DESCRIÇÃO DO DIAGRAMA PROPOSTO

Nesta seção é apresentado e explicado o funcionamento da modelagem do fluxograma apresentado para análise de ataques direcionados. Conforme a figura a seguir, segue os procedimentos abaixo:

Procedimento 1: Identificação de possíveis fontes de dados: Em uma investigação, é necessário identificar as fontes envolvidas, como por exemplo, maquinas invadidas e utilizadas pelo suspeito de um ataque.

Procedimento 2: Coletar dados: Baseia-se na coleta de toda informação acessível na mídia investigada, sendo úteis ou não.

Procedimento 3: Examinar dados: Reduzir a quantidade de informações desnecessárias para a investigação, através da filtragem dos dados.

Procedimento 4: Analisar as evidências para determinar se houve invasão à organização, e identificar as pessoas envolvidas em determinada suspeita. Os detalhes dos procedimentos serão apresentados a seguir, que servem de padrão para qualquer perícia forense, conforme a figura 10.

Figura 10: Modelo de análise de ataques direcionados

Reproduzido de: QUEIROZ (2007).

A identificação dos possíveis ataques é a parte mais difícil de todo o processo, pois depende de métodos sofisticados, que consigam encontrar rastros deixados pelos mesmos, a fim de buscar uma solução rápida para diminuir suas consequências e suavizar seus danos à organização, tendo em vista que não existe uma maneira de bloqueá-lo completamente, e sim reduzir seu impacto. Não existem soluções próprias para esses ataques, pois eles são feitos sob medida, dessa forma, é preciso criar uma solução genérica, que possa atender e ser adaptada para todos os tipos de ataques direcionados à organização.

A seguir, é mostrado três vetores de ataques comuns usados em ataques direcionados:

•Email: Spear Phishing é um e-mail que parece ter sido enviado por um indivíduo ou empresa que você conhece. Ele é derivado dos mesmos hackers criminosos que querem os números dos seus cartões de crédito e contas bancárias, senhas e informações financeiras contidas no seu PC (NORTON, 2011; p. 1).

•Web: Através de acessos a páginas Web maliciosas, utilizando navegadores vulneráveis, códigos maliciosos são instalados e passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com suas permissões (CERT.br, 2006; p. 1).

•Arquivos: Ao executar arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos), a maquina do

usuário é infectada e fica vulnerável a ataques maliciosos, que buscam todos os tipos de informações (CERT.br, 2006; p. 1).

Antes de iniciar o procedimento, é necessário entender como funciona o processo de ataque direcionado, que é mostrado na figura abaixo.

Figura 11: Processo de Ataque

Fonte: Autor (2015).

O “atacante” identifica seu alvo, através de um método, como o “Spear Phishing5”, obtém informações do mesmo coletando os dados necessários para criar um ataque específico para o alvo desejado.

Após coletar as informações necessárias, o “atacante”, através das informações que foram obtidas, define qual ataque será utilizado.

O ataque “0day” ou “Dia Zero”, segundo Moura (2013), são falhas ou vulnerabilidades de segurança, não identificadas pelas empresas de softwares, utilizadas pelos “atacantes” em ataques. Neste caso, as empresas não tiveram tempo de se proteger, ou proteger seus produtos destas falhas, por isso a definição “0day”.

Desta forma, é possível dizer que para este tipo de ataque, não existe vacina, ou seja, não há como se proteger.

O outro ataque que pode ser utilizado é um ataque convencional, descrito no decorrer do trabalho, modificado especificamente para o alvo desejado, ou seja, tem vacina, porém, não há como saber quais parâmetros serão utilizados no ataque.

Sendo assim, das duas formas, o alvo só saberá que foi alvo de ataque, após o mesmo já ter ocorrido, e as chances de erro para sua identificação ou prevenção, são mínimas.

