SlideShare una empresa de Scribd logo
1 de 85
Descargar para leer sin conexión
Projeto MUFFIN de Resposta a Incidentes
  Uma receita para causar indigestão nos
                               malwares

             Tony Rodrigues, CISSP, CFCP
     inv.forense arroba gmail ponto com
Quem sou ?

 • Tony Rodrigues, CISSP, CFCP, Security+
 • Gestor/TI e Consultor em Segurança de Informações
 • Perito/Investigador/Pesquisador em Computação Forense
 • Blog: http://forcomp.blogspot.com




        Projeto MUFFIN
Um talento na culinária !




        Ainda assim ...



        Projeto MUFFIN
Vamos assar um MUFFIN !




       Projeto MUFFIN
Agenda
 • Introdução
  – Resposta a Incidentes em 2 minutos
 • Ferramentas disponíveis para IR
  – Utilitários
  – Coletores
  – Toolkits
 • Projeto MUFFIN: Causando Indigestão
   nos malwares
 • Conclusão




         Projeto MUFFIN
Resposta a Incidentes

 • Usa técnicas semelhantes à
   Computação Forense
 • Objetivo de conter e minimizar
   impactos ao negócio
 • Foco no efeito x foco na causa




         Projeto MUFFIN
CSIRT

 • Time de Resposta a Incidentes em
   Segurança de Informações
 • Equipes fixas ou acionadas no evento
 • Na maioria das vezes monitora, coleta,
   analisa e responde aos eventos
 • Necessita de treinamento e ferramentas
   adequadas




        Projeto MUFFIN
Na Teoria

                  Preparação


                             Identificação




                                                       Restauração
                Contenção

                                                                 Acompanhamento
                                         Erradicação




            Projeto MUFFIN
Na Prática

                            Maior
                          Window Of
                          Exposure




 Despreparo


                                           Maior
                                          Impacto
               Correria

                                                     Vestígios
                                Maior               destruídos
                               Downtime



         Projeto MUFFIN
Verizon Report confirma
                          Problemas na Identificação,
                          falta de foco na preparação !




        Projeto MUFFIN
Nosso Foco hoje é ...




                          Preparação:
                          Ferramentas




         Projeto MUFFIN
Ferramentas Disponíveis

 • Importantes na coleta de dados
   voláteis
    • Utilitários
    • Coletores
    • Toolkits de Incident Response




         Projeto MUFFIN
Utilitários

  • Comandos do Shell
     • Netstat, Nbtstat, Dir
  • Nirsoft
     • Cports, Myeventviewer,
       IPNetInfo,MyLastSearch,
       IECacheView
  • SysInternals
     • Autorunsc, ShareEnum, Streams,
       Utilitários PS*
  • MiTec
     • WFA, WRR, MailViewer


              Projeto MUFFIN
Coletores

 • Automatizam a coleta de
   informações
    • WFT
    • IRCR2
    • FRUC/FPSC
    • COFEE (*não é FOSS)




            Projeto MUFFIN
Toolkits de Resposta a Incidentes

 • Trazem pacotes e ferramentas em
   um mesmo módulo
    • WinTaylor (CAINE)
    • DEFT Extra
    • HELIX IR
    • COFEE




         Projeto MUFFIN
COFEE

• Criado pela Microsoft para Agentes da Lei
  (Polícias, Agencias do Gov, etc)
• Automatiza a execução de ferramentas
  preparadas previamente
• Pontos fracos
   • Não está disponível para corporações
   • Dados no pendrive podem ser
     atacados
   • Ferramentas podem ser
     comprometidas ou bloqueadas por AV
   • Várias ferramentas alteram o estado
     dos dados voláteis
   • Foi alvo de ataque do DECAF
         Projeto MUFFIN
COFEE




        Projeto MUFFIN
COFEE




        Projeto MUFFIN
COFEE




        Projeto MUFFIN
DECAF

 • Surgiu inicialmente para ataque
   direto ao COFEE
 • Baseado em assinaturas
 • Foi estendido para atacar outras
   toolkits
    • Caine
    • DEFT
    • Helix
 • Usuário pode fazer suas
   próprias assinaturas
 • O autor desativou o código
 • Terceiros liberaram nova versão

        Projeto MUFFIN
Helix IR

 • Traz os principais utilitários para
   Resposta a Incidentes em Windows
 • Foi o pioneiro e o mais utilizado até
   por volta de meados de 2009
 • Pontos fracos
    • Não teve atualizações desde
      junho/2009
    • Só funciona em CD
    • Menu gráfico tem grande
      “footprint”
    • Várias ferramentas alteram o
      estado dos dados voláteis
    • Foi alvo de ataque do DECAF
           Projeto MUFFIN
DEFT EXTRA

• Criado por um grupo italiano
• Interface gráfica para várias ferramentas e
  utilitários de captura de dados voláteis
• Pontos fracos
   • Versão em CD não é prática
   • Dados no pendrive podem ser atacados
   • Ferramentas podem ser
       comprometidas ou bloqueadas por
       AV(versão pendrive)
   • Várias ferramentas alteram o estado
       dos dados voláteis
   • Menu gráfico tem grande “footprint”
   • Foi alvo de ataque do DECAF
         Projeto MUFFIN
CAINE WinTaylor

• Também foi criado por um grupo italiano
• Interface gráfica para várias ferramentas e
  utilitários de captura de dados voláteis
• Pontos fracos
   • Versão em CD não é prática
   • Dados no pendrive podem ser atacados
   • Ferramentas podem ser comprometidas
       ou bloqueadas por AV (versão
       pendrive)
   • Várias ferramentas alteram o estado
       dos dados voláteis
   • Menu gráfico tem grande “footprint”
   • Foi alvo de ataque do DECAF
         Projeto MUFFIN
Toolkit de IR dos Sonhos
Não deve ter os pontos fracos:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Muffin ao invés de Sonho !

Projeto Muffin: Indigesto para os malwares
Master
Unit
For
Forensics
INvestigation

                Objetivo: Criar uma toolkit de Resposta a Incidentes
                que não possua as vulnerabilidades ou fraquezas
                mapeadas nas toolkits atuais



         Projeto MUFFIN
Aprovado até na TV !

            Hummmmm !




        Projeto MUFFIN
Eis então ...




