Spoofing de SMTP

Opa, e aí galera

Tudo bem?
Encontrei um site bem interessante.
Claro que todos nós temos corações puros e não vamos prejudicar ninguém.
É um site que faz spoofing de SMTP

O link para o site é: emkei.cz

É isso aí!
Abração!

Links de IOC (Indicators Of Compromise)

Opa, e aí galera

Tudo bem?
Uma boa ferramenta pra se trabalhar com IOC é a Redline.
"Fundamentalmente, Redline é uma ferramenta criada pela empresa Mandiant, cujo o propósito é a aquisição e análise forense de dados de hosts suspeitos de estarem comprometidos." (Redline UserGuide - tradução livre)

E o que é IOC (Indicators Of Compromise - Indicadores de Comprometimento)?
"São artefatos forense que identificam uma invasão em um host ou em uma rede de computadores. Os IOCs incluem conjuntos de termos descritivos logicamente agrupados, fazendo referência a algum tipo de ameaça específica." (Redline UserGuide - tradução livre)

Apresento a vocês alguns links sobre IOC:



Bom, é isso galera.

Um abração!

Trabalhando com Autopsy

Opa, e aí galera.

Tudo bem?
Semana passada, nós mostramos como instalar o sleuthkit e autopsy no debian.
Muito bem. Agora, nós vamos ver como trabalhar com o autopsy, adicionando uma imagem e analisando essa imagem forense.

O que é o autopsy?
É uma interface gráfica para as ferramentas em linhas de comando do sleuthkit. O propósito do autopsy é analisar um file system de uma imagem forense.

Neste post, estaremos usando a distribuição SIFT (SANS Investigative Forensic Toolkit).
É uma distribuição voltada para forense computacional, que possui várias ferramentas com este propósito. A SIFT é baseada no Ubuntu. No entanto, podemos usar outras distribuições como a BackTrack (Kali), Caine, DEFT, etc.
Nós vamos analisar uma imagem física do Windows Vista
OBS: no fim deste post existe um link de referência. Nesta referência, a análise foi feita usando uma imagem lógica de uma partição do Windows

Para iniciar o autopsy, digite: autopsy.
Depois, selecione com o mouse o link que a ferramenta irá te passar, clique com o botão direito do mouse e escolha a opção: Open Link


Seção 1 - Criando um novo Caso no Autopsy                                                                                 
1.1) Criando um novo caso:
     1.1.1) Clique no botão: New Case











1.2) Criando um novo caso:
     1.2.1) Case Name: Analisando-Windows
     1.2.2) Description: Procurando arquivos deletados
     1.2.3) Investigator Names: aqui vai o seu nome. No meu caso, vou colocar Anderson
     1.2.4) Clique no botão: New Case












1.3) Adicionando Host
     1.3.1) Clique no botão: Add Host











1.4) Adicionando Host
     1.4.1) Host Name: host1
     1.4.2) Clique no botão: Add Host











1.5) Adicionando Imagem
     1.5.1) Clique no botão: Add Image











1.6) Adicionando Imagem
     1.6.1) Neste momento, vou informar o diretório onde a imagem está armazenada: ls $PWD/vis*
     1.6.2) Selecione com o mouse e copie o path completo da imagem










1.7) Adicionando Imagem
     1.7.1) Clique no botão: Add Image File











1.8) Adicionando Imagem
     1.8.1) Cole o path completo da imagem
     1.8.2) Type: no meu caso, eu vou escolher a opção Partition
     1.8.3) Import Method: no meu caso, eu vou escolher a opção Symlink
     1.8.4) Clique no botão: Next











1.9) Adicionando Imagem
     1.9.1) Na opção Data Integrity, seleciona a opção: Ignore...
     1.9.2) Clique no botão: Add











1.10) Adicionando Imagem
     1.10.1) Clique no botão: Ok











1.11) Calculando a integridade da imagem com o algoritmo MD5
     1.11.1) Clique no botão: Image Integrity



1.12) Calculando a integridade da imagem com o algoritmo MD5
     1.12.1) Clique no botão: Calculate











1.13) Visualizando o Check Sum MD5
     1.13.1) O resultado será mostrado logo abaixo.
     1.13.2) Clique no botão: Close















Referência: http://computersecuritystudent.com/FORENSICS/AUTOPSY/lesson1/


Existem alguns vídeos no youtube que mostram uma versão mais recente do autopsy, versão esta que roda somente em Windows.
Os links para os vídeos são:
- vídeo 1: https://www.youtube.com/watch?v=J1vhU0ZJNCs
- vídeo 2: https://www.youtube.com/watch?v=DlZTYBuvkZY
- vídeo 3: https://www.youtube.com/watch?v=_NSEufvkZIs
- vídeo 4: https://www.youtube.com/watch?v=e5O-d5M90EI

Instalando o DCFLDD

Opa, e aí galera

Tudo bem?
Nós já falamos aqui sobre o DCFLDD que é uma ferramenta semelhante ao DD. O Eriberto até comenta sobre esta ferramenta em seu novo livro (Descobrindo o Linux - 3ª Edição).
Pois bem, algumas pessoas já me perguntaram como eu faço pra instalar essa ferramenta. Então agora eu vou mostrar esse procedimento, que é bem simples.

A primeira coisa que vamos fazer é entrar no site: http://dcfldd.sourceforge.net/#download
Vamos fazer o download do arquivo "source code" que é o código fonte da ferramenta. E depois vamos compilar e instalar no sistema.
O sistema que estou usando é o Debian 7.
Existem algumas distribuições voltadas para forense que já vem com esta ferramenta pré-instalada, como é o caso da CAINE, DEFT, Backtrack (que agora o projeto se chama Kali), SIFT, etc.

Estou baixando o arquivo que é o código-fonte da ferramenta. Neste momento, a versão mais atual do dcfldd é a 1.3.4
Depois de baixar a ferramenta, eu vou descompactá-la: tar -xzvf dcfldd-1.3.4.tar.gz


Depois eu vou entrar no diretório que foi criado para a ferramenta


Neste momento, estou pronto para compilar a ferramenta. Então, vou usar o comando ./configure para configurar o meu ambiente


O próximo passo é digitar o comando: make


Por fim, basta digitar o comando: make install


Pronto. Instalamos a ferramenta.
Para ter certeza qual a versão que foi instalada, basta digitarmos: dcfldd --version

Bom, é isso galera.
Espero que esse post seja interessante.

Um abração!


Instalando Sleuthkit e Autopsy no Debian 7

Opa, e aí galera

Tudo bem?
Eu recebi alguns emails me perguntando como instalar a suíte sleuthkit no debian. De antemão, podemos instalar o sleuthkit com a ferramenta automatizada do debian: apt-get install sleuthkit.
Porém, com este procedimento, não iremos instalar a útlima versão da ferramenta. Ou seja, não estaremos instalando a versão mais atualizada.

Por isso, eu vou mostrar neste post como instalar o sleuthkit a partir do código fonte. Assim, estaremos instalando a versão mais atual da ferramenta.

Pra este post, eu instalei o debian 7. Depois de instalado, atualizei o sistema com os comandos "apt-get install update ; apt-get install upgrade".
Depois disso, digitei o comando: apt-get install build-essential


Depois, eu descompactei o sleuthkit que baixei do próprio site da ferramenta. Durante este post, a versão mais atual e estável da ferramenta é a versão 4.0.1. Muito bem, é esta a versão que vou instalar no meu sistema. Para descompactar, eu usei o comando: tar -xzvf sleuthkit-4.1.0.tar.gz


O comando anterior vai gerar um diretório chamado sleuthkit-4.0.1. O próximo passo é entrar neste diretório e aí começar a compilar a ferramenta.


