• Quais ações imediatas devemos tomar para conter a ameaça?
• Quais indicadores de comprometimento (IOCs) podem ser utilizados para buscar por outros hosts eventualmente
infectados na rede? Incluir endereços IP, hashes de arquivos, etc;
• Há suspeita de acesso a dados sensíveis do host/usuário?

Dinâmica do Curso
• Para resolver o caso da Empresa X, vamos precisar adquirir conhecimento sobre:
• Memória RAM: análise de processos, extração de processos para arquivos (dump), análise de conexões de rede,
comandos executados, etc;
• Imagens Forense: criação de imagens forense, indexação de arquivos, criação de timelines com base no Master
File Table (MFT), criação de Super Timelines, indexação do conteúdo da imagem, montagem e conversão de
arquivos de imagem, etc.
• Sistema Operacional Windows: busca por eventos relevantes (segurança, sistema, etc), listagem de comandos
executados, tratamento de shadow copies, artefatos relevantes para evidencia de comportamentos maliciosos,
• Relatório: como estruturar um documento para apresentar os resultados da análise.

Dinâmica do Curso
• O que recebemos da Empresa X para análise:
Artefato Descrição Hash (SHA1)
win7-s11.raw Imagem raw de disco de um host infectado. CDAFA3276DDD6569F66932AA517F6BDD302073A7
Trafego.pcapng Tráfego de rede durante o incidente 2C209954CBD9CAA0A3AC7D1C7BF3538C26AA0639
mem.raw Dump da memória RAM 2F7161C7F695825019D800D2D7F31D8EF0A71FAB

Estudo de Caso
• Incidente de Dupla Extorsão
13
Estudos de Caso – Questões
• Você considera que a organização tratou o incidente da maneira mais

eficiente possível?
• O que poderia ter sido melhor na sua opinião?
• Algo que a organização tivesse feito antes teria minimizado as chances do
incidente ou as suas consequências? O que?
• Lembrete: aprendemos algo novo a cada resposta a incidente!

Introdução
Definições de evento e incidente:
De acordo com a publicação NIST SP800-61:
“Event is any observable occurrence in a system or network”
Evento é qualquer ocorrência observável em um sistema ou rede.
“Incident is the violation or threat of violation of computer security policies, acceptable use policies, or
standard security pactices”
Incidente é a violação ou ameaça a violação de políticas de segurança de

computadores, de uso aceitável ou de práticas de segurança padrão.

Introdução
Definições de evento e incidente:
A definição de incidente dos autores do livro “INCIDENT RESPONSE, Computer & Forensics” é:
“Incident is any unlawful, unauthorized, or unaccepteable action that involves a computer system or computer
network”
Incidente é qualquer ação ilegal, não autorizada ou inaceitável que envolva um sistema de
computador ou rede de computadores.
Segundo os autores, deveria evoluir para:
“Incident is any unlawful, unauthorized, or unaccepteable action that involves a computer system, cell phone, tablet,
and any other eletronic device with an operating system or that operates on a computer network”
Incidente é qualquer ação ilegal, não autorizada ou inaceitável que envolva um sistema de
computador, telefone celular, tablet e qualquer outro dispositivo eletrônico com sistema
operacional ou que opere em uma rede de computadores.
Introdução
Exemplos comuns de incidentes:
• Roubo de dados bancários e de cartões de crédito;
• Contaminação de computadores por códigos maliciosos. Ex: ransomware;
• Exploração de vulnerabilidade em serviço exposto à internet;
• Sistema inacessível devido a ataque de negação de serviço (DDoS);
• Defacement (pichação de sites)

Resposta a Incidentes
E o que seria Resposta a Incidente?
De forma resumida, é o conjunto de ações coordenadas e estruturadas a

serem tomadas desde a identificação do incidente à sua resolução.

Resposta a Incidentes
Objetivos da Resposta a Incidentes
• Determinar o vetor inicial ou o causador do incidente;
• Determinar as técnicas e ferramentas utilizadas;
• Determinar quais sistemas foram afetados e como;
• Determinar as consequências do incidente;
• Determinar se o incidente ainda está em curso;
• Estabelecer a janela de tempo da ocorrência do incidente;
• Com base nas informações levantadas, estabelecer as ações de contenção e remediação.

Preparação
Lições Aprendidas
Identificação e
e Consumo de
Escopo
Threat Intel
Processo de
Resposta a
Incidentes Recuperação
Contenção e
Desenvolvimento
de Inteligência
Erradicação e
Remediação
SANS Six-step Incident Response Process

Processo de Resposta a Incidentes
Preparação
• Estabelecimento de planos e processos que preparem a organização para a resposta a incidentes:
• Exercícios frequentes de tabletop e war games com cenários de incidentes tendem dar insumos para
a organização perceba as fragilidades nos seus processos de resposta a incidentes e os melhorem;
• Os exercícios são também importantes para a preparação psicológica do time de resposta a

incidentes;

Preparação
Plano de Resposta a Incidente

• Um plano de resposta a incidentes é um conjunto de procedimentos que uma organização
estabelece para lidar com incidentes que podem afetar a disponibilidade, a integridade ou a
confidencialidade de seus sistemas, dados e serviços;
• O objetivo do plano de resposta a incidentes é garantir que a organização esteja preparada para
detectar, investigar e corrigir rapidamente qualquer incidente, minimizando seus impactos e
restaurando a operação normal o mais rapidamente possível;
• O plano de resposta a incidentes também pode incluir procedimentos para notificar autoridades
relevantes, parceiros de negócios e outros stakeholders, bem como para fornecer informações
públicas sobre o incidente.

Preparação
Plano de Resposta a Incidente – O que deve conter?
• Identificação de responsabilidades: Quem são os funcionários responsáveis por cada etapa do processo de
resposta a incidentes, incluindo a detecção, análise e resolução de incidentes?
• Processos de detecção: Como os incidentes serão detectados e relatados? Quais são os procedimentos para
coletar evidências e informações sobre o incidente?
• Análise e classificação: Como os incidentes serão analisados e classificados em termos de sua gravidade e
impacto?
• Processos de resposta: Quais são os procedimentos para gerenciar e resolver incidentes, incluindo a notificação
de funcionários relevantes, a comunicação com stakeholders internos e externos e a recuperação de sistemas e
dados afetados pelo incidente?
• Processos de recuperação: Quais são os procedimentos para restaurar os sistemas e dados afetados pelo
incidente e retomar as operações normais?

Preparação
Plano de Resposta a Incidente – O que deve conter? (cont.)
• Treinamento: Quais são os requisitos de treinamento para o pessoal de TI e de segurança da informação
envolvido na resposta a incidentes?
• Comunicação: Quais são os procedimentos para comunicar incidentes aos stakeholders internos e
externos, incluindo funcionários, clientes, parceiros de negócios e órgãos reguladores?
• Revisão e atualização: Como o plano de resposta a incidentes será revisado e atualizado

periodicamente para garantir que ele ainda esteja atual e eficaz?
Referências:
Computer Security Incident Handling Guide - NIST SPP 800-61 Rev. 2
Ransomware Risk Management: A Cybersecurity Framework Profile - NISTIR 8374

Identificação
• Ideal que a detecção seja feita pelo próprio time de operação de segurança e não por terceiros;
• Um erro comum nesta etapa é querer partir para a contenção sem o entendimento da extensão do
incidente;
• Nesta etapa, devem ser identificados o máximo possível dos sistemas comprometidos;
• Para isso, é essencial a obtenção de inteligência sobre a ameaça;

Contenção e Desenvolvimento de Inteligência
• Ao analisar o incidente, se descobrirá exatamente como a ameaça atingiu o ambiente;
• Se descobrirá, por exemplo, qual vulnerabilidade foi explorada, qual malware foi utilizado, como o
atacante está se movimentando lateralmente;
• Estas descobertas devem ser seguidas de medidas de contenção para evitar que a ameaça
continue avançando;
• Adicionalmente, levarão ao desenvolvimento de inteligência: indicadores de comprometimento que

poderão ser utilizados para varrer todo o ambiente na busca por sistemas comprometidos;

Erradicação e Remediação
• Ações que devem ser tomadas para remover a ameaça do ambiente evitar que ela volte;
• Ex:
• Correção de vulnerabilidade;
• Implantação de controles que minimizem as chances de novos ataques;

Recuperação
• Ações que levem a organização a sua operação normal:
• Ex:
• Recuperação de backups;
• Reconstrução dos sistemas afetados;

Lições Aprendidas
• Este é um momento muito importante e que nem sempre é feito na prática. Aqui, é importante
avaliar o que permitiu que o incidente acontecesse e:
• Planejar melhorias para a fase de preparação, fechando o ciclo;
• Revisar controles de segurança de forma que se tornem mais eficientes;
• Revisar os controles de detecção;
• Revisar o plano de resposta a incidentes;

Discussão
Você já teve a oportunidade de responder a um incidente de segurança? Como foi essa
experiência?
• Como o incidente foi identificado?
• Quais foram os impactos?
• Como foi contido?
• Como a ameaça foi erradicada?
• Quais foram as lições aprendidas?

Metodologia Resposta a Incidente e Forense Computacional
Contextualização Triagem/Coleta Análise Resultados
• Atividades: • Atividades: • Atividades: • Atividades:

• Entendimento do cenário; • Coleta de arquivos de logs e • Indexação de imagens de • Indicadores de
• Identificação de ações já metadados para triagem; disco e memória; Comprometimento;
tomadas; • Coleta de artefatos suspeitos; • Análise de artefatos • Status reports;
• Identificação de potenciais • Criação e coleta de imagens maliciosos; • Lições aprendidas;
fontes de dados; completas de discos de hosts • Análise de registros de logs; • Recomendações de melhoria
• Levantamento de questões; físicos ou virtuais; • Correlação de eventos; em controles de segurança;
• Criação e coleta de imagens de • Correlação com fontes de • Relatório técnico;
memória; inteligência; • Laudo Pericial;
• Recursos: • Estabelecimento de
• Reuniões e entrevistas; • Recursos: hipóteses;
• Sala de crise. • DC3dd; • Produção de IOCs;
• Redline; • Criação de timeline; • Recursos:
• Copia de VMs; • Reuniões de status;
• Kape; • Recursos: • Apresentações;
• Falcon; • Autopsy;
• Plaso.

Contextualização
• Entendimento do cenário: devemos buscar um entendimento claro e objetivo do incidente. Aqui, cabem perguntas tais como:
• Como o incidente foi identificado?
• Quando (data e hora) o incidente foi identificado?
• Quais evidências levaram ao entendimento de que os eventos resultaram no incidente? Temos data e hora da ocorrência
destes eventos?
• Quais impactos foram identificados até o momento?
• Identificação de ações já tomadas: antes do acionamento da equipe de resposta ao incidente, outras ações já podem ter sido
tomadas e precisam ser identificadas. As perguntas a seguir podem ajudar a entender o que já foi feito:
• Quais ações foram realizadas desde a identificação do incidente?
• Alguma ação foi realizada em sistemas computacionais? Se sim, quais ações foram realizadas e quando?
• Alguma ação de contenção foi realizada? Ex: bloqueio de endereços IP, bloqueio de códigos maliciosos, mudança de regras ou
controles de segurança, desligamento de ativos, etc.

Contextualização (cont.)
• Identificação de potenciais fontes de dados: com base no entendimento do cenário do incidente, é comum que algumas
fontes de dados sejam identificadas de imediato. No entanto, fontes menos claras podem ser descobertas nesta fase inicial e
também devem ser consideradas na preservação e coleta. Algumas perguntas podem ajudar a identificar fontes adicionais:
• Há um repositório de registros de logs no ambiente que possa conter eventos a respeito do incidente? Um SIEM, por
exemplo, pode conter logs cruciais a análise do caso;
• O alvo do incidente estava protegido por algum controle de segurança? Este controle pode conter registros de logs? Por
exemplo, um site web pode estar protegido por um Web Application Firewall (WAF) que pode conter logs importantes
para o entendimento do caso;
• Há um diagrama com detalhes da infraestrutura afetada? A análise dos segmentos de rede, dos recursos de autenticação
centralizada, presença de sistemas em nuvem, etc podem ajudar a identificar novas fontes importantes;
• Levantamento de questões: é primordial que sejam estabelecidas as questões a serem respondidas pelo trabalho de resposta.
As questões guiarão todo o trabalho, desde a coleta ao relatório final. A lista de questões não precisa estar completa no
momento inicial, uma vez que descobertas durante a análise podem levara à novas questões. No entanto, o estabelecimento de
questões iniciais ajudarão inclusive a um alinhamento de expectativas sobre os resultados do trabalho. Ex: em um incidente com
ransomware, se a expectativa inicial for a decodificação dos arquivos, é possível que o trabalho nem seja iniciado caso não seja
viável tecnicamente a decodificação.

