Um guia para a computação forense básica Tom Cloward and Frank

Um guia para a computação forense básica Tom Cloward and Frank Simorjay Visão geral: Guia básico de investigação computacional para Windows O Malware Removal Starter Kit Criando um kit de investigação com o Windows PE Preservando informações para análise forense As pessoas maliciosas podem usar um computador de inúmeras formas para executar atividades ilegais — invadir sistemas, vazar segredos comerciais, liberar novos vírus, usar mensagens de phishing para furtar informações pessoais e assim por diante. E constantemente ouvimos falar de novas explorações e técnicas. O que você não ouve com freqüência são informações sobre todas as formas como os computadores podem ser usados na investigação dessas atividades. Enquanto algumas investigações exigem profissionais altamente treinados com ferramentas caras e técnicas complexas, existem métodos mais fáceis e baratos que podem ser usados na investigação e na análise básicas. Neste artigo, nos concentraremos em técnicas de computação forense que você pode acessar prontamente como administrador. A nossa discussão se baseia em dois aceleradores de soluções que podem ser baixados gratuitamente: "Guia básico de investigação computacional para Windows" (go.microsoft.com/fwlink/?LinkId=80344) e O Malware Removal Starter Kit (go.microsoft.com/fwlink/?LinkId=93103). Neste artigo, mostraremos como é possível combinar essas duas soluções para criar um ambiente inicializável do Windows® PE que permitirá a você conduzir uma investigação efetiva e preservar as suas descobertas para análise e criação de relatórios. Observe que você não poderá usar o método discutido aqui para investigar um disco rígido criptografado ou que faça parte de um volume RAID. E se o disco rígido estiver danificado, você precisará executar etapas adicionais além do tempo de restauração do seu estado. Embora a nossa solução detalhe uma maneira fácil de coletar provas de um computador baseado em Windows, ela não deixa de ser uma abordagem básica e ad hoc. Existem diversas soluções mais sofisticadas disponíveis comercialmente que podem executar o trabalho descrito aqui de uma forma muito mais eficiente. Tenha em mente também que a técnica discutida aqui não é uma solução prescritiva garantida nem certificada pela The International Society of Forensic Computer Examiners. Antes de começar uma investigação, você deve considerar se a prova contida no disco rígido potencialmente pode se tornar parte de um procedimento legal. Se houver essa possibilidade, um examinador de computadores certificado profissionalmente deverá ser encarregado de conduzir a investigação. Dependendo da natureza de qualquer potencial procedimento legal, você também deve considerar o fato de transferir a investigação diretamente para as autoridades competentes. Há mais informações sobre este tópico no "Guia básico de investigação computacional para Windows". Sobre os Solution Accelerators O "Guia básico de investigação computacional para Windows" discute processos e ferramentas que você pode usar em uma investigação computacional interna. Ele descreve as quatro fases do modelo de investigação computacional: avaliar, obter, analisar e relatar. Esse modelo é conveniente para ajudar profissionais de TI a conduzir investigações de uma forma que preserve as descobertas importantes. Esse guia também aborda o momento em que é necessário envolver as autoridades competentes — será preciso pedir a opinião de seus consultores jurídicos nessa tomada de decisão. Você encontrará informações sobre o gerenciamento de crimes relacionados a computadores, como entrar em contato com as autoridades competentes apropriadas e sobre as ferramentas Windows Sysinternals e outras ferramentas do Windows úteis na condução de investigações. O outro solution accelerator indicado neste artigo, o Malware Removal Starter Kit, oferece orientação sobre como criar e usar um CD-­‐ROM inicializável do Windows PE para remover malware de um computador. Esse guia inclui uma lista de ameaças e algumas das soluções que podem ajudar a reduzir seu potencial impacto em uma organização. Também salienta a importância do desenvolvimento de um plano de resposta a incidentes que possa ser seguido em caso de suspeita de ataque de malware. O Malware Removal Starter Kit também inclui uma abordagem de 4 estágios para ajudar um profissional de TI a determinar a natureza do malware envolvido, limitar sua disseminação, removê-­‐