Pronto, agora podemos iniciar o processo de compilação do sleuthkit. Eu volto a falar que escolhi compilar a ferramenta porque assim estarei instalando no meu sistema operacional (Debian 7) a versão mais atualizada. Fazendo uso do comando apt-get install sleuthkit, eu também estarei instalando a ferramente, mas não é a versão mais atual. Beleza?
Então, neste momento, eu digitei o comando: ./configure


Depois disso, digitei o comando: make


O comando anterior leva alguns minutos para ser executado por completo. Depois do comando make ter terminado, o último comando a ser digitado é: make install


Pronto!
A ferramenta foi instalada e já está pronta para ser usada.
Para testar a ferramenta, podemos usar um dos seus comandos e ver qual q versão está instalada no sistema. Conforme a próxima figura, podemos ver que a versão instalada é a 4.0.1


Agora que o sleuthkit está instalado, podemos instalar também o Autopsy que é um front-end para o sleuthkit. Só que esta ferramenta é em HTML. É uma ferramenta bem bacana de se usar.
No momento que estou escrevendo este post, a versão atual para linux é a 2.24. A versão 3 só tem pra Windows.

Vamos fazer o download do Autopsy lá do site. Podemos notar que o arquivo possui extensão .tar.gz: autopsy-2.24.tar.gz.
Eu vou descompactar o arquivo com o comando: tar -xzvf autopsy-2.24.tar.gz


O próximo passo agora é entrar no diretório que foi criado.


Agora, nós vamos criar um diretório onde a ferramenta salva arquivos de configuração, logs, etc. Este diretório é o Evidence Locker.


Agora, iremos digitar o comando: ./configure.
A ferramenta vai nos pedir se queremos usar a biblioteca NSRL (National Software Reference Library) do NIST. Na imagem a seguir, nós vamos escolher a opção "n", que significa que não vamos usá-la.


Neste momento a ferramenta nos pergunta qual o diretório do Evidence Locker. No meu caso, estou indicando que este diretório é: /home/anderson/Evidence_Locker


Pronto, agora a ferramenta foi instalada com exito.
Vamos iniciar o autopsy digitando na linha de comando: ./autopsy


Como eu disse que o autopsy é em HTML, vamos abrir algum browser e digitar no campo de endereço de URL: http://localhost:9999/autopsy


Pronto, podemos acessar a ferramenta, adicionar um caso e partir para a análise.

Bom, é isso, galera
Espero que este post possa ser útil para quem precisar instalar estas 2 ferramentas no seu sistema.
Existe um outro post em um outro blog que mostra exatamente estes mesmos passos que eu mostrei aqui: http://shankaraman.wordpress.com/2012/11/16/how-to-install-autopsy-and-sleuthkit-in-ubuntu/

Um abração e até a próxima!

GRRCon - Desafio em Forense Computacional

Opa, e aí galera

Tudo bem?

Existe uma conferência de segurança da informação que acontece em Michigan, USA, chamada GRRCon.
Eles sempre colocam alguns desafios para serem solucionados pelos participantes em cada evento.
Em 2012 teve um desafio muito legal envolvendo análise forense de memória. Então foi dado um dump para cada participante e você tinha que solucionar o caso, respondendo 20 perguntas.

O link para baixar o dump é: https://pay.reddit.com/r/netsec/comments/11dbto/solving_the_grrcon_network_forensics_challenge/

Acontece que algumas pessoas resolveram este caso e disponibilizaram a solução na internet.
Vocês podem  ver este blog: http://volatility-labs.blogspot.com.br/2012/10/solving-grrcon-network-forensics.html
E também este: http://sysforensics.org/2012/11/aptish-attack-via-metasploit-part-iii-memory-analysis.html
Este também: http://pmelson.blogspot.com.br/2012/10/grrcon-2012-forensics-challenge.html

O interessante é que existem alguns vídeos no youtube com as soluções de alguns profissionais, sendo que um destes vídeos é do próprio autor do desafio
vídeo 1: http://www.securitytube.net/video/7073
vídeo 2: http://www.youtube.com/watch?v=fbs9kIPeIXw
vídeo 3 (resolução do autor do desafio): https://www.youtube.com/watch?v=wWwzVp0pBrg

Espero que este possa ser uma boa fonte de estudos para todos vocês.

Um abraço!