Coleta
Uma vez identificadas as fontes de dados, é preciso preservá-las e coletá-las para análise. Neste momento, algumas
questões devem ser levadas em conta:
• Preservação e coleta de dados voláteis: o estado do sistema afetado vai mudando com o tempo.
Quanto antes a preservação for feita, melhor. Por exemplo, a memória do sistema pode ser perdida,
registros de log podem ser rotacionados e sobrescritos rapidamente, etc. Portanto, priorize a preservação
começando pela coleta de dados mais voláteis:
• Coleta de memória RAM (quando o ativo ainda está ligado);
• Criação de snapshots de máquinas virtuais (disco e memória);
• Coleta de registros de log em plataformas de nuvem que podem ser perdidos ao longo do tempo;
• Coleta de dados menos voláteis: na sequencia, realize a coleta de dados menos voláteis, tais como os
contidos em discos (HDs, SSDs) e outros dispositivos de armazenamento;

Coleta (cont.)
• Garantia de integridade: é crucial que o processo de coleta seja realizado com ferramentas
apropriadas e gere a garantia de integridade da cópia realizada. As coletas de dados armazenados em mídias
devem gerar um hash da cópia que deve ser o mesmo do conteúdo original, que deve ser preservado. Para
casos que devam ir a justiça, a comprovação da integridade deve ser feita por meio de ata notarial. O serviço
de criação de ata notarial é fornecido por cartórios. Um tabelião acompanhará e descreverá todo o processo
de coleta e emitirá a ata ao final dando fé pública. O mesmo procedimento de ata notarial pode ocorrer para
coleta de outros tipos de evidências, como, por exemplo, o conteúdo postado em um endereço na internet;
• Triagem: dependendo do caso, pode não ser possível aguardar toda a coleta para dar início à
análise. Uma vez que os dados estejam preservados e a coleta esteja sendo feita, é possível trabalhar em
arquivos específicos, tais como arquivos de logs ou artefatos maliciosos já identificados em paralelo. Estas
análises iniciais são muito úteis para identificar correções no próprio curso de coleta. Novos ativos
comprometidos podem ser identificados ou, até mesmo, pode se chegar a conclusão de que uma determinada
coleta não é mais relevante.

Coleta (cont.)
• A coleta de dados deve respeitar a volatilidade da mídia. O mais volátil deve ser coletado primeiro.
Mídias Somente Leitura

Memória RAM (CDs/DVDs, etc)
Dispositivos de Leitura e
Escrita (HDs, Pendrives,
etc)

Coleta (cont.)
Cópia de Dados
• Cópia Comum x Cópia Forense (bit a bit);
• Ferramentas e Hardware e Software;

Coleta (cont.)
Ferramentas de Hardware

44
Coleta (cont.)
Ferramentas de Software
DD ou DC3dd
FTK Imager
Encase
Redline
Cópia de discos e memória Mídia original
de VMs
Arquivos de
“imagem”

Coleta (cont.)
Garantia de Integridade
Como o analista garante que a sua cópia é igual a original?
Para garantir que a cópia examinada é igual ao original o perito deve utilizar algoritmos
HASH (MD5, SHA1, SHA2, etc);
Este passo é de extrema importância para que as evidências sejam aceitas legalmente.

Coleta (cont.)
Cadeia de Custódia
• Os dispositivos coletados deverão ser relacionados em um relatório que garantirá a cadeia de

custódia.
• A cadeia de custódia é um histórico que mostra como as evidências foram coletadas, analisadas,
transportadas e preservadas a fim de que fossem aceitas legalmente.

Coleta (cont.)
https://www.sans.org/media/score/incident-forms/ChainOfCustody.pdf

Análise - Objetivos
Esta é uma das etapas mais críticas do trabalho. Costumo dizer que neste momento um grande quebra-
cabeças precisa ser montado e muitas peças podem estar faltando. Adicionalmente, a imperícia do
analista pode levar a resultados imprecisos.
Os principais objetivos da análise são:
• Resposta às questões: o trabalho de análise tem o objetivo de levantar evidências que respondam
às questões estabelecidas para o caso. Trabalhar na análise de um volume de dados ser um objetivo
levará a desperdícios de tempo e a resultados aquém da expectativa;
• Identificação da causa raiz: geralmente, um dos principais objetivos da resposta ao incidente é a

identificação da causa raiz. Um exemplo comum de causa raiz em um incidente é o vetor de entrada
ou o paciente zero. Ou seja, por onde tudo começou? Este entendimento é FUNDAMENTAL
para que ações de contenção possam evitar que a ameaça retorne ao ambiente
utilizando o mesmo vetor;

Análise – Objetivos (cont.)
• Identificação do escopo do incidente: a identificação de outros ativos comprometidos é tão

importante quanto a identificação da causa raiz. Em incidentes com malware, por exemplo, é
muito comum que os atacantes estabeleçam persistência e novas portas de entrada nos sistemas
impactados. Ou seja, mesmo que a porta de entrada seja fechada, o atacante pode permanecer
no ambiente por meio de uma porta alternativa ou backdoor. Contribui para a identificação de
ativos comprometidos a criação de uma lista de indicadores de comprometimento (IOCs) que
devem ser buscados no ambiente.

Análise – Procedimentos e Ferramentas
O uso dos procedimentos e ferramentas adequadas podem ajudar a estruturar melhor o trabalho de
análise:
• História do incidente: ao longo do trabalho de análise, é comum que os analistas se vejam com um
grande volume de dados relativos a eventos importantes mas ainda sem nexo entre si. O ideal é que se crie
desde o início da análise uma lista em ordem cronológica dos principais eventos identificados. Este
instrumento ajudará na organização das evidências e, principalmente, no entendimento da relação entre
elas. Eventos que pareciam não ter relação podem ser descobertos ao organizarmos numa linha do tempo.
Uma tabela com os campos Data/hora, evento e evidência são um ótimo ponto de partida. Ex:
Data/hora (UTC-0) Evento Evidência

2022-08-05 22:00:05 Autenticação com sucesso via RDP com a conta <Log do Windows ou print
DOMINIO\conta. com a autenticação>
2022-08-05 22:00:10 Execução de script para download de script <Log de execução do
malicioso de nome xyz para o host abc. script>

Análise – Procedimentos e Ferramentas (cont.)
análise:
• Estabelecimento de hipóteses: algumas conclusões são mais fáceis e mais diretas e outras
nem tanto. Para as mais difíceis de se chegar recomendo o estabelecimento de hipóteses. Por
exemplo, em um ambiente comprometido por ransomware, quais hipóteses seriam viáveis para
o vetor de entrada? Considere realizar a criação de hipóteses em um grupo multidisciplinar com
visões diferentes perspectivas sobre o tema.

Análise – Procedimentos e Ferramentas (cont.)
análise:
• Estabelecimento de hipóteses (cont.): Para cada hipótese, estabeleça como ela pode ser
verificada e um status da análise. Uma tabela como os campos ID, Hipótese, Validação, Status
pode ser um bom começo. Para um caso hipotético do vetor de entrada do incidente de
ransomware, hipóteses viáveis seriam:
ID Hipótese Validação Status
1 Exploração da Análise de logs da aplicação para identificação Em andamento
vulnerabilidade na aplicação de evidência da exploração.
Web XPTO que estava
publicada para a internet
2 Uso de credencial legítima Análise dos logs de conexões com sucesso ao Hipótese inválida. Não havia
para conexão através do servidor para identificação de endereços autenticação com sucesso
RDP Server XPTO externos com autenticação com sucesso. para este servidor.

Relatório Técnico
• Um relatório técnico na forense digital tem como objetivo documentar os resultados de uma
investigação forense de computadores, dispositivos móveis ou outras fontes de dados digitais.
Ele deve ser escrito de forma clara e objetiva, de modo a permitir que qualquer pessoa possa
entender os métodos utilizados na investigação, os resultados obtidos e as conclusões a que se
chegou. Além disso, o relatório deve ser detalhado o suficiente para permitir que outros especialistas
possam reproduzir os passos da investigação e chegar às mesmas conclusões;
• Dependendo do caso analisado, será necessária a produção de relatórios técnicos de status de forma
periódica. Estes relatórios tem o objetivo de atualizar as partes interessadas sobre o andamento do
trabalho e sobre os resultados preliminares. Numa resposta a incidente, os resultados preliminares
tem o objetivo de ajudar a conter a ameaça.

Relatório Técnico (cont.)
Existem vários padrões e frameworks que podem ser utilizados para produzir relatórios de incidentes digitais,
incluindo:
• NIST SP 800-61: Este é um guia produzido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos que
fornece orientações para a gestão de incidentes de segurança cibernética. Ele inclui orientações sobre a produção de
relatórios de incidentes;
• ISO/IEC 27035: Esta é uma norma internacional que fornece orientações para a gestão de incidentes de segurança da
informação. Ela inclui orientações sobre como produzir relatórios de incidentes;
• COBIT: O COBIT (Control Objectives for Information and Related Technology) é um framework de gerenciamento de TI que
inclui orientações sobre a produção de relatórios de incidentes;
• ITIL: O ITIL (Information Technology Infrastructure Library) é um conjunto de práticas para a gestão de serviços de TI. Ele
inclui orientações sobre como produzir relatórios de incidentes.
Esses são apenas alguns exemplos de padrões e frameworks que podem ser utilizados para produzir relatórios de incidentes
digitais. É importante observar que cada organização pode ter suas próprias exigências específicas para a produção de relatórios
de incidentes, e é importante seguir essas exigências ao produzir um relatório.

O que deve contemplar minimamente o relatório técnico:
1. Capa 7. Mapeamento de táticas e técnicas no MITRE ATT&CK
2. Termo de confidencialidade Incluir um mapeamento das táticas e técnicas utilizadas pela ameaça. Pode ser num
formato de mapa de calor ou de tabela;
3. Sumário Executivo
Incluir aqui um resumo executivo do caso e de seus resultados principais. Deve utilizar 8. Conclusão
uma linguagem acessível e sem termos técnicos. Esta seção deve fazer um fechamento do relatório com um resumo dos resultados
4. Introdução obtidos.
Uma descrição do caso analisado e os objetivos do trabalho. Devem estar descritas as 9. Recomendações
questões a serem respondidas. Aqui, incluir uma lista de recomendações focadas em eventuais melhorias identificadas
5. Aquisição durante o trabalho. Por exemplo, recomendar a correção da vulnerabilidade que
Enumeração dos artefatos coletados e os respectivos hashes para manutenção de permitiu o acesso inicial.
integridade. 10. Indicadores de Comprometimento (IOCs)
6. Análise Incluir a lista de IOCs separados por categorias: Endereços IP, Hashes, contas
Detalhamento técnico das análises realizadas os artefatos e as evidências identificadas. O comprometidas, etc.
detalhamento deve ser feito a um nível que permita que um outro analista possa seguí-
lo. As evidências devem estar ligadas aos questionamentos a serem respondidos pelo
trabalho e devem estar acompanhadas de seus hashes sempre que necessário.
6. Resultados
Deve contemplar as questões elencadas na introdução e suas respectivas respostas de
forma clara e objetiva. Para as questões que foram devidamente evidenciadas na etapa
de análise, informar objetivamente a resposta e citar a seção da análise com detalhes
técnicos. Para questões que não foram respondidas, elencar as hipóteses possíveis para
responder a questão e detalhar, para cada hipótese, porque não pôde ser respondida.

Exercício – Metodologia
Vamos supor o seguinte cenário de incidente:
Uma companhia foi notificada por um provedor de segurança de que um ator malicioso estaria vendendo um
acesso a um de seus servidores em um grupo na darkweb. Após uma interação com o criminoso, se descobriu
qual servidor estaria a venda e a companhia confirmou que havia um acesso indevido à máquina realmente. Como
resposta inicial, o servidor foi tirado do ar.
Supondo que você tenha sido convidado para responder a este incidente, responda:
1. Quais perguntas você faria para entender melhor o contexto do incidente?
2. Na sua visão, quais seriam os principais objetivos da resposta a este incidente?
3. Quais artefatos você indicaria que fossem inicialmente coletados?
4. Quais hipóteses levantaria para o vetor de entrada deste incidente?
5. Como os indicadores de comprometimento podem ajudar na identificação do escopo do incidente?