5 _{Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos}

O principal objetivo é obter dados e informações dos principais ramos de atuação da organização, direcionando seu ataque a uma área específica do alvo, na qual lhe interessa. Para saber que está sendo alvo de um possível ataque, ou que um incidente ocorreu, é necessário achar indícios que possam identificar que o ataque, de fato, ocorreu.

Então, antes de iniciar qualquer procedimento, é necessário identificar indícios do ataque, para assim, determinar que o alvo foi vitima de um ataque direcionado.

Na fase de identificação de um possível ataque, serão analisados os registros de logs, no qual constam informações como atividades de e-mail, e tentativas de acessos à rede interna da organização.

Uma vez capazes de estabelecer sua presença em uma rede, os responsáveis pelo ataque passam a tentar se movimentar dentro dela, acessando por meio de explorações, servidores de arquivos, e-mails e diretórios ativos, usando vulnerabilidades do servidor. “O registro de acessos, é a melhor referência para qualquer tentativa deste tipo, por isso, será verificado as tentativas falhas de acesso à rede interna, assim como as bem- sucedidas, feitas em períodos de tempo fora do normal” (TrendMicro, 2014). Assim, podem ser reveladas as tentativas dos responsáveis pelo ataque, de se moverem dentro da rede.

Após essa verificação, os registros de logs de e-mail serão analisados, para ver se existem picos anormais de atividades de e-mail, o que pode indicar que algum usuário específico, esteja sofrendo um ataque de Spear Phishing³. Ataque esse, que é muito comum, sendo utilizados pelos atacantes para obter informações, e através delas obter acesso à rede do alvo desejado.

Desta forma, é possível obter indícios de um possível ataque ou incidente, e a partir disso, dar inicio aos demais procedimentos. Abaixo, segue o fluxograma proposto:

Figura 12: Identificar indícios de um possível ataque

Após a identificação das possíveis fontes de dados, é iniciada a coleta de dados, que tem a finalidade de recuperar e organizar todas as informações contidas na cópia dos dados, que serão executadas em uma cópia idêntica dos dados contidos na maquina.

Antes de iniciar a coleta, é essencial conhecer o sistema operacional onde estão os dados e os sistemas de arquivos utilizados, que é o conjunto de estruturas lógicas e de rotinas manipulados pelo sistema operacional.

É uma etapa de grande importância para o processo investigatório, onde serão coletados todos os tipos de dados, como arquivos convencionas, ocultos, criptografados, temporários e apagados.

Caso tenha ocorrido invasão a outras máquinas, será realizado um acesso às mesmas para coleta de dados, buscando obter evidências de um possível ataque.

A partir disso, para que não haja perda de dados, será realizada a coleta dos “dados voláteis”, como o estado das conexões de rede e o conteúdo da memória, que serão perdidos caso a maquina seja desligada. Descrição da coleta é feita logo após a figura 13.

Após, será feita a coleta dos “dados não voláteis”, onde contém informações sobre o sistema de arquivos, onde os mesmos são armazenados. Descrição da coleta é feita logo após a figura 14.

Caso não haja invasão à outra maquina, é realizado um acesso remoto a maquina principal (de onde o ataque foi originado) do ataque, com o objetivo de coletar os “dados voláteis”, após a coleta a maquina será retirada para que possam ser coletados os “dados não voláteis”.

Conforme descrito acima, segue o fluxograma proposto para o modelo:

Figura 13: Coletar dados

A coleta dos dados voláteis, apresentada na figura 14, tem como objetivo identificar um ataque em tempo real, coletando informações que são apagadas caso o computador seja desligado.

Para a coleta dos dados voláteis, pode-se utilizar o “FDTK – UbuntuBr”, que, segundo Tacio (2001), é uma distribuição Linux baseada em Ubuntu, voltada para a pericia forense computacional.

Primeiramente, são coletadas as “sessões de log”, que possuem o registro de atividades, informando os usuários que estão conectados, com data e hora da conexão, e o endereço de onde partiram as conexões a máquina invadida.

