ICCYBER 2012 - DESAFIO FORENSE

Transcript

1. http://apura.com.br

2. Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert

   @Apura_Oficial @dimmit Desafio Forense ICCyber 2012

3. Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do

   evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!

4. Sobre o Desafio: 4 • As informações do Desafio estão

   no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com

5. HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8

   setores / 4kb 1-n clusters + d a d o s + c o m p l e x i d a d e Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams Este desafio vai abranger a Investigação em vários meios digitais

6. Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará

   após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.

7. Sobre o Desafio 7 • O desafio termina com uma

   frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!!

8. Sleuthkit 8 • O Sleuthkit é um conjunto de ferramentas

   forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!!

9. Sleuthkit 9 • Comando fsstat – fornece informações sobre uma

   partição • Uso # fsstat /dev/sdb1

10. Sleuthkit 10 • Comando fls – lista informações sobre arquivos

    e diretórios • Uso # fls –arp –f fat32 /dev/sdb1

11. Sleuthkit 11 • Comando istat – fornece informações sobre um

    Inode • Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k

12. Sleuthkit 12 • Comando icat – mostra o conteúdo de

    um Inode • Uso # icat /dev/sdb1 <número do Inode>

13. Sleuthkit 13 • Comando dcat – mostra o conteúdo de

    um setor/bloco • Uso # dcat /dev/sdb1 <número do setor>

14. Volatility – identificar um dump de memória e listar os

    processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump> Volatility

15. Volatility – listar as conexões estabelecidas $ volatility connscan –f

    <memory-image.bin> Volatility

16. python volatility sockscan –f <memory-image.bin> Volatility

17. Volatility – fazer o dump de espaço de memória utilizado

    por um um processo específico $ volatility procdump –f <dump> -p <pid> Volatility Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>

18. Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando

    base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha Wireshark

19. Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP

    Stream.. Wireshark

20. Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base>

    -p $ steghide --extract -sf <imagem>

21. Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet

    Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes