Técnicas para ocultar informações e identificar ataques no Windows

[Fox]

Segurança Virtual: Técnicas para ocultar informações e identificar ataques no Windows
Enviado em Quarta, 08 de fevereiro de 2006 às 17:59:24 BRDT por Denny Roger (769 leituras)

Segurança A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.

Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.

Escondendo informações

Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:

Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção "Ocultar as extensões dos tipos de arquivo conhecido" em "Ferramentas", "Opções de Pastas", "Modo de exibição" do seu sistema operacional Windows.

1. Crie um arquivo com extensão .doc para a realização dos testes.

2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.

3. Clique em "Iniciar", "Executar" e digite %windir%/system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.

4. Copie o arquivo fopag.dll para este diretório.

O diretório %windir%/system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a "caçada virtual" das evidencias de um ataque, o administrador de rede procure informações "ocultas" neste diretório.

Algumas técnicas para detectar as informações que podem estar sendo escondidas são:

a) Procure pela data e hora de criação/modificação do arquivo.

b) É possível realizar pesquisas específicas no Windows definindo data ou hora.

c) Você pode realizar um scan no seu computador a procura de arquivos modificados.

Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt "sfc /scannow". Para mais informações, acesse http://www.microsoft.com/technet/prodte ... cbf5f.mspx.

d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.

Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samha ... ndows.html.

Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de "Verificação de assinatura de arquivo".

1. Clique em "Iniciar", "Executar" e digite "sigverif".

2. Siga as orientações descritas na tela para a verificação dos arquivos.

Para mais informações, acesse http://www.microsoft.com/resources/docu ... _tool.mspx.

Analisando a assinatura dos arquivos no Windows

Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.

Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:

1. Clique em "Iniciar", "Executar" e digite "cmd".

2. Na raiz do promt digite "cd windows/system32" e pressione "Enter".

3. Digite "notepad sol.exe" e pressione "Enter". (sol.exe é o jogo de Paciência do Windows).

4. Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.

Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.

Você irá identificar a seguinte assinatura no arquivo: "ÐÏ.ࡱ.á". Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).

Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html.

Construindo arquivos

Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.

Existem ferramentas que permitem a "construção de arquivos". Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).

Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect.

Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.

Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html.

Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/P ... lorer.html.

Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.

Conclusão

Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.

Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.

[whit3_sh4rk]

Muito interessante esse artigo..
Para quem não tem muita "afinidade" com o windows está aí um bom macete de como esconder informações e também como indentificar as mesmas..

É por esse motivo que os coders de vírus/trojans/kl preferem deixar o arquivo que inicia com o sistema, em pastas do Windows, System32, etc.. Pois são onde tem um número muito grande de arquivos e todos de extrema importância para o sistema opercional, fazendo assim, com que poucos usuários consiga identificar essas pragas, pois a maioria tem medo, receio ou até mesmo não sabem "fuçar" no seu próprio S.O...

 

[]s

[Anonymous]

E isso msm muitos tem medo de detonar com o propio computador e confia nos anti-virus normais do mercado.

[Fox]

Realmente é um coisa complicada manipular arquivos do windows...tem que saber muito bem o que esta fazendo! E sempre...sempre fazer backup do sistema antes de "fuçar".

[Kratos]

Achei bacana este post
Principalmente a parte das assinaturas!!

Parabens Fox   .... eu te daria um +

vlw!!

[lcs]

Bom para se ter o minimo de segurança no pc,

1° ter um antivirus;
2° ter um firewall com log.
3º ter um programa de monitoramento..
  entre outras medidas..

[Fox]

Achei bacana este post
Principalmente a parte das assinaturas!!

Parabens Fox   .... eu te daria um +

vlw!!

Obrigado pela consideração Kratos!