Title: Técnicas para ocultar informações e identificar ataques no Windows
Post by: Fox on 30 de March , 2006, 02:48:36 PM
Post by: Fox on 30 de March , 2006, 02:48:36 PM
Segurança Virtual: Técnicas para ocultar informações e identificar ataques no Windows
Enviado em Quarta, 08 de fevereiro de 2006 às 17:59:24 BRDT por Denny Roger (769 leituras)
Segurança A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.
Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.
Escondendo informações
Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:
Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção "Ocultar as extensões dos tipos de arquivo conhecido" em "Ferramentas", "Opções de Pastas", "Modo de exibição" do seu sistema operacional Windows.
1. Crie um arquivo com extensão .doc para a realização dos testes.
2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.
3. Clique em "Iniciar", "Executar" e digite %windir%/system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.
4. Copie o arquivo fopag.dll para este diretório.
O diretório %windir%/system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a "caçada virtual" das evidencias de um ataque, o administrador de rede procure informações "ocultas" neste diretório.
Algumas técnicas para detectar as informações que podem estar sendo escondidas são:
a) Procure pela data e hora de criação/modificação do arquivo.
b) É possível realizar pesquisas específicas no Windows definindo data ou hora.
c) Você pode realizar um scan no seu computador a procura de arquivos modificados.
Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt "sfc /scannow". Para mais informações, acesse http://www.microsoft.com/technet/prodte ... cbf5f.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx).
d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.
Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samha ... ndows.html (http://la-samhna.de/samhain/HOWTO-samhain-on-windows.html).
Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de "Verificação de assinatura de arquivo".
1. Clique em "Iniciar", "Executar" e digite "sigverif".
2. Siga as orientações descritas na tela para a verificação dos arquivos.
Para mais informações, acesse http://www.microsoft.com/resources/docu ... _tool.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sig_verification_tool.mspx).
Analisando a assinatura dos arquivos no Windows
Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.
Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:
1. Clique em "Iniciar", "Executar" e digite "cmd".
2. Na raiz do promt digite "cd windows/system32" e pressione "Enter".
3. Digite "notepad sol.exe" e pressione "Enter". (sol.exe é o jogo de Paciência do Windows).
4. Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.
Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.
Você irá identificar a seguinte assinatura no arquivo: "ÐÏ.ࡱ.á". Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).
Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html (http://www.garykessler.net/library/file_sigs.html).
Construindo arquivos
Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.
Existem ferramentas que permitem a "construção de arquivos". Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).
Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect (http://sysd.org/proj/exe.php#inpect).
Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.
Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html (http://www.sysinternals.com/Utilities/TcpView.html).
Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/P ... lorer.html (http://www.sysinternals.com/Utilities/ProcessExplorer.html).
Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.
Conclusão
Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.
Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.
Enviado em Quarta, 08 de fevereiro de 2006 às 17:59:24 BRDT por Denny Roger (769 leituras)
Segurança A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.
Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.
Escondendo informações
Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:
Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção "Ocultar as extensões dos tipos de arquivo conhecido" em "Ferramentas", "Opções de Pastas", "Modo de exibição" do seu sistema operacional Windows.
1. Crie um arquivo com extensão .doc para a realização dos testes.
2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.
3. Clique em "Iniciar", "Executar" e digite %windir%/system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.
4. Copie o arquivo fopag.dll para este diretório.
O diretório %windir%/system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a "caçada virtual" das evidencias de um ataque, o administrador de rede procure informações "ocultas" neste diretório.
Algumas técnicas para detectar as informações que podem estar sendo escondidas são:
a) Procure pela data e hora de criação/modificação do arquivo.
b) É possível realizar pesquisas específicas no Windows definindo data ou hora.
c) Você pode realizar um scan no seu computador a procura de arquivos modificados.
Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt "sfc /scannow". Para mais informações, acesse http://www.microsoft.com/technet/prodte ... cbf5f.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx).
d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.
Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samha ... ndows.html (http://la-samhna.de/samhain/HOWTO-samhain-on-windows.html).
Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de "Verificação de assinatura de arquivo".
