[ Update 2009/12/29 ]
A ferramenta de anti-forense da moda, DECAF (já falamos sobre ela aqui), acaba de renascer em versão repaginada - foi lançada oficialmente ontem a v2. Agora ela pode ser ativada se detectar a presença das seguintes ferramentas: Microsoft COFEE, Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, e Ophcrack
.
Além disto, o usuário pode incluir novas assinaturas de detecção e foi adicionada a opção de monitoração de CD-Rom. Há também agora opções mais granulares de ações quando estas ferramentas forem executadas. Alguns exemplos são: execução de programas, desabilitar o device onde a ferramenta forense foi identificada, e iniciar em modo de monitoração.
Com as novas funcionalidades, esta versão 2 já pode até ser considerada como uma ferramenta de Anti-Forense, mas obviamente só é útil se a máquina a ser investigada estiver ainda ligada quando o investigador executar as ferramentas citadas.
Espera-se que analistas de resposta a incidentes ou forense minimamente preparados a partir de agora primeiro verifiquem a possibilidade de ferramentas deste tipo estarem em execução antes de executarem os seus procedimentos de coleta de dados voláteis na máquina investigada.
Na verdade esta preocupação já existia com ferramentas anti-forense mais antigas com funcionalidaes similares (Hacker Defender, Antidetection, FUTo, Shadow Walker, ... ). Mas o grau de divulgação do DECAF realmente deve torná-la uma ferramenta mais comum no arsenal utilizado nas máquinas que iremos analisar de hoje em diante.
Site oficial do DECAF v2: http://decafme.org
Breve demonstração da ferramenta: http://www.youtube.com/watch?v=tVFVdwcX5xA&hd=1
Excelente post sobre o assunto do Harlan Carvey: http://windowsir.blogspot.com/2009/12/lions-and-tigers-and-decafoh-my.html
[ Update 2009/12/03 ]O Tony acabou de fazer um
post interessante sobre o assunto Anti-Forensics - não perca!
[ Update 2009/10/29 ]
Dois posts entitulados "Tecnicas anti-forense para ocultação de dados"
(parte 1 e parte2) foram recentemente publicados no Grego Weblog.
[ Update 2009/08/31 ]
Este
post sobre anti-forense foi incluído na coluna do colega
Raffael Vargas, no Imaster.
[ Post Original 2009/08/05 ]O uso de
técnicas de anti-forense é crescente e a sofisticação e automatização do seu uso em ataques reais é visível.
Segundo o último "
Verizon Databreach Report 2009", dentre os incidentes de segurança investigados pelo time de resposta a incidentes da Verizon em 2008, em 31% foram utilizadas técnicas de
data wiping, em 9%
data hiding e em 3%
data corruption.
Um dos trabalhos mais divulgados de
anti-forense em ambiente Unix foi o feito por
Grugq (Phrack 59, 2002 /
Black Hat de 2005) ("
Blackhat: The Art of Defiling: Defeating Forensic Analysis on Unix File System").
Um artigo interessante foi publicado em 2008 pelos brasileiros Felipe Balestra e Rodrigo Branco sobre o assunto de anti-forense em ambiente Linux: "
Kernel Hacking & Anti-Forensics - Evading Memory Analysis" (
Obrigado Felipe pelo Link).
Um exemplo da popularização de ferramentas de Anti-Forense em Windows é o projeto
Metasploit Anti-Forensics, de 2007, que forneceu ferramentas de fácil uso para:
Como novidade nesta área de Anti-Forense temos a apresentação mais interessante da Black Hat 2009 (ao menos do ponto de vista de resposta a incidentes e forense computacional) chamada "Anti-Forensics: The Rootkit Connection (paper / apresentação)", que foi feita por Bill Blunden.
Neste paper são detalhadas estratégias de:
- Destruição de Dados (File scrubbing, Meta-data wiping, File System Attacks);
- Ocultação de Dados (In-Band, Out-of-Band, and Application Layer Concealment);
- Corrupção de Dados (Compression, Encryption, Code Morphing, Direct Edits);
- Fabricação de Dados (Introduce known files, String decoration, False audit trails); e
- Eliminação da Fonte de Dados (Data Contraception, In-Memory DLL Injection)
O objetivo é a utilização de
Rootkits que permitam que o mínimo de evidências sejam deixadas em disco e que estas evidências sejam difíceis de ser localizadas e tenham o mínimo de utilidade possível para o analista forense. Além disto a fabricação de evidências falsas e a destruição de dados são técnicas também abordadas no
paper.
Abordagens para atrapalhar as várias fases seguidas em um processo de forense de disco são detalhados (Duplicação, Recuperação de Arquivos da Cópia, Recuperação de Arquivos Deletados, Coleta de Metadados, Remoção de Arquivos Conhecidos, Análise de Assinatura e Análise de Executáveis).
O pesquisador encerra o
paper dizendo que a verdadeira batalha entre
white-hats e
black-hats já está sendo travada nos âmbitos de
forense de memória e
forense de rede, pois por mais bem desenvolvido que seja um rootkit ou qualquer outro malware utilizado por um atacante, ele precisa se executar em memória e se comunicar com o exterior de alguma forma...
