Minicuirso Forense de Memoria

Prof. Sandro Melo [email protected] -- www.bandtec.com.br -2

About me

Sandro Melo - Atualmente Coordenador do curso de Tecnologia em Redes de Computadores na BANDTEC onde tambm professor das ctedras: "Sistema Operacionais, Segurana e Auditoria" e responsvel pelo Curso de Ps Graduao Lato Sensu em "Segurana Computacional e Computao Forense. Atua na rea de TI desde 1995. Doutorando pelo TIDD/PUC-SP, Mestre em Engenharia da Computao pelo IPT e Graduado em Tecnologia de Processamento de Dado Pela Universidade Mackenzie. Ministrou palestras em eventos nacionais e internacionais relevantes como CNASI, FIRST/USA, BRUCON/Blgica, SCI/RNP, COALTI, FISL, LATINOWARE; escritor e revisor tcnico; autor de 5 Livros publicados no Brasil pela editora Altabooks; conteudista, revisor tcnico e instrutor convidado pela ESR/RNP.

Superior pela qualidade de seus professores. Superior pelas tecnologias educacionais. Superior pela metodologia que equilibra teoria e prtica de forma exemplar. E superior, acima de tudo, por crer que est formando no apenas tecnlogos, mas lderes em suas reas, o que exige uma formao tcnica e tambm humanstica, ampla e profunda.

A BandTec uma faculdade de tecnologia superior.

Sobre a BandTec

Conceitos sobre Forense de

Memria

Forense de

Memria


Parte Computao Forense que consiste em um processo de captura dos dados da memria RAM, atravs da criao de um arquivo de DUMP da memria, sua posterior anlise que se baseia na extrao de dados do arquivo de DUMP criado. Esse arquivo ser uma replica de todos os anlise dos dados armazenados em memria voltil at a interverso do Analista de segurana/Perito. Embora seja uma parte da Computao Forense que passou a ter uma maior importncia recentemente, a Forense Memria torna-se cada vez mais estratgica, diante de um cenrio de sistemas computacionais com grande capacidade de armazenamento, virtualizao e Computao nas Nuvens.

Conceitos sobre Forense em Memria



Importante lembrar que mesmo a memria RAM sendo voltil, essa volatilidade pode variar de acordo com o contexto, ou seja, ainda existe a possibilidade de recuperao de dados da memria RAM aps o desligamento da mquina. Deve-se compreender que muitos dados que poderiam ser teis a uma percia correm o risco de serem perdidos no desligamento do sistema ou mesmo de serem reescritos no funcionamento normal do sistema, dessa forma a criao de um DUMP de memria torna-se necessrio para o perito ter uma fotografia real do estado do sistema operacional comprometido.



Essa caracterstica devido a forma como a memria RAM funciona. Embora diferente de uma mdia de memria secundria de armazenamento (exemplo: disco Rgido ,Pendrive) , tem uma taxa de persistncia de um dado em uma rea no alocadas de memria que muito menor. interessante destacar que discos SSD tem um funcionamento similar a um pente de memria, dessa forma eles tambm tem uma tendncia a baixa persistncia de dados em rea no alocadas


Onde pode-se aplicar a Forense em Memria

Estaes de Trabalhos e servidores convencionais Mquinas Virtuais Para anlise de Malware


Forense em Memria vs

Forense in Vivo

A Forense In Vivo um processo onde perito busca coletar dados periciais do sistema durante o seu funcionamento, para posterior analise e classificao desses dados como pistas, evidncias ou mesmo em provas que possa sustentar um indcio e/ou Hiptese. A coleta que constituem de informaes na Forense in Vivo consiste em um processo que utiliza boas prticas para tentar coletar os dados da melhor forma possvel, as vezes encaminhando pela rede ou copiando para um mdia removvel, evitando ao mximo alterar o estado do sistema Operacional.


Forense em Memria vs

Forense in Vivo

Entre os tipos de dados coletados tambm se encontram a duplicao das informaes da memria RAM, denominado de "Dump de Memria" A Forense de memria justamente a percia que realizado nos dados extrados do Dump de Memria.


Vantagens da Forense de Memria

A Forense de Memria trs um nova dinmica para Computao Forense, pois a evoluo das ferramentas possibilitam a extrao de dados periciais que dependendo do incidente de segurana ou investigao que esta sendo feita, podem possibilitar a identificao de evidncias e provas que podero ser relevantes e capazes de elucidar como um determinado incidente aconteceu, a partir do contexto do estado do sistema computacional.



A correlao de informao uma ao constante no processo de analise realizado pelo perito, dessa forma as informaes que podem ser levantadas em um processo de Forense de Memria, tornam-se mais uma fonte para tambm possibilitar as correlaes com informaes com outras etapas da Computao Forense (Forense de Rede, Forense In Vivo e Post Mortem Forense).



Outro ponto que deve-se considerar que a Post Mortem Forense torna-se cada vez mais complicada diante de mdias de armazenamento cada vez maiores, ou mesmo o uso de criptografia no armazenamento de dados, o que na Forense de Memria pode ter a oportunidade de recuperao de chaves e senhas.


O Processo da Forense de Memria


Gerao do Dump de Memoria


Dump de Memria

possvel dividir a partir de um ponto de vista macro em duas partes, o momento da gerao do Dump de memria e analise do mesmo. Similar a duplicao de imagens (disco, pen-drive), o Dump de memria um procedimento de duplicao de todo contedo da memria RAM, ou seja, uma copia bit bit. Essa cpia pode ser feita a partir de hardware e/ou software especializado.