Ambiente de Laboratório
• Ambiente de laboratório deve ter sido previamente preparado, conforme
orientação, seguindo o guia de preparação;
• Máquinas Virtuais
• SANS SIFT Workstation: distribuição Linux com ferramentas pré-instaladas

voltadas para análises forense mantida pela SANS;
• Windows 10 Workstation: Windows 10 com ferramentas para análises

(licença de avaliação de 90 dias);

SANS SIFT Workstation
62
Windows 10 Workstation
63
Análise em Memória RAM
• Aquisição de memória em sistemas ativos e inativos (live and dead);
• Análise e extração de dados da memória com o Volatility;
• Identificação de processos suspeitos;
• Identificação de processos maliciosos;
• Análise de objetos de processos (DLLs, Handles, Threats, Mutants),
• Extração de senhas em texto claro da memória (Mimikatz);
• Análise de artefatos de rede;
• Exercícios;

Porque Forense em Memória RAM?
Tudo em um sistema operacional passa pela memória RAM:
• Arquivos abertos;
• Processos;
• Malware;
• Conexões de rede, URLs, endereços IP;
• Senhas, conteúdo de clipboard;
• Chaves de criptografia;
• Chaves de registro do Windows e logs;

Vantagens da Forense em Memória RAM
• Possibilita a análise de atividades recentes no sistema;
• Possibilita a análise de atividades de softwares maliciosos em tempo de

execução;
• Possibilita a coleta de evidências que não poderiam ser encontradas em

nenhum outro local:
• File-less malware;
• Comandos digitados;
• Atividades na Internet;

Aquisição de Memória RAM
• Dispositivo Ligado
• Criar snapshot da VM (em caso de host virtual);
• FTK Imager Lite (não requer instalação)
• https://accessdata.com/product-download/ftk-imager-lite-version-3.1.1
• Redline
• https://www.fireeye.com/services/freeware/redline.html
• WinpMEM
• https://github.com/google/rekall/releases

• Dispositivo Desligado
• Arquivo de hibernação
• %SystemDrive%\hiberfil.sys
• Memory Dump
• %WINDIR%\MEMORY.DMP
• Snapshots de memória de máquinas virtuais previamente realizados:
• .vmem (VMware), .bin (Hyper-V), .mem (Parallels), .sav (VirtualBox)

• Arquivo de hibernação hiberfil.sys
• Cópia comprimida da memória RAM criada no momento que o sistema foi colocado em hibernação ou
“power save”;
• Ferramentas de descompressão: Volatility imagecopy, Comae hibr2bin.exe, Arsenal Hibernation

Recon;
• Ferramentas de análise nativa: BulkExtractor, Internet Evidence Finder, Volatility, Passware.

Análise de Memória RAM em Windows 8 ou +
• Após o retorno da hibernação, o Windows 8 ou superior pode zerar o arquivo de

hibernação. Isso quer dizer obter o hiberfil.sys em um sistema ligado não vai ter
a memória RAM completa como nas versões anteriores;
• O Windows 10 tem feito mudanças e algumas ferramentas podem não suportar

todas as variantes do sistema:
• O Redline suporta algumas versões do Windows 10;
• O Volatility também suporta algumas versões do Windows 10;

Volatility - Introdução
• Volatility é um framework open source para investigação em imagens de

memória RAM de sistemas operacionais Windows, Linux e MAC OS;
• É escrito em Python (por isso a extensão .py);
• Possui vários plugins e suporta expansão;
• Pode ser obtido em: https://code.google.com/p/volatility/

Prática: primeiro exame com o Volatility
• Esta prática será realizada na VM SIFT;
• Copie e descompacte o arquivo intro-volatility.zip na VM SIFT;

• Examinar:
1. Qual profile deve ser utilizado para examinar a imagem de memória?
2. Quais processos estão em execução no momento da captura da memória?
3. Há algum processo escondido?
4. Quais conexões de rede existem? Algo suspeito?
5. Qual processo iniciou a conexão suspeita?
6. Examine os comandos digitados no console. Consegue identificar algo suspeito?
7. Qual serviço suspeito estava ativo no momento da captura?
8. Extraia o processo suspeito (explorer.exe) e analise o hash no VirusTotal.

• Para que o volatility possa funcionar apropriadamente, é preciso identificar a versão específica do sistema operacional de onde a
memória foi extraída. O layout da memória, ou seja, como esta está organizada dependa da versão do sistema, service packs, etc.
Por exemplo, estruturas de memória de um Windows 7 são diferentes das estruturas de memória de um Windows 10;
• A identificação da versão específica do sistema operacional é feita pelo Volatility por meio da análise do KDBG (Kernel Debugging
Data). Esta estrutura funciona como uma assinatura para distinção entre as diferentes versões dos sistemas operacionais;
• Identificar estas características específicas, significa identificar o profile da imagem de memória. É comum que o Volatility
identifique mais de um profile para uma imagem uma vez que a estrutura KDBG identificada pode ser compartilhada com mais de
uma versão do SO;
• O Volatility tem profiles para a maioria das versões do Windows e também profiles para versões do Linux. Caso não possua para a
distribuição ou Kernel que deseja, é possível criar um profile personalizado;
• Para identificar o profile de uma imagem, utilize o comando:
• vol.py -f <ARQUIVO IMAGEM> imageinfo

• A execução do comando imageinfo identificou os profiles WinXPSP2x86 e WinXPSP3x86, conforme imagem a seguir:

• A saída do plugin imageinfo apresentou dois profiles. Utilizando o

plubin kdbgscan é possível obter mais detalhes dos profiles
identificados;
• Atente para o endereço apontado por PsActiveProcessHead. Ele

será útil para o entendimento da listagem de processos do plugin
pslist.

2. Quais processos estão em execução no momento da captura da memória?
• Para atender a este objetivo, utilizaremos o plugin pslist do Volatility. Características do plugin:
• O pslist identifica os processos percorrendo uma lista duplamente encadeada (doubly list) de processos
apontada pela variável PsActiveProcessHead mantida pelo sistema operacional. O apontamento para esta
lista está no KDBG;
• Imprime a lista de processos contendo: process name, process ID, the parent process ID, number of threads,
number of handles, and date/time when the process started and exited;
• Caso queira obter informações a respeito de um processo específico, utilize o “-p”;
• Os processos que apresentarem 0 handles e 0 threads são processos que já foram encerrados e não foram
removidos da lista (doubly list) de processos;

2. Quais processos estão em execução no

momento da captura da memória?
• Utilizando o primeiro profile sugerido

(WinXPSP2x86) e o plugin pslist, foi
possível listar os processos em
execução na imagem:
• Bonus question: quantos processos estão

em execução? Responda sem contar os
processos. Dica: utilize a saída do
comando kdbgscan.

• Conforme vimos, o pslist utiliza uma lista duplamente encadeada mantida pelo sistema operacional para listar os
processos. No entanto, um atacante é capaz de esconder processos maliciosos modificando os ponteiros na
memória do Kernel de forma que o processo não apareça na lista. Tecnicamente falando, um código malicioso
com acesso ao Kernel pode remover o seu link da lista de processos utilizando uma técnica de rootkit
chamada Direct Kernel Object Manipulation (DKOM). Esta modificação não afeta a execução do processo e é,
portanto, uma maneira confiável para esconder processos;
• Para resolver esta questão, existe um outro plugin para listagem de processos chamado psscan no Volatility que
busca processos de uma maneira diferente. Ao invés de percorrer a lista mantida pelo SO, o psscan varre a
memória inteira buscando pelo pool de objetos e processos e o analisa utilizando a estrutura EPROCESS
encontrada neste local;
• Desta forma, como não se baseia na lista de processos ativos mantida pelo SO, o psscan pode identificar também
processos terminados que ainda não foram reescritos;
• Adicionalmente, este processo pode ser mais lento que o pslist uma vez que precisa varrer a memória inteira.

• Na imagem ao lado, a saída do comando

pslist;
• Identificar processos escondidos

comparando manualmente a saída do
psscan com o pslist seria uma tarefa
trabalhosa e demorada;
• Para este objetivo, há um plugin mais

completo que compara as saídas do pslist,
psscan e outras listas obtidas de
processos do sistema. O plugin chama-se
psxview.
• Experimente gerar uma árvore de

processos com o psscan utilizando o
parâmetro “--output=dot”.
• O plugin psxview permite que se busque por anomalias na listagem de processos utilizando diferentes formas de identificação. A saída do plugin apresenta a
lista dos processos e se cada um deles está presente (True) ou não (False) na lista de processos identificados de diferentes formas;
• O psxview compara as seguintes formas de obtenção da lista de processos:
• pslist: lê a lista duplamente encadeda EPROCESS mantida pelo SO;
• psscan: varre a memória buscando pro estruturas de processos;
• thrdproc: revisa todas as threads encontradas na memória e coleta processos que utilizam o identificador do pai da thread;
• pspcid: o PspCid é uma outra tabela de objetos de Kernel que mantém o rastreamento de processos e threads;
• crss: o processo crss.exe mantém um apontador para cada processo iniciado após ele próprio. Por isso que ele não tem um apontamento para os processos smss.exe,
System e csrss.exe;
• Session: lista de processos pertencentes a cada seção de logon;
• deskthrd: Identifica processos por meio de threads anexadas a cada Windows desktop.

• Na imagem ao lado, a saída do comando psxview com o

parâmetro -R;
• Um processo suspeito não apareceria na listagem do

pslist (False) mas apareceria na listagem (True) do
psscan, thrdproc e pspcid.
• O parâmetro –R faz com que um “Okay” seja atribuído ao

processo quando a sua ausência na determinada coleta
seja esperada. Caso não seja, você verá um “False” no
lugar;
• Neste caso, não identificamos nenhum processo

oculto.
• Outros plugins para identificação de processos:

pstree, pstotal

• O Volatility conta com plugins para obtenção de informações de artefatos de rede. Os mais comuns são:
• connections: lista as conexões ativas a partir da leitura da lista mantida pelo SO. Funciona para imagens de Windows XP e
2003;
• connscan: varre a memória buscando por objetos do tipo _TCPT_OBJECT e tenta interpretá-lo. Esta estratégia pode
fornecer muito mais informações, incluindo conexões que podem ter sido encerradas ou de alguma forma escondidas pelo
atacante;
• sockets: lista os sockets ativos e disponíveis para qualquer protocolo. Funciona no XP e 2003;
• sockscan: varre toda a memória buscando por objetos _ADDRESS_OBJECT para mapear sockets. Funciona no XP e 2003;
• netscan: faz o papel dos plugins anteriores, buscando por conexões e sockets. Funciona em imagens do Vista ou superior.

• Para o plugin netscan, as seguintes informações são providas:
• Memory offset
• Protocol
• Local IP Address
• Remote IP Address
• State (somente para TCP)
• Process ID (PID)
• Owner Process Name
• Creation Time (somente para socket)

• Como a imagem analisada é de um Windows XP, vamos utilizar os plugins compatíveis.
• Utilizando o plugin connections, nenhuma conexão de rede foi apresentada:

• Já utilizando o plugin connscan, foi possível listar uma conexão de rede. A conexão está estabelecida com o host remoto
172.16.98.1 na porta 6666. Adicionalmente, sabemos que processo associado a conexão tem o PID 1956.

• Utilizando o plugin sockscan, temos informações adicionais sobre o socket TCP na porta 1026, incluindo o PID e a hora de
criação. O horário de criação pode ser útil para identificar outra ações que ocorreram por volta deste evento.

• A análise de artefatos de rede nos trouxe a informação de que o processo explorer.exe está conectado a um host remoto, o
que pode ser suspeito. A seguir a lista de processos:

• Executando um pstree, observamos os subprocessos do explorer.exe e, dentre eles, o cmd.exe:

6. Examine os comandos digitados no console. Consegue identificar
algo suspeito?
• Por meio dos plugins cmdscan e consoles, é possível

recuperar comandos executados no sistema. Veja ao lado a
saída do comando consoles;
• Observe que o usuário executou uma consulta de um serviço

chamado ‘malware’ e que o serviço está em execução.
• Vale uma análise dos serviços para identificar o de nome

‘malware’.

