hacktricks/forensics/basic-forensic-methodology/linux-forensics.md

446 lines
25 KiB
Markdown
Raw Normal View History

# Forense do Linux
2022-04-28 16:01:33 +00:00
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente com as ferramentas comunitárias mais avançadas do mundo.\
Acesse hoje:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
2022-04-28 16:01:33 +00:00
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>
## Coleta de Informações Iniciais
2020-12-25 10:22:35 +00:00
### Informações Básicas
2020-12-25 10:22:35 +00:00
Primeiramente, é recomendável ter um **USB** com **binários e bibliotecas conhecidos de qualidade** (você pode simplesmente pegar o Ubuntu e copiar as pastas _/bin_, _/sbin_, _/lib_ e _/lib64_), em seguida, monte o USB e modifique as variáveis de ambiente para usar esses binários:
2020-12-25 10:22:35 +00:00
```bash
export PATH=/mnt/usb/bin:/mnt/usb/sbin
export LD_LIBRARY_PATH=/mnt/usb/lib:/mnt/usb/lib64
```
Uma vez que você tenha configurado o sistema para usar binários bons e conhecidos, você pode começar **a extrair algumas informações básicas**:
2020-12-25 10:22:35 +00:00
```bash
2022-09-07 15:35:57 +00:00
date #Date and time (Clock may be skewed, Might be at a different timezone)
2020-12-25 10:22:35 +00:00
uname -a #OS info
2022-09-07 15:35:57 +00:00
ifconfig -a || ip a #Network interfaces (promiscuous mode?)
2020-12-25 10:22:35 +00:00
ps -ef #Running processes
netstat -anp #Proccess and ports
lsof -V #Open files
netstat -rn; route #Routing table
df; mount #Free space and mounted devices
2020-12-25 22:35:08 +00:00
free #Meam and swap space
2020-12-25 10:22:35 +00:00
w #Who is connected
2020-12-26 23:48:55 +00:00
last -Faiwx #Logins
2020-12-25 10:22:35 +00:00
lsmod #What is loaded
cat /etc/passwd #Unexpected data?
cat /etc/shadow #Unexpected data?
2020-12-25 22:35:08 +00:00
find /directory -type f -mtime -1 -print #Find modified files during the last minute in the directory
2020-12-25 10:22:35 +00:00
```
#### Informação suspeita
2020-12-25 10:22:35 +00:00
Ao obter a informação básica, você deve verificar coisas estranhas como:
2020-12-25 22:25:37 +00:00
- **Processos root** geralmente são executados com PIDs baixos, então se você encontrar um processo root com um PID alto, pode suspeitar
- Verifique os **logins registrados** de usuários sem shell dentro de `/etc/passwd`
- Verifique os **hashes de senhas** dentro de `/etc/shadow` para usuários sem shell
2020-12-25 22:25:37 +00:00
### Despejo de Memória
2020-12-25 20:14:31 +00:00
Para obter a memória do sistema em execução, é recomendado usar [**LiME**](https://github.com/504ensicsLabs/LiME).\
Para **compilá-lo**, você precisa usar o **mesmo kernel** que a máquina vítima está usando.
