Um estudo de caso de metodologia de análise de redes de zumbis para investigação criminal

Universidade Federal Fluminense - UFF

Instituto de Computac

¸˜

ao - IC

Um Estudo de Caso de uma Metodologia de

An´

alise de Redes de Zumbis para Investigac

¸˜

ao

Criminal

Erick Alexim Guedes

Erick Alexim Guedes

Daniel Augusto Valenc

¸a da Silva

Um Estudo de Caso de uma Metodologia de An´

alise de Redes

de Zumbis para Investigac

¸˜

ao Criminal

Monografia apresentada ao Curso de Gradua¸c˜ao em Sistemas de Informa¸c˜ao da Universidade Fe-deral Fluminense, como requisito parcial para obten¸c˜ao do Grau de Bacharel em Sistemas de Informa¸c˜ao.

Orientador: Prof. Dr. Igor Monteiro Moraes

Niter´oi - RJ 2016

Ficha Catalográfica elaborada pela Biblioteca da Escola de Engenharia e Instituto de Computação da UFF

G924 Guedes, Erick Alexim

Um estudo de caso de uma metodologia de análise de redes de zumbis para investigação criminal / Erick Alexim Guedes, Daniel Augusto Valença da Silva. – Niterói, RJ : [s.n.], 2016.

49 f.

Projeto Final (Bacharelado em Sistemas de Informação) – Universidade Federal Fluminense, 2016.

Orientador: Igor Monteiro Moraes.

1. Crime por computador. 2. Rede Zumbi. 3. Investigação

Erick Alexim Guedes

Daniel Augusto Valenc

¸a da Silva

Um Estudo de Caso de uma Metodologia de An´

alise de Redes

de Zumbis para Investigac

¸˜

ao Criminal

Banca Examinadora:

Prof. Dr. Igor Monteiro Moraes (Orientador) UFF

Prof. Dr.Antonio Augusto de Arag˜ao Rocha UFF

Prof. Dr. C´elio Vinicius Neves de Albuquerque UFF

Erick Dedico este trabalho aos meus familiares e `a minha namorada.

Agradecimentos - Erick e Daniel

Ao nosso orientador, Professor Igor, que durante todo este tempo pacientemente nos norteou em in´umeras reuni˜oes e revis˜oes.

Aos Professores Antonio Augusto Arag˜ao Rocha e C´elio Vinicius Neves de Albu-querque por terem nos honrado com a aceita¸c˜ao do convite para compˆor a banca.

Aos demais professores que muitas vezes se dispuseram sanar quaisquer d´uvidas sobre o desenvolvimento do projeto.

Ao Coordenador do Curso de Sistemas de Informa¸c˜ao, Professor Leonardo Cruz, bem como aos servidores daquela Coordena¸c˜ao, que nos auxiliaram nos entraves bu-rocr´aticos da mat´eria.

`

A Delegacia de Repress˜ao a Crimes de Inform´atica da Pol´ıcia Civil do Estado do Rio de Janeiro que abriu suas portas para pesquisa sobre sua rotina.

E por fim, aos nossos familiares e entes queridos que suportaram nossas constantes ausˆencias para que este trabalho se concretizasse.

“The consensus seemed to be that if really large numbers of men were sent to storm the mountain, then enough might survive the rocks to take the citadel. This is essentially the basis of all military thinking.” Eric Terry Pratchett

Resumo

Dentre todos os crimes que ocorrem atualmente no mundo virtual, aqueles que constituem um dos maiores desafios para os investigadores s˜ao os praticados atrav´es das chamadas redes de zumbis. Uma rede de zumbis ´e um conjunto de esta¸c˜oes computaci-onais conectadas `a Internet que, embora perten¸cam a usu´arios idˆoneos, est˜ao infectadas por c´odigos maliciosos que as fazem obedecer aos comandos emanados de um controlador mal-intencionado. Este vale-se do seu poder de processamento, armazenamento e banda de rede como um ex´ercito digital geograficamente espalhado por todo o mundo, para a pr´atica de delitos cibern´eticos. Devido ao ataque aos alvos n˜ao ser efetuado diretamente pelo criminoso virtual, mas sim por in´umeras esta¸c˜oes idˆoneas e sem uma localidade ge-ogr´afica espec´ıfica, muitas vezes passando atrav´es de m´ultiplas esta¸c˜oes intermedi´arias, a investiga¸c˜ao desta modalidade delitiva constitui ´arduo trabalho para os investigadores. Foi verificado que os investigadores costumam basear-se na an´alise do tr´afego de rede, na an´alise do comportamento do sistema hospedeiro do malware e de t´ecnicas tradicionais de investiga¸c˜ao n˜ao relacionadas `a computa¸c˜ao. Foram estudadas m´etricas de eficiˆencia das t´ecnicas investigativas, concluindo-se que dentre estas trˆes categorias, a an´alise do com-portamento do hospedeiro ´e a que demanda menor capacidade t´ecnica, estrutura e tempo a troco de maior quantidade de informa¸c˜ao. Foi realizada a simula¸c˜ao em laborat´orio da investiga¸c˜ao de um ataque atrav´es da an´alise do hospedeiro, com adapta¸c˜oes de t´ecnica proposta por Law et al. Concluiu-se ser esta metodologia de investiga¸c˜ao, complementada no que for necess´ario pelas outras duas, apropriada e adequada `a realidade dos ´org˜aos de persecu¸c˜ao nacionais, sugerindo-se ser a espinha dorsal da investiga¸c˜ao forense de uma rede de zumbis.

Abstract

Among all the crimes that take place nowadays in the virtual world, one of the greatest challenges for forensic investigators are those committed through the so called BotNets. A BotNet is a set of computer stations connected to the Internet that, in spite of belonging to good-natured users, are infected by malicious codes that causes them to perform several sorts of commands launched by the virtual criminal. By taking advantage of the their huge processing and storage power, so as their bandwidth, geographically spread all over the world, their controller uses them as an army of zombies for practicing his illegal activities. As the target is not directly attacked by the BotMaster, but through several other good-natured systems instead, without a notable geographical location and often passing through multiple intermediate stations, investigation of this kind of offense demands very hard work for officers. It was shown by literature research that investigators usually base upon network traffic analysis, malware host analysis and traditional not computer-related techniques. The use of an efficiency measuring system revealed that, among those three methodological approaches, host analysis is the one which takes less technical expertise, structure and time, in return of the greatest amount of information. A laboratory simulation of an attack with the host being monitored confirmed that this investigation methodology, complemented by the other both on whatever is necessary, can provide the most appropriate and suitable investigation methods for brazilian law-enforcement agencies, and is suggested to be the basic structure of a BotNet forensic investigation.

Lista de Figuras

2.1 Rede de zumbis estrela. . . 8

2.2 Rede de zumbis multiservidor. . . 9

2.3 Rede de zumbis hier´arquica. . . 11

2.4 Rede de zumbis aleat´oria. . . 12

4.1 Configura¸c˜ao do ambiente de investiga¸c˜ao. . . 20

4.2 Esquema da t´ecnica de Law et al. . . 22

4.3 Imagem da p´agina infectada. . . 23

4.4 C´odigo fonte da p´agina comprometida, com o script do hook para o CeC. . 24

4.5 Hash md5 do arquivo do disco r´ıgido virtualizado. . . 26

4.6 Tr´afego visualizado pelo Wireshark. . . 28

4.7 Lista de processos por conex˜ao. . . 29

4.8 Gerenciador de tarefas apontando para o arquivo firefox.exe. . . 30

Lista de Tabelas

Tabela 3.1 - M´etrica de An´alise Custos segundo Cusack...17 Tabela 4.1 - Resultados da Simula¸c˜ao...30

Lista de Abreviaturas e Siglas

ADFSL - Association of Digital Forensics, Security and Law BeEF - Browser Exploitation Framework

CeC - Comando e Controle

CRFB - Constitui¸c˜ao da Rep´ublica Federativa do Brasil DDNS - Dynamic Domain Name System

DDoS - Distributed Denial-of-Service DGA - Domain Generation Algorithm DNS - Domain Name System

DoS - Denial-of-Service

DRCI - Delegacia de Repress˜ao a Crimes de Inform´atica IP - Internet Protocol

HDT- Hash Distributed Table

HTTP - Hyper Text Transfer Protocol IRC - Internet Relay Chat

NAT- Network Adress Translation p2p - Peer to Peer

UDP - User Datagram Protocol VHD- Virtual Hard Disk VM- Virtual Machine

Sum´

ario

2.3.1 IRC (Internet Relay Chat) . . . 5

2.3.2 HTTP (Hyper Text Transfer Protocol ) . . . 6

2.3.3 p2p (Peer to Peer) . . . 7 2.4 Topologia . . . 7 2.4.1 Estrela . . . 8 2.4.2 Multi-Servidor . . . 9 2.4.3 Hier´arquica . . . 9 2.4.4 Aleat´oria . . . 10 2.5 Ciclo de Vida . . . 11 2.6 Camuflagem . . . 12 3 Metodologias de Investiga¸c˜ao 14 3.1 T´ecnicas . . . 15

