[ Update 2009/12/29 ]
A ferramenta de anti-forense da moda, DECAF (já falamos sobre ela aqui), acaba de renascer em versão repaginada - foi lançada oficialmente ontem a v2. Agora ela pode ser ativada se detectar a presença das seguintes ferramentas: Microsoft COFEE, Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, e Ophcrack.
Além disto, o usuário pode incluir novas assinaturas de detecção e foi adicionada a opção de monitoração de CD-Rom. Há também agora opções mais granulares de ações quando estas ferramentas forem executadas. Alguns exemplos são: execução de programas, desabilitar o device onde a ferramenta forense foi identificada, e iniciar em modo de monitoração.
Com as novas funcionalidades, esta versão 2 já pode até ser considerada como uma ferramenta de Anti-Forense, mas obviamente só é útil se a máquina a ser investigada estiver ainda ligada quando o investigador executar as ferramentas citadas.
Espera-se que analistas de resposta a incidentes ou forense minimamente preparados a partir de agora primeiro verifiquem a possibilidade de ferramentas deste tipo estarem em execução antes de executarem os seus procedimentos de coleta de dados voláteis na máquina investigada.
Na verdade esta preocupação já existia com ferramentas anti-forense mais antigas com funcionalidaes similares (Hacker Defender, Antidetection, FUTo, Shadow Walker, ... ). Mas o grau de divulgação do DECAF realmente deve torná-la uma ferramenta mais comum no arsenal utilizado nas máquinas que iremos analisar de hoje em diante.
Site oficial do DECAF v2: http://decafme.org
Breve demonstração da ferramenta: http://www.youtube.com/watch?v=tVFVdwcX5xA&hd=1
[ Update 2009/12/03 ]
O Tony acabou de fazer um post interessante sobre o assunto Anti-Forensics - não perca!
[ Update 2009/10/29 ]
Dois posts entitulados "Tecnicas anti-forense para ocultação de dados" (parte 1 e parte2) foram recentemente publicados no Grego Weblog.
[ Update 2009/08/31 ]
Este post sobre anti-forense foi incluído na coluna do colega Raffael Vargas, no Imaster.
[ Post Original 2009/08/05 ]
O uso de técnicas de anti-forense é crescente e a sofisticação e automatização do seu uso em ataques reais é visível.
Segundo o último "Verizon Databreach Report 2009", dentre os incidentes de segurança investigados pelo time de resposta a incidentes da Verizon em 2008, em 31% foram utilizadas técnicas de data wiping, em 9% data hiding e em 3% data corruption.
Um dos trabalhos mais divulgados de anti-forense em ambiente Unix foi o feito por Grugq (Phrack 59, 2002 / Black Hat de 2005) ("Blackhat: The Art of Defiling: Defeating Forensic Analysis on Unix File System").
Um artigo interessante foi publicado em 2008 pelos brasileiros Felipe Balestra e Rodrigo Branco sobre o assunto de anti-forense em ambiente Linux: "Kernel Hacking & Anti-Forensics - Evading Memory Analysis" (Obrigado Felipe pelo Link).
Um exemplo da popularização de ferramentas de Anti-Forense em Windows é o projeto Metasploit Anti-Forensics, de 2007, que forneceu ferramentas de fácil uso para:
- mudança de MAC Times (timestomp)
- ocultação de dados em slack space (slacker)
- obtenção dos hashes da SAM diretamente da memória (sam juicer)
Neste paper são detalhadas estratégias de:
- Destruição de Dados (File scrubbing, Meta-data wiping, File System Attacks);
- Ocultação de Dados (In-Band, Out-of-Band, and Application Layer Concealment);
- Corrupção de Dados (Compression, Encryption, Code Morphing, Direct Edits);
- Fabricação de Dados (Introduce known files, String decoration, False audit trails); e
- Eliminação da Fonte de Dados (Data Contraception, In-Memory DLL Injection)
Abordagens para atrapalhar as várias fases seguidas em um processo de forense de disco são detalhados (Duplicação, Recuperação de Arquivos da Cópia, Recuperação de Arquivos Deletados, Coleta de Metadados, Remoção de Arquivos Conhecidos, Análise de Assinatura e Análise de Executáveis).
O pesquisador encerra o paper dizendo que a verdadeira batalha entre white-hats e black-hats já está sendo travada nos âmbitos de forense de memória e forense de rede, pois por mais bem desenvolvido que seja um rootkit ou qualquer outro malware utilizado por um atacante, ele precisa se executar em memória e se comunicar com o exterior de alguma forma...
Muito interessante este assunto, me dá a impressão nítida de que a corrida de gato e rato nunca vai terminar!
ReplyDeleteHenrique.
Ótimo post, parabéns
ReplyDeleteOrras super intereçante mesmo,
ReplyDeletefoi em cima desse post que resolvi de vez desenvolver meu TCC sobre Computação Anti-Forense,
se possivel post mais material
Sandro, bom dia
ReplyDeleteSou um seguidor nato do seu blog. Acho o mesmo muito rico em conteudo.
Seguinte estou precisando de uma ferramenta para teste de vulnerabilidades em aplicacoes web (ex sql injection, etc) poderia me recomendar alguma.
Obrigado
Olá Paulo, primeiramente obrigado pelos elogios!
ReplyDeleteCom relação à Ferramentas de Testes de Vulnerabilidades WEB, recomendo que você dê uma olhada nos links abaixo como referência inicial:
[1] http://www.owasp.org/index.php/Category:Non-OWASP_Open_Tool
[2] http://www.networkintrusion.co.uk/index.php/products/Scanning-Products/Website-Scanners.html
[ ]s!
Olá Sandro,
ReplyDeletetudo bem?
Estou aqui postando um artigo que escrevi ha um tempo, com o Rodrigo Branco, sobre Anti-Forense, para a revista Hakin9. Segue o link: http://www.kernelhacking.com/rodrigo/docs/AntiForense.pdf
Abs,
Olá Felipe. Obrigado pela contribuição! Já adicionei o link do artigo de vocês ao post.
ReplyDelete[ ]s