2020-12-25 20:14:31 +00:00
{% hint style="info" %}
Lembre-se de que você **não pode instalar o LiME ou qualquer outra coisa** na máquina vítima, pois isso fará várias alterações nela
2020-12-25 20:14:31 +00:00
{% endhint %}
Portanto, se você tiver uma versão idêntica do Ubuntu, pode usar `apt-get install lime-forensics-dkms`\
Em outros casos, você precisa baixar [**LiME**](https://github.com/504ensicsLabs/LiME) do github e compilá-lo com os cabeçalhos de kernel corretos. Para **obter os cabeçalhos de kernel exatos** da máquina vítima, você pode simplesmente **copiar o diretório** `/lib/modules/<versão do kernel>` para sua máquina e, em seguida, **compilar** o LiME usando-os:
2020-12-25 20:14:31 +00:00
```bash
make -C /lib/modules/<kernel version>/build M=$PWD
sudo insmod lime.ko "path=/home/sansforensics/Desktop/mem_dump.bin format=lime"
```
2023-06-06 18:56:34 +00:00
LiME suporta 3 **formatos**:
2020-12-25 20:14:31 +00:00
* Raw (cada segmento concatenado)
* Padded (igual ao raw, mas com zeros nos bits à direita)
2023-06-06 18:56:34 +00:00
* Lime (formato recomendado com metadados)
2020-12-25 20:14:31 +00:00
LiME também pode ser usado para **enviar o despejo pela rede** em vez de armazená-lo no sistema usando algo como: `path=tcp:4444`
2020-12-25 21:41:10 +00:00
### Imagem de Disco
2020-12-25 22:03:49 +00:00
2023-06-06 18:56:34 +00:00
#### Desligando
2020-12-25 22:03:49 +00:00
Primeiramente, você precisará **desligar o sistema**. Isso nem sempre é uma opção, pois às vezes o sistema será um servidor de produção que a empresa não pode se dar ao luxo de desligar.\
Existem **2 maneiras** de desligar o sistema, um **desligamento normal** e um **desligamento "puxar o cabo"**. O primeiro permitirá que os **processos terminem como de costume** e o **sistema de arquivos** seja **sincronizado**, mas também permitirá que o possível **malware** **destrua evidências**. A abordagem "puxar o cabo" pode acarretar **alguma perda de informação** (não muita informação será perdida, pois já tiramos uma imagem da memória) e o **malware não terá oportunidade** de fazer nada a respeito. Portanto, se você **suspeitar** que pode haver um **malware**, basta executar o **comando `sync`** no sistema e puxar o cabo.
2020-12-25 22:03:49 +00:00
#### Tirando uma imagem do disco
2020-12-25 22:20:35 +00:00
É importante observar que **antes de conectar seu computador a qualquer coisa relacionada ao caso**, você precisa ter certeza de que ele será **montado como somente leitura** para evitar modificar qualquer informação.
2020-12-25 22:03:49 +00:00
```bash
#Create a raw copy of the disk
dd if=<subject device> of=<image file> bs=512
2022-09-07 15:35:57 +00:00
#Raw copy with hashes along the way (more secure as it checks hashes while it's copying the data)
2020-12-25 22:08:05 +00:00
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
2020-12-25 22:21:23 +00:00
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
2020-12-25 22:03:49 +00:00
```
### Pré-análise da Imagem do Disco
2020-12-25 22:03:49 +00:00
Imagem de um disco sem mais dados.
2021-01-05 13:06:39 +00:00
```bash
2022-09-07 15:35:57 +00:00
#Find out if it's a disk image using "file" command
file disk.img
2021-01-05 13:06:39 +00:00
disk.img: Linux rev 1.0 ext4 filesystem data, UUID=59e7a736-9c90-4fab-ae35-1d6a28e5de27 (extents) (64bit) (large files) (huge files)
#Check which type of disk image it's
img_stat -t evidence.img
2021-01-05 13:06:39 +00:00
raw
#You can list supported types with
img_stat -i list
Supported image format types:
raw (Single or split raw file (dd))
aff (Advanced Forensic Format)
afd (AFF Multiple File)
afm (AFF with external metadata)
afflib (All AFFLIB image formats (including beta ones))
ewf (Expert Witness Format (EnCase))
2021-01-05 13:06:39 +00:00
#Data of the image
fsstat -i raw -f ext4 disk.img
2021-01-05 13:06:39 +00:00
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: Ext4
Volume Name:
2021-01-05 13:06:39 +00:00
Volume ID: 162850f203fd75afab4f1e4736a7e776
Last Written at: 2020-02-06 06:22:48 (UTC)
Last Checked at: 2020-02-06 06:15:09 (UTC)
Last Mounted at: 2020-02-06 06:15:18 (UTC)
Unmounted properly
Last mounted on: /mnt/disk0
Source OS: Linux
[...]
