5 TESTE E VERIFICAÇÃO
5.2 APLICAÇÃO DO MODELO
Após apresentação do caso, é necessário frisar que este é um ataque direcionado à Universidade, no qual o atacante tem como objetivo captar informações dos universitários, e através delas realizar operações dentro da Universidade para expor suas vulnerabilidades e falhas de segurança em seu ambiente universitário.
Através das informações repassadas pela coordenação e TI da Universidade ABC, foi dado início à investigação do possível ataque ocorrido na Universidade, seguindo os passos proposto pelo fluxograma apresentado, no capitulo 4, conforme segue:
1 – Identificação: Tendo em vista as matrículas irregulares apresentadas pelos universitários, que não foram geradas pelos mesmos, presumiu-se que foi no servidor que o possível atacante buscou as informações das contas dos alunos.
Sem a confirmação da maquina utilizada pelo suspeito para realizar o acesso ao Data Center onde fica armazenado o banco de dados da Instituição, serão analisados os registros de logs para verificar os acessos e também as atividades de e-mail para tentar identificar de onde surgiu o possível ataque.
Coletar sessões de log: O comando abaixo foi utilizado para verificar os acessos ao servidor:
# cat /var/log/auth.log
Analisando os logs foi possível verificar que não houve nenhum acesso indevido ao servidor, somente dos usuários da TI da Universidade. Desta forma, observou-se que o possível ataque não foi realizado através do servidor da Instituição.
Figura 18: Log de acesso ao servidor.
Fonte: Autor (2015).
Todos os registros de logs de sessão, assim como os logs de e-mail foram coletados através de ferramentas do Linux para executar os procedimentos.
Após não encontrar nenhum acesso indevido ao servidor, foram analisados os logs de e-mail, como mostra a figura a seguir, onde foi encontrada uma irregularidade no domínio de alguns e-mails que foram enviados aos alunos.
Figura 19: Lista de e-mails enviados aos alunos com domínio suspeito.
Fonte: Autor (2015).
Ao analisar os logs de e-mails, foi verificado que alguns alunos receberam e-mails de um domínio muito parecido com o da Universidade, porém com um detalhe que muda totalmente o seu domínio, o ponto entre “@universidadeabc”.
Alunos receberam um e-mail de informação da Universidade no qual se solicita o acesso ao site da Universidade para confirmar seus dados pessoais, conforme mostra a figura abaixo, e ao entrar no link informado, antes da confirmação dos dados é necessário informar seu usuário/senha de acesso à intranet, para depois realizar a confirmação dos dados.
Figura 20: E-mail recebido pelos alunos.
Fonte: Autor (2015).
Ao analisar o e-mail, foi identificada uma suspeita a qual pode levar ao indício de um ataque de “Spear Phishing”, pois como mostra a figura abaixo, ao deixar o cursor do mouse em cima do link de acesso ao “Portal MinhaABC”, é possível verificar que o site apresentado na parte inferior do navegador não é o site da Universidade ABC.
Figura 21: E-mail com indício de Spear Phishing.
Fonte: Autor (2015).
Com isso, os e-mails foram analisados e identificou-se que o suspeito enviou um e- mail direcionado a alguns universitários, se passando pela Universidade, solicitando que os alunos atualizassem seus dados.
Após receberem o e-mail, todos no mesmo período e sem notar a mudança no domínio do e-mail, alguns alunos seguiram a orientação achando ser da Universidade e realizaram a atualização dos seus dados, informando também seu usuário e senha de acesso a intranet da instituição.
O que os alunos não previam era que estavam passando seus dados pessoais e credenciais para o atacante, o qual passou a utiliza-los para realizar operações dentro da instituição. Conforme figura a seguir, após possuir os dados do aluno, o atacante pode realizar diversas operações pela intranet da Universidade.
Figura 22: Intranet da Universidade
Fonte: Unisul (2015).
Com os dados de acesso, o atacante passa a ter total liberdade para executar procedimentos dentro da intranet da Universidade com as credenciais do aluno, mostrado na figura a cima, o que pode ter gerado as matriculas indevidas reportada pelos alunos.
Também através dos dados de acesso, é possível interagir com outros alunos e a partir disso, obter mais dados e informações para a realização do ataque, como por exemplo, enviar mensagens através da ferramenta da Universidade, conforme mostra a figura abaixo.
Figura 23: Forma de interagir com alunos através da intranet da Universidade.