3.2 M´etrica de An´alise de Custos das T´ecnicas . . . 16

4 Investiga¸c˜ao do Comportamento do Hospedeiro 19 4.1 M´etodo de Law . . . 19

4.2 A Ferramenta BEeF . . . 21

4.3 Infec¸c˜ao . . . 23

4.4 Preserva¸c˜ao da Cadeia de Cust´odia da Prova . . . 24

4.5 Virtualiza¸c˜ao . . . 26

4.6 Coleta de Rastros de Rede . . . 26

4.7 Coleta de Rastros de Mem´oria . . . 27

4.9 Resultados Obtidos . . . 29

5 Conclus˜ao 32

5.1 Trabalhos Futuros . . . 32

Cap´ıtulo 1

Introdu¸c˜

ao

Proporcionalmente aos avan¸cos da tecnologia e ao n´umero cada vez maior de dispo-sitivos conectados `a Internet, aumenta a quantidade de crimes cometidos atrav´es da rede mundial de computadores. Segundo levantamento feito junto `a Delegacia de Repress˜ao a Crimes de Inform´atica – DRCI da Pol´ıcia Civil do Estado do Rio de Janeiro, foram efetuados 1991 registros de ocorrˆencias policiais entre 01 de julho de 2015 e 30 de junho de 2016. Destes registros, 1990 eram referentes a comunica¸c˜oes de crimes cibern´eticos impr´oprios, ou seja, delitos perpetrados atrav´es de dispositivos inform´aticos apenas como meio para atingir o resultado final. Como tais, pode-se exemplificar amea¸ca e crimes contra honra cometidos atrav´es de redes sociais, estelionato perpetrado atrav´es de sites de compra e venda, tr´afico de drogas via internet, etc... Apenas um ´unico registro neste per´ıodo refere-se a um dos chamados crimes propriamente cibern´eticos, ou seja, aqueles cujas fases de prepara¸c˜ao, execu¸c˜ao e consuma¸c˜ao ocorrem no ambiente computacional [11] . Inserem-se nesta categoria os crimes de invas˜ao de dispositivos inform´aticos, in-ser¸c˜ao de dados falsos em sistemas de inform´atica, causar indisponibilidade de servi¸co de inform´atica de utilidade p´ublica – sejam eles cometidos com o fim de acesso n˜ao auto-rizado a dados, de obter as credenciais de outrem para a pr´atica de determinado dado, obten¸c˜ao de vantagem financeira indevida ou qualquer outro ou causar indisponibilidade de servi¸co virtual, apenas a t´ıtulo exemplificativo [39]

A quantidade de literatura de computa¸c˜ao forense nacional encontrada nas pesqui-sas realizadas para o trabalho foi parca, tendo sido constatado em pesquisa de campo uma especializa¸c˜ao emp´ırica dos agentes de investiga¸c˜ao dos crimes cibern´eticos impr´oprios, os quais utilizam-se, quase sempre, de meios de investiga¸c˜ao tradicionais (infiltra¸c˜ao de agentes, vigilˆancia de suspeitos, obten¸c˜ao de provas testemunhais ou documentais, dela¸c˜oes,etc) , vez por outra conjugados a meios tecnol´ogicos. Em contrapartida, a inves-tiga¸c˜ao de crimes cibern´eticos pr´oprios no Brasil carece de meios e pessoal com expertise no assunto e de profissionais, tanto da ´area de investiga¸c˜ao criminal como de pesquisa

CAP´ITULO 1. INTRODUC¸ ˜AO 2

acadˆemica, que se disponham a abordar o tema com maior profundidade. E dentro desta categoria de crimes, um dos de maior dificuldade investigativa ´e aquele que utiliza redes de m´aquinas zumbis – as temidas BotNets: redes de esta¸c˜oes idˆoneas que executam coman-dos a servi¸co do usu´ario malicioso para os mais diversos fins. A investiga¸c˜ao deste tipo de ataque demanda an´alise complexa, com pessoal especializado e dedica¸c˜ao integral de recursos humanos, tecnol´ogicos e jur´ıdicos, sendo frequente a necessidade de coopera¸c˜ao internacional. A falta de profissionais qualificados para investiga¸c˜ao forense deste tipo de delito no Brasil decorre dos investigadores forenses governamentais utilizarse do em-pirismo para forma¸c˜ao do seu conhecimento. Logo, a pouca frequˆencia que os ´org˜aos de persecu¸c˜ao penal se deparam com este tipo de ataque torna a habilidade e conhecimento dos agentes de persecu¸c˜ao diminutos. Da´ı o nosso est´ımulo a realizar este estudo sobre as t´ecnicas de investiga¸c˜ao desta modalidade delitiva, por constituir esta um desafio maior para os ´org˜aos de persecu¸c˜ao penal brasileiros e escassez de pesquisas documentadas so-bre o tema, o que nos leva a propor um modelo investigativo mais simples e adequado `as realidades jur´ıdicas, t´ecnicas e estruturais nacionais.

Para a busca do modelo ideal, foram pesquisadas diversas t´ecnicas relatadas na literatura, bem como a avalia¸c˜ao de seu fator custo/benef´ıcio, atrav´es do sistema de an´alise de t´ecnicas investigativas relatado no cap´ıtulo 3 desta monografia. Verificou-se que o sistema de an´alise do hospedeiro ´e o que gera mais informa¸c˜oes com custo relativamente baixo [17]. Foi realizada simula¸c˜ao de uma investiga¸c˜ao em laborat´orio, em uma t´ecnica proposta com inspira¸c˜ao na t´ecnica de Law et al[27]. Diante do fato da investiga¸c˜ao por este modelo ser realizada em tempo real, foi necess´ario a proposi¸c˜ao altera¸c˜oes do modelo para ajustar `a realidade do ordenamento jur´ıdico e dos ´org˜aos de persecu¸c˜ao brasileiro com a manuten¸c˜ao da cadeia de cust´odia das provas. Para tal, avalia¸c˜ao foi feita em snapshots do sistema infectado, preservando a esta¸c˜ao original de qualquer altera¸c˜ao posterior `a sua apreens˜ao.

Cap´ıtulo 2

Redes de Zumbis

2.1

Conceitos e Motiva¸c˜

ao

A empresa de comunica¸c˜ao e seguran¸ca Level (3) Comunications define uma rede de zumbis como um grupo de computadores com um mecanismo de controle comum, frequentemente instalado como software, o qual ´e voltado a um fim malicioso. O operador da rede de zumbis age como um mestre e a controla, com cada esta¸c˜ao desempenhando o papel de um zumbi inconsciente de que est´a seguindo o controle do mestre. ( Level(3) Comunications White Paper) . As redes de zumbis costumam ter milhares de esta¸c˜oes integrantes, a maioria sem ter a menor ideia de integrar esta rede de ataque.

Em um conceito mais amplo do que o acima exposto, uma rede de zumbis nem sempre ´e utilizada para fins maliciosos e nem sempre a m´aquina controlada n˜ao tem ciˆencia de sua participa¸c˜ao na rede. Exemplos de redes l´ıcitas com estrutura semelhante `a das redes de zumbis il´ıcitas s˜ao as redes de bancos de dados distribu´ıdos, de processamento distribu´ıdo, colaborativas de coleta de dados e sistemas de configura¸c˜ao e manuten¸c˜ao remotos de empresas.

Frequentemente, principalmente as surgidas nas ´ultimas d´ecadas, redes de zumbis operam em v´arias camadas, com esta¸c˜oes intermedi´arias que atuam como retransmissoras dos comandos emanados do mestre. Este expediente dificulta enormemente a identifica¸c˜ao do mestre, pois pode haver in´umeras camadas separando o mestre do alvo final do ataque.

As redes zumbis s˜ao uma das mais emergentes t´ecnicas utilizadas para obten¸c˜ao de lucro por criminosos virtuais [30]. Inicialmente, nos anos 60 e 70, eram utilizadas para brincadeiras e danificar sistemas por pura divers˜ao. Nos anos 80 e 90 passaram a ser utilizadas com intento pol´ıtico, de protesto contra o monop´olio de informa¸c˜oes pelo sistema e at´e mesmo por hackers em busca de prest´ıgio na comunidade da computa¸c˜ao [10].

CAP´ITULO 2. REDES DE ZUMBIS 4

de zumbis elevou este tipo de ataque a um novo patamar de utiliza¸c˜ao, com sua explora¸c˜ao por grupos criminosos, que perceberam a possibilidade de ter um conjunto de recursos computacionais de esta¸c˜oes controladas a seu dispor. Um dos mais curiosos trojans uti-lizados ´e o Ramsom Bot [20], que faz a encripta¸c˜ao do dispositivo de armazenamento persistente do alvo, tornando-o inacess´ıvel ao seu propriet´ario. Ap´os o ataque bem su-cedido, o atacante oferece `a v´ıtima resgate dos dados, mediante pagamento de um valor financeiro. Este rol ´e apenas exemplificativo, podendo os modos de ataque crescerem de acordo com a criatividade do criminoso virtual.

2.2

Elementos

Uma rede de zumbis ´e composta por v´arias classes de elementos, cada qual funci-onando em um papel espec´ıfico, essencial ou n˜ao a depender da topologia da rede. S˜ao elas o CeC -Centro de Comando e Controle, servidor DNS - Domain Name System, agen-tes intermedi´arios, zumbi final e o alvo do ataque. O CeC ´e de onde prov´em o controle da rede. Tamb´em chamado de mestre, botmaster, botherder, ou simplesmente herder ´e operado pelo usu´ario malicioso que emite comandos atrav´es de protocolos espec´ıficos para manipular as m´aquinas infectadas.

O zumbi final, ou o robˆo final, ´e o dispositivo infectado que vai realizar o ataque imediato ao alvo. Nos prim´ordios das investiga¸c˜oes de crimes virtuais, quando as redes de zumbis ainda eram desconhecidas, as investiga¸c˜oes policiais se direcionavam a usu´arios inocentes de cujas esta¸c˜oes partiam o ataque. Na verdade, ainda hoje, at´e mesmo usu´arios mais experientes podem estar tendo seus sistemas utilizados para atos il´ıcitos sem se dar conta.

Os agentes intermedi´arios, elementos n˜ao obrigat´orios em uma rede de zumbis, s˜ao dispositivos que fazem a conex˜ao entre o CeC e o robˆo final, a fim de proporcionar uma maior distˆancia do botmaster para o alvo, e consequentemente maior dificuldade de investiga¸c˜ao. Nas redes de zumbis mais elaboradas podem existir v´arias camadas de agentes intermedi´arios, propiciando uma grande separa¸c˜ao do CeC do zumbi final.

