View
326
Download
3
Category
Tags:
Preview:
DESCRIPTION
Sandro Suffert APURA - Jacomo Picolini TEAMCYMRU - DESAFIO FORENSE ICCyber 2012
Citation preview
http://apura.com.br
Sandro Süffert, CTO Jacomo Picolini
http://apura.com.br http://team-cymru.com
http://blog.suffert.com @teamcymru
@suffert @Apura_Oficial @dimmit
Desafio Forense ICCyber 2012
Agradecimentos:
• Jacomo Piccolini – Team Cymru
• Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback
• Guilherme Venere (desafio.exe)
• Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA)
• Você!
Sobre o Desafio:
4
• As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012
• Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética!
• Novidades serão publicadas nos endereços
• http://www.apura.com.br/ • http://blog.suffert.com
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Este desafio vai abranger a Investigação em vários meios digitais
Sobre o Desafio Forense ICCYBER 2012
O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip
O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas.
As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.
Sobre o Desafio
7
• O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la.
• Ao participar do desafio você concorda automaticamente com as regras.
• Boa Sorte!!!!
Sleuthkit
8
• O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais.
• http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema
• Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit.
• Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio.
• Lembre-se existem MUITOS outros comandos e ferramentas!!!
Sleuthkit
9
• Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1
Sleuthkit
10
• Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1
Sleuthkit
11
• Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode>
8 x 512 = 4096 = 4k
Sleuthkit
12
• Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode>
Sleuthkit
13
• Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor>
Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
Volatility
Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>
Volatility
python volatility sockscan –f <memory-image.bin>
Volatility
Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid>
Volatility
Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
Abrindo um arquivo .pcap no wireshark:
$ wireshark file.pcap
Decodificando base64:
$ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d
usuario:senha
Wireshark
Extraindo arquivos transmitidos com o wireshark:
Analyze > Follow TCP Stream..
Wireshark
Steghide - esteganografia
$ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
Vamos iniciar o Desafio!
Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1
Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes
Recommended