lo, se possível, verificar a sua remoção e prosseguir com outras etapas que venham a ser necessárias. O CD-­‐ROM do Windows PE Existem dois pré-­‐requisitos para a execução de uma investigação desse tipo: um CD-­‐ROM do Windows PE e um dispositivo de armazenamento externo, como uma unidade flash USB. Provavelmente você já viu televisão suficiente para saber que os policiais devem manter a cena do crime inalterada. Bem, por algum motivo, você deseja preservar os dados no disco rígido que está sendo investigado. Ao contrário do disco do Malware Removal Starter Kit, o disco inicializável do Windows PE que estamos criando só executará ferramentas de forma que os dados do disco rígido não sejam alterados de forma alguma. O disco do Windows PE inicializará o sistema em um ambiente limitado do Windows. Ao criar esse CD inicializável, você poderá incluir ferramentas (como no Malware Removal Starter Kit) configuradas com antecedência para uma finalidade especial. Observe que o computador deve ter pelo menos 512 MB de RAM — essa é uma exigência do Windows PE. O processo de criação do CD-­‐ROM do Windows PE, detalhado em O Malware Removal Starter Kit, é bastante simples. Antes de criar esse disco reinicializável, você precisará instalar o AIK (Kit de Instalação Automatizada do Windows), o Sysinternals Suite (disponível em microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), colocar as ferramentas Sysinternals em sua lista de ferramentas como descrito na Tarefa 2 do Malware Removal Starter Kit e instalar qualquer outra ferramenta e utilitário de exame de malware. Para obter instruções detalhadas sobre a criação do disco, utilize as etapas descritas no documento O Malware Removal Starter Kit. A unidade externa USB Uma vez que esse processo não altera a unidade sob investigação, você precisará também de um pen drive USB ou algum outro tipo de disco rígido externo para poder armazenar os arquivos de saída que serão gerados (o pen drive USB é a mídia recomendada, já que o Windows PE consegue montar dispositivos USB automaticamente). Talvez você também queira usar um disco rígido externo para armazenar uma imagem do disco rígido original. Com todos esses requisitos e opções, é importante que você planeje com antecedência para levar em consideração o espaço em disco total que a investigação exigirá. Como você deseja garantir que o kit esteja limpo no início de uma investigação, todos os dados anteriores precisam ser completamente removidos do disco rígido externo que será usado para salvar os arquivos da investigação. Isso pode ser feito com facilidade com um utilitário de limpeza de disco que substitua toda a superfície da unidade gravável. O disco externo poderá então ser formatado e rotulado como necessário para ser usado na investigação. Essa precaução garante que o dispositivo não contenha arquivos que possivelmente possam contaminar as provas obtidas durante a investigação. Você também deve incluir um formulário de cadeia de custódia que será a documentação oficial quanto a quem manipulou o computador em toda a investigação. O "Guia básico de investigação computacional para Windows" oferece um exemplo de formulário de cadeia de custódia. Depois de concluir o empacotamento do kit (com o disco inicializável do Windows PE necessário, o dispositivo de armazenamento externo e um formulário de cadeia de custódia), você estará pronto para prosseguir. Executando uma investigação Agora você está pronto para executar uma investigação. Primeiro, inicialize o sistema suspeito usando o disco do Windows PE, verificando se a ordem de inicialização do computador identifica a unidade de CD-­‐ROM como o principal dispositivo de inicialização. Quando solicitado, pressione qualquer tecla para concluir a inicialização a partir do CD-­‐ROM. Isso oferecerá o acesso às ferramentas instaladas no disco. Nós usaremos o nosso kit em uma máquina de exemplo para demonstrarmos como você pode coletar informações a partir de um computador (que chamaremos de Testbox1). A atribuição da unidade de CD em Testbox1 é X:\ e o local padrão fornecido para as ferramentas do Malware Removal Starter Kit é X:\tools. Para acessar as ferramentas do kit, devemos simplesmente digitar: cd \tools. Existem diversas ferramentas que podem identificar as unidades de destino montadas em um computador. Bginfo.exe, localizado no diretório de ferramentas Sysinternals, pode oferecer essas informações e colocá-­‐las em uma janela de plano de fundo na área de trabalho para referência fácil. O Drive Manager também pode identificar todas as unidades do computador, incluindo as unidades de disco rígido de destino e o dispositivo USB externo. A Figura 1 mostra as informações do disco de Testbox1. A unidade de inicialização é a X:\, o disco rígido de destino é o C:\ e a nossa unidade externa USB é a F:\. Figure 1 Viewing disk information with Drive Manager Verificando a existência de malware É importante executar ferramentas anti-­‐malware antes de iniciar uma investigação para garantir que a investigação não será comprometida por um vírus ou por outro código malicioso. O relatório gerado pela ferramenta anti-­‐