O servidor DNS tem seu papel fundamental nas redes de zumbis, pois a maioria dos dispositivos hoje utiliza IP dinˆamico. Da´ı a necessidade de que cada vez que uma m´aquina zumbi seja acionada obtenha o endere¸co IP de onde dever´a receber os comandos e para onde dever´a enviar as respostas. Funciona tamb´em como uma prote¸c˜ao a mais para o CeC que obviamente n˜ao utilizar´a o seu endere¸co IP real para emitir os comandos, sendo o seu endere¸co frequentemente renovado. A cada renova¸c˜ao de endere¸co de um integrante da rede, a tabela do servidor DNS deve ser atualizada.

CAP´ITULO 2. REDES DE ZUMBIS 5

visto que, uma vez que as autoridades tenham o acesso a um servidor DNS, ter˜ao a lista de dom´ınios e endere¸cos IP das esta¸c˜oes que integram a rede de zumbis .

E finalmente, o alvo final, que n˜ao ´e exatamente um elemento da rede de zumbis, mas sim o sistema almejado pelo usu´ario malicioso com o ataque, ou seja, sua v´ıtima. Pode ser definido ou n˜ao.

2.3

Protocolos

Um protocolo ´e um acordo entre as partes que se comunicam, estabelecendo como se dar´a a comunica¸c˜ao. Tenebaum explica o conceito de protocolo com a seguinte analogia: ”quando uma mulher ´e apresentada a um homem, ela pode estender a m˜ao para ele que, por sua a vez, pode apert´a-la ou beij´a-la, dependendo, por exemplo, do fato de ela ser uma advogada americana que esteja participando de uma reuni˜ao de neg´ocios ou uma princesa europ´eia presente a um baile de gala. A viola¸c˜ao do protocolo dificultar´a a comunica¸c˜ao, se n˜ao a tornar completamente imposs´ıvel.”[37] Em uma rede de zumbis, um protocolo s˜ao as regras de comunica¸c˜ao entre os seus diversos elementos.

2.3.1

IRC (Internet Relay Chat)

Protocolo que era, longe de qualquer outro, o mais utilizado nas primeiras redes de zumbis. Segundo Rajab et al [4],ainda em 2006, era o protocolo mais comum de comunica¸c˜ao entre o servidor e o zumbi.

O protocolo IRC foi criado com a finalidade espec´ıfica de conversas em canais de bate-papo entre usu´arios da Internet, muito em voga nos anos 90. O IRC permite que o administrador do canal de bate-papo envie de comando a um grande n´umero de usu´arios. Inicialmente os bots baseados em IRC eram utilizados para manuten¸c˜ao autom´atica de canais de bate-papo, por´em n˜ao tardou para que usu´arios mal-intencionados passassem a utiliz´a-los como instrumento de controle de redes de zumbis, devido a sua simplicidade de implementa¸c˜ao, escalabilidade e estabilidade [24].

O funcionamento padr˜ao de um chat tipo IRC consiste em obter o aplicativo cliente, escolher um apelido e conectar um canal no seu respectivo servidor IRC. Um servidor pode ter um ou mais canais habilitados simultaneamente. Em geral, o nome do canal reflete a natureza das conversas, e cada canal possui um t´opico, geralmente dinˆamico [23]. Nestes canais h´a certos usu´arios com alguns poderes privilegiados: s˜ao os operadores, chamados de OP ou IRCops. Seu apelido vem sempre precedido do s´ımbolo “@”, sendo este o criador do canal ou algum usu´ario com poderes por este delegado.

CAP´ITULO 2. REDES DE ZUMBIS 6

utilizassem para fins maliciosos. Estava criado, portanto, o embri˜ao das hoje chamadas redes de zumbis [13]. Dos pontos de vista t´ecnicos e visuais, um bot nada mais ´e que um cliente, conectado e listado como se fosse um usu´ario comum. Diferem-se destes, que por ser um programa ou script, sua atividade limita-se a vigiar os eventos e seguir as instru¸c˜oes que lhe foram atribu´ıdas, mesmo que seu seu operador n˜ao esteja online. Seus comandos ”podem ser tanto mensagens para outros usu´arios ou sa´ıda de escrita em arquivos. Mas a sua caracter´ıstica primordial ´e fornecer alto n´ıvel de automa¸c˜ao tanto para tarefas tediosas como as que exigem desempenho r´apido”[16].

Ap´os a infec¸c˜ao inicial do hospedeiro por um c´odigo malicioso, conforme ser´a visto no t´opico 2.5,a rede de zumbis usa algum protocolo, como FTP, HTTP ou o CSend do pr´oprio IRC, para transferir o c´odigo do bot para a esta¸c˜ao infectada. Logo assim que ´e transferido, o arquivo bin´ario ´e iniciado e tenta se conectar com o servidor mestre, buscando seu endere¸co em um DNS, geralmente dinˆamico [7], e se autentica no canal controlado pelo operador da rede de zumbis, com algum apelido especial que o identifique [4]. Uma rede de zumbis IRC pode ser controlada de v´arias formas, merecendo destaque aquela que o faz atrav´es do t´opico do canal. O bot recebe o t´opico do canal, o qual tem um comando embutido [16]. Como exemplos de Redes de Zumbis baseadas em IRC, incluem-se o Code Red [32] e o Slammer [31].

2.3.2

HTTP (Hyper Text Transfer Protocol )

At´e a d´ecada de 1990, a Internet era utilizada apenas no meio acadˆemico para transferˆencia e recebimento de arquivos de esta¸c˜oes locais para remotas. A partir do in´ıcio dessa d´ecada, surgiu a World Wide Web , que a tornou acess´ıvel ao p´ublico em geral. A partir da´ı, qualquer usu´ario poderia disponibilizar conte´udo para qualquer outro que desejasse acess´a-lo [12]. Para tal foi criado o protocolo HTTP, presente em dois programas, sendo um cliente e outro servidor. Este disponibiliza p´aginas com conte´udo diversos para aquele acessar [25]

A utiliza¸c˜ao do HTTP tem crescido em propor¸c˜oes gigantescas desde o in´ıcio dos anos 90, tanto por parte de empresas como de usu´arios dom´esticos (Am´elia, 2004), sendo pouqu´ıssimos os administradores de redes comerciais, cooperativas ou dom´esticas que configuram o firewall para filtrar tal protocolo. Afinal, a navega¸c˜ao na World Wide Web tornou-se mais do que um h´abito, uma necessidade para os usu´arios, inclusive de empresas para pesquisas e comunica¸c˜oes r´apidas. Por este mesmo motivo, os botmasters vˆem utilizando cada vez mais este protocolo para controlar sua rede. Ao passo que os pacotes IRC trazem desconfian¸ca, e muitas vezes s˜ao filtrados por firewalls ou sistemas de seguran¸ca interna dos clientes, os pacotes HTTP costumam ter livre acesso ao navegador do alvo utilizando-se de portas n˜ao comumente usadas. Por´em, at´e mesmo as portas mais

CAP´ITULO 2. REDES DE ZUMBIS 7

comumente utilizadas pelos navegadores s˜ao utilizadas com a anexa¸c˜ao do c´odigo malicioso ao m´etodo HTTP POST, como no caso do bot Rustok Rootkit [14]. Um comando HTTP GET enviado pela porta 80 de um navegador dificilmente ser´a bloqueado ou levantar´a qualquer suspeita do administrador de redes de que tenha um payload malicioso.

Um exemplo de ataque feito atrav´es do protocolo HTTP ´e aquele realizado atrav´es do framework BeEF - Browser Exploitation Framework, o qual ser´a visto mais detalha-damente no cap´ıtulo 4, tendo sido uma das ferramentas utilizadas na simula¸c˜ao realizada neste trabalho.

2.3.3

p2p (Peer to Peer)

Inobstante propiciarem meio eficaz de comunica¸c˜ao entre o CeC e o zumbi, o protocolos IRC permite f´acil identifica¸c˜ao e neutraliza¸c˜ao do malware [33], motivo pelo qual os protocolos p2p se tornaram bastante populares entre os criadores de redes de zumbis [24].

Uma maneira de mitigar este risco ´e com a ausˆencia de um servidor central fun-cionando como CeC. Cada zumbi faz o papel ao mesmo tempo de servidor e cliente, formando uma rede em malha. Desta forma, cada zumbi funciona como repetidor, n˜ao havendo um caminho ´unico. Assim, se um ponto qualquer for derrubado, a rede encon-trar´a outros caminhos alternativos para a entrega da informa¸c˜ao, escolhendo dentre todos os poss´ıveis. Geralmente usa-se o pr´oprio protocolo IRC, mas sem que o servidor de con-trole tenha comportamento diferente dos demais integrantes da horda zumbi, pois cada n´o retransmite o comando de controle, tornando a identifica¸c˜ao do botmaster bem mais dif´ıcil.

Tem como desvantagens a arquitetura de um modelo p2p ser muito mais complexa do que a de um modelo centralizado. Ademais, n˜ao h´a confiabilidade de entrega dos pacotes ou do c´alculo de sua latˆencia, dito que n˜ao h´a controle da comunica¸c˜ao entre os enlaces, o que pode fazer com que v´arios zumbis n˜ao recebam o comando. A latˆencia irregular pode prejudicar ataques que demandem sincronia entre os zumbis, como ´e o caso dos ataques de DoS.

Entre as redes de zumbis que utilizam p2p, encontra-se a TDL-4 [?] a qual utiliza a leg´ıtima rede p2p Kademilia, baseada no protocolo DHT-Distributed Hash Table, tornando praticamente imposs´ıvel a retirada da rede de opera¸c˜ao sem afetar o tr´afego idˆoneo [2].

CAP´ITULO 2. REDES DE ZUMBIS 8

ponentes da rede (topologia f´ısica) e a ilustra¸c˜ao de como os dados fluem dentro desta (topologia l´ogica). Da mesma forma, a topologia de uma rede de zumbis ilustra a estrutura de interliga¸c˜oes entre os seus elementos [18].

2.4.1

Estrela

A topologia estrela, adotada nas primeiras redes de zumbis baseadas em IRC, ´e o modelo pelo qual todos os zumbis se conectam a uma ´unica CeC, l´a se registrando e esperando os comandos da central. Cada vez que um zumbi ´e inicializado, acessa o DNS para atualizar o seu IP e aguarda comandos do CeC, que periodicamente busca atualiza¸c˜oes da tabela de endere¸cos dos seus zumbis no servidor De NS.