7. Qual serviço suspeito estava ativo no momento da captura?
• O Volatility provê um plugin de nome svcscan que lista os serviços do Windows e seus detalhes;

8. Extraia o processo suspeito (explorer.exe) e analise o hash no VirusTotal.
• Utilize o plugin ‘procdump’ para fazer o dump do processo 1956 para um arquivo em disco;
• Calcule o hash do arquivo e o submeta ao VirusTotal.

8. Extraia o processo suspeito (explorer.exe) e
analise o hash no VirusTotal.
• Observe que o arquivo é identificado

como malicioso por 36 engines de AV.

Caso Empresa X – Análise da Memória RAM
Analise a imagem de memória contida no arquivo “mem.raw” fornecido e responda:
1. Qual profile pode ser utilizado no Volatility para analisar a imagem?
2. Analise a lista de processos e investigue por processos atípicos. Utilize como base o poster “Hunt Evil” que está no material do aluno. Dica:
observe o nome dos processos, quem deveria ser o pai dos processos, etc;
3. Para reforçar a investigação de processos estranhos, utilize o plugin ‘malprocfind’ do Volatility. Qual ou quais processos o chamaram a
atenção?
4. Você deve ter identificado pelo menos um processo suspeito. Verifique se este processo está sendo executado com privilégios de
administrador local. Utilize o plugin ‘getsids’;
5. Indique a linha de comando utilizada para inicializar o processo suspeito. Utilize o plugin ‘cmdline’;
6. Extraia o processo suspeito e verifique seu hash no Virus Total. Algum malware foi indicado?
7. O processo suspeito está se comunicando com algum host na internet? Se sim, indique IP e Porta;
8. Bonus question: qual é a senha da conta que está executando o binário suspeito?

1. Qual profile pode ser utilizado no Volatility para analisar a imagem?
R: Win7SP1x64

2. Analise a lista de processos e investigue por processos atípicos. Utilize como base o poster “Hunt Evil” que está no material
do aluno. Dica: observe o nome dos processos, quem deveria ser o pai dos processos, etc;
R: scvhost.exe (PID: 2388), iniciado às 22:33:06 do dia 07/02/2019.

3. Para reforçar a investigação de processos estranhos, utilize o plugin ‘malprocfind’ do Volatility. Qual ou quais processos o
chamaram a atenção?
R: scvhost.exe (PID: 2388)

4. Você deve ter identificado um processo suspeito. Verifique se este processo está sendo executado com privilégios de
administrador local. Utilize o plugin ‘getsids’;
R: Sim. Dentre os SIDs do processo está o “scvhost.exe (2388): S-1-5-32-544 (Administrators)”

5. Indique a linha de comando utilizada para inicializar o processo suspeito. Utilize o plugin ‘cmdline’;
R: com o plugin cmdline, foi possível identificar a linha de comando utilizada para iniciar o processo scvhost.exe.

6. O processo suspeito está se comunicando com algum host na internet? Se sim, indique IP e Porta;
R: Sim. 185.175.208.217, TCP/80

6. Extraia o processo suspeito e verifique seu hash no Virus Total. Algum malware foi indicado?
R: Sim. Provavelmente o malware é da família Azorult

7. Bonus question: qual é a senha da conta que está executando o binário suspeito?
R: Já vimos com o comando ‘getsids’ que há uma conta de usuário associada ao processo chamada ‘Jeniffer’. O Volatility possui
um plugin chamado Mimikatz, que, para algumas versões do Windows, consegue recuperar a senha do usuário em texto claro,
conforme imagem a seguir.

Caso Empresa X – Status Report 1
• Com a análise da memória RAM, identificamos um processo suspeito com as seguintes características:
• Processo svchost.exe, PID 2388, iniciado às 22:33:06 do dia 07/02/2019.
• Comunicando-se com o IP 185.175.208.217 na TCP/80;
• A análise do processo extraído no Virus Total indicou que o arquivo é malicioso. Provavelmente, um malware da
família Azorult;
• Azorult é um malware do tipo Information Stealer. Ou seja, dados do host e usuário podem ter sido exfiltrados.
• IOCs:
• 185.175.208.217:80 (servidor C2 do malware)
• 20c9c239b77596298662faeedd9c65ca (hash MD5 do processo svchost.exe)

Questão Resposta
Qual código malicioso está presenta no host e quando a infecção ocorreu? A análise de memória apontou para o Azorult, um malware da categoria
information stealer.
Qual foi a porta de entrada da ameaça no host? PENDENTE
O código malicioso tem capacidade de movimentação lateral? Se sim, qual PENDENTE

técnica está sendo utilizada?
Quais ações imediatas devemos tomar para conter a ameaça? • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é
impedir novas comunicações e, ao monitorar, identificar eventuais novas
máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma
grande chance de que tenham sido roubadas.
Quais indicadores de comprometimento (IOCs) podem ser utilizados para • 185.175.208.217:80
buscar por outros hosts eventualmente infectados na rede? Incluir • 20c9c239b77596298662faeedd9c65ca (processo svchost.exe)
endereços IP, hashes de arquivos, etc;
Há suspeita de acesso a dados sensíveis do host/usuário? A princípio, sim. O malware é da família information stealer e pode ter
roubados dados de senhas do usuário do host analisado.
O malware teve sucesso na comunicação com os servidores do atacante? PENDENTE

Exercício
Analise a imagem de memória dump100.vmem e responda as perguntas a seguir. Ao final, prepare um relatório
detalhando os procedimentos utilizados e as respectivas respostas.
1. Há indícios de infecção por códigos maliciosos? Se sim, quais?
2. Indique uma característica maliciosa relevante que o código malicioso apresenta? Utilize técnicas de
OSINT e indique a tática e a técnica do Mitre ATT&CK;
3. Por qual ferramenta de software o malware tenta se passar?
4. Qual conta de usuário executou o código malicioso?
5. Qual arquivo seria um alvo de análise de você tivesse acesso à imagem de disco deste host? Justifique.
6. Há algum mecanismo de persistência do código malicioso no host? Estude plugins adicionais do Volatility
que possam indicar execução automática.
7. Quais indicadores de comprometimento (IOCs) você consegue elencar?

Imagens Forense – Coleta e Análise
• Aquisição;
• Montagem e conversão de arquivos de imagem;
• Timelines
• Sistema de Arquivos;
• Super Timelines;
• Indexação do conteúdo da imagem;

Forense em Mídias Digitais: Aquisição
Cópia de Dados
• Cópia Comum x Cópia Forense (bit a bit);
• Ferramentas e Hardware e Software;

Ferramentas de Hardware
108
Ferramentas de Software
DD ou DC3dd
FTK Imager
Encase
Redline Mídia original
Cópia de discos e memória
de VMs
Arquivos de
“imagem”

Tipos de Cópia Forense:
Disco completo: inclui todas as partições e eventuais áreas não alocadas do disco. Permite análise
de baixo nível para, por exemplo, recuperação de arquivos deletados e análise de slack spaces;
Partição: também permite análises de baixo nível para o conteúdo alocado no espaço da partição.
OBS: mesmo que você colete todas as partições de um disco, poderá perder dados em
espaços não particionados do disco;
Lógica: está mais para uma cópia do que para uma imagem forense. Não permitirá a análise de
baixo nível. Pode ser útil quando:
Não interessar fazer análise de arquivos deletados;
Não for possível a retirada do disco para coleta off-line pelo time de resposta a incidentes;

Garantia de Integridade
Como o analista garante que a sua cópia é igual a original?

Para garantir que a cópia examinada é igual ao original o analista deve utilizar
algoritmos HASH (MD5, SHA1, SHA256, etc)
Este passo é de extrema importância para que as evidências sejam aceitas
legalmente.

Imagens Forense de Discos com bad sectors
• Cada novo cálculo de hash na mídia original pode resultar em diferentes hashes,
dependendo de como o firmware do disco interprete a informação no disco
magnético com bad sectors;
• Nestas situações, manter uma boa documentação das condições de erros durante a
imagem. Esta informação constará no report da ferramenta de coleta utilizada;
• O hash servirá, nestes casos, para verificar se os dados da imagem foram mantidos.

Nos próximos slides, utilizaremos ferramentas para criação de imagens forense nos seguintes
cenários:
• Cenário 1: Disco de origem conectado à estação forense através de um dispositivo

de controle de escrita (write blocker). Ferramentas dc3dd e FTK Imager;
• Cenário 2: Coleta com Distribuição Linux Live no host onde o disco de origem está
conectado. Ferramenta Guymager;
• Cenário 3: coleta de arquivos VMDK (Vmware Image).

Cenário 1: disco conectado à estação forense através de um dispositivo de controle

de escrita (write blocker):
1. Identificar a partição associada à mídia original. Ex: /dev/sdb
2. Executar a coleta:
DC3dd:
sudo dc3dd if=/dev/sdb of=/data/sdb.dd hash=md5 hlog=/data/sdb.log
FTK Imager Lite:
File -> Create Disk Image -> Phisical Drive -> Selecionar o disco da mídia original -> Finish

Cenário 1: disco conectado à estação forense – DC3dd
1. Mídia original: disco ‘Virtual Disk 2’ fornecido na aula;
2. Estação forense: SIFT Workstation
3. Ferramenta de coleta: dc3dd

1. Adicione a mídia de origem (Virtual Disk 2) à VM SIFT Wokstation;

1. Adicione a mídia de origem (Virtual Disk 2) à VM SIFT Wokstation;

2. Verifique se o disco está presente no sistema:

• $ sudo fdisk -l
3. Criar um diretório para armazenar a imagem

• $ sudo mkdir /cases/001

4. Crie a imagem com o dc3dd:
$ sudo dc3dd if=/dev/sdb of=/cases/001/sdb.dd hash=md5 hash=sha256 hlog=/cases/001/sdb.log

5. Confira o arquivo de log do procedimento.
$ cat /cases/001/sdb.log

Cenário 1: disco conectado à estação forense – FTK Imager
2. Estação forense: Windows Workstation
3. Ferramenta de coleta: FTK Imager

1. Adicione a mídia de origem (Virtual Disk 2) à VM Windows 10 Workstation. Os passos

são os mesmos para adição da mídia de origem ao SIFT Workstation. Lembre-se de
desconectar a mídia do SIFT antes de anexá-la ao Windows 10.
2. Crie um diretório para armazenamento da

imagem:
c:\cases\001
3. Crie a imagem seguindo os passos dos próximos slides.

1. File -> Create New Image;

2. Selecione Physical Drive;

3. Seleciona o disco referente à

mídia de origem.

4. Selecione a imagem e
clique em Export Disk Image

5. Adicione um destino a imagem e

selecione o tipo Raw (dd).

6. Identifique a evidência.

7. Identifique a evidência.

7. Inicie a criação da imagem.

8. Observe os resultados.

1. Repita os passos do exercício anterior e crie uma imagem do tipo Expert Witness Format
(E01);
2. Qual diferença você percebeu no arquivo de imagem gerado comparado com o tipo
‘raw’?

Cenário 2: Coleta com Distribuição Linux Live
2. Estação forense: Estação onde a mídia de origem está conectada. Neste cenário,
vamos supor que seja o Windows 10 Workstation.
3. Ferramenta de coleta: dc3dd

1. Conecte a imagem “caine12.4.iso” no Drive

de CD/DVD da VM Windows 10 Workstation.
• Lembre-se de marcar as opções

“Connected” e “Connec at power on”.
• Pode ser necessário alterar a ordem de
boot na BIOS da VM:

2. Adicione um novo disco na máquina a ser

utilizado como repositório da imagem.
• Adicione um disco de 20GB;
OBS: Na prática, o disco adicional será um

disco externo no qual a imagem do disco do
host analisado será depositada. Neste caso, o
disco adicional deverá ter capacidade
suficiente para comportar o disco do host.