         Receita de MUFFIN
        Cheff Tony Rodrigues


          Projeto MUFFIN
Ingredientes
 • Um pendrive U3 com boa capacidade
 • Utilitários 32-bit e 64-bit
    • Nirsoft
    • SysInternals
    • Dumpers de Memória
    • MiTeC
 • Commands e utilitários CLI dos SOs
   usados na sua empresa
 • Forno Indicado: CD Burner
 • Linux e Windows
 • Cryptcat
 • Hydan
 • USB Hacksaw/Switchblade
         Projeto MUFFIN
Escolhendo os utilitários




         Escolha o sabor e
       separe os ingredientes


          Projeto MUFFIN
Escolhendo os utilitários
• Utilitários 32-bit e 64-bit
   • Nirsoft, SysInternals, MiTeC
   • Dumpers de Memória
• Commands e utilitários CLI
• WinTaylor, Cofee e DEFT Extra são bons pontos
  de partida para ajudar na seleção dos utilitários
• Confira o hash com o original do site !
• Preferência para CLI
   • A maioria da Nirsoft possui GUI e CLI
   • Menor “footprint”




          Projeto MUFFIN
Escolhendo os utilitários
 • Todos os commands e utilitários devem
   ser homologados em cada SO/Service
   Pack existente na empresa
    • Confira os que alteram timestamps ou
      criam temporários
    • Desejável é não usá-los
    • Pode-se documentar as alterações
      introduzidas




          Projeto MUFFIN
Objetivos atingidos

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Preparando a estrutura e automatizando a coleta




                   Unte a forma



        Projeto MUFFIN
Preparando a estrutura e automatizando a coleta
• Preparando a estrutura da toolkit
   • Crie um diretório no HD
   • Crie subdiretórios de acordo com:
      • SO
      • 32/64bit
      • Combinações de SO (ex: Todos, WinVistaWin7, etc)
   • Colocar apenas os SOs presentes na empresa
   • Dentro de cada diretório de SO devem estar, em seus
     respectivos subdiretórios:
      • As ferramentas e suas dependências
      • O command e seus utilitários de apoio
      • Cada um devidamente homologado

        Projeto MUFFIN
Preparando a estrutura e automatizando a coleta
• Combinações de SO
   • São os diretórios que conterão ferramentas
      e utilitários homologados para mais de um
      SO/Service Pack
• Ex:
C:MUFFIN
C:MUFFINWinXP
C:MUFFINWinXPcmd
C:MUFFINWinXPutilxx
C:MUFFINVista32cmd
C:MUFFINVista32utilyyy
C:MUFFINVista64cmd
C:MUFFINVista64utilzzz
C:MUFFINWinXPVistautilaaa
C:MUFFINTodosutilkkk




              Projeto MUFFIN
Preparando a estrutura e automatizando a coleta
• Automatizando a coleta
   • WFT
   • Batch
   • Melhor dos dois mundos




        Projeto MUFFIN
Automatizando a coleta - WFT
• A ordem e os utilitários podem ser configurados no arquivo
  wft.cfg
• Outros parâmetros podem ser passados pela linha de
  comando
• Exemplo de Formato do .cfg (~ seria o TAB):
 EHWP~WinXPsr.exe~NA~<%toolpath%><%executable%>
  > <%dst%><%output%>~restorepoints~Restore
  Points~<FONT face='Tahoma' size='4'><B>Restore
  Points</B></FONT> &nbsp; <P><B>Restore Points</B> --
  Exibe os Restore Points da máquina<P>
• Um .bat pode ser criado para capturar o SO e chamar o
  WFT com os parâmetros e .cfg específicos


        Projeto MUFFIN
Automatizando a coleta - Batch
• Um grande arquivo batch (coletor) que trate a
  ordem e os utilitários
• Essa opção tem menor “footprint” que o WFT
• O IRCR2 pode ser usado como modelo
• Parâmetros podem ser passados pela linha de
  comando
• Um outro .bat pode ser criado para capturar o SO e
  chamar o coletor com os parâmetros específicos
• Resultados dos comandos preferencialmente em
  .csv ou xml
• Antes de executar um utilitário, o hash dele pode
  ser calculado/validado para garantir a integridade


        Projeto MUFFIN
Automatizando a coleta – Melhor dos Mundos
• Um utilitário de preparação prévia
   • Semelhante ao oferecido pelo COFEE
   • Tem relacionado todos os comandos, options,
     ferramentas e utilitários disponíveis na
     estrutura
   • Usuário indica a ordem e os parâmetros a
     serem executados
   • Pode criar perfis diferentes, dependendo do
     tipo de incidente
   • A saída pode ser
      • Um arquivo cfg do WFT
      • Um batch customizado só com as
         chamadas
        Projeto MUFFIN
Objetivos atingidos

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Evitando alterações nos dados colhidos




       Prepare as forminhas



         Projeto MUFFIN
Evitando alterações nos dados colhidos
• Saídas das ferramentas devem ser redirecionadas
   • Para um drive local (pendrive)
   • Para um endereço de rede (via cryptcat).
   • Sempre por um utilitário de cálculo de hash
   • Redirecione os erros também !
• O hash vai permitir verificar a integridade dos
  resultados
• O cryptcat possibilitará comunicação segura dos
  dados para um servidor de coleta
   • Deve ser implementado na automação da coleta,
     no batch
   • O servidor deverá estar em modo Listening ...

         Projeto MUFFIN
Evitando alterações nos dados colhidos
• Hash detecta alterações, mas não as evita !
• O rootkit TDL3 tem algo interessante a nos favorecer
   • Implementa um Sistema de Arquivos próprio
   • Dados são criptografados no interior
• O MUFFIN poderá fazer exatamente igual ?
   • Não, não temos como usar Kernel Mode
   • A técnica pode ser adaptada
• Todas as saídas podem ser armazenadas juntas
   • Criptografadas
   • Em um arquivo único ou espalhadas pelo disco
   • Ataques precisariam ser direcionados


         Projeto MUFFIN
Objetivos atingidos

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Obfuscando o trabalho




Junte os ingredientes em um
 grande pote e misture bem



        Projeto MUFFIN
Obfuscando o trabalho
• Ferramentas de Antivírus costumam atrapalhar
  operações de IR
   • Bloqueiam a execução de alguns utilitários
   • Removem o utilitário ou o põem em
     quarentena
• Ferramentas de anti-forense ou anti-
  investigação podem detectar utilitários de IR e
  os atacar
   • Como o DECAF
   • Detecção baseada em assinaturas
      • Por hash do arquivo
      • Por hash de um trecho


         Projeto MUFFIN
Algumas estratégias
• Packers
   • Evita detecção por hash do arquivo completo
   • Não é garantido contra hash de parte do
     arquivo
   • Antivirus conseguem detectar (fazem o
     unpack)
• Multi-packing
   • Várias passadas com Packers diferentes
   • Perdem funcionalidade
   • Nem sempre o programa continua funcional
   • Não garantido contra todos os AVs



        Projeto MUFFIN
Algumas estratégias
• Crypters
   • Evita detecção por hash do arquivo
     completo e por partes
   • Um código stub fica adicionado ao
     código real criptografado
   • AV e assinaturas detectam pelo código
     stub, que é conhecido




        Projeto MUFFIN
Hydan
• Apresentado inicialmente na BlackHat 2004 por
  Crazydog
• Engenhoso projeto de esteganografia
   • Esconde conteúdo em arquivos executáveis
   • Não altera o tamanho do arquivo
   • O executável continua 100% funcional
   • Troca operações funcionalmente idênticas
      • Ex: add eax, 50 trocada por sub eax, -50
   • Vulnerável a análise de freqüência
      • Muitas operações “sub” com operandos
        negativos são naturalmente incomuns