Trata-se de um sistema simples e de baixa latˆencia , pois a comunica¸c˜ao da CeC com a rede ´e ponto a ponto. Todavia ´e extremamente f´acil de ser detectado e neutralizado, pois toda rede se conecta a uma ´unica central, que uma vez derrubada, p˜oe fim a toda a rede.

CAP´ITULO 2. REDES DE ZUMBIS 9

2.4.2

Multi-Servidor

´

E um avan¸co da topologia estrela. Difere-se dela, porque h´a m´ultiplos servidores, todos comunicando-se entre si, e cada um deles controlando uma sub-rede de zumbis.Os diversos CeC s˜ao normalmente espalhados por ´areas geogr´aficas distintas, de forma que a neutraliza¸c˜ao de um servidor comprometer´a apenas a parcela de sistemas zumbis a ele diretamente ligados, mantendo os demais operantes. Tamb´em propicia um melhor balan-ceamento de carga, aumentando o seu potencial lesivo em rela¸c˜ao `a topologia estrela.

Figura 2.2: Rede de zumbis multiservidor.

2.4.3

Hier´

arquica

Esta topologia compreende duas classes de agentes zumbis infectados por malwares: os zumbis que disparam os ataques diretos aos alvos e os proxies de camadas intermedi´arias

CAP´ITULO 2. REDES DE ZUMBIS 10

tru¸c˜oes. O proxy, um sistema tamb´em infectado, remete o tr´afego recebido a outros proxies de n´ıvel hierquicamente mais alto at´e chegar no CeC. Este por sua vez, emite as instru¸c˜oes para um ou mais servidor de proxy infectado, que vai repassa-las a outros proxies infectados de hierarquia menor at´e chegar ao zumbi final. Nota-se uma estrutura de camadas hier´arquicas, tendo no topo o CeC, logo abaixo alguns poucos servidores de proxy, que se comunicam cada um outros poucos, em uma estrutura de ´arvore que vai se ramificando at´e chegar nas folhas, que s˜ao os zumbis finais.

A topologia hier´arquica traz in´umeras vantagens para o atacante, principalmente no que concerne `a seguran¸ca e `a dificuldade de rastreamento. Cada folha s´o tem conhe-cimento do IP do proxy imediatamente acima em sua ramifica¸c˜ao. E cada n´o apenas tem conhecimento do endere¸co do n´o da camada imediatamente superior, e somente os proxies de segundo n´ıvel tem conhecimento do IP da raiz (o CeC). Outra vantagem ´e que o comprometimento de um servidor de proxy apenas comprometer´a o funcionamento daqueles abaixo deste na sua ramifica¸c˜ao, tornando a rede mais est´avel.

Como desvantagem temos a latˆencia grande na comunica¸c˜ao entre o CeC e os zumbis, devido `as diversas camadas de proxy pelas quais os dados tˆem que passar. Tal caracter´ıstica inviabiliza a utiliza¸c˜ao desta topologia para ataques em tempo real.

2.4.4

Aleat´

oria

Na topologia aleat´oria n˜ao h´a hierarquia entre os sistemas zumbis. Todos agem como servidor e cliente, e est˜ao conectados em um grafo complexo e sem padr˜ao definido. Formam, portanto, uma rede p2p (peer to peer). O CeC envia o comando para um dos zumbis dispon´ıveis, e este, al´em de executar o comando, o replica para outros sistemas infectados, aleatoriamente escolhidos, que por sua vez v˜ao repassa-lo a outros infectados, e assim sucessivamente.

Este sistema ´e o mais dif´ıcil de investigar, pois n˜ao h´a um comportamento signi-ficantemente diferente do CeC dos demais elementos da rede, sem nenhuma hierarquia vis´ıvel. ´E tamb´em o mais est´avel, pois a queda de um zumbi n˜ao impedir´a o normal funcionamento da rede, que achar´a caminhos alternativos para difundir os comandos.

Todavia, a latˆencia continua sendo um problema, e a queda de um simples n´o, embora n˜ao v´a comprometer a estabilidade da rede, pode causar atrasos imprevis´ıveis. Ainda assim, a latˆencia ´e menor do que uma rede hier´arquica [9].

Outro problema ´e que a identifica¸c˜ao de um ´unico n´o permite a identifica¸c˜ao de in´umeros outros elementos da rede, que por sua vez permite a de tantos outros. Os investigadores, contudo, apesar de poderem identificar in´umeros sistemas infectados, di-ficilmente poder˜ao saber se um deles ´e o CeC ou se todos s˜ao zumbis.

CAP´ITULO 2. REDES DE ZUMBIS 11

Figura 2.3: Rede de zumbis hier´arquica.

2.5

Ciclo de Vida

Uma rede de zumbis, durante sua cria¸c˜ao e existˆencia, passa por cinco fases: in-fec¸c˜ao inicial, inin-fec¸c˜ao secund´aria, conex˜ao, inser¸c˜ao dos comandos maliciosos e manu-ten¸c˜ao [8].

Na fase inicial, o atacante busca vulnerabilidades comuns no sistema da esta¸c˜ao a ser infectada e suas sub-redes, infectando-no com software malicioso atrav´es dos diver-sos m´etodos de explora¸c˜ao existentes. Em uma segunda fase, o hospedeiro executa um c´odigo de script que busca o verdadeiro c´odigo que o transformar´a em zumbi em alguma localidade espec´ıfica da internet. Na terceira fase, cada vez que o sistema ´e reiniciali-zado o c´odigo ´e executado transformando a esta¸c˜ao em um zumbi. Ap´os esta infec¸c˜ao

CAP´ITULO 2. REDES DE ZUMBIS 12

Figura 2.4: Rede de zumbis aleat´oria.

executam, tais como explorar outros sistemas, ataques DDoS, entre outros. E na ´ultima fase, a de manuten¸c˜ao, as m´aquinas que j´a realizaram ataques mant´em contato com o CeC e recebem comandos que atualizam o c´odigo bin´ario para camuflagem, adi¸c˜ao outras funcionalidades ou at´e mesmo migrar de CeC ou de DNS, utilizando o DDNS - Distributed Domain Name Service, servi¸co de resolu¸c˜ao de nomes dinˆamico que muda frequentemente de localiza¸c˜ao para dificultar a investiga¸c˜ao [21].

2.6

Camuflagem

Bano (2012) [9]lista uma s´erie de t´ecnicas de camuflagem a rede de zumbis, ocul-tando o c´odigo, os comandos, o servidor DNS e, acima de tudo, a pr´opria CeC. Elas incluem o embaralhamento ou encripta¸c˜ao do c´odigo do malware, sendo o primeiro bem mais eficaz. Em primeiro lugar, porque a encripta¸c˜ao demanda grande poder de pro-cessamento que pode revelar atividade at´ıpica de mem´oria e de processador que podem denunciar a existˆencia do c´odigo, al´em de causar maior atraso no in´ıcio da execu¸c˜ao do

CAP´ITULO 2. REDES DE ZUMBIS 13

c´odigo. Em segundo lugar, porque para que haja encripta¸c˜ao, ´e necess´ario que a chave es-teja presente no c´odigo malicioso em plain text para posterior decripta¸c˜ao para execu¸c˜ao, o que torna o meio fr´agil. Outras t´ecnicas de oculta¸c˜ao como desativa¸c˜ao dos sistemas de seguran¸ca, acesso a privil´egios do sistema para rodar sem restri¸c˜ao s˜ao utilizadas. T´ecnica tamb´em citada ´e a utiliza¸c˜ao de mecanismos que detectam m´aquinas virtuais e sandboxes, evitando que o malware infecte tais sistemas, comumente utilizados em honeypots para investiga¸c˜ao de redes de zumbis.

Entre as formas de camuflar o DNS, est˜ao a j´a citada utiliza¸c˜ao de DDNS e a mudan¸ca frequente do IP do CeC atrav´es de uma t´ecnica denominada domain-flux, que consiste na associa¸c˜ao de diversos IPs a determinado dom´ınio, de maneira que se houver bloqueio `a troca de informa¸c˜oes com o IP do servidor DNS, o zumbi buscar´a IPs alternati-vos vinculados `aquele mesmo dom´ınio, mantendo a estabilidade da rede de zumbis.Atrav´es do domain-flux, a rede gera periodicamente uma lista de nomes de dom´ınio, atrav´es de um algor´ıtimo presente no malware denominado DGA- Domain Generation Algorithm. O DGA das esta¸c˜oes integrantes da rede de zumbis s˜ao sincronizados a fim de gerarem a mesma lista de dom´ınios. As esta¸c˜oes infectadas requisitam os nomes de dom´ınio da lista at´e obter uma resposta bem sucedida do nome de dom´ınio do CeC [22].

Cap´ıtulo 3

Metodologias de Investiga¸c˜

ao

A metodologia utilizada na investiga¸c˜ao de uma rede de zumbis ´e uma fun¸c˜ao complexa e um crescente campo de pesquisa acadˆemica. Constantemente s˜ao publicados artigos propondo novas t´ecnicas de investiga¸c˜ao. Ashok et al [6] prop˜oem uma metodologia de investiga¸c˜ao baseada na an´alise estat´ıstica do tr´afego no servidor DNS. Bijalwan et al [5] demonstram que os pacotes UDP - User Datagram Protocol oriundos de uma rede zumbi em um ataque DDoS diferem daqueles do tr´afego normal de rede e que a an´alise destes pacotes pode ser utilizada como evidˆencia investigativa. J´a Stevanovic et al [36] sugerem a cria¸c˜ao de um framework colaborativo, que atrav´es de um algor´ıtimo de inteligˆencia artificial de aprendizado de m´aquina, receba padr˜oes de tr´aficos de redes zumbis detectado pelas diferentes t´ecnicas e forme o seu pr´oprio padr˜ao de detec¸c˜ao, o qual estar´a sempre sendo aprimorado pelas constantes colabora¸c˜oes. As t´ecnicas a serem utilizadas variam de acordo com a topologia da rede, com o tipo de malware utilizado, com o comportamento da rede, com o objetivo da investiga¸c˜ao e com os recursos t´ecnicos e jur´ıdicos do investigador.

