Dando prosseguimento a simula¸c˜ao, iniciou-se a segunda etapa da investiga¸c˜ao. Reiniciou-se a m´aquina virtual hospedeira, e realizou-se nova rodada dos processos de co-
CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 29
Figura 4.7: Lista de processos por conex˜ao.
leta de rastros de rede e de mem´oria realizados na etapa anterior. Tal repeti¸c˜ao visa colher dados na reinicializa¸c˜ao do sistema, visto que muitos v´ırus se iniciam automaticamente durante o processo de inicializa¸c˜ao do sistema operacional.
Durante e logo ap´os a inicializa¸c˜ao n˜ao foram verificadas quaisquer conex˜oes sus- peitas pelo Wireshark. Foram verificados os processos ativos atrav´es do Gerenciador de Tarefas, n˜ao tendo sido encontrada a atividade do arquivo firefox.exe, o qual demonstrou- se na primeira rodada ser o respons´avel pela conex˜ao suspeita, o que evidencia n˜ao haver altera¸c˜ao no registro para iniciar o processo automaticamente. Por´em, ap´os o navegador ter sido iniciado por a¸c˜ao do usu´ario, imediatamente verificou-se a conex˜ao ao endere¸co 192.168.123.58 pela porta 3000, justamente a conex˜ao suspeita. Deste fato, confirma-se que o arquivo firefox.exe foi, de fato, infectado.
4.9
Resultados Obtidos
Da simula¸c˜ao realizada, obteve-se, com recursos m´ınimos de material e em curto tempo, os seguintes resultados:
CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 30
Figura 4.8: Gerenciador de tarefas apontando para o arquivo firefox.exe. - Identifica¸c˜ao da conex˜ao maliciosa e de seu endere¸co de origem;
- Identifica¸c˜ao do arquivo infectado.
Na tabela 4.1 encontra-se descri¸c˜ao pormenorizada das etapas e resultados da simula¸c˜ao.
Cap´ıtulo 5
Conclus˜ao
A metodologia de investiga¸c˜ao a ser escolhida deve ser norteada por in´umeros fatores como o tamanho da rede, sua topologia, custos de tempo, estrutura e expertise dos investigadores e, acima de tudo, pelo objetivo que se pretende alcan¸car com a inves- tiga¸c˜ao. No caso da investiga¸c˜ao forense criminal, a metodologia deve manter o foco na responsabiliza¸c˜ao penal dos operadores da rede, devendo para isto desprezar t´ecnicas que consumam recursos de quaisquer esp´ecies, mas pouco ou nada contribuam para este fim por serem voltadas `a preven¸c˜ao e `a administra¸c˜ao dos sistemas. Diante deste quadro, des- cartamos qualquer modelo r´ıgido de investiga¸c˜oes de redes de zumbis. Em contrapartida, a otimiza¸c˜ao de recursos sugere a predominˆancia da utiliza¸c˜ao da an´alise do hospedeiro do v´ırus, por ser a mais eficiente sob o aspecto custo-benef´ıcio.
A observa¸c˜ao minuciosa do comportamento do hospedeiro traz informa¸c˜oes mais relevantes e com consumo de menos recursos do que as t´ecnicas baseadas unicamente no comportamento da rede, que demandam grande quantidade de dados e monitoramento de diversos elementos da rede em tempo real. Por este motivo, sugere-se esta t´ecnica como protagonista na investiga¸c˜ao de uma rede de zumbis, sem embargo da complementa¸c˜ao, quase sempre obrigat´oria, por t´ecnicas de an´alise de rede e principalmente, por t´ecnicas de investiga¸c˜ao tradicionais.
5.1
Trabalhos Futuros
Sugere-se para trabalhos futuros o aprimoramento de estudos sobre a t´ecnica pro- posta, com seu experimento em uma infec¸c˜ao real e fora de ambiente controlado.
Sugere-se a instala¸c˜ao de honeypots para coleta de malwares reais, operando em redes zumbis verdadeiras. Sugere-se ainda a continuidade do processo investigativo, com a an´alise por antivirus do arquivo identificado como infectado, o que pode servir como uma prova a mais para lastrear a investiga¸c˜ao forense. O aprofundamento da verifica¸c˜ao
CAP´ITULO 5. CONCLUS ˜AO 33
da efic´acia da t´ecnica pode ser feito com continua¸c˜ao do experimento atrav´es de consultas e pesquisas aos endere¸cos de onde partem as conex˜oes.
