O documento discute o framework Volatility para análise forense, fornecendo uma breve história da análise forense, a necessidade de investigação forense com o aumento da digitalização e a importância de analisar a memória RAM. O framework Volatility é apresentado como uma ferramenta open source para inspecionar amostras de memória RAM e extrair informações forenses valiosas por meio de vários plugins.
3. https://linkedin.com/in/mauricioharley/
Mini-CV
• MBA em Gerenciamento de Projetos de TI;
• Bacharel em Engenharia Elétrica;
• Tecnólogo em Telemática;
• 2x CCIE (Routing & Switching, Service Provider), VCIX-NV (NSX);
• CISSP, MCSE Private Cloud, VCP6-DCV, ITILv3;
• Ex-membro do Cisco Data Center Tiger Team;
• Colaborador da PenTest Magazine;
• Mais de 20 anos de experiência em TI;
• Palestrante de temas diversos em Tecnologia da Informação.
3
18. https://linkedin.com/in/mauricioharley/
A Necessidade da Investigação Forense
• Dados e Informações são alguns dos ativos mais importantes nos
dias atuais;
• Dispositivos (computadores, tablets, smartphones) possuem
capacidades crescentes de armazenamento;
• Nem todas as empresas dispõem de políticas e controles efetivos
de criptografia de dados;
• Muitas empresas não sabem do que se trata MDM (Mobile Device
Management);
• BYOD (Bring Your Own Device).
18
22. https://linkedin.com/in/mauricioharley/
Breve Histórico da Análise Forense
• Primeiros vestígios datam do século XIII na China;
• Investigações de mortes com causas questionáveis;
• Medicina Legal;
• No século XVII, foi usada para ressaltar as diferenças entre suicídios e
assassinatos;
• Novos progressos foram feitos no século XIX, mas ainda com cunho
médico, com o intuito de descobrir causas de mortes;
• Sherlock Holmes;
• O século XX viu a criação do laboratório especializado do FBI, a
identificação de indivíduos por impressões digitais e a unicidade do DNA.
22
23. https://linkedin.com/in/mauricioharley/
Breve Histórico da Análise Forense (cont.)
“Forense Computacional compreende a aquisição, preservação, identificação,
extração, restauração, análise e documentação de evidências computacionais,
quer sejam componentes físicos ou dados que foram processados eletronicamente
e armazenados em mídias computacionais.”
Warren G. Kruse II & Jay G. Heiser
“Preservação, identificação, coleta, interpretação e documentação de evidências
computacionais, incluindo as regras de evidência, processo legal, integridade da
evidência, relatório factual da evidência e provisão de opinião de especialista em
uma corte judicial ou outro tipo de processo administrativo e/ou legal com
relação ao que foi encontrado”.
Steve Hailey, do Cybersecurity Institute
23
25. https://linkedin.com/in/mauricioharley/
A Forense em Memória
• Malwares deixam rastros, seja no disco rígido, seja na memória RAM;
• Ferramentas específicas conseguem coletar completamente a memória
RAM sem alteração em seu conteúdo → mais rápido que a cópia de um
HD, mesmo que SSD.
• Magnet RAM Capture;
• FireEye Redline;
• SANS SIFT (SANS Investigative Forensics Toolkit).
• Pelo próprio tamanho do material coletado, pode ser mais rápido
encontrar a evidência do que em HD;
• Normalmente, o conteúdo em memória não se encontra criptografado,
ao contrário do que se pode ter em armazenamento secundário (HD,
SSD).
25
26. https://linkedin.com/in/mauricioharley/
A Forense em Memória (cont.)
• Ao invés do que pode acontecer com a memória persistente (HD), a
análise de uma amostra de RAM pode requerer conhecimento apurado
sobre o sistema operacional;
• Pode ser necessário entender de que forma operam as syscalls e como o
kernel interage como os processos em nível de usuário;
• Linux, Windows e macOS possuem suas particularidades;
• Importante atentar para “itens adicionais”: memória virtual
(paginação/swapping) e memória compartilhada;
• Reentrância de código pode ser considerada quando explorando a
amostra com editores hexadecimais ou debuggers (OllyDbg, WinDbg,
IDA).
26
28. https://linkedin.com/in/mauricioharley/
Volatility Framework
• Projeto open source para facilitar a inspeção de amostras de
memória RAM;
• Além do código-fonte, está disponível como binário para Linux,
Windows e macOS;
• O código-fonte pode ser usado como repositório de módulos
Python para construção de scripts personalizados.
• Para mais detalhes, veja o meu artigo em:
https://www.linkedin.com/pulse/using-volatility-framework-build-python-
forensics-code-harley-mba;
28
29. https://linkedin.com/in/mauricioharley/
Volatility Framework (cont.)
• Possui uma vasta gama de plug-ins, e sozinho ou com o auxílio
destes, consegue extrair informações importantes, como:
• Listas de processos;
• Rastros de malwares;
• Conexões IP (ativas ou finalizadas);
• Payloads.
• Códigos-fonte dos plug-ins também estão disponíveis;
• O Volatility é acompanhado de vários perfis de sistemas
operacionais para ajudar na análise e detecção.
29
30. https://linkedin.com/in/mauricioharley/
Volatility Framework (cont.)
• A versão mais recente quando da criação desta apresentação (2.6)
possuía perfis atualizados com as últimas versões de sistemas
operacionais disponíveis.
• Detalhes em https://github.com/volatilityfoundation/volatility/wiki/2.6-
Win-Profiles.
• Algumas técnicas de contra-análise forense podem ser efetivas,
mas as novas versões da ferramenta têm reduzido isso;
• Versões mais recentes do Windows não permitem a leitura da
memória inteira em espaço de usuário, mas as ferramentas de
coleta já conseguem executar em modo kernel.
30
33. https://linkedin.com/in/mauricioharley/
Dicas Finais
• Excelente livro sobre fundamentos de
arquitetura de computadores,
funcionamento da memória e kernel de
alguns sistemas operacionais;
• Usa o Volatility para alguns exemplos;
• https://www.amazon.com.br/Art-
Memory-Forensics-Detecting-
Malware/dp/1118825098
33
34. https://linkedin.com/in/mauricioharley/
Dicas Finais (cont.)
• The Volatility Foundation
http://www.volatilityfoundation.org/
• Memory Forensics Summary
http://resources.infosecinstitute.com/memory-forensics/#gref
• Memory Forensics Cheat Sheet
https://digital-forensics.sans.org/media/memory-forensics-cheat-sheet.pdf
• Automatic malicious code extraction using Volatility Framework
https://www.virusbulletin.com/uploads/pdf/conference_slides/2015/Korman-VB2015.pdf
• Rekall
http://www.rekall-forensic.com/
34