O objetivo da investiga¸c˜ao realizada por um administrador de redes ´e t˜ao somente bloquear o ataque espec´ıfico ao seu sistema, ao passo que uma empresa de consultoria em seguran¸ca deseja adquirir maior conhecimento e t´ecnicas que possam ser utilizadas com diversos clientes. Da mesma forma, uma empresa desenvolvedora de antiv´ırus tem como alvo a descoberta da assinatura dos malwares utilizados para que possam ser detectados e isolados por seus produtos. E todos estes objetivos se diferem da investiga¸c˜ao forense, cujo prop´osito ´e identificar os operadores da rede e seus benefici´arios, adquirindo provas juridicamente v´alidas que possam ser utilizadas em um processo judicial. E ´e esta ´ultima abordagem o foco do presente trabalho.

A investiga¸c˜ao forense por particulares costuma sofrer maiores restri¸c˜oes jur´ıdicas, devido `as leis que visam proteger a privacidade do usu´ario. Restri¸c˜oes tamb´em existem por ocasi˜ao das investiga¸c˜oes realizadas pelo poder p´ublico, mas normalmente s˜ao mitiga-das por outras normas que sopesam a prote¸c˜ao `a privacidade com o interesse p´ublico, tais

CAP´ITULO 3. METODOLOGIAS DE INVESTIGAC¸ ˜AO 15

como as que permitem intercepta¸c˜ao e acesso de dados de provedores e companhias de comunica¸c˜ao, coopera¸c˜ao internacional intergovernamental, acesso a bases de dados go-vernamentais e particulares, entre outros. Os limites do poder de acesso a dados privados dado aos investigadores varia de acordo com o ordenamento jur´ıdico de cada pa´ıs.

No Brasil, as investiga¸c˜oes criminais cabem `as pol´ıcias judici´arias – ou seja, `a Pol´ıcia Federal e `as Pol´ıcias Civis dos Estados e do Distrito Federal, a depender do tipo de crime que se investiga (Art. 144, §§ 1o

e 4o

da Constitui¸c˜ao da Rep´ublica ). H´a grande celeuma quanto `a possibilidade de investiga¸c˜oes criminais serem realizadas pelo Minist´erio P´ublico e quanto aos seus limites, visto que por ser o ´org˜ao que ir´a realizar e sustentar a acusa¸c˜ao visando a condena¸c˜ao em ju´ızo, tem sua isen¸c˜ao investigativa comprometida, isen¸c˜ao esta necess´aria `a an´alise sem vi´es e de forma t´ecnico-cient´ıfica de um fato e suas provas. [29, 34, 40]

3.1

T´

ecnicas

As metodologias de investiga¸c˜ao s˜ao tra¸cadas mediante a utiliza¸c˜ao de um conjunto de t´ecnicas, formando um modelo gen´erico. Tais t´ecnicas se dividem basicamente em trˆes categorias: an´alise do comportamento da rede, an´alise de um ou mais sistemas hospedeiros do malware e t´ecnicas de investiga¸c˜ao tradicionais.

As t´ecnicas de an´alise de rede demandam estrutura diretamente proporcional ao tamanho e `a complexidade da rede de zumbis. Englobam monitoramento de portas, an´alise de fluxo de dados, recolhimento de grande n´umero de dados de onde deve ser extra´ıdo o modelo comportamental da rede para descoberta da origem comum de partida dos comandos de controle.

A an´alise do hospedeiro ´e bem menos custosa, e pode ser feita com parcos recursos, pois basta a an´alise comportamental de apenas um sistema infectado para extrair grande gama de informa¸c˜oes. O objetivo deste trabalho ´e justamente simular uma investiga¸c˜ao com este foco para aferir sua eficiˆencia, o que ser´a feito no cap´ıtulo 4.

E por fim, as t´ecnicas de investiga¸c˜ao tradicionais, como infiltra¸c˜ao de agentes, intercepta¸c˜oes de conversas telefˆonicas, monitoramento de fluxo banc´ario, provas teste-munhais e colabora¸c˜oes premiadas tamb´em n˜ao perdem sua importˆancia pelo fato do crime ser cometido no mundo virtual. Controladores de grandes redes de zumbis as uti-lizam para obten¸c˜ao de lucro atrav´es de sequestro de sistemas, fraudes banc´arias, ataque a sistemas governamentais ou corporativos, de maneira que em determinado momento o criminoso virtual ir´a monetizar sua a¸c˜ao e o lucro dever´a se manifestar no mundo f´ısico de

CAP´ITULO 3. METODOLOGIAS DE INVESTIGAC¸ ˜AO 16

Como dizem os franceses : -Chercher l’argent!.

3.2

M´

etrica de An´

alise de Custos das T´

ecnicas

Cusack [17] propˆos um modelo de avalia¸c˜ao de custo/benef´ıcio das metodologias de investiga¸c˜ao criminal de uma rede de zumbis. Para tal, fez experimentos com di-versas t´ecnicas, avaliando os seus custos baseado na demanda de recursos t´ecnicos, de complexidade e de tempo, dividindo cada um destes parˆametros em baixo, m´edio e alto. Posteriormente, comparou os resultados obtidos com cada uma destas t´ecnicas ou com-bina¸c˜oes destas, os categorizando em cinco diferentes n´ıveis de custo, os quais receberam a numera¸c˜ao correspondente. No n´ıvel dois, considerou que os custos finais de trˆes me-todologias diferentes acabavam se equiparando, pois h´a meme-todologias que exigem maior grau t´ecnico e menor tempo e vice-versa. Por esta raz˜ao subdividiu as t´ecnicas de custo n´ıvel dois em trˆes subcategorias, que chamou de 2a, 2b e 2c.

No n´ıvel 1, est´a a simples an´alise de assinatura por agente terceirizado. O custo ´e baix´ıssimo, tanto de tempo, como de complexidade e de t´ecnica. Naturalmente com todo o servi¸co delegado a terceiros, as v´ıtimas n˜ao tem qualquer custo nestes aspectos, arcando apenas com o custo financeiro da terceiriza¸c˜ao. Como benef´ıcio tem-se somente o aperfei¸coamento dos mecanismos de defesa, como atualiza¸c˜ao dos antiv´ırus e alertas. Tais benef´ıcios s˜ao apenas preventivos e em nada contribuem para o escopo deste trabalho, que ´e a investiga¸c˜ao forense.

O n´ıvel 2, como j´a dito acima, ´e dividido em 3 subn´ıveis, sendo todos combina¸c˜ao do procedimento do n´ıvel 1 com outras t´ecnicas. No n´ıvel 2a, os procedimentos do n´ıvel 1 s˜ao acrescidos do teste est´atico do ambiente, al´em da observa¸c˜ao do c´odigo bin´ario (tamb´em presente no n´ıvel 2b). Os benef´ıcios s˜ao grandes, tais como an´alise de portas, processos, bibliotecas e reconstru¸c˜ao do vetor de ataque, todos de interesse `a investiga¸c˜ao forense. Os custos, por´em, s˜ao altos em todos os crit´erios, praticamente inviabilizando os processos no ˆambito da persecu¸c˜ao penal p´atria.

No n´ıvel 2b, a an´alise do n´ıvel 1 ´e acrescida somente da execu¸c˜ao e observa¸c˜ao do c´odigo bin´ario do malware. Exige um tempo um pouco maior, mas os custos de comple-xidade e t´ecnica permanecem baixos. Traz como benef´ıcios a importante observa¸c˜ao do comportamento da rede, tal como no n´ıvel 2a, mas com automatiza¸c˜ao de v´arios proces-sos.

O n´ıvel 2c combina os procedimentos dos n´ıveis 2a e 2b, mas com o com a opera¸c˜ao humana no hospedeiro e sua explica¸c˜ao dos acontecimentos. O n´ıvel t´ecnico exigido ´e um pouco maior do que o do n´ıvel 2b, mantendo tempo e complexidade baixos. O maior benef´ıcio ´e que todo o resultado dos subn´ıveis anteriores podem ser analisados sob o

CAP´ITULO 3. METODOLOGIAS DE INVESTIGAC¸ ˜AO 17

prisma do operador humano.

O n´ıvel 3 traz a observa¸c˜ao do comportamento da rede para verificar a existˆencia de esta¸c˜oes zumbis. Demanda media t´ecnica e tempo, e serve para disparar alertas. Os benef´ıcios est˜ao fora do escopo forense.

O n´ıvel 4 consiste na intercepta¸c˜ao de todas as comunica¸c˜oes da CeC. Obtˆem-se todo escopo da Rede de Zubis, servindo n˜ao s´o para desmontar a Rede, como sendo de grande valia para identifica¸c˜ao dos seus operadores. O custo, por´em, ´e alto em termos de tempo, t´ecnica e complexidade.

E finalmente o n´ıvel 5 consiste na penetra¸c˜ao e destrui¸c˜ao dos mecanismos de defesa da Rede de Zumbis. Al´em dos benef´ıcios que podem ser obtidos no n´ıvel 4, possibilita a restaura¸c˜ao do controle das esta¸c˜oes zumbis para quem de direito. Como era de se esperar, o custo ´e alto em todos os parˆametros.

Segue abaixo tabela de custos extra´ıda do trabalho de Cusack que ser´a usada para mensurar os custos de nossa proposta final de metodologia investigativa.