Dump de Memria

Embora no seja de uso universal a possibilidade de realizao de Dump de memria via hardware, pode ser um recurso interessante para ambientes crticos onde no pode desligar os servidores. Entretanto demanda-se que uma placa de expanso com essa capacidade seja instalada previamente, um bom exemplo a placa PCI Tribble card. A forma mais comum via a realizao do Dump de memria via software, escrevendo em uma mdia externa (removvel). Existem algumas opes de software para realizar esse procedimento, no caso de sistemas GNU Linux podemos citar: Memdump, dd, Lime, crash.


Desafios - Proteo do /dev/mem

Proteo de acesso ao /dev/mem comum nas distribuies Linux pode ser um problema durante a Forense In Vivo. Dessa forma recomendvel ao sysadmin preparar antecipadamente sua Linux Box com alguma forma que possibilite a criao de um Dump de memria contornando a proteo do /devm/mem. # dd if=/dev/mem of=/tmp/mem.dump dd: reading `/dev/mem': Operation not permitted 2056+0 records in 2056+0 records out 1052672 bytes (1.1 MB) copied, 0.153596 s, 6.9 MB/s


Proteo do /dev/mem

# tail /var/log/messages | grep /dev/mem --color Nov 6 16:45:04 ichigeki kernel: Program dd tried to access /dev/mem between 101000->101200.


Instalao do modulo crash

Utilizar o modulo crash.ko que possibilita realizar o dump da memria mesmo que exista a restrio de acesso ao /dev/mem. # tar xzvf crash_modulo.tgz # cd crash/ # make # insmod crash.ko # lsmod | grep -i crash # ls -l /dev/crash # dd if=/dev/crash bs=4096 of=/dev/mem.dd


Utilizao do modulo crash

Recebendo informaes do dump de memria usando modulo crash.ko . # dd if=/dev/crash bs=4096 | /cdrom/nc -q 5 -v # nc -l -p porta | tee mem_crash.info | md5sum $1 > mem_crash.info.md5


Dump de memria com modulo Lime

Tambm um modulo de kernel carregvel (LKM) que possibilita a criao do Dump em sistema Linux ou sistemas baseados no kernel do Linux como sistema operacional utilizados em dispositivos moveis como Android. O Modulo Lime foi a primeira ferramenta que permitiu a captura completa de dados memria RAM em dispositivos moveis baseados em Android. Segundo sua documentao original ele foi desenvolvido para minimiza a interao entre os processos do usurio e espao do kernel durante a aquisio, o que lhe permite produzir Dumps de memria com o mximo informao.

Extrao de Strings e uso do

Regex


Extrao e anlise de Strings

A gerao de um arquivo de strings do Dump de memria um passo inicial importante que pode permitir identificar informaes relevantes. # strings -a DUMP.img | tee DUMP.img.str O uso de Regex ser um mecanismo fundamental para o tratamento do arquivo de strings, dessa forma o uso de ferramentas como: GREP, EGREP, GLARK.


Extrao e anlise de Strings

Exemplos de uso de Regex para extrao de informaes relevantes a parti das Strings do arquivo de dump de memria: # grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" DUMP.img.str # grep -i "\/exploit\/" DUMP.img.str # grep -i "rootkit\/" DUMP.img.str

Extrao de informaes do estado do S.O.


Extrao de informaes do S.O.

Nos ltimos anos ocorreu uma evoluo considerada de ferramentas para suportar o processo de Forense de Memria. Atualmente existem ferramentas que conseguem extrair de forma legvel e organizada, exemplos de ferramentas que se destacam so: - SecondLook - Volafox - Volatilitux - Volatility


Volatility Conceitos

O Volatility foi uma ferramenta que surgiu em um evento DFRWS, inicialmente utilizadas em uma soluo de um desafio forense. Atualmente o Volatility uma das melhores ferramentas para anlise de forense de memria e seu desenvolvimento constante tem trazido novos recursos para os peritos forenses, embora seja ainda uma rea nova da Computao Forense. Existe um grande espao para melhorias nas ferramentas j existente. Prof. Sandro Melo [email protected] -- www.bandtec.com.br -32


Dados Perciais na Memria

Com o uso do Volatility possvel extrair informaes interessantes do estado do Sistema Operacional a partir de um Dump de Memria: Informao de processos que estavam ativos Informaes de conexes / sockets de rede Informaes de bibliotecas dinmicas (ou Libs) em sistema like Unix (Linux, MaC OS) e DLL (Windows) que estavam carregadas. Informaes de Arquivos independentes que estavam vinculadas aos processos


Dados Perciais na Memria

Acesso a memria enderevel Mdulos de kernel especficos para a ferramenta Mapeamento fsico para endereos virtuais (strings de processo) Digitalizao de processos: threads, sockets, conexes, mdulos

Recuperao de Artefatos e

Extrao de Dados


File Carving e Extrao de Dados

A recuperao de artefatos da memria uma ao necessria e que com certeza ajuda todo o processo da percia, dessa forma ela deve ser feita. Outra forma que pode possibilitar a extrao de artefatos a utilizao de ferramentas como Foremost e Bulk_extractor/ # foremost -c /etc/foremost.conf -o report victoria-v8.memdump.img T # bulk_extractor -E net -o bulk_output/ victoria-v8.memdump.img

Relatorio (Laudo Tcnico)

e Concluso


Laudo Tcnico

Em toda anlise deseja-se ter como resultado um relatrio onde seja elencado as informaes que o Perito considerou relevante, vinculando dados periciais que sustente sua argumentao.


Concluso

A Forense de Memria at pode ser decisiva em uma Percia, principalmente quando o alvo da anlise for um incidente baseado em um Malware. Mas deve-se ter em mente que em incidentes de segurana mais elaborados e/ou que tenham dados periciais serem analisados em outros etapas de uma pericia (Post Mortem, Rede, In Vivo), a forense de Memria poder ser tambm uma fonte de informao importante.

Documents

Minicuirso Forense de Memoria