A expectativa ´e de que o experimento traga, al´em dos resultados obtidos na si- mula¸c˜ao, endere¸co do servidor DNS da rede zumbi, informa¸c˜oes sobre esta¸c˜oes utilizadas como proxies, ou qui¸c´a, at´e mesmo identifica¸c˜ao do CeC.
Referˆencias Bibliogr´aficas
[1] Beef - the browser exploitation framework. http://beefproject.com/. acessado em 09/05/2016. 21
[2] Botnet usa p2p e criptografia pr´opria para se manter invenc´ıvel. https:// tecnoblog.net/69303/botnet-tdl-4-invencivel/. acessado em 14/01/2017. 7 [3] A importˆancia da cadeia de cust´odia para preservar a prova penal. http://www.
conjur.com.br/2015-jan-16. acessado em 06/06/2016. 25
[4] M. Abu Rajab, J. Zarfoss, F. Monrose, and A. Terzis. A multifaceted approach to understanding the botnet phenomenon. In Proceedings of the 6th ACM SIGCOMM conference on Internet measurement, pages 41–52. ACM, 2006. 5, 6
[5] B. Anchit and S. Harvinder. Investigation of UDP bot flooding attack. Indian Journal of Science and Technology, 9(21), 2016. 14
[6] P. Ashok, J. Velmurugan, M. Abinaya, and B. U. S. Jayanthi. An investigation of botnet activity based on DNS analysis. Indian Journal of Science and Technology, 9(16), 2016. 14
[7] P. Bacher, T. Holz, M. Kotter, and G. Wicherski. Know your enemy: Tracking botnets. Technical report, The Honeynet Project and Research Alliance, 2005. 6 [8] M. Bailey, E. Cooke, F. Jahanian, Y. Xu, and M. Karir. A survey of botnet technology
and defenses. In Conference For Homeland Security, 2009. CATCH’09. Cybersecurity Applications & Technology, pages 299–304. IEEE, 2009. 11
[9] S. Bano. A Study of Botnets: Systemization of Knowledge and Correlation-based Detection. PhD thesis, Department of Computing A thesis submitted in partial fulfillment of the requirements for the degree of Masters in Computer and Communi- cation Security (MS CCS) In School of Electrical Engineering and Computer Science, National University of Sciences and Technology, 2012. 10, 12
REFER ˆENCIAS BIBLIOGR ´AFICAS 35
[10] M. T. Britz. Computer Forensics and Cyber Crime: An Introduction, 2/E. Pearson Education India, 2009. 3
[11] E. M. Castella. Investiga¸c˜ao criminal e inform´atica. Inteligˆencia Artificial X Boletin de Ocorrˆencia. Curitiba: Juru´a, 2005. 1
[12] L. D. Catledge and J. E. Pitkow. Characterizing browsing strategies in the world-wide web. Computer Networks and ISDN systems, 27(6):1065–1073, 1995. 6
[13] A. Charalabidis. The Book of IRC – The Ultimate Guide to Internet Relay Chat. San Francisco: No Starch Press, 2000. 6
[14] K. Chiang and L. Lloyd. A case study of the rustock rootkit and spam bot. HotBots, 7:10–10, 2007. 7
[15] M. A. Costa and S. Lemos. Computa¸c˜ao Forense, da cole¸c˜ao Tratado de Per´ıcias Criminal´ısticas. Millenium Editora, 2003. 25
[16] J. O. Cunha Filho. Simula¸c˜ao e an´alise de botnet com controladores em servidores irc: uma implementa¸c˜ao com m´aquinas virtuais. 2016. 6
[17] B. Cusack. Botnet forensic investigation techniques and cost evaluation. In Procee- dings of the conference on digital forensics, security and law, page 171. Association of Digital Forensics, Security and Law, 2014. 2, 16
[18] D. Dagon, G. Gu, C. P. Lee, and W. Lee. A taxonomy of botnet structures. In Com- puter Security Applications Conference, 2007. ACSAC 2007. Twenty-Third Annual, pages 325–339. IEEE, 2007. 8
[19] G. de Souza Nucci. C´odigo de processo penal comentado. Editora Revista dos Tri- bunais, 2009. 25