Cap´ıtulo 4

Investiga¸c˜

ao do Comportamento do

Hospedeiro

Dentre as diversas metodologias citadas at´e o momento, buscamos uma cuja t´ecnica predominante seja de custo compat´ıvel com os parcos recursos t´ecnicos, de pessoal e de infraestrutura da realidade brasileira. Acreditamos ser a t´ecnica de melhor custo benef´ıcio aquela classificada na tabela de Cusack como n´ıvel 2b, ou seja, a observa¸c˜ao e monitoramento da execu¸c˜ao do c´odigo bin´ario, que demanda t´ecnica e complexidade baixas e tempo m´edio. Os benef´ıcios, por´em, n˜ao se diferem em grandes propor¸c˜oes daqueles das t´ecnicas de maior custo, a exce¸c˜ao do que tange `a contra inteligˆencia e neutraliza¸c˜ao do ataque. Como tais aspectos n˜ao interessam ao escopo deste trabalho que foca na investiga¸c˜ao criminal para persecu¸c˜ao penal, ser´a feita uma abordagem desta t´ecnica com mais destaque, sendo lhe dedicada este cap´ıtulo inteiro.

4.1

M´

etodo de Law

Pouca literatura foi achada sobre este tema em nossa pesquisa, sendo a mais com-pleta o trabalho de Law et al [27], a qual ser´a detalhada ao longo deste cap´ıtulo. Neste cap´ıtulo, tamb´em ´e documentada simula¸c˜ao bastante simplificada da proposta de Law et al feita em laborat´orio atrav´es de um conjunto de m´aquinas virtuais.

Esta t´ecnica leva em conta a ordem de volatilidade dos dados, considerando que eles se dissipam na seguinte ordem: tra¸cos de rede, de mem´oria e, por ´ultimo, de mem´oria auxiliar, que ´e aonde o malware se aloca de forma perene. A investiga¸c˜ao deve seguir esta mesma ordem. Diante disto, a proposta ´e de dividir a investiga¸c˜ao em duas fases, ambas seguindo este ciclo: coleta de vest´ıgios de rede, vest´ıgios de mem´oria (principal) e por ´

ultimo, vest´ıgios do malware. Ap´os o t´ermino do primeiro ciclo, a m´aquina ´e reiniciada para que se conecte automaticamente com o CeC e o seu comportamento estudado durante

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 20

a conex˜ao

A configura¸c˜ao do ambiente de investiga¸c˜ao ´e extremamente simples. Consiste na conex˜ao da m´aquina infectada `a m´aquina investigadora atrav´es de um hub, o qual funciona como gateway para Internet e, consequentemente para a rede de zumbis. A m´aquina infectada ir´a rodar seu sistema normalmente, sem nenhuma modifica¸c˜ao. A m´aquina investigadora utilizar´a um software de captura de tr´afego de rede (sniffer ) com adaptador de rede configurado para modo prom´ıscuo. O motivo da utiliza¸c˜ao do hub, ao inv´es do switch, assim como da configura¸c˜ao do adaptador de rede para modo prom´ıscuo, ´e que todo o tr´afego da esta¸c˜ao infectada possa ser capturado pela m´aquina investigadora. A figura abaixo mostra o esquema da configura¸c˜ao e sua simplicidade. Traz ainda um disco r´ıgido externo conectado `a m´aquina investigadora, para armazenamento do que for colhido.

Figura 4.1: Configura¸c˜ao do ambiente de investiga¸c˜ao.

O primeiro passo ´e a inicializa¸c˜ao normal do sistema hospedeiro, preferencialmente com o usu´ario que costuma utilizar o sistema realizando atividades semelhantes `as que realiza no dia a dia, obtendo-se o fluxo de rede normal que passa pelo sistema. Inicia-se o monitoramento pelo sniffer na m´aquina investigadora, com a ferramenta Wireshark utlizando um filtro de IP para que capture apenas os pacotes destinados ou ouriundos do

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 21

endere¸co IP da m´aquina hospedeira , a fim de que n˜ao haja confus˜ao com o tr´afego das demais m´aquinas por ventura conectadas na rede. Passa-se ent˜ao a observar conex˜oes suspeitas, como aquelas de portas muito altas, comuns nos bots baseados em IRC, ou nas portas mais baixas, como a 26 e 27 no caso de bots por HTTP ou p2p. No caso do tr´afego estar criptografado, imp˜oe-se primeiramente a an´alise do algort´ıtimo de desencripta¸c˜ao. Outra op¸c˜ao ´e a busca pela autentica¸c˜ao do servidor, passo necess´ario para desembaralhar ou decriptar o bot camuflado.

Na segunda fase, passa-se a fazer a an´alise de mem´oria. Uma vez que temos as conex˜oes suspeitas, devemos procurar quais processos as utilizam. Para tal, podem ser utilizadas ferramentas como Fport ou Openport. At´e mesmo o comando Netstat do Windows, com o parˆametro Netstat -ano, pode ser utilizado para identifica¸c˜ao dos processos.Estes comandos identificam o PID do processo em execu¸c˜ao, que posteriormente com o pr´oprio gerenciador de tarefas do Windows, pode ter o servi¸co a ele associado indentificado, bem como o execut´avel que o gerou.

Na segunda fase, Law ressalva que tais ferramentas, por serem invasivas, podem ser facilmente detectadas pelo malware. Por isto, sugere que sejam feitos snapshots do sistema em execu¸c˜ao, para que a avalia¸c˜ao seja feita nestas imagens. Para esta an´alise nos snaphots, sugere-se a utiliz¸c˜ao de ferramentas tais como Memorize e Volatility Fra-mework.

E por fim, seguindo a ordem de volatilidade, analisa-se o c´odigo fonte do arquivo execut´avel que acessara a porta suspeita, o que pode trazer in´umeras informa¸c˜oes sobre o comportamento da Rede de Zumbis e, consequentemente do CeC.

Ap´os percorridas todas as fases, o sistema hospedeiro ´e reinicializado e todas as etapas refeitas, a fim de ser verificado o comportamento do hospedeiro durante a reinicia-liza¸c˜ao, haja visto que muitos malwares s˜ao carregados em mem´oria durante a inicializa¸c˜ao do sistema operacional. Este procedimento pode auxiliar a verificar o arquivo de registro de inicializa¸c˜ao respons´avel pelo carregamento do malware.

A Figura 4.2 traz o fluxograma passo a passo da t´ecnica de Law et al.

4.2

A Ferramenta BEeF

BEef ´e um projeto open sourse, consistente em um framework escrito em Ruby on Rails, desenvolvido para testes de penetra¸c˜ao, que explora vulnerabilidades nos navega-dores web, fazendo com que o navegador da v´ıtima que visite certa p´agina comprometida fique sob o comando do atacante. A referˆencia mais completa sobre o framework ´e o

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 22

Figura 4.2: Esquema da t´ecnica de Law et al.

<script src= \http://endere¸co_ip_do_atacante:3000/hook.js"type ="text/javascript" > Este script cria um gancho (hook ) entre o navegador e o atacante, pelo qual este

pode enviar uma ampla gama de comandos para o navegador, que v˜ao desde o mapea-mento da rede interna da v´ıtima at´e fazer com que o navegador envie requisi¸c˜oes a outros servidores. Os comandos est˜ao em um conjunto de m´odulos presentes no framework, os quais est˜ao sempre sendo atualizados.

O atacante pode induzir a v´ıtima a acessar a p´agina com o c´odigo malicioso atrav´es de t´ecnicas de engenharia social ou de Xss-Cross Site Scripting. Dentre as t´ecnicas de engenharia social aplic´aveis, cita-se o envio de spam com link da p´agina maliciosa, clones de p´aginas idˆoneas, spoofing de DNS e at´e mesmo cria¸c˜ao de p´aginas com conte´udo atraente `as v´ıtimas. O Xss, por sua vez, consiste na inje¸c˜ao do c´odigo javascript em um servidor idˆoneo atrav´es de caixas de entrada de texto da p´agina, e necessita que a p´agina seja vulner´avel a este tipo de ataque [41].

O ataque, via de regra, perdura enquanto a v´ıtima est´a conectada `a p´agina, n˜ao sendo persistente. Todavia h´a m´odulos que podem dar persistˆencia ao hook, atrav´es de uma pop-up oculta, oferecendo uma atualiza¸c˜ao falsa do flash ou atrav´es de uma extens˜ao

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 23

maliciosa para o navegador. Vallentin et al [38] relatam terem conseguido a persistˆencia no BEeF inserindo c´odigo javascript no cache do navegador.

A op¸c˜ao pela utiliza¸c˜ao do BEeF na simula¸c˜ao deste cap´ıtulo ocorre pela sua ampla utiliza¸c˜ao em redes zumbis e extrema facilidade de uso (Campbell et al, 2007)

4.3

Infec¸c˜

ao

Para simula¸c˜ao da investiga¸c˜ao, inicialmente foi feita a infec¸c˜ao em uma esta¸c˜ao virtual com disco r´ıgido f´ısico com o sistema operacional Windows 7. A inser¸c˜ao de um disco r´ıgido f´ısico na rede virtual foi poss´ıvel atrav´es do recurso raw hard disk acess, nativo do Virtual Box. A infec¸c˜ao foi feita com a utiliza¸c˜ao da ferramenta BEeF, vista na ´ultima se¸c˜ao. Para tal, acessou-se atrav´es do navegador Mozilla Firefox da esta¸c˜ao a ser infectada uma p´agina previamente comprometida instalada na rede interna (ip 192.168.123.208), conforme pode ser visto nas Figuras 4.3 e 4.4. Como CeC, utilizou-se uma m´aquina virtual com o sistema operacional Kali - uma distribui¸c˜ao do Linux baseada em Debian voltada para seguran¸ca da informa¸c˜ao, instalada no software de virtualiza¸c˜ao Virtual Box. Utilizou-se como sistema hospedeiro da virtualiza¸c˜ao um notebook com o sistema operacional Windows 10. Nesta instala¸c˜ao do Virtual Box foi criada uma rede NAT -Network Adress Translation, na qual foi realizada toda a simula¸c˜ao da investiga¸c˜ao. O BeEF j´a encontra-se pr´e-instalado no sistema Kali Linux.