#ls inside the image
fls -i raw -f ext4 disk.img
d/d 11: lost+found
d/d 12: Documents
d/d 8193: folder1
d/d 8194: folder2
V/V 65537: $OrphanFiles
#ls inside folder
fls -i raw -f ext4 disk.img 12
r/r 16: secret.txt
#cat file inside image
icat -i raw -f ext4 disk.img 16
ThisisTheMasterSecret
```
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente, utilizando as ferramentas comunitárias mais avançadas do mundo.\
Acesse hoje mesmo:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Busca por Malware conhecido
2020-12-23 19:52:25 +00:00
### Arquivos de Sistema Modificados
2020-12-23 19:52:25 +00:00
O Linux oferece ferramentas para garantir a integridade dos componentes do sistema, crucial para identificar arquivos potencialmente problemáticos.
- **Sistemas baseados em RedHat**: Use `rpm -Va` para uma verificação abrangente.
- **Sistemas baseados em Debian**: `dpkg --verify` para verificação inicial, seguido por `debsums | grep -v "OK$"` (após instalar `debsums` com `apt-get install debsums`) para identificar quaisquer problemas.
2023-06-06 18:56:34 +00:00
### Detectores de Malware/Rootkit
2020-12-23 19:52:25 +00:00
Leia a página a seguir para aprender sobre ferramentas que podem ser úteis para encontrar malware:
2020-12-23 19:52:25 +00:00
{% content-ref url="malware-analysis.md" %}
[malware-analysis.md](malware-analysis.md)
{% endcontent-ref %}
2020-12-23 19:52:25 +00:00
## Busca por programas instalados
Para buscar efetivamente por programas instalados em sistemas Debian e RedHat, considere utilizar logs do sistema e bancos de dados, juntamente com verificações manuais em diretórios comuns.
2020-12-23 19:52:25 +00:00
- Para Debian, inspecione **_`/var/lib/dpkg/status`_** e **_`/var/log/dpkg.log`_** para obter detalhes sobre instalações de pacotes, utilizando `grep` para filtrar informações específicas.
2020-12-23 19:52:25 +00:00
- Usuários do RedHat podem consultar o banco de dados RPM com `rpm -qa --root=/mntpath/var/lib/rpm` para listar os pacotes instalados.
Para descobrir software instalado manualmente ou fora desses gerenciadores de pacotes, explore diretórios como **_`/usr/local`_**, **_`/opt`_**, **_`/usr/sbin`_**, **_`/usr/bin`_**, **_`/bin`_**, e **_`/sbin`_**. Combine listagens de diretórios com comandos específicos do sistema para identificar executáveis não associados a pacotes conhecidos, aprimorando sua busca por todos os programas instalados.
2020-12-23 19:52:25 +00:00
```bash
# Debian package and log details
2020-12-23 19:52:25 +00:00
cat /var/lib/dpkg/status | grep -E "Package:|Status:"
cat /var/log/dpkg.log | grep installed
# RedHat RPM database query
rpm -qa --root=/mntpath/var/lib/rpm
# Listing directories for manual installations
ls /usr/sbin /usr/bin /bin /sbin
# Identifying non-package executables (Debian)
2020-12-23 19:52:25 +00:00
find /sbin/ -exec dpkg -S {} \; | grep "no path found"
# Identifying non-package executables (RedHat)
2020-12-23 19:52:25 +00:00
find /sbin/ exec rpm -qf {} \; | grep "is not"
# Find exacuable files
find / -type f -executable | grep <something>
2020-12-23 19:52:25 +00:00
```
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente com as ferramentas comunitárias **mais avançadas** do mundo.\
Acesse hoje mesmo:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Recuperar Binários em Execução Deletados
2022-03-13 16:39:41 +00:00
Imagina um processo que foi executado a partir de /tmp/exec e depois deletado. É possível extrai-lo.