        Projeto MUFFIN
Modificando Hydan
• Conteúdo de entrada (estego) => string aleatória
   • Objetivo não é esconder a string, mas gerar
     um executável aleatoriamente diferente com
     mesmas funcionalidades
• Ampliar número de instruções semelhantes
   • Não estamos presos a troca de instruções
     com mesmo número de bytes
   • Inserir NOPs aleatórios
   • Inserir bytes aleatórios como código nunca
     executado
   • Trabalhar códigos 64-bit
• Não é sensível à análise de freqüência
• Não é detectado por assinatura por hash
        Projeto MUFFIN
FUD (Fully Undetectable) ?
• Ainda não
   • Strings aleatórias com seqüência de bits
     semelhantes podem geram longos trechos
     não alterados
• Mesclando Hydan e Crypters
   • Um Crypter criptografa o executável
   • O código stub é alterado pelo Hydan
     Modificado
• O conjunto será
   • Indetectável por hash do arquivo
   • Praticamente indetectável por hash de parte
     do arquivo


         Projeto MUFFIN
Aplicando ao Muffin
• Um dos utilitários do Muffin fará a preparação:
   • A rotina descrita será aplicada sobre cada
     executável das ferramentas
   • Novos hash devem ser calculados para os
     arquivos
• Como resultado, as ferramentas da toolkit terão
  hash único literalmente em qualquer ponto
• Detecção por assinatura provavelmente não vai
  mais ocorrer
   • Nem bloqueio de ferramentas por Antivirus




        Projeto MUFFIN
Objetivos atingidos

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Gerando o .iso e copiando para o pendrive




       Leve ao forno brando




        Projeto MUFFIN
Gerando o .iso
• É preciso empacotar o grupo de utilitários
   • Um arquivo autorun.inf deve ser colocado na
     raiz do MUFFIN
   • Esse arquivo aponta para executar o .bat que
     aciona a coleta automatizada (ou que aciona
     o WFT)
• O conteúdo deve ser preparado em um CD
  burner
   • Criar um arquivo no formato .iso




        Projeto MUFFIN
Levando para um pendrive
• O arquivo .iso precisa ser colocado em um
  pendrive
• Problema: Pendrives são read-write
   • Ferramentas ainda podem ser
     comprometidas (infectadas)
   • Autorun pode ser trocado por malicioso
   • Ainda precisamos colocar os
     resultados no pendrive




        Projeto MUFFIN
Pendrive U3
• Modelos específicos de pendrive
  • Vários fabricantes possuem linha
    U3
  • Logicamente divididos em 2
    partições
     • Uma read-only que funciona
        como um CD (CDFS)
     • Uma read-write “normal”
  • Muito utilizados para aplicações
    portable
  • A partição CDFS só pode ser
    escrita por programas específicos


        Projeto MUFFIN
Pendrive U3
• USB Hacksaw/Switchblade
   • Projeto da hak5.org
   • Executa um arquivo pelo autorun
     que vasculha a máquina
     procurando por PDFs, DOCs, etc.
   • Um .iso crackeado sobrescreve a
     partição normal do pendrive U3
     através de um software específico




        Projeto MUFFIN
Gravando o .iso
• Algumas maneiras:
   • LPInstaller.exe
   • U3_tool.exe
   • Estamos sem sorte ...




         Projeto MUFFIN
Gravando o .iso - LPInstaller
• Utilitário que atualiza pendrives U3 com
  um .iso
   • Específico para U3 Sandisk
   • Carrega o .iso e gera a partição CDFS
      no pendrive
   • Originalmente, carrega o novo .iso a
      partir do site da SanDisk
   • Pode carregar a partir de um arquivo
      .iso local




         Projeto MUFFIN
Gravando o .iso – U3 Tool
• Utilitário free que atualiza pendrives U3
  com um .iso
   • Homologado para U3 Sandisk e
      Verbatim
   • Hospedado no SourceForge
   • Disponível para Windows e Linux
   • Carrega o .iso e gera a partição CDFS
      no pendrive
   • Pode carregar a partir de um arquivo
      .iso local




        Projeto MUFFIN
Gravando o .iso – Quebrando pedras
• LPInstall e U3_Tool não funcionaram 
• Como eles trabalham ?
                                                        Manda o Updater.exe !


                                                                Tá na mão !
                                  Web
                                                         O novo .iso, por favor
   get Updater.exe
                Execute-o depois do
                     download                       Aqui. Não me aborreça mais ...



                     get novo .iso

                              Grave o .iso no dir /xxx/yyy




          Projeto MUFFIN
Gravando o .iso – Quebrando pedras
• É hora de enganar o Updater
   • Localize o autorun.inf
   • Capture a URL na seção UPDATE do
     arquivo
   • Essa URL permite chegar ao programa
     de update do pendrive
   • Ative um sniffer e execute o programa
   • Analise o tráfego e tome nota da path
     de onde o executável está baixando o
     .iso de atualização




        Projeto MUFFIN
Gravando o .iso – Quebrando pedras II
• Instale um webserver e recrie a path do
  passo anterior
• Coloque o .iso com o MUFFIN nessa path
  local com o mesmo nome do passo
  anterior
• Crie uma entrada no arquivo hosts para o
  domínio da URL capturada
   • Essa entrada deve apontar para
      localhost
• Execute o programa de atualização
   • A partição CDFS será atualizada com o
      .iso do MUFFIN


        Projeto MUFFIN
Objetivos atingidos

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint”
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Usando o MUFFIN




      Sirva depois de esfriar




        Projeto MUFFIN
Usando o MUFFIN
• Ao plugar o pendrive, o Windows montará
  as duas partições
   • O autorun.inf vai executar o .bat
     principal
   • A partição read-write do pendrive deve
     ser usada para armazenar os
     resultados
   • Ou ainda, os resultados podem ser
     enviados via rede
      • O Cryptcat precisa estar esperando
         os dados no servidor




        Projeto MUFFIN
Usando o MUFFIN II




  Sirva também aos vizinhos




         Projeto MUFFIN
Usando o MUFFIN II
• Uma forma de usar o MUFFIN remotamente
   • Coloque o pendrive com o MUFFIN na
      estação de controle
   • Use o SysInternals Psexec para mapear (Net
      Use), na máquina remota investigada, a
      partição CDFS
   • Use Psexec para executar o .bat principal
   • Os resultados devem ser enviados para a
      estação de controle via rede
• Pode ser feito em paralelo nas máquinas
  suspeitas, diminuindo o tempo de coleta de
  informações em uma infestação por malwares


         Projeto MUFFIN
Objetivos atingidos ao final

Resolvemos as fraquezas:
 Requerer leitor de CD
 Ferramentas e utilitários que não podem ser
  atualizadas com facilidade
 Manter dados coletados que podem ser atacados
  e/ou modificados
 Permitir o comprometimento ou o bloqueio (AV) das
  ferramentas e utilitários
 Utilizar ferramentas que alteram o estado dos dados
  voláteis
 Uso de menu gráfico com grande “footprint” Esse não deu ainda
 Não coletar automaticamente os dados voláteis
 Ser vulnerável à ataque por assinatura
         Projeto MUFFIN
Um objetivo mal atingido
• É possível filtrar ferramentas que alterem
  substancialmente os dados voláteis
   • Principalmente os MAC Times e o espaço
     não-alocado
• Não é a solução final
• Sugestão
   • Acesso direto aos arquivos requisitados por
     fora do sistema de arquivos. Ex: TSK
   • Uma camada intermediária faria um hook das
     requisições ao disco pelo sistema de
     arquivos, acessando por fora
   • Ainda não validado !