[20] D. Emm. Focus on trojans–holding data to ransom. Network Security, 2006(6):4–7, 2006. 4
[21] M. Feily, A. Shahrestani, and S. Ramadass. A survey of botnet and botnet de- tection. In Emerging Security Information, Systems and Technologies, 2009. SE- CURWARE’09. Third International Conference on, pages 268–273. IEEE, 2009. 12 [22] H. Guerid, K. Mittig, and A. Serhrouchni. Privacy-preserving domain-flux botnet
REFER ˆENCIAS BIBLIOGR ´AFICAS 36
[23] K. Hemenway and T. Calishain. Spidering Hacks: 100 Industrial-Strength Tips & Tools. ”O’Reilly Media, Inc.”, 2004. 5
[24] M. Jakobsson and Z. Ramzan. Crimeware: understanding new attacks and defenses. Addison-Wesley Professional, 2008. 5, 7
[25] F. James and K. W. Ross. Redes de computadores e a Internet: uma abordagem topdown, 2006. 6
[26] P. Junewon. Acquiring digital evidence from Botnet attacks: procedures and methods. PhD thesis, Auckland University of Technology, 2011. 25
[27] F. Y. Law, K.-P. Chow, P. K. Lai, and K. Hayson. A host-based approach to botnet investigation? In International Conference on Digital Forensics and Cyber Crime, pages 161–170. Springer, 2009. 2, 19
[28] E. T. Liebman and C. R. Dinamarco. Manual de direito processual civil. Forense, 1984. 24
[29] I. G. Martins. A lei n. 12.830/13 e fundamentos de sua constitu-
cionalidade. inteligˆencia dos artigos 144 § 4o
e 129 da constitui¸c˜ao fe- deral. fun¸c˜oes distintas do ’parquet’ e a pol´ıcia judici´aria dirigida por delegados. investiga¸c˜ao criminal e a competˆencia exclusiva dos delegados para dirig´ı-la. parecer. url http://www.gandramartins.adv.br/project/ives- gandra/public/uploads/2014/10/22/faf4f20079214p.doc, 2012. acessado em 14/07/2016. 15
[30] C. J. Mielke and H. Chen. Botnets, and the cybercriminal underground. In Intelli- gence and Security Informatics, 2008. ISI 2008. IEEE International Conference on, pages 206–211. IEEE, 2008. 3
[31] D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the Slammer worm. IEEE Security & Privacy, 99(4):33–39, 2003. 6
[32] D. Moore, C. Shannon, et al. Code-red: a case study on the spread and victims of an internet worm. In Proceedings of the 2nd ACM SIGCOMM Workshop on Internet measurment, pages 273–284. ACM, 2002. 6
[33] S.-K. Noh, J.-H. Oh, J.-S. Lee, B.-N. Noh, and H.-C. Jeong. Detecting p2p botnets using a multi-phased flow model. In Digital Society, 2009. ICDS’09. Third Interna- tional Conference on, pages 247–253. IEEE, 2009. 7
REFER ˆENCIAS BIBLIOGR ´AFICAS 37
[35] M. C. Polastro and P. M. S. Eleuterio. Um modelo de triagem de dados digitais aplicado `a per´ıcia criminal em inform´atica. In Simposio Argentino de Inform´atica y Derecho (SID 2015)-JAIIO 44 (Rosario, 2015), 2015. 25
[36] M. Stevanovic, K. Revsbech, J. M. Pedersen, R. Sharp, and C. D. Jensen. A colla- borative approach to botnet protection. In International Conference on Availability, Reliability, and Security, pages 624–638. Springer, 2012. 14
[37] A. S. Tanenbaum. Computer networks, 4-th edition. Campus, 2003. 5
[38] M. Vallentin and Y. Ben-David. Persistent browser cache poisoning, 2010. 23 [39] T. L. Vianna. Fundamentos de direito penal inform´atico. Rio de Janeiro: Forense,
pages 13–26, 2003. 1
[40] L. G. Vieira. O Minist´erio P´ublico e a investiga¸c˜ao criminal. Revista dos Tribunais, 2004. 15
[41] A. Vissotto Jr, E. Bosco, G. C. Bruschi, and L. A. Silva. Preven¸c˜ao de ataques: Xss residente e SQL injection em banco de dados postgresql em ambiente web. Caderno de Estudos Tecnol´ogicos, 3(1):38–50, 2016. 22