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 24

vascript fazendo a liga¸c˜ao ao endere¸co da m´aquina utilizada como CeC destacado em vermelho. Ressalta-se que em um ataque real, normalmente seria utilizado o endere¸co do DNS ao inv´es do endere¸co do CeC. Contudo, para simplificar a simula¸c˜ao, optou-se pelo direcionamento direto ao CeC.

Figura 4.4: C´odigo fonte da p´agina comprometida, com o script do hook para o CeC. Em um segundo momento, para tornar a conex˜ao com o BeEF persistente no sistema hospedeiro, utilizou-se o MITMf - Man in The Middle framwork , dispon´ıvel como m´odulo do BEeF para tornar o comprometimento do navegador persistente. Se anteriormente conex˜ao do CeC era interrompida sempre que a v´ıtima n˜ao estava na p´agina comprometida, atrav´es da persistˆencia basta que o navegador seja aberto, n˜ao importando a p´agina, que inicializar-se-´a a conex˜ao com o CeC.

4.4

Preserva¸c˜

ao da Cadeia de Cust´

odia da Prova

A CRFB- Constitui¸c˜ao da Rep´ublica Federativa do Brasil garante que todo litigio judicial ocorra sob a ´egide dos princ´ıpios do contradit´orio e da ampla defesa em seu art.5o

, inciso LV. A ampla defesa, j´a prevista na Declara¸c˜ao Universal dos Direitos do Homem em seu Artigo XI, ´e o poder de defender-se de qualquer pretens˜ao de outrem, sendo atributo da personalidade e por isto, pertencendo `a categoria dos denominados direitos c´ıvicos [28]. J´a o contradit´orio significa que toda alega¸c˜ao f´atica ou apresenta¸c˜ao de provas por uma

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 25

das partes gera a outra o direito de manifestar-se [19]. Logo, ”A preserva¸c˜ao das fontes de prova ´e, portanto, fundamental, principalmente quando se trata de provas cuja produ¸c˜ao ocorre fora do processo, como ´e o caso da coleta de DNA, intercepta¸c˜ao telefˆonica, etc. Trata-se de verdadeira condi¸c˜ao de validade da prova”[3].

A investiga¸c˜ao digital forense divide-se em est´atica e dinˆamica. A est´atica ocorre ap´os a consuma¸c˜ao do crime, com a an´alise dos vest´ıgios, ao passo que a dinˆamica ocorre durante o ataque [26]. Naturalmente, a investiga¸c˜ao dinˆamica provoca altera¸c˜oes dos dados armazenados na esta¸c˜ao hospedeira durante a sua realiza¸c˜ao.

A proposta deste trabalho traz modifica¸c˜oes nas configura¸c˜oes propostas por Law, a fim de que possa ser adequada `a realidade jur´ıdica brasileira. Law sugere que a an´alise de rede seja feita no sistema hospedeiro infectado original, e somente na an´alise de mem´oria (segunda fase do ciclo) sejam os processos estudados em uma imagem criada a partir do sistema original para que o CeC n˜ao identifique a investiga¸c˜ao dos processos. Contudo, a an´alise de rede diretamente no sistema infectado pode trazer consequˆencias jur´ıdicas aptas a at´e mesmo, em casos extremos, acarretar na anula¸c˜ao das provas obtidas. Isto porque a per´ıcia policial ´e feita em fase inquisitiva e n˜ao contradit´oria, e para ter o cond˜ao de sustentar um processo judicial pode necessitar ser repetida em fase judicial sob a ´egide do contradit´orio e da ampla defesa. E para que tal ocorra, ´e imperioso que o dispositivo de m´ıdia a ser analisado n˜ao tenha sofrido qualquer altera¸c˜ao posterior a sua apreens˜ao pelos t´ecnicos policiais. A simples inicializa¸c˜ao do sistema j´a provoca altera¸c˜ao em v´arios segmentos do dispositivo de armazenamento decorrentes do uso normal do sistema, incluindo metadados de diversos arquivos, isto para n˜ao mencionar armadilhas colocadas propositalmente pelo usu´ario malicioso para adulterar ou destruir evidˆencias, caso o malware capte certos comportamentos padr˜oes de an´alise. Diante deste quadro, sugere-se que assim que o sistema hospedeiro for apreendido, seja desligado diretamente da tomada de alimenta¸c˜ao, seus dispositivos de armazenamento protegidos contra a grava¸c˜ao, (normalmente possuem jumpers que possibilitam esta fun¸c˜ao) extra´ıdas no m´ınimo duas c´opias de sua imagem bit a bit e que todo processo de an´alise seja feito nas imagens clonadas [15]. ´E fortemente sugerido nesta fase a aplica¸c˜ao de um algor´ıtimo de hash na imagem original, cujo c´odigo resultante deve constar no laudo como forma de refor¸car a garantia de sua n˜ao altera¸c˜ao posterior [35]. A reprodu¸c˜ao das imagens pode ser feita em um software de virtualiza¸c˜ao (Virtual Box ou VM Ware,p. ex), em uma m´aquina virtual criada com exatamente as mesmas configura¸c˜oes da m´aquina f´ısica clonada e com a placa de rede em modo bridge. Sugere-se ainda a mudan¸ca do MAC da placa de rede virtual

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 26

4.5

Virtualiza¸c˜

ao

Para manuten¸c˜ao da cadeia de cust´odia probat´oria, importou-se o sistema hospe-deiro para uma m´aquina virtual atrav´es da ferramenta DISK2VHD da Microsoft. Retirou-se o disco r´ıgido do desktop hospedeiro, o qual foi conectado como escravo a um note-book utilizando-se um adaptador SATA/USB. A ferramente da Microsoft converte o disco r´ıgido f´ısico em disco virtual no formado VHD - Virtual Hard Disk, sistema propriet´ario da Microsoft. Converteu-se este arquivo para o formato OVA, pr´oprio do Virtual Box, utilizando-se o pr´oprio Virtual Box.

Posteriormente, extraiu-se o c´odigo hash MD5 do arquivo do disco virtualizado, garantindo-se contra eventuais questionamentos de que o conte´udo do disco r´ıgido tenha sido alterado. Para tal, utilizou-se a ferramenta online md5online, dispon´ıvel no endere¸co onlinemd5.com, conforme figura 4.5.

Figura 4.5: Hash md5 do arquivo do disco r´ıgido virtualizado.

A partir deste ponto, toda simula¸c˜ao passou a ser feita no ambiente virtual do Virtual Box.

4.6

Coleta de Rastros de Rede

Terminada a fase preparat´oria, aqui inicia-se a investiga¸c˜ao propriamente dita. A simula¸c˜ao foi realizada inteiramente no ambiente virtual criado pelo Virtual Box, hos-pedado no notebook com o sistema Windows 10. Utilizou-se trˆes m´aquinas virtuais. A primeira com o sistema infectado conforme descrito nas se¸c˜oes 4.5 e 4.3, Foi utilizado

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 27

nesta m´aquina o sistema operacional Windows 7 ; a segunda, como m´aquina investiga-dora, com o sistema Kali Linux e com a utiliza¸c˜ao do sniffer de rede Wireshark com sua instala¸c˜ao nativa do Kali Linux, e interface de rede no modo prom´ıscuo; e por fim, outra com o sistema Kali Linux para fazer o papel de CeC. Foi utilizado o framework BEeF em sua instala¸c˜ao nativa no Kali Linux. Em todas as VMs, as interfaces virtuais de rede foram configuradas para o modo bridge,

O primeiro passo ´e a inicializa¸c˜ao normal do sistema hospedeiro, preferencialmente com o usu´ario que costuma utilizar o sistema realizando atividades semelhantes `as que realiza no dia a dia, obtendo-se o fluxo de rede normal que passa pelo sistema. Iniciou-se o monitoramento pelo sniffer na m´aquina investigadora, com a ferramenta Wireshark utilizando um filtro de IP para que capture apenas os pacotes destinados ou oriundos do endere¸co IP da m´aquina hospedeira (192.168.123.66), a fim de que n˜ao haja confus˜ao com o tr´afego das demais m´aquinas por ventura conectadas na rede. Passou-se ent˜ao a observar conex˜oes suspeitas, como aquelas de portas muito altas (porta 3000 e acima), comuns nos bots baseados em IRC, ou nas portas mais baixas, como a 26 e 27 no caso de bots por HTTP ou p2p. No caso do tr´afego estar criptografado, imp˜oe-se primeiramente a an´alise do algor´ıtimo de desencripta¸c˜ao. Outra op¸c˜ao ´e a busca pela autentica¸c˜ao do servidor, passo necess´ario para desembaralhar ou decriptar o bot camuflado.

Na simula¸c˜ao, iniciou-se a busca de pacotes filtrando pelo IP da esta¸c˜ao atacada (192.168.123.66) , tendo sido notado uma constante solicita¸c˜ao de acesso ao endere¸co 192.168.123.58. Ao analisar-se esta solicita¸c˜ao, nota-se que ela esta sendo feita atrav´es da porta 3000, n˜ao muito utilizada por aplica¸c˜oes conhecidas. Ademais, h´a outras conex˜oes com este mesmo endere¸co sendo feitas pelo protocolo HTTP e pela porta 80, o que est´a na normalidade. Isso somado ao fato de todo o conte´udo da solicita¸c˜ao estar criptografado, leva a ter como significante o ind´ıcio de que a m´aquina que est´a enviando essa solicita¸c˜ao est´a realizando um ataque (figura 4.6).

4.7

Coleta de Rastros de Mem´

oria

Seguindo a ordem de volatilidade proposta por Law et al, passa-se a fazer a an´alise dos rastros de mem´oria.

Iniciou-se esta fase com a extra¸c˜ao de um snapshot da m´aquina hospedeira durante sua utiliza¸c˜ao, salvando-se assim o contexto de mem´oria. A extra¸c˜ao foi feita atrav´es de recurso do pr´oprio Virtual Box e continuando-se a an´alise em uma outra VM criada com osnapshot extra´ıdo, a fim de n˜ao alertar o CeC do processo investigativo. Em uma

inves-CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 28

Figura 4.6: Tr´afego visualizado pelo Wireshark. maior legitimidade e confiabilidade.