         Projeto MUFFIN
Status do Projeto MUFFIN
• Lançado no You Shot The Sheriff V
• Versão 0.1 disponível
   • Formato de procedimento, documentando o
     processo de criação de um pendrive MUFFIN
• Meta: automatizar esse processo de criação
   • MUFFIN Baker: Trabalha na criação do
     pendrive MUFFIN
   • MUFFIN Report: Trabalha nas saídas e
     dados coletados, criando relatórios e
     correlacionando informações




        Projeto MUFFIN
Projeto MUFFIN - Escopo
• Escopo inicial até versão 1.0
   • MUFFIN Baker for Windows
   • Pendrive MUFFIN somente com utilitários
     Windows
   • MUFFIN Report for Windows
• Escopo Médio Prazo (até v. 2.0)
   • Pendrive MUFFIN com ferramentas Linux
   • MUFFIN Baker e Report rodando em Linux
     via Wine
• Escopo Longo Prazo (3.0 e além)
   • MUFFIN Baker e Report rodando em Linux e
     MAC nativamente

        Projeto MUFFIN
Projeto MUFFIN - Detalhes
• Desenvolvimento: Lazarus
• Banco de Dados: SQLite
• Google Code: https://code.google.com/p/muffin-
  project
• Interface Gráfica: Analogia com receita de muffin
   • Ingredientes: Ferramentas e utilitários de coleta
      de dados voláteis
   • Despensa: Grupo de ferramentas (ingredientes)
      validados para uso em um pendrive MUFFIN
   • Receita: Lista de execução de utilitários,
      ordenada e com parâmetros
   • Forno: Menu onde gravamos uma Receita de
      MUFFIN no pendrive
         Projeto MUFFIN
Projeto MUFFIN –Screen Shot beta – Menu Receita




        Projeto MUFFIN
Projeto MUFFIN - Roadmap
• Version 0.1
   • Documento com procedimento
• Version 0.2
   • MUFFIN Baker
       • Despensa
          • Sem GUI, sem atualizações automaticas
       • Receita
          • Seleciona Ingredientes da Despensa
          • Indica parâmetros de execução para os
          Ingredientes
          • Indica ordem de execução dos Ingredientes
       • Forno
          • Grava as Receitas em pendrives comuns
          (sem U3 nessa versão)

        Projeto MUFFIN
Projeto MUFFIN - Roadmap II
•Version 0.3
   • MUFFIN Baker
      • Despensa
         • GUI
      • Receita
         • O script de automação da coleta (batch)
         validará os ingredientes antes da
         execução
      • Forno
         • Uso de modelos U3 de pendrives




        Projeto MUFFIN
Projeto MUFFIN - Roadmap II
• Version 0.4
   • MUFFIN Baker
       • Despensa
          • Atualização automática e manual das
          ferramentas (Ingredientes)
       • Receita
          • Saída das ferramentas armazenada de
          forma criptografada
       • Forno
          • Ingredientes 32-bit obfuscados
• Version 0.5
   • MUFFIN Baker
       • Forno => Ingredientes 64-bit obfuscados
   • MUFFIN Report mostrando dados coletados

        Projeto MUFFIN
Projeto MUFFIN - Roadmap III
• Version 1.0
   • MUFFIN Baker
       • Forno
          • Obfuscação com técnicas avançadas
   • MUFFIN Report correlacionando saídas e
   informações




         Projeto MUFFIN
Conclusão
 Resposta a Incidentes depende muito de
  uma boa preparação para ser eficiente
 Ter ferramentas adequadas é reflexo da boa
   preparação
 O MUFFIN foi criado para atuar na Resposta a
   Incidentes cobrindo as maiores
   vulnerabilidades das Toolkits disponíveis
 MUFFIN é totalmente código livre e o projeto
   precisa de colaboradores !




        Projeto MUFFIN
Referências
•    Verizon Report
    – http://newscenter.verizon.com/press-releases/verizon/2010/2010-data-breach-
      report-from.html
•    Nirsoft
    – http://www.nirsoft.net/
•    MiTeC
    – http://www.mitec.cz/
•    SysInternals
  – http://technet.microsoft.com/pt-br/sysinternals/default
• WFT
    – http://www.foolmoon.net/security/wft/
•    CAINE
    – http://www.caine-live.net/
•    DEFT
    – http://www.deftlinux.net/
•    HELIX
    – https://www.e-fense.com/store/index.php?_a=viewProd&productId=11

                 Projeto MUFFIN
Referências II

 •    COFEE
     – http://www.microsoft.com/industry/government/solutions/cofee/default.aspx
 •    Cryptcat
     – http://sourceforge.net/projects/cryptcat/
 •    Hydan
     – http://www.crazyboy.com/hydan/
 •    USB Hacksaw
     – http://dotnetwizard.net/soft-apps/hack-u3-usb-smart-drive-to-become-ultimate-
       hack-tool/
 •    U3-Tool
     – http://u3-tool.sourceforge.net/
 •    LPInstaller
     – http://u3.sandisk.com/download/apps/LPInstaller.exe




              Projeto MUFFIN
Sugestões de Leitura




   http://forcomp.blogspot.com


                                 http://www.e-evidence.info



         Projeto MUFFIN
Perguntas !




       Projeto MUFFIN
Obrigado !




     inv.forense arroba gmail
             ponto com
         (Tony Rodrigues)



        Projeto MUFFIN

Más contenido relacionado

Destacado

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12Luiz Sales Rabelo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
 
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...Junior Abreu
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
Cuidados no processo pericial em tablets e smartphones
Cuidados no processo pericial em tablets e smartphonesCuidados no processo pericial em tablets e smartphones
Cuidados no processo pericial em tablets e smartphonesData Security
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05SegInfo
 
Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraSegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoJunior Abreu
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 

Destacado (20)

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
Realidade Aumentada auxiliando na organização e interação aos Livros de Bibli...
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
Cuidados no processo pericial em tablets e smartphones
Cuidados no processo pericial em tablets e smartphonesCuidados no processo pericial em tablets e smartphones
Cuidados no processo pericial em tablets e smartphones
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu ProveitoRede Sociais: Usando a Ferramenta Para o Seu Proveito
Rede Sociais: Usando a Ferramenta Para o Seu Proveito
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 

Similar a "Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão nos malwares" por Tony Rodrigues

Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Arquitetura de Software para a Entrega Continua
Arquitetura de Software para a Entrega ContinuaArquitetura de Software para a Entrega Continua
Arquitetura de Software para a Entrega ContinuaOtávio Calaça Xavier
 
Engenharia de Software - Unimep/Pronatec - Aula 4
Engenharia de Software - Unimep/Pronatec - Aula 4Engenharia de Software - Unimep/Pronatec - Aula 4
Engenharia de Software - Unimep/Pronatec - Aula 4André Phillip Bertoletti
 
Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014Leandro Bennaton
 
06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptxEduardoHernandes9
 
Desenvolvimento para Windows Phone: Truques & Dicas
Desenvolvimento para Windows Phone: Truques & DicasDesenvolvimento para Windows Phone: Truques & Dicas
Desenvolvimento para Windows Phone: Truques & DicasComunidade NetPonto
 
Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Rafael Amaral
 
Es aula01
Es   aula01Es   aula01
Es aula01Itaú
 
MVVM Light e Cimbalino Toolkits - Sara Silva
MVVM Light e Cimbalino Toolkits - Sara SilvaMVVM Light e Cimbalino Toolkits - Sara Silva
MVVM Light e Cimbalino Toolkits - Sara SilvaComunidade NetPonto
 
Armadilhas no Desenvolvimento de Software
Armadilhas no Desenvolvimento de SoftwareArmadilhas no Desenvolvimento de Software
Armadilhas no Desenvolvimento de Softwarejamersonlima
 
Help Desk - Tecnologia
Help Desk - TecnologiaHelp Desk - Tecnologia
Help Desk - Tecnologia4HD
 
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoDesenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoTchelinux
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
DevOps e Apps Mobile: Você realmente se importa?
DevOps e Apps Mobile: Você realmente se importa?DevOps e Apps Mobile: Você realmente se importa?
DevOps e Apps Mobile: Você realmente se importa?Letticia Nicoli
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012TI Safe
 

Similar a "Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão nos malwares" por Tony Rodrigues (20)

Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 
Arquitetura de Software para a Entrega Continua
Arquitetura de Software para a Entrega ContinuaArquitetura de Software para a Entrega Continua
Arquitetura de Software para a Entrega Continua
 
Engenharia de Software - Unimep/Pronatec - Aula 4
Engenharia de Software - Unimep/Pronatec - Aula 4Engenharia de Software - Unimep/Pronatec - Aula 4
Engenharia de Software - Unimep/Pronatec - Aula 4
 
Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014Sinfonier, Campus Party Recife 2014
Sinfonier, Campus Party Recife 2014
 
06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Progeto pim ii
Progeto pim iiProgeto pim ii
Progeto pim ii
 
Startups e DevOps
Startups e DevOpsStartups e DevOps
Startups e DevOps
 
Desenvolvimento para Windows Phone: Truques & Dicas
Desenvolvimento para Windows Phone: Truques & DicasDesenvolvimento para Windows Phone: Truques & Dicas
Desenvolvimento para Windows Phone: Truques & Dicas
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019
 
Es aula01
Es   aula01Es   aula01
Es aula01
 
MVVM Light e Cimbalino Toolkits - Sara Silva
MVVM Light e Cimbalino Toolkits - Sara SilvaMVVM Light e Cimbalino Toolkits - Sara Silva
MVVM Light e Cimbalino Toolkits - Sara Silva
 
Armadilhas no Desenvolvimento de Software
Armadilhas no Desenvolvimento de SoftwareArmadilhas no Desenvolvimento de Software
Armadilhas no Desenvolvimento de Software
 
Help Desk - Tecnologia
Help Desk - TecnologiaHelp Desk - Tecnologia
Help Desk - Tecnologia
 
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo FilhoDesenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
Desenvolvendo Aplicações Livres em Java - João Avelino Bellomo Filho
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 
DevOps e Apps Mobile: Você realmente se importa?
DevOps e Apps Mobile: Você realmente se importa?DevOps e Apps Mobile: Você realmente se importa?
DevOps e Apps Mobile: Você realmente se importa?
 
Sophos Central
Sophos CentralSophos Central
Sophos Central
 
Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012Apresentação Técnica - ISA SHOW 2012
Apresentação Técnica - ISA SHOW 2012
 

"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão nos malwares" por Tony Rodrigues

  • 1. Projeto MUFFIN de Resposta a Incidentes Uma receita para causar indigestão nos malwares Tony Rodrigues, CISSP, CFCP inv.forense arroba gmail ponto com
  • 2. Quem sou ? • Tony Rodrigues, CISSP, CFCP, Security+ • Gestor/TI e Consultor em Segurança de Informações • Perito/Investigador/Pesquisador em Computação Forense • Blog: http://forcomp.blogspot.com Projeto MUFFIN
  • 3. Um talento na culinária ! Ainda assim ... Projeto MUFFIN
  • 4. Vamos assar um MUFFIN ! Projeto MUFFIN
  • 5. Agenda • Introdução – Resposta a Incidentes em 2 minutos • Ferramentas disponíveis para IR – Utilitários – Coletores – Toolkits • Projeto MUFFIN: Causando Indigestão nos malwares • Conclusão Projeto MUFFIN
  • 6. Resposta a Incidentes • Usa técnicas semelhantes à Computação Forense • Objetivo de conter e minimizar impactos ao negócio • Foco no efeito x foco na causa Projeto MUFFIN
  • 7. CSIRT • Time de Resposta a Incidentes em Segurança de Informações • Equipes fixas ou acionadas no evento • Na maioria das vezes monitora, coleta, analisa e responde aos eventos • Necessita de treinamento e ferramentas adequadas Projeto MUFFIN
  • 8. Na Teoria Preparação Identificação Restauração Contenção Acompanhamento Erradicação Projeto MUFFIN
  • 9. Na Prática Maior Window Of Exposure Despreparo Maior Impacto Correria Vestígios Maior destruídos Downtime Projeto MUFFIN
  • 10. Verizon Report confirma Problemas na Identificação, falta de foco na preparação ! Projeto MUFFIN
  • 11. Nosso Foco hoje é ... Preparação: Ferramentas Projeto MUFFIN
  • 12. Ferramentas Disponíveis • Importantes na coleta de dados voláteis • Utilitários • Coletores • Toolkits de Incident Response Projeto MUFFIN
  • 13. Utilitários • Comandos do Shell • Netstat, Nbtstat, Dir • Nirsoft • Cports, Myeventviewer, IPNetInfo,MyLastSearch, IECacheView • SysInternals • Autorunsc, ShareEnum, Streams, Utilitários PS* • MiTec • WFA, WRR, MailViewer Projeto MUFFIN
  • 14. Coletores • Automatizam a coleta de informações • WFT • IRCR2 • FRUC/FPSC • COFEE (*não é FOSS) Projeto MUFFIN
  • 15. Toolkits de Resposta a Incidentes • Trazem pacotes e ferramentas em um mesmo módulo • WinTaylor (CAINE) • DEFT Extra • HELIX IR • COFEE Projeto MUFFIN
  • 16. COFEE • Criado pela Microsoft para Agentes da Lei (Polícias, Agencias do Gov, etc) • Automatiza a execução de ferramentas preparadas previamente • Pontos fracos • Não está disponível para corporações • Dados no pendrive podem ser atacados • Ferramentas podem ser comprometidas ou bloqueadas por AV • Várias ferramentas alteram o estado dos dados voláteis • Foi alvo de ataque do DECAF Projeto MUFFIN
  • 17. COFEE Projeto MUFFIN
  • 18. COFEE Projeto MUFFIN
  • 19. COFEE Projeto MUFFIN
  • 20. DECAF • Surgiu inicialmente para ataque direto ao COFEE • Baseado em assinaturas • Foi estendido para atacar outras toolkits • Caine • DEFT • Helix • Usuário pode fazer suas próprias assinaturas • O autor desativou o código • Terceiros liberaram nova versão Projeto MUFFIN
  • 21. Helix IR • Traz os principais utilitários para Resposta a Incidentes em Windows • Foi o pioneiro e o mais utilizado até por volta de meados de 2009 • Pontos fracos • Não teve atualizações desde junho/2009 • Só funciona em CD • Menu gráfico tem grande “footprint” • Várias ferramentas alteram o estado dos dados voláteis • Foi alvo de ataque do DECAF Projeto MUFFIN
  • 22. DEFT EXTRA • Criado por um grupo italiano • Interface gráfica para várias ferramentas e utilitários de captura de dados voláteis • Pontos fracos • Versão em CD não é prática • Dados no pendrive podem ser atacados • Ferramentas podem ser comprometidas ou bloqueadas por AV(versão pendrive) • Várias ferramentas alteram o estado dos dados voláteis • Menu gráfico tem grande “footprint” • Foi alvo de ataque do DECAF Projeto MUFFIN
  • 23. CAINE WinTaylor • Também foi criado por um grupo italiano • Interface gráfica para várias ferramentas e utilitários de captura de dados voláteis • Pontos fracos • Versão em CD não é prática • Dados no pendrive podem ser atacados • Ferramentas podem ser comprometidas ou bloqueadas por AV (versão pendrive) • Várias ferramentas alteram o estado dos dados voláteis • Menu gráfico tem grande “footprint” • Foi alvo de ataque do DECAF Projeto MUFFIN
  • 24. Toolkit de IR dos Sonhos Não deve ter os pontos fracos:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 25. Muffin ao invés de Sonho ! Projeto Muffin: Indigesto para os malwares Master Unit For Forensics INvestigation Objetivo: Criar uma toolkit de Resposta a Incidentes que não possua as vulnerabilidades ou fraquezas mapeadas nas toolkits atuais Projeto MUFFIN
  • 26. Aprovado até na TV ! Hummmmm ! Projeto MUFFIN
  • 27. Eis então ... Receita de MUFFIN Cheff Tony Rodrigues Projeto MUFFIN
  • 28. Ingredientes • Um pendrive U3 com boa capacidade • Utilitários 32-bit e 64-bit • Nirsoft • SysInternals • Dumpers de Memória • MiTeC • Commands e utilitários CLI dos SOs usados na sua empresa • Forno Indicado: CD Burner • Linux e Windows • Cryptcat • Hydan • USB Hacksaw/Switchblade Projeto MUFFIN
  • 29. Escolhendo os utilitários Escolha o sabor e separe os ingredientes Projeto MUFFIN
  • 30. Escolhendo os utilitários • Utilitários 32-bit e 64-bit • Nirsoft, SysInternals, MiTeC • Dumpers de Memória • Commands e utilitários CLI • WinTaylor, Cofee e DEFT Extra são bons pontos de partida para ajudar na seleção dos utilitários • Confira o hash com o original do site ! • Preferência para CLI • A maioria da Nirsoft possui GUI e CLI • Menor “footprint” Projeto MUFFIN
  • 31. Escolhendo os utilitários • Todos os commands e utilitários devem ser homologados em cada SO/Service Pack existente na empresa • Confira os que alteram timestamps ou criam temporários • Desejável é não usá-los • Pode-se documentar as alterações introduzidas Projeto MUFFIN
  • 32. Objetivos atingidos Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 33. Preparando a estrutura e automatizando a coleta Unte a forma Projeto MUFFIN
  • 34. Preparando a estrutura e automatizando a coleta • Preparando a estrutura da toolkit • Crie um diretório no HD • Crie subdiretórios de acordo com: • SO • 32/64bit • Combinações de SO (ex: Todos, WinVistaWin7, etc) • Colocar apenas os SOs presentes na empresa • Dentro de cada diretório de SO devem estar, em seus respectivos subdiretórios: • As ferramentas e suas dependências • O command e seus utilitários de apoio • Cada um devidamente homologado Projeto MUFFIN
  • 35. Preparando a estrutura e automatizando a coleta • Combinações de SO • São os diretórios que conterão ferramentas e utilitários homologados para mais de um SO/Service Pack • Ex: C:MUFFIN C:MUFFINWinXP C:MUFFINWinXPcmd C:MUFFINWinXPutilxx C:MUFFINVista32cmd C:MUFFINVista32utilyyy C:MUFFINVista64cmd C:MUFFINVista64utilzzz C:MUFFINWinXPVistautilaaa C:MUFFINTodosutilkkk Projeto MUFFIN
  • 36. Preparando a estrutura e automatizando a coleta • Automatizando a coleta • WFT • Batch • Melhor dos dois mundos Projeto MUFFIN
  • 37. Automatizando a coleta - WFT • A ordem e os utilitários podem ser configurados no arquivo wft.cfg • Outros parâmetros podem ser passados pela linha de comando • Exemplo de Formato do .cfg (~ seria o TAB): EHWP~WinXPsr.exe~NA~<%toolpath%><%executable%> > <%dst%><%output%>~restorepoints~Restore Points~<FONT face='Tahoma' size='4'><B>Restore Points</B></FONT> &nbsp; <P><B>Restore Points</B> -- Exibe os Restore Points da máquina<P> • Um .bat pode ser criado para capturar o SO e chamar o WFT com os parâmetros e .cfg específicos Projeto MUFFIN