```bash
cd /proc/3746/ #PID with the exec file deleted
head -1 maps #Get address of the file. It was 08048000-08049000
dd if=mem bs=1 skip=08048000 count=1000 of=/tmp/exec2 #Recorver it
```
## Inspeção de locais de inicialização automática
2020-12-23 20:08:45 +00:00
2023-06-06 18:56:34 +00:00
### Tarefas Agendadas
2020-12-23 20:08:45 +00:00
```bash
cat /var/spool/cron/crontabs/* \
/var/spool/cron/atjobs \
/var/spool/anacron \
/etc/cron* \
/etc/at* \
/etc/anacrontab \
/etc/incron.d/* \
/var/spool/incron/* \
#MacOS
ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Library/LaunchAgents/
```
2023-06-06 18:56:34 +00:00
### Serviços
2020-12-23 20:08:45 +00:00
Caminhos onde um malware poderia ser instalado como um serviço:
- **/etc/inittab**: Chama scripts de inicialização como rc.sysinit, direcionando para scripts de inicialização.
- **/etc/rc.d/** e **/etc/rc.boot/**: Contêm scripts para inicialização de serviços, sendo este último encontrado em versões mais antigas do Linux.
- **/etc/init.d/**: Usado em certas versões do Linux como Debian para armazenar scripts de inicialização.
- Serviços também podem ser ativados via **/etc/inetd.conf** ou **/etc/xinetd/**, dependendo da variante do Linux.
- **/etc/systemd/system**: Um diretório para scripts do sistema e gerenciador de serviços.
- **/etc/systemd/system/multi-user.target.wants/**: Contém links para serviços que devem ser iniciados em um nível de execução multiusuário.
- **/usr/local/etc/rc.d/**: Para serviços personalizados ou de terceiros.
- **~/.config/autostart/**: Para aplicativos de inicialização automática específicos do usuário, que podem ser um local de ocultação para malwares direcionados ao usuário.
- **/lib/systemd/system/**: Arquivos de unidade padrão em todo o sistema fornecidos por pacotes instalados.
2020-12-23 20:08:45 +00:00
2020-12-23 22:44:17 +00:00
2023-06-06 18:56:34 +00:00
### Módulos do Kernel
2020-12-23 22:44:17 +00:00
Módulos do kernel do Linux, frequentemente utilizados por malwares como componentes de rootkit, são carregados na inicialização do sistema. Os diretórios e arquivos críticos para esses módulos incluem:
- **/lib/modules/$(uname -r)**: Mantém módulos para a versão do kernel em execução.
- **/etc/modprobe.d**: Contém arquivos de configuração para controlar o carregamento de módulos.
- **/etc/modprobe** e **/etc/modprobe.conf**: Arquivos para configurações globais de módulos.
2020-12-23 22:44:17 +00:00
### Outros Locais de Inicialização Automática
2020-12-23 22:44:17 +00:00
O Linux emprega vários arquivos para executar automaticamente programas no login do usuário, potencialmente abrigando malwares:
2020-12-23 22:44:17 +00:00
- **/etc/profile.d/***, **/etc/profile** e **/etc/bash.bashrc**: Executados para qualquer login de usuário.
- **~/.bashrc**, **~/.bash_profile**, **~/.profile** e **~/.config/autostart**: Arquivos específicos do usuário que são executados no login deles.
- **/etc/rc.local**: Executado após todos os serviços do sistema terem iniciado, marcando o fim da transição para um ambiente multiusuário.
2020-12-23 22:44:17 +00:00
## Examinar Logs
2020-12-23 22:44:17 +00:00
Sistemas Linux rastreiam atividades de usuários e eventos do sistema por meio de vários arquivos de log. Esses logs são essenciais para identificar acessos não autorizados, infecções por malware e outros incidentes de segurança. Principais arquivos de log incluem:
- **/var/log/syslog** (Debian) ou **/var/log/messages** (RedHat): Capturam mensagens e atividades em todo o sistema.
- **/var/log/auth.log** (Debian) ou **/var/log/secure** (RedHat): Registram tentativas de autenticação, logins bem-sucedidos e falhas.
- Use `grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log` para filtrar eventos de autenticação relevantes.
- **/var/log/boot.log**: Contém mensagens de inicialização do sistema.