Passou-se a an´alise dos processos de mem´oria que realizam a conex˜ao. Para isto iniciou-se o prompt de comando do Windows 7 e utilizou-se o comando netstat com o parˆametro -ano, obtendo-se a lista de todos os processos ligados `as conex˜oes (figura 4.7) .

Pˆode-se ent˜ao identificar facilmente o n´umero do processo de mem´oria associado `as conex˜oes suspeitas, a saber o de PID 2732. Restou apenas identificar qual arquivo ou aplicativo respons´avel por este processo, o que pode ser facilmente feito atrav´es do Task Manager do pr´oprio Windows 7 (figura 4.8).

Verificou-se, ent˜ao, que o processo que realizava a conex˜ao suspeita origina-se do arquivo firefox.exe.

4.8

Reinicializa¸c˜

ao da M´

aquina Virtual

Dando prosseguimento a simula¸c˜ao, iniciou-se a segunda etapa da investiga¸c˜ao. Reiniciou-se a m´aquina virtual hospedeira, e realizou-se nova rodada dos processos de

co-CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 29

Figura 4.7: Lista de processos por conex˜ao.

leta de rastros de rede e de mem´oria realizados na etapa anterior. Tal repeti¸c˜ao visa colher dados na reinicializa¸c˜ao do sistema, visto que muitos v´ırus se iniciam automaticamente durante o processo de inicializa¸c˜ao do sistema operacional.

Durante e logo ap´os a inicializa¸c˜ao n˜ao foram verificadas quaisquer conex˜oes sus-peitas pelo Wireshark. Foram verificados os processos ativos atrav´es do Gerenciador de Tarefas, n˜ao tendo sido encontrada a atividade do arquivo firefox.exe, o qual demonstrou-se na primeira rodada demonstrou-ser o respons´avel pela conex˜ao suspeita, o que evidencia n˜ao haver altera¸c˜ao no registro para iniciar o processo automaticamente. Por´em, ap´os o navegador ter sido iniciado por a¸c˜ao do usu´ario, imediatamente verificou-se a conex˜ao ao endere¸co 192.168.123.58 pela porta 3000, justamente a conex˜ao suspeita. Deste fato, confirma-se que o arquivo firefox.exe foi, de fato, infectado.

4.9

Resultados Obtidos

Da simula¸c˜ao realizada, obteve-se, com recursos m´ınimos de material e em curto tempo, os seguintes resultados:

CAP´ITULO 4. INVESTIGAC¸ ˜AO DO COMPORTAMENTO DO HOSPEDEIRO 30

Figura 4.8: Gerenciador de tarefas apontando para o arquivo firefox.exe. - Identifica¸c˜ao da conex˜ao maliciosa e de seu endere¸co de origem;

- Identifica¸c˜ao do arquivo infectado.

Na tabela 4.1 encontra-se descri¸c˜ao pormenorizada das etapas e resultados da simula¸c˜ao.

Cap´ıtulo 5

Conclus˜

ao

A metodologia de investiga¸c˜ao a ser escolhida deve ser norteada por in´umeros fatores como o tamanho da rede, sua topologia, custos de tempo, estrutura e expertise dos investigadores e, acima de tudo, pelo objetivo que se pretende alcan¸car com a inves-tiga¸c˜ao. No caso da investiga¸c˜ao forense criminal, a metodologia deve manter o foco na responsabiliza¸c˜ao penal dos operadores da rede, devendo para isto desprezar t´ecnicas que consumam recursos de quaisquer esp´ecies, mas pouco ou nada contribuam para este fim por serem voltadas `a preven¸c˜ao e `a administra¸c˜ao dos sistemas. Diante deste quadro, des-cartamos qualquer modelo r´ıgido de investiga¸c˜oes de redes de zumbis. Em contrapartida, a otimiza¸c˜ao de recursos sugere a predominˆancia da utiliza¸c˜ao da an´alise do hospedeiro do v´ırus, por ser a mais eficiente sob o aspecto custo-benef´ıcio.

A observa¸c˜ao minuciosa do comportamento do hospedeiro traz informa¸c˜oes mais relevantes e com consumo de menos recursos do que as t´ecnicas baseadas unicamente no comportamento da rede, que demandam grande quantidade de dados e monitoramento de diversos elementos da rede em tempo real. Por este motivo, sugere-se esta t´ecnica como protagonista na investiga¸c˜ao de uma rede de zumbis, sem embargo da complementa¸c˜ao, quase sempre obrigat´oria, por t´ecnicas de an´alise de rede e principalmente, por t´ecnicas de investiga¸c˜ao tradicionais.

5.1

Trabalhos Futuros

Sugere-se para trabalhos futuros o aprimoramento de estudos sobre a t´ecnica pro-posta, com seu experimento em uma infec¸c˜ao real e fora de ambiente controlado.

Sugere-se a instala¸c˜ao de honeypots para coleta de malwares reais, operando em redes zumbis verdadeiras. Sugere-se ainda a continuidade do processo investigativo, com a an´alise por antivirus do arquivo identificado como infectado, o que pode servir como uma prova a mais para lastrear a investiga¸c˜ao forense. O aprofundamento da verifica¸c˜ao

CAP´ITULO 5. CONCLUS ˜AO 33

da efic´acia da t´ecnica pode ser feito com continua¸c˜ao do experimento atrav´es de consultas e pesquisas aos endere¸cos de onde partem as conex˜oes.

A expectativa ´e de que o experimento traga, al´em dos resultados obtidos na si-mula¸c˜ao, endere¸co do servidor DNS da rede zumbi, informa¸c˜oes sobre esta¸c˜oes utilizadas como proxies, ou qui¸c´a, at´e mesmo identifica¸c˜ao do CeC.

Referˆ

encias Bibliogr´

aficas

[1] Beef - the browser exploitation framework. http://beefproject.com/. acessado em 09/05/2016. 21

[2] Botnet usa p2p e criptografia pr´opria para se manter invenc´ıvel. https:// tecnoblog.net/69303/botnet-tdl-4-invencivel/. acessado em 14/01/2017. 7 [3] A importˆancia da cadeia de cust´odia para preservar a prova penal. http://www.

conjur.com.br/2015-jan-16. acessado em 06/06/2016. 25

[4] M. Abu Rajab, J. Zarfoss, F. Monrose, and A. Terzis. A multifaceted approach to understanding the botnet phenomenon. In Proceedings of the 6th ACM SIGCOMM conference on Internet measurement, pages 41–52. ACM, 2006. 5, 6

[5] B. Anchit and S. Harvinder. Investigation of UDP bot flooding attack. Indian Journal of Science and Technology, 9(21), 2016. 14

[6] P. Ashok, J. Velmurugan, M. Abinaya, and B. U. S. Jayanthi. An investigation of botnet activity based on DNS analysis. Indian Journal of Science and Technology, 9(16), 2016. 14

[7] P. Bacher, T. Holz, M. Kotter, and G. Wicherski. Know your enemy: Tracking botnets. Technical report, The Honeynet Project and Research Alliance, 2005. 6 [8] M. Bailey, E. Cooke, F. Jahanian, Y. Xu, and M. Karir. A survey of botnet technology

and defenses. In Conference For Homeland Security, 2009. CATCH’09. Cybersecurity Applications & Technology, pages 299–304. IEEE, 2009. 11

[9] S. Bano. A Study of Botnets: Systemization of Knowledge and Correlation-based Detection. PhD thesis, Department of Computing A thesis submitted in partial fulfillment of the requirements for the degree of Masters in Computer and Communi-cation Security (MS CCS) In School of Electrical Engineering and Computer Science, National University of Sciences and Technology, 2012. 10, 12

REFER ˆENCIAS BIBLIOGR ´AFICAS 35

[10] M. T. Britz. Computer Forensics and Cyber Crime: An Introduction, 2/E. Pearson Education India, 2009. 3

[11] E. M. Castella. Investiga¸c˜ao criminal e inform´atica. Inteligˆencia Artificial X Boletin de Ocorrˆencia. Curitiba: Juru´a, 2005. 1

[12] L. D. Catledge and J. E. Pitkow. Characterizing browsing strategies in the world-wide web. Computer Networks and ISDN systems, 27(6):1065–1073, 1995. 6

[13] A. Charalabidis. The Book of IRC – The Ultimate Guide to Internet Relay Chat. San Francisco: No Starch Press, 2000. 6

[14] K. Chiang and L. Lloyd. A case study of the rustock rootkit and spam bot. HotBots, 7:10–10, 2007. 7

[15] M. A. Costa and S. Lemos. Computa¸c˜ao Forense, da cole¸c˜ao Tratado de Per´ıcias Criminal´ısticas. Millenium Editora, 2003. 25

[16] J. O. Cunha Filho. Simula¸c˜ao e an´alise de botnet com controladores em servidores irc: uma implementa¸c˜ao com m´aquinas virtuais. 2016. 6

[17] B. Cusack. Botnet forensic investigation techniques and cost evaluation. In Procee-dings of the conference on digital forensics, security and law, page 171. Association of Digital Forensics, Security and Law, 2014. 2, 16

[18] D. Dagon, G. Gu, C. P. Lee, and W. Lee. A taxonomy of botnet structures. In Com-puter Security Applications Conference, 2007. ACSAC 2007. Twenty-Third Annual, pages 325–339. IEEE, 2007. 8

[19] G. de Souza Nucci. C´odigo de processo penal comentado. Editora Revista dos Tri-bunais, 2009. 25

[20] D. Emm. Focus on trojans–holding data to ransom. Network Security, 2006(6):4–7, 2006. 4

[21] M. Feily, A. Shahrestani, and S. Ramadass. A survey of botnet and botnet de-tection. In Emerging Security Information, Systems and Technologies, 2009. SE-CURWARE’09. Third International Conference on, pages 268–273. IEEE, 2009. 12 [22] H. Guerid, K. Mittig, and A. Serhrouchni. Privacy-preserving domain-flux botnet