Logo após, as “conexões de rede” serão coletadas, onde serão encontradas informações sobre endereços IP (destino e origem), e o estado das conexões.

Em seguida, serão coletados o estado das portas “TCP e UDP”, onde é possível analisar as vulnerabilidades da maquina.

Depois, os “dados da memória” serão coletados, a fim de analisar os acessos recentes, comandos executados, e também, senhas e logins utilizados, que são armazenados na memória.

Após, serão coletadas as “configurações de rede”, identificando o endereço IP e o MAC Address de cada interface de rede, buscando alterações realizadas para a invasão, autenticadas pelo MAC Address.

Posteriormente, as informações sobre os “processos em execução” serão coletadas, com intuito de verificar códigos indevidos que são executados pelo invasor.

Para tentar identificar quais foram os passos realizados pelo invasor, serão coletados os “comandos executados”.

Logo depois, serão coletados os “arquivos abertos”, pois se houver algum arquivo suspeito, é possível realizar uma varredura por palavras-chave na busca de mais informações. E por último, serão coletadas as “datas e horas do sistema operacional”, que podem ser úteis para reconstruir um evento para comprovar a invasão.

Figura 14: Coleta de dados voláteis

Fonte: Autor (2015).

A coleta dos dados não voláteis, apresentada na figura 15, pode ser feita pelo, “FDTK – UbuntuBr”.

Antes de iniciar a coleta, haverá a verificação se a maquina invadida, é a principal (maquina que originou o ataque).

Caso não seja, será realizada a coleta dos “arquivos de log do sistema”, que possuem registros de acesso a maquina, comandos executados, e a identificação dos usuários.

Se houver, é criada a imagem do disco, que é uma cópia idêntica do mesmo, a fim de recriar um cenário real, restaurada em ambiente previamente configurado para que não haja perca de dados, sendo documentado cada passo, seguindo a metodologia forense e seus requisitos, descritos no capítulo 2.

Figura 15: Coleta de dados não voláteis

Fonte: Autores (2015).

Após o término do processo de coleta, é iniciado o exame dos dados, mostrado na figura 16, no qual é realizada a filtragem dos dados, extraindo somente o necessário para à investigação.

Para que essa filtragem seja realizada, é necessária a utilização de ferramentas específicas, que forneçam o suporte adequado para a extração dos dados, como por exemplo, o Ubuntu – FDTK, distribuição Linux baseada em Ubuntu, voltada para a pericia forense computacional.

De início, ferramentas e fontes de dados que determinam padrões para cada tipo de arquivo como texto e imagem, são usadas para identificar e filtrar, por exemplo, arquivos que tenham sido manipulados.

Formatos dos arquivos são examinados, pois os mesmos podem ter suas extensões alteradas, além de armazenar outros dados, como algum arquivo malicioso, que pode causar danos ao sistema operacional, ou executar funções determinadas pelos invasores. A utilização de ferramentas para análise de cabeçalhos pode identificar qual tipo de dado que o arquivo contém.

As extensões de arquivos são sufixos que nomeiam o seu formato e também a função que desempenham em um computador. Assim, cada extensão de arquivo tem um funcionamento próprio e também suas características individuais, que necessitam de softwares específicos para serem abertos.

Com a finalidade de ocultar informações, armazenar conteúdo que não faz parte da extensão nomeada, atacantes podem alterar extensões e enganar os usuários, pois o mesmo pode abrir o arquivo com a finalidade de realizar algum procedimento específico, quando na verdade o arquivo irá realizar outro procedimento, especificado pelo atacante, que não é de seu conhecimento.

Assim, processos maliciosos serão executados sem o conhecimento do usuário, desempenhando atividades a favor de um ataque direcionado, e expondo ainda mais o alvo a respectivos ataques.

