Monday, December 22, 2008

Encase + Memscript + Memoryze - facilitando a analise forense de memória


Como sabemos, a importância de se coletar e analisar a memória física de máquinas envolvidas em crimes ou sob investigação de incidentes de segurança é cada vez maior. Os seguintes posts já foram publicados neste blog sobre o assunto:
Para fechar o ano com chave de ouro, a Mandiant acaba de publicar um grande facilitador desta tarefa para usuários do Encase (Forensic, FIM ou Enterprise). Trata-se de um EnScript chamado "Memscript" - que facilita em muito a análise de memória a partir da interface do próprio Encase.

São pré-requisitos para ele: Memoryze, Audit Viewer (escrito em Python). Estas ferramentas tem licença BSD - o que facilita seu uso corporativo.

Depois de instalado na máquina do investigador, o processo é muito simplificado, pois basta escolher as máquinas a terem a memória coletada, efetuar o dump de memória pelo próprio Encase e depois utilzar o Memscript para efetuar a análise de memória, que contém os seguintes itens/subtitens:

ProcessAuditMemory (Files, Directories, Processes, Keys, Mutants, Events, Dlls, Strings, Memory Sections, Ports)

DriverAuditSignature (Root/All) (ImageBase, DriverName, DriverInit, DriverStartIO, DriverUnload, IRP_MJ_CLOSE, IRP_MJ_READ, + 20 campos IRP_MJ_*)

DriverAuditModuleList (ModulePath, ModuleName, ModuleInt, ModuleBase, ModuleSize, ModuleAddress)

RootkitAudit (HookedFunction, HookedModule, HookingModule, HookingAddress)

Existe um User Guide (PDF) muito bem escrito, descrevendo as funcionalidades do Audit Viewer.

No link incluído para o site da Mandiant, existe um passo a passo detalhado com capturas de telas, para auxiliar o investigador a configurar as ferramentas descritas.

Tuesday, December 16, 2008

ATENÇÃO: Patch para Vulnerabilidade Crítica do Internet Explorer sai amanhã

Atualização: 2008/12/16 22:43

O pessoal do Time de Segurança da Microsoft no Brasil postou sobre o Patch que será liberado amanhã, informando que o boletim de segurança sairá às 15h, horário de Brasília - segue parte do post:

"A Microsoft liberará um boletim de segurança (fora da programação normal das segundas terça-feiras do mês) que resolve uma vulnerabilidade do navegador Internet Explorer em todas as versões correntes e suportadas de Windows. Esse boletim sairá aproximadamente às 15:00 horas, horário de Brasília em 17 de Dezembro de 2008.

Essa atualização estará disponível fora do ciclo mensal de boletins de segurança em um esforça da Microsoft de proteger seus clientes. A Microsoft recomenda que seus clientes preparem seus sistemas e redes para aplicar esse boletim imediatamente após liberada para que seus computadores fiquem melhor preparados contra ações de ataques criminosos. Para mais informações sobre essas atualizações, por favor visite a página web em Inglês http://www.microsoft.com/protect."


Post Original: 2008/12/16 19:08

A Microsoft está prometendo o patch para a vulnerabilidade "0-day" do IE (todas versões) para amanhã.

anúncio:
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx

outros links da microsoft relacionados:

http://www.microsoft.com/technet/security/advisory/961051.mspx
http://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx


inscrição para webcast da MS amanhã (17/12/2008) sobre a vuln:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032399448&Culture=en-US

inscrição para webcast da MS do dia 18/12/2008:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032399449&Culture=en-US

repercussão do anúncio do Patch para amanhã:

http://blogs.zdnet.com/security/?p=2317
http://isc.sans.org/diary.html?storyid=5497&rss
http://security.blogs.techtarget.com/2008/12/16/microsoft-to-release-emergency-patch-for-ie-xml-flaw/

Tudo começou em um fórum hacker chinês (2) e foi trazido ao ocidente através de um Post da PC-WORLD em 09/12/2008 - Uma das melhores análises técnicas das explorações iniciais foi feita pelo HD Moore. Hoje já estão disponíveis vários exploits.

Enquanto isto o número de sites explorando a vulnerabilidade já subiu para 10.000 e o número de usuários afetados é de mais de 1 em cada 400 internautas. É interessante notar que a maioria são sites legítimos que são invadidos e passam a disseminar trojans através da exploração da falha não corrigida.

No meio tempo, entre as ações com real efeito, vale a pena - quando possível - utilizar um navegador mais seguro (Firefox, Chrome) e bloquear (via filtro de conteúdo, proxy, acls) os domínios maliciosos já identificados. Algumas regras de IDS podem ajudar, mas não resolvem.

Como - ainda por cima - os "workarounds" de mitigação oferecidos pela Microsoft não estão sendo levados muito a sério (são realmente confusos), o negócio é esperar o Patch sair amanhã e TESTAR/APLICAR em regime de urgência em todas as máquinas Windows - para minimizar o impacto nas máquinas sob sua resposabilidade.