3. Inicie a máquina usando o CD/DVD como disco de boot;

4. Prepare o disco de destino de cópia da

imagem:
1. Abra o terminal e digite o comando a

seguir para identificar o disco de
destino:
• $ sudo fdisk –l
2. Observe que o disco /dev/sdc foi o
disco adicional que incluímos na VM
para receber a imagem. No seu caso
o device pode ser diferente. Atente
para isso. O próximo passo será
formatar este disco.


imagem:
1. Uma vez identificado o disco, no

meu caso o /dev/sdc, é hora de
formata-lo. Para isso, utilize o
comando:


imagem:
1. Por padrão, os discos estão

protegidos contra gravação. Para
destravar, utilize a ferramenta
Unlock conforme imagem ao
lado;
2. Selecione o disco de destino (no
meu caso o /dev/sdc) e clique em
OK.


imagem:
1. Agora formate o disco com o

comando:
• $ sudo mkfs.ext4 <device>
• OBS: Substitua o device pelo

disco de destino no seu caso.


imagem:
• Monte o disco de destino da cópia

forense
$ sudo mkdir /cases

$ sudo mount /dev/sdc /cases

5. Execute o software Guymager

6. Selecione o disco do qual

deseja fazer a imagem. No nosso
caso, vamos criar uma imagem
do disco /dev/sdb. Clique com o
botão direito no disco e depois
em “Acquire image”.

7. Na tela seguinte, configure as

informações da coleta conforme a imagem
a seguir:
• Por padrão, o formato de coleta
utilizado pelo Guyimager será o
Expert Witness (.Exx);
• O arquivo será dividido em arquivos
de 2Gb;
• Selecione o diretório /cases, no qual
o disco de destino está montado;
• Selecione o cálculo do hash sha-
256.

8. Ao final da coleta, uma tela apresentará

o resultado do processo incluindo se a
verificação da imagem teve sucesso. Os
resultados detalhados da coleta estão
armazenados no arquivo
/cases/disco_sdb.info.

9. O arquivo info possui dados importantes

a respeito da coleta realizada, incluindo o
software e a versão utilizada para a coleta;
Inclui também informações de integridade,

comparando os hashes da imagem gerada
com o hash do disco original.
O arquivo de coleta deve ser anexado ao

relatório final da análise.

10. Observe que o arquivo de imagem

gerado é menor do que o disco original,
que possui 2GB. Isso ocorre porque o
padrão Expert Witness Format (EWF),
também conhecido por E01, comprime a
imagem.

Cenário 3: Coleta de disco virtual (VMWare)
1. Mídia original: disco da VM Windows 7 Sandbox
2. Estação forense: SIFT Workstation
3. Ferramenta de coleta: vmware-vdiskmanager e qemu-img

• A coleta de discos virtuais consiste na cópia dos arquivos de disco das máquinas virtuais
a serem analisadas;
• Dependendo da tecnologia de virtualização, os discos terão diferentes formatos. Por

exemplo, os discos de máquinas virtuais VMware tem a extensão vmdk de máquinas
virtuais VirtualBox tem a extensão vdi;
• É importante que, ao fazer a cópia dos arquivos de disco, se faça o controle de

integridade com a criação dos hashes;

Tratando Snapshots
2. Caso precise consolidar snapshots, utilize a ferramenta vmware-vdiskmanager:
& "C:\Program Files (x86)\VMware\VMware Workstation\vmware-vdiskmanager.exe“

-r <path do snapshot mais recente> -t 0 <destino da imagem consolidada>

Convertendo disco virtual “vmdk” para imagem “raw”
Para converter o “vmdk” para uma imagem “raw”, utilize a ferramenta “qemu-img” instalado
no SIFT Workstation:
$ qemu-img convert -f vmdk <disco vmdk> -O raw <imagem raw>

• Aquisição;
• Timelines

Forense em Mídias Digitais: Montagem
Identificando as partições da imagem de disco no SIFT Workstation
• Antes de montar a imagem, é importante reconhecer as partições do disco;
• Utilize o comando ‘mmls’ para fazer esta identificação:
Ex: $ mmls Windows7Sandbox.raw

Montando discos virtuais VMSK no SIFT Workstaion
• Montar o vmdk
$ sudo mkdir /mnt/vmdk

$ sudo affuse -o allow_other "Win7 Sandbox-disk1.vmdk" /mnt/vmdk
• Utilize o comando ‘mmls’ para fazer esta identificação das partições:
Ex: $ sudo mmls /mnt/vmdk/Win7\ Sandbox-disk1.vmdk.raw
• Quando finalizar a análise

• Identifique a quantidade de bytes por setor e o offset de start da partição a ser

montada:

• Utilize o comando ‘mount’ para montar a imagen com os seguintes parâmetros:
$ sudo mkdir /mnt/img

$ sudo mount -t ntfs -o ro,loop,show_sys_files,streams_interface=windows,offset=$((2048*512))
/mnt/vmdk/Win7\ Sandbox-disk1.vmdk.raw /mnt/img/
512 x 2048 = 1048576

Montando uma partição com o comando ‘mount’ no SIFT Workstation
• Partição montada:
• Para desmontar:
• $ sudo umount /mnt/img
• $ sudo fusermount -u /mnt/vmdk

Montando uma partição com o comando ‘mount’ no SIFT Workstation
• Prática:
1. Identifique e monte as partições da imagem ‘raw’ adquirida a partir do disco virtual

“Virtual Disk 2” fornecido na aula;
2. Responda:
• Quantas partições formatadas com o sistema de arquivos NTFS existem na
imagem?
• Qual offset deve ser utilizado na montagem da segunda partição?

Montando uma partição com o comando ‘ewfmount’ no SIFT Workstation
• A montagem de imagens ‘ewf’ requer um passo adicional:
• Antes de usar o comando mount, você precisará usar o comando efwmount:
• $ sudo mkdir /mnt/ewf

• $ sudo ewfmount VirtualDisk2.E01 /mnt/ewf
• $ sudo mmls /mnt/ewf/ewf1

• Agora é só montar o arquivo /mnt/ewf/ewf1 como fizemos para o arquivo raw (no
caso, montando a primeira partição NTFS):
$ sudo mount -t ntfs -o ro,loop,show_sys_files,streams_interface=windows,offset=$((128*512))

/mnt/ewf/ewf1 /mnt/img

• Bonus: como tarefa de casa, experimente a ferramenta imageMounter.py do SIFT.
• O SIFT possui um script chamado ‘imageMounter.py’, que pode ser utilizado para
imagens ‘raw’ e ‘ewf’;
• Ex: $ sudo imageMounter /cases/001/sdb.dd /mnt/sdb

Montando Volume Shadow Copies
• Volume Shadow Copies são backups do volume inteiro salvos em um determinado ponto no tempo;
• Funcionam de forma similar aos snapshots das máquinas virtuais;
• Podem ser úteis para a recuperação de arquivos deletados, logs, registros, etc;
• Dependendo da versão do Windows, os snapshots podem ser criados durante o boot,

semanalmente para estações e diariamente para servidores;
• São também criados antes de operações mais críticas no sistema, como a instalação de software ou
de atualizações.

• Comando vshadowinfo
• Ex: vshadowinfo -o 1048576 /home/sansforensics/Win7Sandbox-disk1.raw

• Comando vshadowmount
• Ex:
$ sudo vshadowmount -o 1048576 /home/sansforensics/Win7Sandbox-

disk1.raw /mnt/vss/
$ sudo mount -t ntfs -o ro,loop,show_sys_files,strams_interface=windows

/mnt/vss/vss1 /mnt/shadow_mount/vss1

• Vshadowmount

166
Montando Imagens no Windows - OSFMount
• No Windows, utilize a ferramenta OSFMount para montar uma imagem de disco.



Montando Imagens no Windows – FTK Imager
• Uma outra ferramenta útil para

analisar o conteúdo de imagens
forense é o FTK Imager.
• Abra a imagem VirtualDisk2.E01

no FTK Imager, conforme imagem
ao lado.

• Aquisição;
• Timelines

Timelines
Introdução
• A análise de linhas do tempo (timelines) é uma das mais importantes etapas de uma
investigação;
• As timelines permitem a observação dos eventos em ordem cronológica. Isso pode
facilitar o entendimento de como esses eventos interagem entre si;
• A ordenação cronológica dos eventos pode permitir avançar para o entendimento da
história de forma mais rápida e com pouco esforço;
• Ferramentas anti-forense podem dificultar o trabalho do analista, como por exemplo,
com a adulteração de datas de arquivos. No entanto, é praticamente impossível que o
atacante consiga deletar todos os seus rastros;
• Timelines podem ser criadas a partir de dados de diferentes fontes. Podem considerar
dados do sistema de arquivos, como é o caso do nosso primeiro estudo, ou podem
obter dados do sistema operacional e registros de logs;

Timelines
Introdução
• A análise de timelines pode ser bastante desafiadora. Por isso, foque nos objetivos da
análise, nas questões a serem respondidas;
• Analise a timeline de acordo com a proximidade temporal de eventos relevantes do
caso em termos de horário ou arquivos. Este processo o levará à descoberta de
informações que enriqueçam a análise, que podem se tornar novos eventos relevantes,
também chamados de “Pivot Points”;
• Desta forma, o processo de análise de timelines deve seguir os seguintes passos:
Escopo Pivot Points Timeline a ser Filtrar a Examinar a

usada timeline timeline
• Focar nas • Estabelecer • Sistema de • Filtrar com • Buscar por

questões a eventos arquivos base em eventos
serem relevantes • Super períodos de antes e
respondidas em termos timeline data ou por depois
de horário palavras
ou arquivos chave

Timelines
Sistema de Arquivos - NTFS
• Timelines de sistemas de arquivos são criadas a partir de metadados dos próprios sistemas de
arquivos;
• O horário é armazenado no sistema NTFS no formato UTC. Desta forma, o horário não é afetado
por mudanças de time zones ou horário de verão. Isso não ocorre para o sistema FAT, que grava
os horários de acordo com o horário local;
• O valor do horário é um valor e 64 bits que representa o número de intervalos de 100

nanosegundos que se passaram desde 12:00 da manhã de primeiro de janeiro de 1601 (UTC);
• O sistema NTFS permite que arquivos tenham conteúdos alternativos conhecidos como Alternate
Data Streams (ADS). Este recurso permite que um arquivo baixado da internet, por exemplo,
tenham uma tag adicional usada para alertar ao usuário que o arquivo pode ser perigoso. Da
mesma forma, o ADS pode ser utilizados de forma maliciosa para ocultar um conteúdo.

Timelines
• O NTFS armazena 4 diferentes horários para os

arquivos (MACB):
• Mudança do conteúdo do arquivo (M);
• Último acesso (A);
• Mudança do metadado (C);
• Data de criação (B);
• Os metadados do arquivos, ou dados a respeito dos

arquivos do NTFS ficam armazenados em um arquivo
especial chamado $MFT.
• Na imagem ao lado, o arquivo $MFT de uma das

partições do disco “VirtualDisk”.

Timelines
• O arquivo $MFT ou Master File Table armazena pelo menos uma entrada para cada arquivo do
volume NTFS, incluindo o próprio MFT. Todas as informações a respeito dos arquivos, incluindo
seu tamanho, horários, permissões e, dependendo do tamanho do arquivo (até 1024 bytes), o
próprio conteúdo, são armazenadas nas entradas do MFT 1;
• Na figura a seguir, um diagrama apresentando uma entrada do arquivo MFT:
Fonte: https://flylib.com/books/en/2.48.1/basic_concepts.html
1 https://learn.microsoft.com/en-us/windows/win32/fileio/master-file-table

Timelines
• Dois atributos do MFT merecem um destaque do ponto de vista de horários dos arquivos:
• $STANDARD_INFORMATION: contém atributos tais a contagem de hard links e

timestamps (Mudança de conteúdo (M), último acesso (A), mudança de metadado (C) e
criação (B) ou MACB);
• $FILE_NAME: contém o diretório pai, timestamps (MACB), tamanho do arquivo e nome do
arquivo;
• Observe que ambos armazenam os timestamps ou horários dos arquivos;
• Os horários dos arquivos apresentados pelo Windows ao observarmos os metadados dos arquivos vem do
$STANDARD_INFORMATION. No entanto, existem ferramentas para obter os timestamps do
$FILE_NAME;
• As ferramentas de adulteração de horários de arquivos (timestomping) normalmente alteram os registros do

$STANDARD_INFORMATION. A comparação dos horários entre estes dois registros pode indicar uma
adulteração.

Timelines
Sistema de Arquivos – Criando uma linha do tempo com FLS
• Para a criação deste tipo de timeline, utilizaremos a ferramenta Sleuthkit FLS;
• O FLS é capaz de extrair metadados de diferentes sistemas de arquivos, incluindo

Apple (HFS), Solaris (UFS), Linux (EXT) e Windows (FAT/NTFS);
• No nosso curso, focaremos na análise do sistema NTFS;

Timelines
• Criaremos uma primeira linha do tempo com a ferramenta FLS. Para isso, utilizaremos:
• Imagem: disco VirtualDisk2.vmdk
• Estação forense: SIFT Workstation
• Ferramenta: fls

Timelines
• Antes de criarmos a timeline, precisamos identificar as partições do disco.
• Criaremos a timeline da partição 002, que inicia no offset 128.

Timelines
• Executando o FLS:
• $ fls -o 128 -m “/” -p -r VirtualDisk2.vmdk
• -o: imageoffset em setores;

• -m: timelne em bodyfile format;
• -p: apresentar o full path;
• -r: forma recursiva.
Para salvar o resultado:
• $ fls -o 128 -m “/” -p -r VirtualDisk2.vmdk > /cases/001/fls_virtualdisk2_002.body

Timelines
• Examinando o resultado
• $ head /cases/002/fls_virtualdisk2_002.body

Timelines
• Convertendo o resultado em um arquivo CSV com a ferramenta mactime
• $ mactime -d -b /cases/001/fls_virtualdisk2_002.body > /cases/001/fls_virtualdisk2_002.csv

• $ head /cases/001/fls_virtualdisk2_002.csv

Timelines
Sistema de Arquivos – Examinando a linha do tempo com o Timeline Explorer
Examinando a timeline com a ferramenta

Timeline Explorer
• Copie o arquivo
/cases/001/fls_virtualdisk2_002.csv para a
VM Windows;
• Utilize a ferramenta Timeline Explorer

para abrí-lo.

Timelines
Sistema de Arquivos – Examinando a linha do tempo com o Timeline Explorer
Entendendo as propriedades “macb” e os timestamps:

• Cada arquivo tem uma ou mais entradas de timestamp
associadas a propriedades “macb”;
• Cada conjunto “macb”, timestamp informa o horário das
propriedades indicadas;
• Ex: o arquivo HxDSetup.exe tem:
• Uma entrada de timestamp de 2018-09-05 16:31:52
indicando o horário de mudança de conteúdo do arquivo
(m);
• Um segundo timestamp de 2019-02-14 20:24:57
indicando o horário de acesso (a), mudança de
metadados (c) e criação do arquivo (b);
• Um terceiro timestamp de 2019-02-14 20:24:57
indicando o horário de mudança de conteúdo (m),
acesso (a), mudança de metadados (c) e criação (b). No
entanto, este registro vem do campo $FILE_NAME).

Timelines
Sistema de Arquivos – Regras para mudanças de timestamps no Windows (NTFS)
M
A
C
B
M
A
C
B
Fonte: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download

Timelines
Sistema de Arquivos – Analisando a timeline
• Ainda no exemplo do arquivo HxDSetup.exe, pelas regras

de timestamps, o arquivo foi copiado para o volume;
• O timestamp de modificação do conteúdo foi preservado da
origem do arquivo (2018-09-05 16:31:52) e o timestamp de
acesso (a), mudança de metadados (c) e criação (b)
representam o momento que o arquivo foi copiado (2019-
02-14 20:24:57 (UTC-0).

Exercício
1. Com base na timeline da partição 002 do VirtualDisk2, responda:

• O que aconteceu com o arquivo file.txt?
2. Crie a timeline da partição 003 do VirtualDisk2 e responda sobre os arquivos file.txt e

file1.txt, que são o mesmo arquivo:
• O arquivo file1.txt está com a data de modificação anterior a data de criação. Em

quais situações isso poderia ocorrer?
• Em qual das partições o arquivo foi criado?
• O que ocorreu com o arquivo file1.txt na data 2019-02-14 20:43:16?
• Explique com as suas palavras o que aconteceu com o arquivo file1.txt desde que
foi criado.

• Aquisição;
• Timelines

Timelines
Super Timeline
• Os timeilnes de sistemas de arquivos podem ser bastante úteis para um entendimento do que
aconteceu com os arquivos;
• No entanto, uma timeline incluindo eventos além dos metadados dos arquivos, em ordem
cronológica, seria anda mais útil. Este é o objetivo da Super Timeline;
• A Super Timeline, portanto, além de metadados de arquivos, inclui dados de um grande volume
de artefatos do Windows, incluindo o registro do Windows, registros de logs, dados de
execuções de programas, etc;
• Desta forma, é bem mais fácil que a timeline “conte a história” do que aconteceu com aquele
sistema;
• O único ponto contra é que a geração da Super Timeline é mais demorada em comparação com
a timeline do sistema de arquivos.

Timelines
Super Timeline - Ferramentas
Principais ferramentas.
- log2timeline.py: é a ferramenta que extrai eventos de arquivos, diretórios, imagens

ou dispositivos. A ferramenta produz um arquivo no formato Plaso;
- pinfo.py: Mostra informações sobre um arquivo Plaso. Por exemplo, como foi
coletado, quais informações foram extraídas da origem, etc.
- psort.py: Ferramenta para ler, filtrar e processar um arquivo Plaso para gerar, por
exemplo, uma timeline em CSV;
- psteal.py: ferramenta que faz o trabalho de log2timeline e psort em conjunto.
Fonte: https://plaso.readthedocs.io/en/latest/sources/user/Creating-a-timeline.html

Timelines
Super Timeline – psteal
• A ferramenta psteal processa os dados de

múltiplas fontes do sistema, ordena os eventos
e os grava em um formato de sua escolha;
• O psteal possui uma lista de parsers capazes

de extrair dados de diferentes locais do
sistema;
• A lista de parsers pode ser obtida com o

comando:
• $ psteal.py --parers list

Timelines
• Há também conjuntos de parsers, como pode

ser visto na imgem ao lado.
• Desta forma, por exemplo, executando o

parser “win7_slow” estaremos executando
vários conjuntos de plugins incluindo o
win_gen e o win7 e seus parsers.

Timelines
• Para uma primeira prática, vamos criar um Super Timeline para a primeira partição
VirtualDisk2 utilizando o psteal:
• $ psteal.py --source /mnt/hgfs/Artefatos/VirtualDisk2.vmdk -o dynamic -w
supertimeline_virtualdisk2_p1.csv

Timelines
• Copie o arquivo CSV gerado para a VM Windows e o analise com o Timeline Explorer;
• Observe as propriedades do arquivo HxDSetup.zip;
• Para o resultado a seguir, aplique o filtro de Parser = filestat e busque por “hxd”:

Timelines
• Experimente filtrar por outros Parsers e observe a saída do parser na coluna “Message”.
• Na imagem a seguir, o Parser olecf está exibindo informações de arquivos do tipo OLE.

Timelines
• No entanto, o grande valor da Super Timeline aparece quando processamos uma partição
com arquivos do sistema operacional;
• Para experimentarmos isso, vamos criar a Super Timeline da imagem do disco fornecido pela
Empresa X.

Timelines
Super Timeline – Caso Empresa X
• Comando para criação da Super Timeline:

• $ psteal.py --source /mnt/hgfs/Artefatos/CasoEmpresaX/Disk/win7-s11.raw --parsers win7_slow -o dynamic -w supertimeline-
win7.csv
• Observe que um Volume Shadow foi identificado e o programa pergunta se deseja incluí-lo na criação da timeline. Por enquanto, vamos escolher não incluir
e seguir digitando <ENTER>.

Timelines
• O processamento da timeline requer alguns minutos. Para agilizar o processo, o arquivo Plaso e o CSV da timeline estão disponíveis
no diretório do disco:
• 20230103T001940-win7-s11.raw.plaso
• supertimeline-win7.csv
• Cancele o processo e utilize os arquivos fornecidos para os próximos passos.

Timelines
• Ao final do processo, um arquivo Plaso será

gerado. Para verificar detalhes do arquivo,
utilize o comando pinfo.py.
• Observe na imagem ao lado, os eventos

gerados pelos diferentes parsers.

Timelines
• Para analisar a Super Timeline, podemos utilizar a ferramenta Timeline Explorer. No entanto,
observe que o arquivo CSV tem mais de 500MB, o que pode dificultar o processamento do
arquivo pela ferramenta.
• Voltando ao nosso processo de análise, é hora de filtrar a timeline. Para isso, podemos usar
um período de tempo de nosso interesse.


ou arquivos chave

Timelines
• A análise da memória do host nos trouxe um processo suspeito de nome svchost.exe, PID
2388, iniciado às 22:33:06 do dia 07/02/2019;
• Podemos, portanto, fazer um primeiro filtro da timeline contemplando o dia de interesse com
alguns dias antes e alguns dias depois;
• Outros filtros mais abrangentes podem ser feitos caso necessário;

Timelines
• Para filtrar a timeline, utilize o seguinte comando:

• $ psort.py -o L2tcsv /mnt/hgfs/Artefatos/CasoEmpresaX/Disk/20230103T001940-win7-s11.raw.plaso "date >
'2019-02-06 00:00:00' AND date < '2019-02-08 00:00:00'" -w supertimeline-win7-filtered.csv
• O processamento pode levar alguns minutos. Um arquivo pré-processado está disponível no
diretório da imagem do disco. Chama-se “supertimeline-win7-filtered.csv”;
• O arquivo reduziu pela metade aproximadamente.

Timelines
• Chegou a hora de analisar os eventos da Super Timeline. Como o volume de dados é

geralmente muito grande, é importante termos um ponto de partida. Este pondo de partida é
um evento chave ou “Pivot Point” para o qual desejamos saber o que aconteceu antes e
depois dele;
• Nosso Pivor Point, originado da análise da memória é o processo svchost.exe, PID 2388,
iniciado às 22:33:06 do dia 07/02/2019.


ou arquivos chave

Timelines
• Lembre-se de que o objetivo é buscar respostas às questões em aberto na nossa

investigação:
Questão Resposta
Qual código malicioso está presenta no host e quando a infecção ocorreu? A análise de memória apontou para o Azorult, um malware da categoria
information stealer.
Qual foi a porta de entrada da ameaça no host? PENDENTE
O código malicioso tem capacidade de movimentação lateral? Se sim, qual PENDENTE

técnica está sendo utilizada?
Quais ações imediatas devemos tomar para conter a ameaça? • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é
impedir novas comunicações e, ao monitorar, identificar eventuais novas
máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma
grande chance de que tenham sido roubadas.
Quais indicadores de comprometimento (IOCs) podem ser utilizados para • 185.175.208.217:80

buscar por outros hosts eventualmente infectados na rede? Incluir endereços • 20c9c239b77596298662faeedd9c65ca (processo svchost.exe)
IP, hashes de arquivos, etc;
Há suspeita de acesso a dados sensíveis do host/usuário? A princípio, sim. O malware é da família information stealer e pode ter
roubados dados de senhas do usuário do host analisado.
O malware teve sucesso na comunicação com os servidores do atacante? PENDENTE

Timelines
• Para iniciar, carregue o arquivo “supertimeline-win7-filtered.csv” na ferramenta Timeline

Explorer;
• Na sequencia, navegue até o horário 22:33:06 do dia 07/02/2019;
• Depois, examine os eventos anteriores na busca por informações que possam levar a
respostas às questões em aberto ou a novos “Pivot Points” neste sentido.

Timelines
• Arquivo “supertimeline-win7-filtered.csv” carregado na ferramenta Timeline Explorer:

Timelines
• Buscando por eventos anteriores ao horário 22:33:06 do dia 07/02/2019, podemos observar uma sequencia bastante
interessante que acontece aproximadamente 1 min antes, conforme figura abaixo:

Timelines
• Vejamos estes eventos em detalhes:

• Eventos 523824 e 534825 tem origem no parser WinEVTX, o que quer dizer que foram
extraídos dos logs do Windows;
• O 523824 tem o Event ID 4624, que quer dizer que é um evento de autenticação com
sucesso (https://learn.microsoft.com/en-us/windows/security/threat-
protection/auditing/event-4624);
• O 534825 tem o Event ID 4672, que quer dizer que privilégios especiais foram atribuídos
ao novo logon (https://learn.microsoft.com/en-us/windows/security/threat-
protection/auditing/event-4672);

Timelines
• Entrando no evento 523824 (autenticação com

sucesso), podemos observar que:
• A conta utilizada no logon é “Jeniffer”, a

mesma atrelada ao processo scvhost.exe
(2388);
• O Logon Type é 3, o que indica que a

autenticação foi feita pela rede;
• A origem da autenticação foi o host de

nome CLIENT-PC de IP 192.168.3.128.