1. Clique em "Iniciar", "Executar" e digite "sigverif".
2. Siga as orientações descritas na tela para a verificação dos arquivos.
Para mais informações, acesse http://www.microsoft.com/resources/docu ... _tool.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sig_verification_tool.mspx).
Analisando a assinatura dos arquivos no Windows
Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.
Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:
1. Clique em "Iniciar", "Executar" e digite "cmd".
2. Na raiz do promt digite "cd windows/system32" e pressione "Enter".
3. Digite "notepad sol.exe" e pressione "Enter". (sol.exe é o jogo de Paciência do Windows).
4. Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.
Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.
Você irá identificar a seguinte assinatura no arquivo: "ÐÏ.ࡱ.á". Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).
Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html (http://www.garykessler.net/library/file_sigs.html).
Construindo arquivos
Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.
Existem ferramentas que permitem a "construção de arquivos". Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).
Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect (http://sysd.org/proj/exe.php#inpect).
Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.
Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html (http://www.sysinternals.com/Utilities/TcpView.html).
Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/P ... lorer.html (http://www.sysinternals.com/Utilities/ProcessExplorer.html).
Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.
Conclusão
Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.
Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: whit3_sh4rk on 30 de March , 2006, 03:08:48 PM
Post by: whit3_sh4rk on 30 de March , 2006, 03:08:48 PM
Muito interessante esse artigo..
Para quem não tem muita "afinidade" com o windows está aí um bom macete de como esconder informações e também como indentificar as mesmas..
É por esse motivo que os coders de vírus/trojans/kl preferem deixar o arquivo que inicia com o sistema, em pastas do Windows, System32, etc.. Pois são onde tem um número muito grande de arquivos e todos de extrema importância para o sistema opercional, fazendo assim, com que poucos usuários consiga identificar essas pragas, pois a maioria tem medo, receio ou até mesmo não sabem "fuçar" no seu próprio S.O...
[]s
Para quem não tem muita "afinidade" com o windows está aí um bom macete de como esconder informações e também como indentificar as mesmas..
É por esse motivo que os coders de vírus/trojans/kl preferem deixar o arquivo que inicia com o sistema, em pastas do Windows, System32, etc.. Pois são onde tem um número muito grande de arquivos e todos de extrema importância para o sistema opercional, fazendo assim, com que poucos usuários consiga identificar essas pragas, pois a maioria tem medo, receio ou até mesmo não sabem "fuçar" no seu próprio S.O...
[]s
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: Anonymous on 30 de March , 2006, 03:18:50 PM
Post by: Anonymous on 30 de March , 2006, 03:18:50 PM
E isso msm muitos tem medo de detonar com o propio computador e confia nos anti-virus normais do mercado.
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: Fox on 30 de March , 2006, 03:20:58 PM
Post by: Fox on 30 de March , 2006, 03:20:58 PM
Realmente é um coisa complicada manipular arquivos do windows...tem que saber muito bem o que esta fazendo! E sempre...sempre fazer backup do sistema antes de "fuçar".
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: Kratos on 30 de March , 2006, 03:21:17 PM
Post by: Kratos on 30 de March , 2006, 03:21:17 PM
Achei bacana este post
Principalmente a parte das assinaturas!!
Parabens Fox .... eu te daria um +
vlw!!
Principalmente a parte das assinaturas!!
Parabens Fox .... eu te daria um +
vlw!!
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: lcs on 18 de April , 2006, 01:13:08 PM
Post by: lcs on 18 de April , 2006, 01:13:08 PM
Bom para se ter o minimo de segurança no pc,
1° ter um antivirus;
2° ter um firewall com log.
3º ter um programa de monitoramento..
entre outras medidas..
1° ter um antivirus;
2° ter um firewall com log.
3º ter um programa de monitoramento..
entre outras medidas..
Title: Re: Técnicas para ocultar informações e identificar ataques no Windows
Post by: Fox on 18 de April , 2006, 04:56:48 PM
Post by: Fox on 18 de April , 2006, 04:56:48 PM
Quote from: "Kratos"Achei bacana este post
Principalmente a parte das assinaturas!!
Parabens Fox .... eu te daria um +
vlw!!
Obrigado pela consideração Kratos!