Desta forma, após identificar indícios de um possível ataque realizado à Universidade, serão realizadas as etapas propostas pelo fluxograma apresentado, com a finalidade de encontrar dados ou informações que possam comprovar o ataque sofrido pela Universidade. 2 – Coletar dados: Como não foi identificada uma invasão ao servidor por algum usuário indevido, e sabendo que os dados podem ter sido capturados por meio de um ataque de “Spear Phishing”, buscou-se apenas coletar os dados do servidor onde estavam às armazenadas as informações no banco de dados.
2.1 - Acessar a máquina invadida: Como não houve invasão a nenhuma maquina, não há necessidade de realizar este procedimento, pois por talvez se tratar de um ataque “Spear Phishing” e dos objetivos do atacante, o mesmo pode ter realizado todos os procedimentos via web, sem precisar acessar a máquina física da instituição.
2.2 - Coletar dados voláteis: Início da coleta de dados voláteis.
2.3 – Coletar comandos executados: Em seguida foi feita a verificação dos comandos executados no servidor, através do comando:
#cat /home/userTI/.bash_history
Foram verificados os comandos executados e não foi encontrado nada fora da normalidade, apenas comandos de rotinas realizados diariamente pelo pessoal da TI da Universidade.
Após isso, todas as conexões de rede, o estado das portas TCP e UDP, os processos em execução, os dados da memória e os arquivos abertos foram coletados para posterior exame. 2.4 – Coletar dados não-voláteis: Após a coleta dos dados voláteis, os dados não voláteis foram coletados.
2.4.1 – Coletar arquivos de log do sistema: Foram coletados os registros de logs para serem examinados.
2.5 – Acessar a máquina do suspeito: Como não foi identificado nenhum acesso ao servidor através de outra maquina, não há como realizar este procedimento, nem os subsequentes propostos para caso houvesse a invasão, desta forma será dada continuidade aos procedimentos seguintes.
3 – Exame dos dados: Na realização da coleta dos dados feita anteriormente, há uma grande massa de dados, por isso foi necessário filtra-los para posterior análise, seguindo os passos a seguir:
Para facilitar o exame dos dados foi utilizado o “Ubuntu – FDTK”, que é uma distribuição Linux baseada em Ubuntu, voltada para pericia forense computacional, conforme mostra a figura a seguir:
Figura 24: Ubuntu – FDTK utilizado para facilitar o exame dos dados.
Fonte: Autor (2015).
Essa distribuição possui diversas ferramentas que auxiliam na coleta dos dados, nos exames e análise das evidências, o que facilita o trabalho de investigação.
3.1 – Examinar padrões dos arquivos coletados: Como mostra a figura a seguir, com a finalidade de encontrar arquivos manipulados, foram examinados os padrões dos arquivos, porém nada foi encontrado, todos os arquivos coletados estavam com seus padrões íntegros.
Figura 25: Cabeçalho de arquivo.
Fonte: Autor (2015).
Como na figura a cima, o cabeçalho do arquivo mostra seus dados e informações, o que pode auxiliar na identificação de anormalidades, definindo a integridade ou não de um arquivo.
3.2 – Examinar formato dos arquivos coletados: Os formatos foram examinados, porém nenhuma anormalidade foi encontrada.
3.3 – Examinar arquivos e fragmentos excluídos: Foi realizada uma pesquisa para verificar a existência de algum arquivo que contribua para a investigação do ataque que possa ter sido excluída. Para isso foi utilizado o programa “Recuva” que recupera os arquivos apagados da maquina, como mostra a figura abaixo:
Figura 26: Recuperação de arquivos.
Na filtragem não foi encontrado nenhum arquivo relevante que seja útil para posterior análise.
3.4 – Examinar metadados: Posteriormente, foram examinados os metadados dos arquivos coletados, porém nada foi encontrado.
Figura 27: Exemplo de metadados.
Fonte: Autor (2015).
Os metadados contribuem para uma visão cronológica dos acontecimentos, obtendo os procedimentos executados por determinados arquivos, com suas respectivas datas, sendo possível visualizar o resumo das informações sobre a forma ou conteúdo da fonte, descrevendo seus dados e auxiliando na identificação, localização, compreensão e gerenciamento dos mesmos.
3.5 – Busca por palavra-chave: Por fim, foi realizada uma busca por palavras-chave, elaborada durante as etapas de exame com o e-mail no qual foi modificado o domínio para se passar pela Universidade como principal texto para busca. Desta forma, foram encontrados
todos os e-mails enviados aos alunos pelo suposto atacante, apresentados na figura abaixo, podendo assim, analisar posteriormente quais alunos receberam o ataque.