Para mais informações, veja:

http://www.kb.cert.org/vuls/id/493881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
http://xforce.iss.net/xforce/xfdb/47208
http://milw0rm.com/exploits/7477
http://www.securityfocus.com/bid/32721
http://feeds.feedburner.com/~r/SpywareSucks/~3/482165575/1656545.aspx
http://www.f-secure.com/weblog/archives/00001561.html
http://www.breakingpointsystems.com/community/blog/patch-tuesdays-and-drive-by-sundays
http://www.darknet.org.uk/2008/12/ie7-exploit-also-affects-ie5-ie6-and-ie8-more-users-in-trouble/
http://securitylabs.websense.com/content/Alerts/3259.aspx

Thursday, December 4, 2008

DNSChanger - v4

O primeiro post deste blog - em 13 de junho deste ano - foi sobre um trojan chamado "DNSChanger" que tentava acessar com senhas padrão o gateway (modem/AP/router) da rede interna e automatizava a exploração da rede local da vítima, além de reconfigurar os endereços DNS atribuídos automaticamente e assim possibilitar o controle da navegação e phishing/pharming em uma nova dimensão.

Pois bem, passados 6 meses, estamos no 48.0 post deste blog e uma nova variante do DNSChanger está chamando a atenção da comunidade de segurança, por sua inovação.

De uma forma geral, estes trojans que buscam alterar as configurações de DNS das máquinas locais ou da rede do usuário, têm agido até o momento com um três dos seguintes modus operandi:

  1. Modificar o arquivo Hosts do Windows Modify (%SYSROOT%\windows32\drivers\etc\hosts)
  2. Modificar a entrada de registro incluindo um DNS server malicioso (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer)
  3. Explorar vulnerabilidades do tipo "cross-site request forgery" em routers (ou via força bruta como nosso post de junho aponta) para sobrescrever a configuração DNS das máquinas na rede local
A novidade está na nova técnica utilizada por este trojan, que permite que todos os equipamentos IP (indepentende de sistema operacional) que estejam configurados para obter endereçamento automaticamente sejam afetados pela alteração de DNS.

É instalado na máquina infectada um driver (ArcNet NDIS) que irá a partir deste momento atuar como um servidor DHCP falso, e vai concorrer com o servidor real na distribuição dos endereçamentos da rede local - e - como você já deve ter imaginado - quando ele atribui o endereço ele também fornece ao equipamento os IPs de servidores DNS falsos para que a navegação das máquinas seja controlada por ele.

Dois pontos interessantes levantados pela Mcafee/Sans:

1 - o número de equipamentos afetados com este tipo de abordagem é maior, já que não há limitação por sistema operacional.

2 - a detecção da causa-raiz da alteração do DNS das máquinas afetadas é muito difícil (você teria que analisar o tráfego de rede para identificar os endereços MAC dos pacotes "DHCP Offer" para identificar onde a máquina infectada está..)

Os DNS falsos utilizados na variante analisada são:
  • 85.255.112.36
  • 85.255.112.41
Como mitigação (deste ataque específico), o SANS Institute recomenda bloquear o range 85.255.112.0 – 85.255.127.255 no seu gateway de borda.

A Mcafee informa também que o driver legítimo "ArcNet NDIS Protocol Driver" que é utilizado pode ser encontrado no caminho a seguir: (%SYSROOT%\system32\drivers\ndisprot.sys)

Além dos links de referência já citados, a Symantec publicou uma análise do trojan contendo as modificações efetuadas no sistema afetado.

Monday, December 1, 2008

FACE: Automated digital evidence discovery and correlation

Interessante pesquisa/protótipo de ferramenta para
correlacionar resultados de
forense de disco/ forense
de memória/ forense de rede: (
pdf).

O conceito é muito interessante, e é bem possível que
vejamos isto como commodity
em alguns anos, talvez
através de um padrão/protocolo aberto de
relacionamento entre estas tecnologias e fabricantes...


Abstract:

"Digital forensic tools are being developed at a brisk pace in response
to the ever increasing variety of forensic targets. Most tools are
created for specific tasks – filesystem analysis,memory analysis,
network analysis, etc. – and make little effort to interoperate with
one another. This makes it difficult and extremely time-consuming
for an investigator to build a wider view of the state of the system
under investigation. In this work, we present FACE, a framework
for automatic evidence discovery and correlation from a variety of
forensic targets. Our prototype implementation demonstrates the
integrated analysis and correlation of a disk image, memory image,
network capture, and configuration log files. The results of this
analysis are presented as a coherent view of the state of a target
system, allowing investigators to quickly understand it. We also
present an advanced open-source memory analysis tool, ramparser,
for the automated analysis of Linux systems."

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)