  • 38. Automatizando a coleta - Batch • Um grande arquivo batch (coletor) que trate a ordem e os utilitários • Essa opção tem menor “footprint” que o WFT • O IRCR2 pode ser usado como modelo • Parâmetros podem ser passados pela linha de comando • Um outro .bat pode ser criado para capturar o SO e chamar o coletor com os parâmetros específicos • Resultados dos comandos preferencialmente em .csv ou xml • Antes de executar um utilitário, o hash dele pode ser calculado/validado para garantir a integridade Projeto MUFFIN
  • 39. Automatizando a coleta – Melhor dos Mundos • Um utilitário de preparação prévia • Semelhante ao oferecido pelo COFEE • Tem relacionado todos os comandos, options, ferramentas e utilitários disponíveis na estrutura • Usuário indica a ordem e os parâmetros a serem executados • Pode criar perfis diferentes, dependendo do tipo de incidente • A saída pode ser • Um arquivo cfg do WFT • Um batch customizado só com as chamadas Projeto MUFFIN
  • 40. Objetivos atingidos Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 41. Evitando alterações nos dados colhidos Prepare as forminhas Projeto MUFFIN
  • 42. Evitando alterações nos dados colhidos • Saídas das ferramentas devem ser redirecionadas • Para um drive local (pendrive) • Para um endereço de rede (via cryptcat). • Sempre por um utilitário de cálculo de hash • Redirecione os erros também ! • O hash vai permitir verificar a integridade dos resultados • O cryptcat possibilitará comunicação segura dos dados para um servidor de coleta • Deve ser implementado na automação da coleta, no batch • O servidor deverá estar em modo Listening ... Projeto MUFFIN
  • 43. Evitando alterações nos dados colhidos • Hash detecta alterações, mas não as evita ! • O rootkit TDL3 tem algo interessante a nos favorecer • Implementa um Sistema de Arquivos próprio • Dados são criptografados no interior • O MUFFIN poderá fazer exatamente igual ? • Não, não temos como usar Kernel Mode • A técnica pode ser adaptada • Todas as saídas podem ser armazenadas juntas • Criptografadas • Em um arquivo único ou espalhadas pelo disco • Ataques precisariam ser direcionados Projeto MUFFIN
  • 44. Objetivos atingidos Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 45. Obfuscando o trabalho Junte os ingredientes em um grande pote e misture bem Projeto MUFFIN
  • 46. Obfuscando o trabalho • Ferramentas de Antivírus costumam atrapalhar operações de IR • Bloqueiam a execução de alguns utilitários • Removem o utilitário ou o põem em quarentena • Ferramentas de anti-forense ou anti- investigação podem detectar utilitários de IR e os atacar • Como o DECAF • Detecção baseada em assinaturas • Por hash do arquivo • Por hash de um trecho Projeto MUFFIN
  • 47. Algumas estratégias • Packers • Evita detecção por hash do arquivo completo • Não é garantido contra hash de parte do arquivo • Antivirus conseguem detectar (fazem o unpack) • Multi-packing • Várias passadas com Packers diferentes • Perdem funcionalidade • Nem sempre o programa continua funcional • Não garantido contra todos os AVs Projeto MUFFIN
  • 48. Algumas estratégias • Crypters • Evita detecção por hash do arquivo completo e por partes • Um código stub fica adicionado ao código real criptografado • AV e assinaturas detectam pelo código stub, que é conhecido Projeto MUFFIN
  • 49. Hydan • Apresentado inicialmente na BlackHat 2004 por Crazydog • Engenhoso projeto de esteganografia • Esconde conteúdo em arquivos executáveis • Não altera o tamanho do arquivo • O executável continua 100% funcional • Troca operações funcionalmente idênticas • Ex: add eax, 50 trocada por sub eax, -50 • Vulnerável a análise de freqüência • Muitas operações “sub” com operandos negativos são naturalmente incomuns Projeto MUFFIN
  • 50. Modificando Hydan • Conteúdo de entrada (estego) => string aleatória • Objetivo não é esconder a string, mas gerar um executável aleatoriamente diferente com mesmas funcionalidades • Ampliar número de instruções semelhantes • Não estamos presos a troca de instruções com mesmo número de bytes • Inserir NOPs aleatórios • Inserir bytes aleatórios como código nunca executado • Trabalhar códigos 64-bit • Não é sensível à análise de freqüência • Não é detectado por assinatura por hash Projeto MUFFIN
  • 51. FUD (Fully Undetectable) ? • Ainda não • Strings aleatórias com seqüência de bits semelhantes podem geram longos trechos não alterados • Mesclando Hydan e Crypters • Um Crypter criptografa o executável • O código stub é alterado pelo Hydan Modificado • O conjunto será • Indetectável por hash do arquivo • Praticamente indetectável por hash de parte do arquivo Projeto MUFFIN
  • 52. Aplicando ao Muffin • Um dos utilitários do Muffin fará a preparação: • A rotina descrita será aplicada sobre cada executável das ferramentas • Novos hash devem ser calculados para os arquivos • Como resultado, as ferramentas da toolkit terão hash único literalmente em qualquer ponto • Detecção por assinatura provavelmente não vai mais ocorrer • Nem bloqueio de ferramentas por Antivirus Projeto MUFFIN
  • 53. Objetivos atingidos Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 54. Gerando o .iso e copiando para o pendrive Leve ao forno brando Projeto MUFFIN
  • 55. Gerando o .iso • É preciso empacotar o grupo de utilitários • Um arquivo autorun.inf deve ser colocado na raiz do MUFFIN • Esse arquivo aponta para executar o .bat que aciona a coleta automatizada (ou que aciona o WFT) • O conteúdo deve ser preparado em um CD burner • Criar um arquivo no formato .iso Projeto MUFFIN
  • 56. Levando para um pendrive • O arquivo .iso precisa ser colocado em um pendrive • Problema: Pendrives são read-write • Ferramentas ainda podem ser comprometidas (infectadas) • Autorun pode ser trocado por malicioso • Ainda precisamos colocar os resultados no pendrive Projeto MUFFIN
  • 57. Pendrive U3 • Modelos específicos de pendrive • Vários fabricantes possuem linha U3 • Logicamente divididos em 2 partições • Uma read-only que funciona como um CD (CDFS) • Uma read-write “normal” • Muito utilizados para aplicações portable • A partição CDFS só pode ser escrita por programas específicos Projeto MUFFIN
  • 58. Pendrive U3 • USB Hacksaw/Switchblade • Projeto da hak5.org • Executa um arquivo pelo autorun que vasculha a máquina procurando por PDFs, DOCs, etc. • Um .iso crackeado sobrescreve a partição normal do pendrive U3 através de um software específico Projeto MUFFIN
  • 59. Gravando o .iso • Algumas maneiras: • LPInstaller.exe • U3_tool.exe • Estamos sem sorte ... Projeto MUFFIN
  • 60. Gravando o .iso - LPInstaller • Utilitário que atualiza pendrives U3 com um .iso • Específico para U3 Sandisk • Carrega o .iso e gera a partição CDFS no pendrive • Originalmente, carrega o novo .iso a partir do site da SanDisk • Pode carregar a partir de um arquivo .iso local Projeto MUFFIN
  • 61. Gravando o .iso – U3 Tool • Utilitário free que atualiza pendrives U3 com um .iso • Homologado para U3 Sandisk e Verbatim • Hospedado no SourceForge • Disponível para Windows e Linux • Carrega o .iso e gera a partição CDFS no pendrive • Pode carregar a partir de um arquivo .iso local Projeto MUFFIN