Portanto, através dos padrões de textos definidos para cada arquivo, com a finalidade de mostrar sua integridade, e que não houve alteração na sua extensão, os mesmos serão examinados. Para isso, existem ferramentas que contribuem para sua identificação.

Após a realização de um ataque, provas podem ser excluídas ou ocultadas, dificultando todo o processo de investigação, portanto, qualquer informação recuperada é de grande utilidade.

Sendo assim, os arquivos excluídos ou fragmentos que ainda não tenham sido sobrescritos, serão examinados, pois contribuem para tentar encontrar rastros deixados pelo atacante, com a finalidade de encontrar parâmetros utilizados no ataque.

Na recuperação dos dados, utilizam-se softwares específicos que buscam no disco todos os dados ou fragmentos que tenham sido excluídos, permanecendo no disco até que outro dado ocupe seu espaço em disco.

Após a recuperação, os arquivos e fragmentos serão examinados com o intuito de encontrar rastros deixados pelo atacante, como arquivos utilizados durante o ataque, ou dados e informações que foram transferidas para um ambiente externo, e depois foram apagadas para ocultar esses procedimentos.

Desta forma, serão procuradas anormalidades e motivos para que os dados e fragmentos recuperados fossem excluídos, e assim obter informações que contribuam para a filtragem dos dados e melhor entendimento do possível ataque, na busca por indícios de uma invasão ou incidente.

Examinar os metadados pode contribuir para uma visão cronológica dos acontecimentos, pois é possível obter os procedimentos executados por determinados arquivos, com suas respectivas datas, que devem ser mantidas com cuidado para que não haja conflito de dados de tempo, fazendo com que a investigação seja invalidada.

Atributos de tempo como, período em que um arquivo foi criado, modificado e acessado, são de grande importância para uma investigação, pois como o nome já diz, identificam os períodos de acontecimentos, como criação, modificação e ultimo acesso ao respectivo arquivo, portanto, deve-se manter esses três atributos de tempo relacionados aos arquivos, íntegros.

A respeito de metadados, pode-se dizer que são resumos de informações sobre a forma ou conteúdo de uma fonte, ou seja, são basicamente dados que descrevem os dados, possuem informações úteis para identificar, localizar, compreender e gerenciar os dados.

Através dos mesmos será possível buscar anormalidades, ter um histórico do que foi executado por um arquivo específico, e dessa forma remontar os acontecimentos em busca de outras informações.

Sendo assim, serão examinados os metadados do que foi coletado, buscando examinar o resumo das informações sobre a forma ou conteúdo da fonte, de forma que contribua para a filtragem dos dados, buscando possíveis indícios de um ataque. Para isso, ferramentas serão utilizadas.

Por último, outra estratégia será utilizar a busca por palavras-chave, que examina o conteúdo dos arquivos em busca de um determinado texto, a fim ampliar e generalizar o domínio de busca.

Para isso, será elaborada uma lista de palavras-chave com base no conteúdo analisado nas etapas anteriores, como por exemplo, algum texto incomum encontrado no exame dos dados, ou palavras elaboradas após um estudo do que já existe de histórico do ataque, visto que não há parâmetros de busca para ataques direcionados.

Tem como finalidade, encontrar evidências relacionadas às palavras utilizadas, examinando através de ferramentas, arquivos e dados atrás de um texto, elaborado para a investigação, e utilizado como palavras-chave na busca de informações e indícios de um possível ataque.

Desta forma, haverá parâmetros para informar se arquivos ou dados específicos, possuem de alguma forma, indícios para comprovar que um incidente ocorreu.

Assim, arquivos excluídos, trechos de texto em parte do disco não alocados pelo sistema de arquivos e em unidades de alocação onde os arquivos não utilizem todo o espaço destinado a ele, também podem ser encontrados. Abaixo, segue o fluxograma proposto:

Figura 16: Exame de dados

Fonte: Autor (2015).

