blog.dennyroger.com.br

Técnicas para ocultar informações e identificar ataques no Windows

A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.

Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.

Escondendo informações

Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:

Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.

1. Crie um arquivo com extensão .doc para a realização dos testes.

2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.

3. Clique em “Iniciar”, “Executar” e digite %windir%/system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.

4. Copie o arquivo fopag.dll para este diretório.

O diretório %windir%/system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a “caçada virtual” das evidencias de um ataque, o administrador de rede procure informações “ocultas” neste diretório.

Algumas técnicas para detectar as informações que podem estar sendo escondidas são:

a) Procure pela data e hora de criação/modificação do arquivo.

b) É possível realizar pesquisas específicas no Windows definindo data ou hora.

c) Você pode realizar um scan no seu computador a procura de arquivos modificados.

Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt “sfc /scannow”. Para mais informações, acesse http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx.

d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.

Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samhain-on-windows.html.

Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de “Verificação de assinatura de arquivo”.

1. Clique em “Iniciar”, “Executar” e digite “sigverif”.

2. Siga as orientações descritas na tela para a verificação dos arquivos.

Para mais informações, acesse http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sig_verification_tool.mspx.

Analisando a assinatura dos arquivos no Windows

Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.

Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:

1. Clique em “Iniciar”, “Executar” e digite “cmd”.

2. Na raiz do promt digite “cd windows/system32” e pressione “Enter”.

3. Digite “notepad sol.exe” e pressione “Enter”. (sol.exe é o jogo de Paciência do Windows).

4. Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.

Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.

Você irá identificar a seguinte assinatura no arquivo: “ÐÏ.ࡱ.á”. Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).

Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html.

Construindo arquivos

Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.

Existem ferramentas que permitem a “construção de arquivos”. Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).

Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect.

Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.

Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html.

Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/ProcessExplorer.html.

Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.

Conclusão

Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.

Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.

Denny Roger é especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de teste de invasão na Batori Software & Security, onde pode demonstrar, em primeira mão, sobre o impacto das vulnerabilidades da rede no dia-a-dia. Atualmente é CSO da Batori Software & Security.