  • 62. Gravando o .iso – Quebrando pedras • LPInstall e U3_Tool não funcionaram  • Como eles trabalham ? Manda o Updater.exe ! Tá na mão ! Web O novo .iso, por favor get Updater.exe Execute-o depois do download Aqui. Não me aborreça mais ... get novo .iso Grave o .iso no dir /xxx/yyy Projeto MUFFIN
  • 63. Gravando o .iso – Quebrando pedras • É hora de enganar o Updater • Localize o autorun.inf • Capture a URL na seção UPDATE do arquivo • Essa URL permite chegar ao programa de update do pendrive • Ative um sniffer e execute o programa • Analise o tráfego e tome nota da path de onde o executável está baixando o .iso de atualização Projeto MUFFIN
  • 64. Gravando o .iso – Quebrando pedras II • Instale um webserver e recrie a path do passo anterior • Coloque o .iso com o MUFFIN nessa path local com o mesmo nome do passo anterior • Crie uma entrada no arquivo hosts para o domínio da URL capturada • Essa entrada deve apontar para localhost • Execute o programa de atualização • A partição CDFS será atualizada com o .iso do MUFFIN Projeto MUFFIN
  • 65. Objetivos atingidos Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint”  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 66. Usando o MUFFIN Sirva depois de esfriar Projeto MUFFIN
  • 67. Usando o MUFFIN • Ao plugar o pendrive, o Windows montará as duas partições • O autorun.inf vai executar o .bat principal • A partição read-write do pendrive deve ser usada para armazenar os resultados • Ou ainda, os resultados podem ser enviados via rede • O Cryptcat precisa estar esperando os dados no servidor Projeto MUFFIN
  • 68. Usando o MUFFIN II Sirva também aos vizinhos Projeto MUFFIN
  • 69. Usando o MUFFIN II • Uma forma de usar o MUFFIN remotamente • Coloque o pendrive com o MUFFIN na estação de controle • Use o SysInternals Psexec para mapear (Net Use), na máquina remota investigada, a partição CDFS • Use Psexec para executar o .bat principal • Os resultados devem ser enviados para a estação de controle via rede • Pode ser feito em paralelo nas máquinas suspeitas, diminuindo o tempo de coleta de informações em uma infestação por malwares Projeto MUFFIN
  • 70. Objetivos atingidos ao final Resolvemos as fraquezas:  Requerer leitor de CD  Ferramentas e utilitários que não podem ser atualizadas com facilidade  Manter dados coletados que podem ser atacados e/ou modificados  Permitir o comprometimento ou o bloqueio (AV) das ferramentas e utilitários  Utilizar ferramentas que alteram o estado dos dados voláteis  Uso de menu gráfico com grande “footprint” Esse não deu ainda  Não coletar automaticamente os dados voláteis  Ser vulnerável à ataque por assinatura Projeto MUFFIN
  • 71. Um objetivo mal atingido • É possível filtrar ferramentas que alterem substancialmente os dados voláteis • Principalmente os MAC Times e o espaço não-alocado • Não é a solução final • Sugestão • Acesso direto aos arquivos requisitados por fora do sistema de arquivos. Ex: TSK • Uma camada intermediária faria um hook das requisições ao disco pelo sistema de arquivos, acessando por fora • Ainda não validado ! Projeto MUFFIN
  • 72. Status do Projeto MUFFIN • Lançado no You Shot The Sheriff V • Versão 0.1 disponível • Formato de procedimento, documentando o processo de criação de um pendrive MUFFIN • Meta: automatizar esse processo de criação • MUFFIN Baker: Trabalha na criação do pendrive MUFFIN • MUFFIN Report: Trabalha nas saídas e dados coletados, criando relatórios e correlacionando informações Projeto MUFFIN
  • 73. Projeto MUFFIN - Escopo • Escopo inicial até versão 1.0 • MUFFIN Baker for Windows • Pendrive MUFFIN somente com utilitários Windows • MUFFIN Report for Windows • Escopo Médio Prazo (até v. 2.0) • Pendrive MUFFIN com ferramentas Linux • MUFFIN Baker e Report rodando em Linux via Wine • Escopo Longo Prazo (3.0 e além) • MUFFIN Baker e Report rodando em Linux e MAC nativamente Projeto MUFFIN
  • 74. Projeto MUFFIN - Detalhes • Desenvolvimento: Lazarus • Banco de Dados: SQLite • Google Code: https://code.google.com/p/muffin- project • Interface Gráfica: Analogia com receita de muffin • Ingredientes: Ferramentas e utilitários de coleta de dados voláteis • Despensa: Grupo de ferramentas (ingredientes) validados para uso em um pendrive MUFFIN • Receita: Lista de execução de utilitários, ordenada e com parâmetros • Forno: Menu onde gravamos uma Receita de MUFFIN no pendrive Projeto MUFFIN
  • 75. Projeto MUFFIN –Screen Shot beta – Menu Receita Projeto MUFFIN
  • 76. Projeto MUFFIN - Roadmap • Version 0.1 • Documento com procedimento • Version 0.2 • MUFFIN Baker • Despensa • Sem GUI, sem atualizações automaticas • Receita • Seleciona Ingredientes da Despensa • Indica parâmetros de execução para os Ingredientes • Indica ordem de execução dos Ingredientes • Forno • Grava as Receitas em pendrives comuns (sem U3 nessa versão) Projeto MUFFIN
  • 77. Projeto MUFFIN - Roadmap II •Version 0.3 • MUFFIN Baker • Despensa • GUI • Receita • O script de automação da coleta (batch) validará os ingredientes antes da execução • Forno • Uso de modelos U3 de pendrives Projeto MUFFIN
  • 78. Projeto MUFFIN - Roadmap II • Version 0.4 • MUFFIN Baker • Despensa • Atualização automática e manual das ferramentas (Ingredientes) • Receita • Saída das ferramentas armazenada de forma criptografada • Forno • Ingredientes 32-bit obfuscados • Version 0.5 • MUFFIN Baker • Forno => Ingredientes 64-bit obfuscados • MUFFIN Report mostrando dados coletados Projeto MUFFIN
  • 79. Projeto MUFFIN - Roadmap III • Version 1.0 • MUFFIN Baker • Forno • Obfuscação com técnicas avançadas • MUFFIN Report correlacionando saídas e informações Projeto MUFFIN
  • 80. Conclusão Resposta a Incidentes depende muito de uma boa preparação para ser eficiente Ter ferramentas adequadas é reflexo da boa preparação O MUFFIN foi criado para atuar na Resposta a Incidentes cobrindo as maiores vulnerabilidades das Toolkits disponíveis MUFFIN é totalmente código livre e o projeto precisa de colaboradores ! Projeto MUFFIN
  • 81. Referências • Verizon Report – http://newscenter.verizon.com/press-releases/verizon/2010/2010-data-breach- report-from.html • Nirsoft – http://www.nirsoft.net/ • MiTeC – http://www.mitec.cz/ • SysInternals – http://technet.microsoft.com/pt-br/sysinternals/default • WFT – http://www.foolmoon.net/security/wft/ • CAINE – http://www.caine-live.net/ • DEFT – http://www.deftlinux.net/ • HELIX – https://www.e-fense.com/store/index.php?_a=viewProd&productId=11 Projeto MUFFIN
  • 82. Referências II • COFEE – http://www.microsoft.com/industry/government/solutions/cofee/default.aspx • Cryptcat – http://sourceforge.net/projects/cryptcat/ • Hydan – http://www.crazyboy.com/hydan/ • USB Hacksaw – http://dotnetwizard.net/soft-apps/hack-u3-usb-smart-drive-to-become-ultimate- hack-tool/ • U3-Tool – http://u3-tool.sourceforge.net/ • LPInstaller – http://u3.sandisk.com/download/apps/LPInstaller.exe Projeto MUFFIN
  • 83. Sugestões de Leitura http://forcomp.blogspot.com http://www.e-evidence.info Projeto MUFFIN
  • 84. Perguntas ! Projeto MUFFIN
  • 85. Obrigado ! inv.forense arroba gmail ponto com (Tony Rodrigues) Projeto MUFFIN