- **/var/log/maillog** ou **/var/log/mail.log**: Registram atividades do servidor de e-mail, úteis para rastrear serviços relacionados a e-mails.
- **/var/log/kern.log**: Armazena mensagens do kernel, incluindo erros e avisos.
- **/var/log/dmesg**: Mantém mensagens de drivers de dispositivos.
- **/var/log/faillog**: Registra tentativas de login malsucedidas, auxiliando em investigações de violações de segurança.
- **/var/log/cron**: Registra execuções de tarefas cron.
- **/var/log/daemon.log**: Rastreia atividades de serviços em segundo plano.
- **/var/log/btmp**: Documenta tentativas de login malsucedidas.
- **/var/log/httpd/**: Contém logs de erro e acesso do Apache HTTPD.
- **/var/log/mysqld.log** ou **/var/log/mysql.log**: Registram atividades do banco de dados MySQL.
- **/var/log/xferlog**: Registra transferências de arquivos FTP.
- **/var/log/**: Sempre verifique por logs inesperados aqui.
2020-12-23 22:44:17 +00:00
{% hint style="info" %}
Logs do sistema Linux e subsistemas de auditoria podem ser desativados ou excluídos em um incidente de intrusão ou malware. Como os logs em sistemas Linux geralmente contêm algumas das informações mais úteis sobre atividades maliciosas, invasores rotineiramente os excluem. Portanto, ao examinar os arquivos de log disponíveis, é importante procurar lacunas ou entradas fora de ordem que possam ser indicações de exclusão ou manipulação.
2020-12-23 22:44:17 +00:00
{% endhint %}
**O Linux mantém um histórico de comandos para cada usuário**, armazenado em:
2020-12-27 00:27:13 +00:00
- ~/.bash_history
- ~/.zsh_history
- ~/.zsh_sessions/*
- ~/.python_history
- ~/.*_history
2020-12-27 00:27:13 +00:00
Além disso, o comando `last -Faiwx` fornece uma lista de logins de usuários. Verifique por logins desconhecidos ou inesperados.
2020-12-27 00:27:13 +00:00
Verifique arquivos que podem conceder privilégios extras:
2020-12-27 00:28:02 +00:00
- Revise `/etc/sudoers` por privilégios de usuário não previstos que possam ter sido concedidos.
- Revise `/etc/sudoers.d/` por privilégios de usuário não previstos que possam ter sido concedidos.
- Examine `/etc/groups` para identificar quaisquer associações ou permissões de grupo incomuns.
- Examine `/etc/passwd` para identificar quaisquer associações ou permissões de grupo incomuns.
2020-12-23 23:14:22 +00:00
Alguns aplicativos também geram seus próprios logs:
- **SSH**: Examine _~/.ssh/authorized_keys_ e _~/.ssh/known_hosts_ para conexões remotas não autorizadas.
- **Gnome Desktop**: Verifique _~/.recently-used.xbel_ para arquivos acessados recentemente via aplicativos Gnome.
- **Firefox/Chrome**: Verifique o histórico do navegador e downloads em _~/.mozilla/firefox_ ou _~/.config/google-chrome_ por atividades suspeitas.
- **VIM**: Revise _~/.viminfo_ para detalhes de uso, como caminhos de arquivos acessados e histórico de pesquisa.
- **Open Office**: Verifique o acesso recente a documentos que possam indicar arquivos comprometidos.
- **FTP/SFTP**: Revise logs em _~/.ftp_history_ ou _~/.sftp_history_ por transferências de arquivos que podem ser não autorizadas.
- **MySQL**: Investigar _~/.mysql_history_ por consultas MySQL executadas, potencialmente revelando atividades não autorizadas no banco de dados.
- **Less**: Analise _~/.lesshst_ para histórico de uso, incluindo arquivos visualizados e comandos executados.
- **Git**: Examine _~/.gitconfig_ e _.git/logs_ do projeto por alterações nos repositórios.