Após o exame de dados, é iniciada a analise deles. Apresentado na figura 17, o fluxograma proposto para este processo.

A análise será feita sobre uma cópia das mídias originais, para que não haja problemas de integridade, buscando proteção e segurança das mesmas.

Um ambiente de teste será criado e preparado especificamente para auxiliar na análise, utilizando o mesmo hardware ou similar ao original, para garantir a qualidade do trabalho realizado.

Nesta etapa, são “identificadas as pessoas”, envolvidos em determinada suspeita, assim como os “locais”, que são os caminhos que o suspeito percorreu, como servidores e maquinas, e “identificar os eventos”, passos dados pelo suspeito. Todos os processos e etapas de análises devem ser devidamente documentados.

Figura 17: Analise dos dados:

Fonte: Autor (2015)

Para que seja feita a análise dos dados, a reconstrução dos eventos deve ser realizada, assim, os procedimentos para essa etapa são mostrados abaixo:

 Correlacionamento de logs

 Análise do tráfego de rede (logs de roteadores, firewalls, etc).

 MAC Times.

Um exemplo de correlação de logs seria quando um indivíduo tenta realizar um acesso não autorizado a um determinado servidor. A partir disso, é possível identificar por meio da análise dos eventos registrados nos arquivos de logs, o endereço IP de onde foi originada a requisição de acesso.

Com o endereço IP de onde foi gerada a requisição, é possível identificar quem está por trás do acesso não autorizado, utilizando um método de reversão, onde é feito o processo reverso, para obter informações do destino de origem do IP. Procedimento esse, feito por meio de ferramentas específicas para uso da reversão.

Através desse procedimento, é possível identificar pessoas que fizeram a requisição de acesso, como o local de onde foi gerada essa requisição, sendo possível correlacionar o ataque a algum individuo.

Desta forma, os registros de logs serão analisados, com o intuito de achar o culpado pelo possível ataque ou incidente a um determinado alvo.

A partir do tráfego de rede é possível analisar toda a comunicação entre o atacante e a máquina invadida, estabelecendo uma sequência de eventos e comparando com as outras evidências encontradas.

Com essa análise, pode-se encontrar evidências como endereço de IP do suspeito, tráfego em portas desconhecidas, ou em serviços e portas que não deveriam estar ocorrendo, até mesmo anormalidades na rede.

Assim, após a análise do tráfego de rede, é possível identificar possíveis suspeitos, e tomar as devidas providencias como utilizar a reversão explicada anteriormente, caso seja identificado o endereço IP do sujeito, para obter suas informações, ou verificar toda a comunicação feita pelo atacante com o seu respectivo alvo.

Portanto, serão analisados os tráfegos de rede com o intuito de correlacionar o possível ataque, ao suspeito. Para isso, existem ferramentas específicas, que serão utilizadas para validar as diretrizes propostas nessa etapa.

E por último, será analisado os MAC TIMES, que são campos de metadados do sistema de arquivos onde estão registrados o último instante em que ocorreram certos eventos em relação a um arquivo ou dado, como criação, modificação, e ultimo acesso. Com isso, é possível correlacionar o evento ocorrido com seus respectivos horários, fazendo com que seja possível determinar quando as ações do suspeito aconteceram. Sendo assim, com os procedimentos utilizados, é possível identificar os suspeitos, os caminhos percorridos pelo mesmo e quais passos foram utilizados para a realização do possível ataque.

Após obter as informações, as evidências vão ser correlacionadas, de forma que possam identificar o suspeito, quando e como ocorreu a invasão e posterior roubo de informações.

Obtendo essas respostas, pode-se chegar a uma evidência, determinando quem é o suspeito, quando ocorreu o ataque, e como o mesmo foi realizado.

Desta forma, após a análise, será verificado os resultados para concluir se o que foi investigado é suficiente para comprovar o suspeito do ataque, e gerar os relatórios para concluir a investigação.