malware pode ser usado como prova, se necessário. Mas a falta de verificação da existência de malware em um computador pode prejudicar a investigação, assim como a credibilidade do examinador em relação à sua eficácia e precisão. Recomendamos que você execute as ferramentas anti-­‐malware fornecidas em um modo somente leitura ou de relatório. O Malware Removal Starter Kit discute algumas das ferramentas recomendadas, incluindo a Ferramenta de Remoção de Software Mal-­‐Intencionado e o McAfee AVERT Stinger. Quando a Ferramenta de Remoção de Software Mal-­‐Intencionado for executada, não se esqueça de incluir a opção de linha de comando /N para instruí-­‐la a somente informar o malware, sem tentar removê-­‐lo: x:\tools\windows-­‐KB890830-­‐v1.29.exe /N O arquivo de relatório resultante será gerado em %windir%\debug\mrt.log. Da mesma forma, quando executar o McAfee AVERT Stinger, altere a preferência para Report only (Somente informar), como mostrado na Figura 2, para que ele verifique o computador mas não faça alterações no disco rígido. E não se esqueça de salvar um relatório da ferramenta após a conclusão da verificação. Figure 2 Use Report only mode in McAfee AVERT Stinger Salvando arquivos fundamentais Se não houve um backup completo de todo o disco antes do início da investigação, pelo menos faça backup dos principais arquivos de usuário. As informações de configuração podem ser usadas em uma futura revisão, se necessário. Comece pela coleta dos arquivos e das configurações do registro, pois eles contêm todas as informações relevantes sobre como o computador foi usado e que programas estão instalados no sistema. Para salvar o hive do registro de Textbox1, primeiro criamos uma pasta na unidade F:\ removível e registramos a data e a hora de início da investigação usando os seguintes comandos: f: Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt Agora salvamos o hive do registro usando o comando xcopy para copiar todo o diretório de configuração e seu conteúdo. Os arquivos do registro que interessam a você estão localizados em %windows%\system32\config. Em nosso caso, executamos o seguinte: xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v Esse comando copia todas as informações de configuração localizadas na pasta config. Textbox1 contém aproximadamente 95 MB de informações na pasta config. Em seguida, concentre-­‐se nos dados do usuário, que podem estar em qualquer lugar do disco rígido. Em nosso exemplo, copiaremos somente os dados de um diretório chamado c:\HR. Para garantir que todos os dados sejam coletados, copiados todos os dados do diretório e de seus subdiretórios usando o seguinte comando xcopy: Mkdir f:\evidence_files\HR_Evidence Mkdir f:\evidence_files\documents_and_settings Mkdir f:\evidence_files\users xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v Agora você pode se concentrar nas informações das pastas pessoais. Novamente, queremos copiar todos os dados desses diretórios e de seus subdiretórios. Para isso, usamos os seguintes comandos: Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v Esse exemplo coletou cerca de 500 MB de dados, que agora podemos analisar, se necessário. Como você pode ver, a quantidade de dados coletados pode ser imensa — especialmente se você encontrar arquivos de áudio, vídeos e fotos. Ainda assim, é importante preservar o máximo possível dos dados originais porque uma investigação pode exigir não só as provas coletadas fisicamente como também a garantia de que essas informações não foram alteradas durante o processo de coleta. O ideal é que você faça uma imagem completa do disco para a sua investigação, mas isso pode ser difícil devido a restrições de tamanho. Não é preciso dizer que você pode ver porque é importante saber com antecedência quanto espaço de armazenamento é provável que a sua investigação exija. Coletando informações adicionais Os arquivos do sistema também podem ser um bem útil na coleta de provas, mas a obtenção desses dados pode exigir alguma exploração do computador de destino, uma vez que esses arquivos nem sempre estão no mesmo local. Ainda assim, vale a pena procurar por certos tipos de arquivos porque eles oferecem informações úteis. Os arquivos de swap, por exemplo, contêm informações sobre arquivos que foram acessados pela memória. Além disso, os arquivos de swap podem até oferecer informações detalhadas sobre a atividade de uso. De forma similar, os dados e os cookies de um navegador da Web oferecem informações sobre comportamento e padrões de navegação. A localização desses dados pode exigir algum trabalho de detetive, especialmente se um usuário tiver alterado sua configuração para armazenar dados em algum lugar diferente dos locais padrão. Existem diversas ferramentas Sysinternals que podem ajudá-­‐lo a encontrar arquivos fundamentais. binárias. Tom Cloward, CCE, CISSP, gerente de programa da Microsoft, dedicado a oferecer solution accelerators de segurança e de conformidade para profissionais de TI. Trabalhou nos setores de software e de TI por mais de 15 anos e é apaixonado por segurança de TI, computação forense e conformidade. Frank SimorjayCISSP, CET, é gerente de programa técnico e especialista no assunto segurança do grupo de segurança e conformidade do Solution Accelerator da Microsoft. Ele projeta soluções de segurança para clientes da Microsoft. Seu trabalho mais recente é o Malware Removal Starter Kit, disponível no Microsoft TechNet.