Figura 28: Lista de e-mails maliciosos.
Fonte: Autor (2015).
Além dos e-mails nada mais foi encontrado para ser adicionado ao relatório final e compor a prova do crime.
Após o exame dos dados, foi possível reduzir a quantidade informações obtidas na coleta, deixando apenas o necessário para que fosse analisado, focando nas possíveis evidências que possam comprovar o crime. Com isso foi iniciada a análise dos dados, mostrada a seguir:
Nesta etapa acontece à identificação das pessoas envolvidas em determinada suspeita, assim como os caminhos percorridos pelo suposto atacante e quais foram os passos dados para realizar o possível ataque.
A análise das evidências foi realizada sobre uma cópia idêntica dos dados, para que não houvesse problemas com a integridade dos mesmos, prezando pela proteção e segurança das possíveis provas de um ataque.
4 – Análise dos dados: Analisando as evidências encontradas na etapa anterior, foi possível identificar alguns pontos do ataque:
O Ataque foi realizado diretamente à UniversidadeABC, com o intuito de enganar os alunos e através deles atingir a Universidade;
Foi utilizado um e-mail falso parecido ao da Universidade para dar início ao ataque;
Os e-mails foram enviados no mesmo dia aos alunos;
O atacante se passou por um funcionário da instituição sem que fosse percebido;
Utilizou do método de “Spear Phishing” para enganar os alunos;
Com isso, foi possível obter dados pessoais, credenciais de acesso e todas as informações necessárias para realizar os procedimentos dentro do ambiente universitário, confirmando a suspeita de que a Universidade recebeu um ataque direcionado.
4.1 – Correlacionamento dos Logs: O correlacionamento ocorre com o intuito de achar o culpado pelo possível ataque ou incidente a um determinado alvo através da análise dos logs obtidos na coleta de dados.
Através dos logs é possível obter informações como de acessos não autorizados a um determinado servidor, identificar endereços IP desses acessos, horários e datas em que procedimentos foram executados, e com isso relacionar provas que incriminem possíveis realizadores de um ataque.
Tendo isso em vista, os logs do sistema foram verificados, e foi possível constatar que os e-mails enviados foram no mesmo dia e horário para os alunos da Universidade, pelo mesmo domínio forjado, o qual se passava por um funcionário da instituição. Portanto, foi possível identificar o responsável pelo ataque, e o momento em que ele iniciou seus procedimentos.
4.2 – Análise do tráfego de rede: Com a análise do tráfego de rede, é possível analisar se houve comunicação entre o atacante e a máquina invadida, e caso haja, estabelecer uma sequência de eventos e comparar a outras evidências encontradas.
Com essa análise, é possível encontrar endereços IP do suspeito, se houve tráfego em portas desconhecidas, ou anormalidades na rede da instituição, obtendo informações de toda comunicação feita pelo atacante com o seu respectivo alvo.
Ao analisar o tráfego de rede não foi possível identificar nenhuma anormalidade, pois não há registros nem evidências de que o atacante realizou acesso ao servidor da instituição, desta forma foi possível confirmar que não houve acesso aos servidores durante o incidente. 4.3 – MAC TIMES: Através dos MAC TIMES é possível identificar datas de criação, modificação e último acesso relacionados a arquivos ou dados coletados, sendo possível determinar quando ocorreram as ações do suspeito.
Ao analisar o MAC TIMES do e-mail enviado, mostrado na figura abaixo, foi possível identificar o horário em que os e-mails foram enviados, que indica quando o atacante realizou os envios para coletar informações dos alunos.
Figura 29: MAC TIMES do e-mail recebido.
Fonte: Autor (2015).
Assim, após o período de análise, foi possível identificar pessoas, porém não foi encontrada a real identidade do atacante, identificar locais, sabendo que os procedimentos foram todos realizados via web, e identificar os eventos, mostrando os passos dados pelo atacante para a realização do crime, que começou com o método de Spear Phishing localizado nos e-mails.
E por último, o correlacionamento das evidências que ocorreu durante todo o processo, tanto de coleta, quanto de exame ou análise, deram parâmetros que direcionaram a suspeita para uma pessoa.
Com isso, foi possível notar os objetivos do atacante, que eram obter os dados pessoais dos alunos, suas credenciais de acesso à universidade e através delas realizar operações dentro do ambiente universitário, atingindo a instituição, demonstrando como acontece um ataque direcionado e evidenciando como as pessoas e instituições, com uso da internet, ficam vulneráveis a ataques.