Timelines
• Uma forma alternativa de examinar os logs do

Windows é abrindo os arquivos diretamente;
• Os logs do Windows ficam no diretório
C:\Windodws\System32\winevt\logs;
• Os eventos de segurança ficam no arquivo
security.evtx;
• O arquivo pode ser examinado com a
ferramenta Event Log Explorer, que está na
VM Windodws.

Timelines
• Para examinar um arquivo de log, abra a

ferramenta e localize o arquivo de log no disco
por meio do menu File->Open Log File->
Starndard;
• Caso o arquivo a ser analisado esteja em
alguma imagem de disco, você terá que
exportar o arquivo antes;
• Uma opção para isso é utilizar a ferramenta FTK
Imager, abrir a imagem, localizar o arquivo de
log e exportá-lo.

Timelines
• Uma opção importante ao analisar logs com o

Event Log Explorer é o ajuste do timezone dos
logs para o UTC-0;
• Para isso, após a abertura do arquivo de log a
ser analisado, acesso menu View->Time
Correction...;
• Na sequencia, selecione o checkbox Display
UTC time e depois, OK.

Timelines
• O evento 534828 informa que um serviço foi

instalado no sistema. Analisando este evento
em detalhes temos:
• Usuário que criou o serviço: “Jeniffer”;
• Nome do serviço: PSEXESVC.
• O serviço PSEXESVC é instalado no host

de destino quando um comando remoto é
executado.

Timelines
• Voltando a nossa análise, ainda sobre o evento 534828, observe a imagem a seguir que mostra o
que ocorre no host de origem (source) e destino (destination) quando um comando remoto é
executando via PsExec:
• Observe que tivemos os eventos listados 4624 (logon), 4672 (special privileges) e 7045 (service
install) no host de destino;
• Esta sequencia configura que um comando foi executado no host analisado utilizando PsExec
pela conta “Jeniffer” com autenticação partindo do host CLIENT-PC de IP 192.168.3.128.
Fonte: Poster SANS “Hunt Evil”

Timelines
• Na sequencia, temos o evento 534834 coletado pelo Parser WinPrefetch. Este parser examina
arquivos Prefetch do Windows;
• Os arquivos prefetch são criados pelo sistema operacional Windows com o objetivo de acelerar o
tempo de carregamento de aplicativos. Quando um aplicativo é executado pela primeira vez, o
sistema cria um arquivo prefetch com informações sobre os arquivos e as operações de disco
usadas pelo aplicativo. Na próxima vez que o aplicativo for iniciado, o sistema pode usar essas
informações para carregar o aplicativo mais rapidamente;
• Além da função original, os arquivos Prefetch são de grande valia para a Forense Digital, uma vez
que podem ser utilizados como evidências de execução de aplicações no SO Windows;
• Desta forma, portanto, temos a evidência de execução do serviço PSEXESCV.

Timelines
• Continuando a análise dos eventos, identificamos novos eventos de logon 4624, um evento 4648,
que indica que credenciais explícitas foram utilizadas;

Timelines
• Abrindo o evento de logon 4624, podemos observar

que:
• O Logon Type é 2, o que indica que o logon é do
tipo interativo. Esta evidência é comum se o
parâmetro “-u” tiver sido utilizado no PsExec
fornecendo as credenciais do usuário;
• A conta utilizada foi “Jeniffer”;
• O nome do processo iniciado é
“C:\Windows\PSEXESVC.exe, local para onde o
binário é copiado no sistema de destino em uma
execução do PsExec.exe.

Timelines
• Examinando os próximos eventos, é possível observar a chamada ao CMD.EXE no evento

534854, que ocorre no mesmo instante da execução do PSEXESVC.EXE.

Timelines
• Vamos aprofundar a análise do arquivo Prefetch da execução do CMD.EXE e buscar por evidências da
execução do “svchost.exe”:
• No SIFT, monte a imagem do disco win7-s11.raw:
• $ sudo mount -t ntfs -o
ro,loop,show_sys_files,streams_interface=windows,offset=$((512*2048)) win7-s11.raw
/mnt/windows_mount
• Examine o arquivo Prefetch “\Windows\Prefetch\CMD.EXE-89305D47.pf”

Timelines
• Para examinar o Prefetch

“\Windows\Prefetch\CMD.EXE-89305D47.pf”:
• No SIFT, use a ferramenta “prefetch.py”:
• $ prefetch.py -f CMD.EXE-89305D47.pf
• Mais abaixo do resultado, observe que o arquivo

“USERS\JENIFFER\APPDATA\ROAMING\SVCHO
ST.EXE” é carregado pelo CMD.EXE.
• Desta forma, temos a evidência da execução do

binário malicioso
“USERS\JENIFFER\APPDATA\ROAMING\SVCHO
ST.EXE” pela conta JENIFFER, que se conectou
ao host analisado remotamente via PsExec a partir
do host de nome CLIENT-PC de IP 192.168.3.128.

Timelines
• Para a geração de um IOC relativo ao

binário svchost.exe, vamos calcular o
hash do arquivo:
• $ md5sum
/mnt/windows_mount/Users/Jeniffer
/AppData/Roaming/svchost.exe
• Resultado:
1a110bc4ed9cc82d7afd6563f58988
41
• Pesquisando pelo hash no VT, podemos

observar que múltiplas engines o
consideram malicioso.

Log2timeline Cheatsheet
226
https://digital-forensics.sans.org/media/log2timeline_cheatsheet.pdf
• Com a análise da memória RAM, identificamos um processo suspeito com as seguintes características:
• Processo svchost.exe, PID 2388, iniciado às 22:33:06 do dia 07/02/2019.
• Comunicando-se com o IP 185.175.208.217 na TCP/80;
• A análise do processo extraído no Virus Total indicou que o arquivo é malicioso. Provavelmente, um malware da
família Azorult;
• Azorult é um malware do tipo Information Stealer. Ou seja, dados do host e usuário podem ter sido exfiltrados.

• Com base na análise do disco do host comprometido, podemos acrescentar que:
• O processo malicioso identificado na memória (svchost.exe, PID 2388), iniciado às 22:33:06 do dia 07/02/2019, foi
executado a partir de uma conexão remota via ferramenta PsExec;
• A ferramenta PsExec foi executada a partir do host de origem CLIENT-PC (IP 192.168.3.128) às 22:32:00 do dia
07/02/2019;
• A conta utilizada para a execução do PsExec foi a de nome “JENIFFER”, que possui privilégios
administrativos locais;

• IOCs:
• 185.175.208.217:80 (servidor C2 do malware);
• 20c9c239b77596298662faeedd9c65ca (hash MD5 do processo svchost.exe);
• Conta Jeniffer (conta utilizada para a execução remota do PsExec);
• 192.168.3.128 (host de origem da infeção);
• 1a110bc4ed9cc82d7afd6563f5898841 (hash MD5 do binário svchost.exe);

Questão Resposta
Qual código malicioso está presenta no host e quando a A análise de memória apontou para o Azorult, um malware da categoria information stealer.
infecção ocorreu?
Qual foi a porta de entrada da ameaça no host? A ameaça chegou ao host analisado por meio de execução remota de comando via PsExec com a utilização da conta
Jeniffer a partir do host CLIENT-PC (IP 192.168.3.128) . A infecção ocorreu às 22:33:06 do dia 07/02/2019.
O código malicioso tem capacidade de movimentação A ameaça chegou ao host por meio de técnica de movimentação lateral identificada no MITRE ATT&CK pelo ID T1570
lateral? Se sim, qual técnica está sendo utilizada? (Lateral Tool Transfer). Desta forma, podemos afirmar que a ameaça tem esta capacidade.
Quais ações imediatas devemos tomar para conter a • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é impedir novas comunicações e, ao monitorar,
ameaça? identificar eventuais novas máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma grande chance de que tenham sido roubadas.
Quais indicadores de comprometimento (IOCs) podem ser • 185.175.208.217:80

utilizados para buscar por outros hosts eventualmente • 20c9c239b77596298662faeedd9c65ca (hash MD5 do processo svchost.exe);
infectados na rede? Incluir endereços IP, hashes de • Conta Jeniffer (conta utilizada para a execução remota do PsExec);
arquivos, etc;
Há suspeita de acesso a dados sensíveis do host/usuário? A princípio, sim. O malware é da família information stealer e pode ter roubados dados de senhas do usuário do host
analisado.
O malware teve sucesso na comunicação com os PENDENTE
servidores do atacante?

• Aquisição;
• Timelines

Indexação de Imagem
Autopsy
• Plataforma para Forense Digital com interface gráfica amigável;
• É largamente utilizada por forças policiais, militares e corporações para

investigação de incidentes em sistemas computacionais.
• Principais Características:
• Análise de linha do tempo;
• Buscas por palavras chaves;
• Extração de artefatos Web (histórico, buscas, bookmarks);
• Recuperação de arquivos deletados em espaços não alocados;
• Busca por indicadores de comprometimento (usando STIX);
• Módulo de triagem ao vivo (live);
• É free!

Autopsy
• Analisando a imagem ‘raw’ obtida do disco “Virtual Disk 2”.
• Criar novo caso;
• Incluir a imagem ‘raw’ como ‘data source’;
• Selecionar os módulos de indexação;
• Aguardar.

Autopsy

234
Crie um novo caso e associe um diretório para alocar a base de dados.
Autopsy

235
Selecione a opção padrão: Generate new host name based on data source name:
Autopsy

Selecione a opção Disk Image or VM File:
236
Autopsy
Selecione o path da imagem. Neste exemplo, estamos usando a imagem do caso Empresa X:

Autopsy
Nesta tela, configure os módulos de ingestão de dados. Basicamente, são os parsers que tratarão os dados:

Autopsy
Finalmente, clique em “Finish”. A partir deste momento, o processo de indexação será iniciado e deve demorar
mais ou menos de acordo com o tamanho do disco.

Autopsy
• Durante a indexação, o Autopsy

permite que o usuário lavegue
pela árvore de itens analisados
ou até faça buscas por palavras
chaves;
• No entanto, as informações
apresentadas podem estar
incompletas;
• Somente ao final do processo, os

resultados estarão completos.

Autopsy
• O Autopsy permite a criação de

uma Timeline;
• A Timeline, de forma interativa,

permite que você selecione os
períodos de tempo que deseja
observar e a forma de listar o
conteúdo;
• Na imagem a seguir, o horário

do incidente está filtrado e o
destaque aponta para a execução
do CMD. Na janela inferior, o
destaque aponta para a execução
do SVCHOST.EXE malicioso.

Caso Empresa X – Questão pendente
Questão Resposta
infecção ocorreu?

arquivos, etc;
analisado.
O malware teve sucesso na comunicação com os PENDENTE
servidores do atacante?

Análise de Tráfego de Rede
• A análise de tráfego de rede é uma parte importante da forense digital porque pode fornecer evidências valiosas sobre
o que aconteceu em um sistema ou rede durante um determinado período de tempo. Por exemplo, a análise de tráfego
de rede pode ajudar a identificar atividades suspeitas ou ilegais, como o download de arquivos ilegais ou o uso de
exploits para violar a segurança de um sistema. Além disso, a análise de tráfego de rede pode ser útil para entender
como os ataques foram realizados e quais foram os métodos utilizados para tentar esconder a atividade maliciosa;
• Não é comum que este tipo de captura de tráfego esteja habilitado e disponível para uma análise forense. No entanto,
pode ocorrer de a equipe iniciar uma captura diante de um cenário de suspeita de comprometimento do ambiente;
• Neste tópico, cobriremos a análise de tráfego de rede capturado em um arquivo PCAP;

Wireshark
Este módulo terá como arquivo de entrada o tráfego de rede do Caso Empresa X:

Wireshark
Wireshark;
• Para começar, carregue o
arquivo de tráfego de rede no

245
Wireshark
• Por padrão, o Wireshark

utilizará na coluna “Time” o
tempo em segundos desde o
primeiro pacote capturado;
• Para facilitar a busca por pacotes

de acordo com o horário UTC-0
que temos utilizado na análise do
caso, vamos configurar o
Wireshark para exibir o tempo
em UTC-0 na coluna “Time”.

Wireshark
• Para isso, no Wireshark, clique

em View, Time Display Format e
depois a opção UTC Date and
Time of Day, conforme figura ao
lado.

Wireshark
• Logo no início do tráfego, podemos perceber pacotes de rede de autenticação SMB2 partindo do IP
192.168.3.128 com destino ao IP 192.168.3.163 às 22:31:38 do dia 07/02/2019;
• A conexão tem a requisição de autenticação com a conta “Jeniffer” e tem o objetivo de criar o arquivo
PSEXESVC.EXE;

Wireshark
• Na sequência, podemos identificar

uma conexão HTTP do IP
192.168.3.163 (host comprometido)
com o IP 185.175.208.217;
• O IP 185.175.208.217 foi exatamente

o endereço que identificamos ao
analisarmos a memória do host;
• Podemos observar que o tráfego

ocorreu com sucesso.

Wireshark
• Ao examinarmos o tráfego completo,

usando a opção Follow -> HTTP
Stream conforme figura ao lado,
podemos observar que houve troca
de pacotes entre o host infectado e o
endereço C2.

Wireshark
• Há uma requisição HTTP POST para

a URL /index.php;
• Alguns parâmetros são informados

de forma criptografada e o servidor
retorna um conteúdo também
criptografado.

Wireshark
• Ao final do tráfego, é possível

observar um grande conteúdo com
uma codificação que lembra o
BASE64;
• Vamos tentar decodificá-lo.

Wireshark
• Para fazer isso, uma opção é utilizar o

CyberChef, uma ferramenta online
que apresenta uma série de formas
de codificação e decodificação;
• Ao lado, está a receita para

decodificar o conteúdo.

Wireshark
• O conteúdo decodificado aponta

exatamente para diferentes
repositórios de dados sensíveis tais
como senhas no sistema operacional;
• Isso só reforça o tipo de código

malicioso que infectou o host, que é
um Information Stealer;

Wireshark
• Filtrando por requests do tipo POST,

método que realiza o envio de dados
via HTTP, identificamos duas;
• A primeira foi a que trouxe ao final

um código em BASE64;
• A segunda realiza um POST com um

conteúdo bem maior;

Wireshark
• Acessando a conexão, podemos ter

acesso ao conteúdo postado, que
está criptografado;
• Como houve tráfego entre o host

infectado e o C2, é bem provável que
dados de senhas do usuário tenham
sido vazados.

Wireshark
• Ainda sobre a análise de tráfego

HTTP, é importante tentar verificar
se houve troca de arquivos;
• O Wireshark oferece uma forma
interessante de exportar objetos que
for capaz de identificar dentro do
tráfego;
• Desta forma, arquivos de imagem,
executáveis e outros arquivos
trafegados via HTTP podem ser
salvos em disco.

Wireshark
• Ainda sobre a análise de tráfego

HTTP, é importante tentar verificar
se houve troca de arquivos;
• O Wireshark oferece uma forma
interessante de exportar objetos que
for capaz de identificar dentro do
tráfego;
• Desta forma, arquivos de imagem,
executáveis e outros arquivos
trafegados via HTTP podem ser
salvos em disco.

Wireshark
• A exportação pode ser feita de todos os objetos

identificados ou de algum específico;
• Para o caso em análise, somente o arquivo

index.php foi identificado no tráfego;
• Ao salvá-lo, você terá salvo o conteúdo retornado

pelo servidor no acesso ao index.php.

Questão Resposta
infecção ocorreu?

arquivos, etc;
analisado.
O malware teve sucesso na comunicação com os Sim. Há evidências de que houve postagem de conteúdo para o endereço do C2 185.175.208.217 na porta 80. No
servidores do atacante? entanto, não é possível identificar o conteúdo pois este está criptografado.

Caso Empresa X – Considerações Finais
• Com isso, respondemos aos questionamentos levantados para esta investigação;
• Utilizamos conhecimentos para:

• Análise de memória RAM: identificação de processo malicioso e comunicação com um C2;
• Análise de imagem de disco: criação de Super Timeline para identificação do vetor de entrada da ameaça no
host infectado. Descobrimos a capacidade de movimentação lateral da ameaça vis PsExec;
• Análise de tráfego de rede: permitiu a confirmação da comunicação com o C2;
• Adicionalmente, a análise resultou em indicadores de comprometimento (IOCs) que auxiliarão na identificação

de outros hosts eventualmente comprometidos;
• Do ponto de vista de resposta ao incidente, o fornecimento de Status Reports ao longo da análise pode permitir
que a vítima atue com medidas de contenção. Por exemplo, a conta Jeniffer pode ser bloqueada em toda a rede, a
comunicação com o endereço IP 185.175.208.217 pode ser bloqueada e monitorada.
• O passo final, é a emissão de um Relatório Técnico descrevendo em detalhes como a análise foi
realizada juntamente com as evidências.

Relatório Técnico
• Um relatório técnico na forense digital tem como objetivo documentar os resultados de uma
investigação forense de computadores, dispositivos móveis ou outras fontes de dados digitais.
Ele deve ser escrito de forma clara e objetiva, de modo a permitir que qualquer pessoa possa
entender os métodos utilizados na investigação, os resultados obtidos e as conclusões a que se
chegou. Além disso, o relatório deve ser detalhado o suficiente para permitir que outros especialistas
possam reproduzir os passos da investigação e chegar às mesmas conclusões;
• Dependendo do caso analisado, será necessária a produção de relatórios técnicos de status de forma
periódica. Estes relatórios tem o objetivo de atualizar as partes interessadas sobre o andamento do
trabalho e sobre os resultados preliminares. Numa resposta a incidente, os resultados preliminares
tem o objetivo de ajudar a conter a ameaça.

O que deve contemplar minimamente o relatório técnico:
1. Capa 7. Mapeamento de táticas e técnicas no MITRE ATT&CK
2. Termo de confidencialidade Incluir um mapeamento das táticas e técnicas utilizadas pela ameaça. Pode ser num
formato de mapa de calor ou de tabela;
3. Sumário Executivo
Incluir aqui um resumo executivo do caso e de seus resultados principais. Deve utilizar 8. Conclusão
uma linguagem acessível e sem termos técnicos. Esta seção deve fazer um fechamento do relatório com um resumo dos resultados
4. Introdução obtidos.
Uma descrição do caso analisado e os objetivos do trabalho. Devem estar descritas as 9. Recomendações
questões a serem respondidas. Aqui, incluir uma lista de recomendações focadas em eventuais melhorias identificadas
5. Aquisição durante o trabalho. Por exemplo, recomendar a correção da vulnerabilidade que
Enumeração dos artefatos coletados e os respectivos hashes para manutenção de permitiu o acesso inicial.
integridade. 10. Indicadores de Comprometimento (IOCs)
6. Análise Incluir a lista de IOCs separados por categorias: Endereços IP, Hashes, contas
Detalhamento técnico das análises realizadas os artefatos e as evidências identificadas. O comprometidas, etc.
detalhamento deve ser feito a um nível que permita que um outro analista possa seguí-
lo. As evidências devem estar ligadas aos questionamentos a serem respondidos pelo
trabalho e devem estar acompanhadas de seus hashes sempre que necessário.
6. Resultados
Deve contemplar as questões elencadas na introdução e suas respectivas respostas de
forma clara e objetiva. Para as questões que foram devidamente evidenciadas na etapa
de análise, informar objetivamente a resposta e citar a seção da análise com detalhes
técnicos. Para questões que não foram respondidas, elencar as hipóteses possíveis para
responder a questão e detalhar, para cada hipótese, porque não pôde ser respondida.

Avaliação da Disciplina
• Questões com diferentes pesos;
• Em duplas;
• Permitido consulta ao material e Internet;

CTF - Cenário
Uma organização descobriu que um servidor Windows 2008 ficou exposto a internet acidentalmente. Uma regra
de firewall criada de forma ampla acabou publicando o serviço Remote Desktop (RDP). Com receio de que o
servidor tenha sido atacado enquanto esteve publicado, a organização requisita que você faça uma análise e
responda às questões postas em formato de Capture the Flag (CTF).

Digital Forensics and Incident Response renatomarinho@gmail.com
CTR – Artefatos
ARTEFATO DESCRIÇÃO
vserver-2008-all.vmdk Disco do Servidor Windows 2008 que teve o serviço RDP exposto.
WSERVER-2008-Snapshot11.vmem Imagem da memória do servidor Windows 2008
timeline-2008.zip Arquivo contendo a Super Timeline do disco

CTR – Questões
• Logs do Windows
• Principais arquivos de logs do Windows;
• Path dos arquivos;
• IDs dos logs mais comuns;
• Uso de ferramenta para análise;
• Análise de Memória
• Uso do Volatility;
• Uso dos principais plugins do Volatility;
• Análise de imagem de disco:
• Comandos de análise de partições e montagem (affuse, mount, etc);
• Cálculo de offset de partição;
• Criação e filtro de Super Timeline;
• Uso da Timeline Explorer;


Digital Forensics and Incident Response (DFIR) : Renato Marinho

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Digital Forensics and Incident Response (DFIR) : Renato Marinho

Enviado por

Direitos autorais:

Formatos disponíveis

Material de uso exclusivo pelos alunos do curso de

Residência em Segurança da Informação da UFC

Direitos autorais reservados. Proibida a reprodução,

Digital Forensics and Incident Response (DFIR)

Digital Forensics and Incident Response

• Incident Handler no SANS Internet Storm Center

• Doutorando em Informática Aplicada (Unifor)

• Atuação na área de Cyber Segurança desde 2001

• Palestras em eventos nacionais e internacionais tais como Fórum Nacional de

• Certificações GCFA, CISSP, PMP, CRISC

• Possui alguma experiência com o tema de resposta a incidentes?

• Expectativas para a disciplina?

Copyright 2023, Renato Marinho

• Introdução ao tema de resposta a incidentes e perícia digital; conceitos de evento e incidente;

• Metodologia Forense Computacional: coleta, preservação e análise de evidências e

• Preparação do ambiente de laboratório;

Copyright 2023, Renato Marinho

• Forense em Memória RAM: identificação de processos suspeitos, identificação de processos

• Forense em dispositivos de armazenamento: coleta e preservação de dados, ferramentas

• Relatório: como estruturar um documento para apresentar os resultados da análise;

Copyright 2023, Renato Marinho

• Aplicação das técnicas e ferramentas estudadas durante a disciplina para análise e

Copyright 2023, Renato Marinho

Digital Forensics and Incident Response

Copyright 2023, Renato Marinho

• Qual código malicioso está presente no host e quando a infecção ocorreu?

• Qual foi a porta de entrada da ameaça no host?

• Quais ações imediatas devemos tomar para conter a ameaça?

• Há suspeita de acesso a dados sensíveis do host/usuário?

Copyright 2023, Renato Marinho

• Relatório: como estruturar um documento para apresentar os resultados da análise.

Copyright 2023, Renato Marinho

Artefato Descrição Hash (SHA1)

win7-s11.raw Imagem raw de disco de um host infectado. CDAFA3276DDD6569F66932AA517F6BDD302073A7

Trafego.pcapng Tráfego de rede durante o incidente 2C209954CBD9CAA0A3AC7D1C7BF3538C26AA0639

mem.raw Dump da memória RAM 2F7161C7F695825019D800D2D7F31D8EF0A71FAB

Copyright 2023, Renato Marinho

• Você considera que a organização tratou o incidente da maneira mais

Copyright 2023, Renato Marinho

De acordo com a publicação NIST SP800-61:

“Event is any observable occurrence in a system or network”

Evento é qualquer ocorrência observável em um sistema ou rede.

Incidente é a violação ou ameaça a violação de políticas de segurança de

Copyright 2023, Renato Marinho

Segundo os autores, deveria evoluir para:

• Roubo de dados bancários e de cartões de crédito;

• Contaminação de computadores por códigos maliciosos. Ex: ransomware;

• Exploração de vulnerabilidade em serviço exposto à internet;

• Sistema inacessível devido a ataque de negação de serviço (DDoS);

• Defacement (pichação de sites)

Copyright 2023, Renato Marinho

De forma resumida, é o conjunto de ações coordenadas e estruturadas a

Copyright 2023, Renato Marinho

• Determinar o vetor inicial ou o causador do incidente;

• Determinar as técnicas e ferramentas utilizadas;

• Determinar quais sistemas foram afetados e como;

• Determinar as consequências do incidente;

• Determinar se o incidente ainda está em curso;

• Estabelecer a janela de tempo da ocorrência do incidente;

• Com base nas informações levantadas, estabelecer as ações de contenção e remediação.

Copyright 2023, Renato Marinho

SANS Six-step Incident Response Process

Copyright 2023, Renato Marinho