Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Veremos neste artigo uma pequena contribuição sobre algumas das ferramentas e sua utilização na perícia forense em sistemas UNIX/Linux para comprovação da autoria de ataques e/ou invasão através do serviço de Secure Shell - SSH.

[ Hits: 60.898 ]

Por: Matuzalém Guimarães em 03/01/2009


Análise dos dados



Este trabalho dá ênfase apenas às ferramentas necessárias para análise de dados relativos a ataques e a invasão consumada em sistemas Unix, a fim de comprovar a autoria do atacante. Sendo, portanto a análise de log, gerados no sistema por ataques ao serviço de SSH e por ferramentas que visam proteger este sistema o foco desta análise.

A análise dos dados coletados envolve selecionar quais as informações terão relevância para o caso em questão. Para o levantamento de informações sobre tentativas de ataques e invasão a sistemas Unix através do serviço de SSH deverão ser analisados os logs gerados pelo sistema e por outras ferramentas usadas para proteção do serviço no sistema atacado a fim de reconstituir as ações do atacante/invasor.

Para esta atividade o grupo Security Incident Response Team (CSIRT) da Rede Nacional de Pesquisa (RNP) recomenda o uso de analisadores de log que são ferramentas que verificam logs gerados por um sistema e os organiza para facilitar a interpretação. Eles geram sumários com os logs que realmente importam para o investigador. Geralmente a edição de regras ocorre através de expressões regulares, que definem quais mensagens deverão ser retornadas e quais deverão ser descartadas pelo investigador. Dentre as ferramentas utilizadas para analisar atividades desta natureza um dos destaques, segundo o CSIRT é o Logwatch.

Esta ferramenta, segundo o CSIRT é um software escrito em Perl que utiliza scripts e configurações específicas para cada arquivo de log. Sendo capaz de definir quais mensagens são importantes, de acordo com o nível de detalhes (0 a 10) definido pelo investigador. A figura 2 mostra o relatório sobre o serviço de SSH, onde pode ser observado o registro das quantidades de tentativas de login efetuados por cada usuário e os endereços de IP de cada requisição.

Figura 2 - Relatório gerado pela ferramenta logwatch
Farmer; Venema (2007) afirmam que em uma análise forense, o dado bruto não fornece nenhuma informação sobre o fato ocorrido no sistema. Todavia com a esquematização dos dados em uma linha cronológica, poderá revelar alguma informação útil para a investigação. O uso da ferramenta mactime auxilia o investigador neste processo.

MACtime segundo os autores também é um conjunto de abreviações referentes aos atributos que compõe um arquivo em sistemas Unix:
  1. mtime, sendo este uma referência ao tempo de modificação e revela o ultimo momento de acesso ao arquivo;
  2. atime, referencia o último momento em que ocorreram modificações no conteúdo e no meta-dados do arquivo;
  3. ctime, revela o último momento em que ocorreu alguma modificação no conteúdo do arquivo.
    De acordo com Junior; Saúde; Cansian (2005) a ferramenta mactime faz parte de conjunto de ferramentas forense Sleuthkit que visa tornar essa fase pericial mais clara de ser analisada, uma vez que ela constrói automaticamente uma linha de tempo de acordo com uma base de dados gerada pela ferramenta forense mac-robber. Sendo desta forma possível tentar uma reconstituição de fatos ocorridos no sistema co-relacionando eventos isolados de forma a identificar as ações do invasor no sistema.

    A figura 3 mostra um relatório gerado pela ferramenta mactime.

    Figura 3 - Relatório gerado pelo software mactime / Fonte: Farmer; Venema (2007)
    Pode-se observar que em 19 de julho, às 16:47, um usuário identificado como root criou e descompactou um arquivo de formato de compactação tar. O nome do arquivo sugere que este seja um substituto para o serviço de SSH. Esta operação foi executada em um diretório incomum para operações desta natureza. Logo após foi criado um usuário denominado "sue" e desconectou-se do sistema as 16:57.

    Farmer; Venema (2007) afirmam que posse destas informações o investigador será capaz de inferir com precisão alguma das atividades realizadas durante o tempo em que o atacante permaneceu logado no sistema, como por exemplo, a instalação de backdoors, criação de arquivos ou diretórios ocultos, execução de programas, download de outros softwares, alteração nas bibliotecas do sistema etc.

Página anterior     Próxima página

Páginas do artigo
   1. Indícios da invasão
   2. Ferramentas para coleta de dados
   3. Análise dos dados
   4. Identificação do invasor
   5. Referências
Outros artigos deste autor

SSH: Métodos e ferramentas para invasão

Scanners de portas e de vulnerabilidades

Estatísticas para todos

Estudantes de computação e o Linux/Unix

Monitoramento de redes com o Zenoss

Leitura recomendada

Snort + MySQL + Guardian - Instalação e configuração

Tornando seu Apache mais seguro com o ModSecurity

Reaver - Testes de segurança em redes sem fio

Ferramentas de administração remota

Double Dragon: chkrootkit e portsentry, agora vai rolar pancadaria nos intrusos!

  
Comentários
[1] Comentário enviado por brevleq em 05/01/2009 - 14:47h

Muito bom!!

[2] Comentário enviado por y2h4ck em 06/01/2009 - 09:20h

Não sei se você percebeu mas eu seu texto você cai em contradição no seguinte ponto:

- Você mostra que uma das fases que um possível atacante efetuaria é de Cobrir os Rastros. Obviamente os logs seriam o primeiro alvo deste atacante.
- Em seguida no capitulo "Identificando o Invasor" você se vale dos logs para identificar o invasor.

Acredito que no seu caso, ou seja, caso de uma análise forense, os logs seriam algo não confiável. Não concorda? :)


[]s

Anderson

[3] Comentário enviado por matux em 06/01/2009 - 13:34h

Olá Anderson,

Obrigado pela leitura e atenção dispensada.
Toda crítica ou elogio sempre será bem-vinda.
Com relação à sua observação tem um outro ponto de vista, seria o seguinte:
1. Os autores que citei afirmam e demonstram o ciclo básico de um ataque. Uma das fases seria "cobrir seus rastros" ou seja, apagar os logs que permitam identificá-lo.

Minha opinião: alguns trabalhos que já realizei e em conversas com outros colegas da área de segurança, bem como em revistas especializadas fica claro que nem sempre os logs são alterados de forma a não permitir a identificação do atacante.

2. Os logs são de fato uma das melhores e mais simples formas de identificação de ações dentro de um sistema. Conseqüentemente de que forma poderíamos identificar uma invasão por SSH se para isto não fossem utilizado a análise dos Logs de acesso.

3. Sabemos que nada é 100% seguro e nem mesmo a perícia forense poderá contar com evidências que permitam a identificação do atacante de forma inequívoca. Os ataques se mostram cada vez mais sofisticados e complexos. Mas ainda sim para a grande maioria dos casos em que podemos contar com os logs servindo de base para a investigação, creio que é sem sombra de dúvidas uma das melhores formas.

Obrigado por sua contribuição e parabéns pelos seus artigos.
Um forte abraço!

[4] Comentário enviado por edipo.magrelo em 08/01/2009 - 11:25h

Ótimo artigo amigo.
Para quem quer saber mais da computação forense recomendo a leitura

[5] Comentário enviado por eisen em 21/05/2009 - 09:34h

Muito bom mesmo, rápido e direto.
Parabéns.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts