Técnicas para ocultar informações e identificar ataques no Windows
A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.
Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.
Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.
Escondendo informações
Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:
Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.
1. Crie um arquivo com extensão .doc para a realização dos testes.
2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.
3. Clique em “Iniciar”, “Executar” e digite %windir%\system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.
4. Copie o arquivo fopag.dll para este diretório.
O diretório %windir%\system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a “caçada virtual” das evidencias de um ataque, o administrador de rede procure informações “ocultas” neste diretório.
Algumas técnicas para detectar as informações que podem estar sendo escondidas são:
a) Procure pela data e hora de criação/modificação do arquivo.
b) É possível realizar pesquisas específicas no Windows definindo data ou hora.
c) Você pode realizar um scan no seu computador a procura de arquivos modificados.
Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt “sfc /scannow”. Para mais informações, acesse http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx.
d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.
Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samhain-on-windows.html.
Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de “Verificação de assinatura de arquivo”.
Clique em “Iniciar”, “Executar” e digite “sigverif”.
Siga as orientações descritas na tela para a verificação dos arquivos.
Para mais informações, acesse http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sig_verification_tool.mspx.
Analisando a assinatura dos arquivos no Windows
Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.
Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:
Clique em “Iniciar”, “Executar” e digite “cmd”.
Digite “cd \windows\system32” e pressione “Enter”.
Digite “notepad sol.exe” e pressione “Enter”. (sol.exe é o jogo de Paciência do Windows).
Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.
Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.
Você irá identificar a seguinte assinatura no arquivo: “ÐÏ.ࡱ.á”. Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).
Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html.
Construindo arquivos
Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.
Existem ferramentas que permitem a “construção de arquivos”. Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).
Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect.
Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.
Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html.
Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/ProcessExplorer.html.
Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.
Conclusão
Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.
Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.
Sobre o autor
Denny Roger é líder da equipe de análise e gerenciamento de riscos e diretor da Batori Software & Security (http://www.batori.com.br/), uma empresa especializada em consultoria e treinamentos em segurança. Especialista em mapeamento e avaliação de topologia de rede segura, constantemente desenvolve projetos que buscam identificar desvios na política de segurança da informação de seus clientes. Pesquisador ativo no campo, com publicações analisadas por colegas na área de análise de segurança de rede. Autor dos cursos Segurança da Informação em Ambientes de Rede e Sistema de Gestão da Segurança da Informação – ISO 17799. Autor de diversos artigos sobre invasões de redes, fraudes em ambiente computacional e segurança da informação. Autor de 6 palestras em segurança da informação e membro ativo de vários comitês de segurança da informação.
Labels: Segurança Informática
Data 9.2.06