2020-12-23 23:14:22 +00:00
### Logs de USB
2021-05-28 17:27:17 +00:00
[**usbrip**](https://github.com/snovvcrash/usbrip) é um pequeno software escrito em Python 3 puro que analisa arquivos de log do Linux (`/var/log/syslog*` ou `/var/log/messages*` dependendo da distribuição) para construir tabelas de histórico de eventos USB.
É interessante **saber todos os USBs que foram usados** e será mais útil se você tiver uma lista autorizada de USBs para encontrar "eventos de violação" (o uso de USBs que não estão dentro dessa lista).
### Instalação
```bash
2021-05-28 17:27:17 +00:00
pip3 install usbrip
2022-09-07 15:35:57 +00:00
usbrip ids download #Download USB ID database
2021-05-28 17:27:17 +00:00
```
2023-06-06 18:56:34 +00:00
### Exemplos
```bash
2021-05-28 17:27:17 +00:00
usbrip events history #Get USB history of your curent linux machine
usbrip events history --pid 0002 --vid 0e0f --user kali #Search by pid OR vid OR user
#Search for vid and/or pid
usbrip ids download #Downlaod database
usbrip ids search --pid 0002 --vid 0e0f #Search for pid AND vid
```
Mais exemplos e informações dentro do github: [https://github.com/snovvcrash/usbrip](https://github.com/snovvcrash/usbrip)
2021-05-28 17:27:17 +00:00
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir facilmente e **automatizar fluxos de trabalho** com as ferramentas comunitárias mais avançadas do mundo.\
Acesse hoje:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Revisar Contas de Usuário e Atividades de Logon
2020-12-23 22:44:17 +00:00
Examine o _**/etc/passwd**_, _**/etc/shadow**_ e **logs de segurança** em busca de nomes ou contas incomuns criadas e/ou usadas próximas a eventos não autorizados conhecidos. Além disso, verifique possíveis ataques de força bruta sudo.\
Além disso, verifique arquivos como _**/etc/sudoers**_ e _**/etc/groups**_ em busca de privilégios inesperados concedidos aos usuários.\
Por fim, procure por contas sem **senhas** ou com senhas **facilmente adivinháveis**.
2020-12-23 22:44:17 +00:00
## Examinar o Sistema de Arquivos
2020-12-23 23:14:22 +00:00
### Analisando Estruturas do Sistema de Arquivos em Investigação de Malware
2020-12-23 23:14:22 +00:00
Ao investigar incidentes de malware, a estrutura do sistema de arquivos é uma fonte crucial de informações, revelando tanto a sequência de eventos quanto o conteúdo do malware. No entanto, os autores de malware estão desenvolvendo técnicas para dificultar essa análise, como modificar os carimbos de data e hora dos arquivos ou evitar o sistema de arquivos para armazenamento de dados.
2020-12-23 23:14:22 +00:00
Para combater esses métodos antiforenses, é essencial:
2020-12-28 22:28:30 +00:00
- **Realizar uma análise de linha do tempo minuciosa** usando ferramentas como **Autopsy** para visualizar linhas do tempo de eventos ou `mactime` do **Sleuth Kit** para dados de linha do tempo detalhados.
- **Investigar scripts inesperados** no $PATH do sistema, que podem incluir scripts shell ou PHP usados por atacantes.
- **Examinar o `/dev` em busca de arquivos atípicos**, pois tradicionalmente contém arquivos especiais, mas pode conter arquivos relacionados a malware.
- **Procurar por arquivos ou diretórios ocultos** com nomes como ".. " (ponto ponto espaço) ou "..^G" (ponto ponto control-G), que podem ocultar conteúdo malicioso.
- **Identificar arquivos setuid root** usando o comando:
```find / -user root -perm -04000 -print```
Isso encontra arquivos com permissões elevadas, que podem ser abusados por atacantes.
- **Revisar os carimbos de data e hora de exclusão** nas tabelas de inode para identificar exclusões em massa de arquivos, indicando possivelmente a presença de rootkits ou trojans.
- **Inspecionar inodes consecutivos** em busca de arquivos maliciosos próximos após identificar um, pois podem ter sido colocados juntos.
- **Verificar diretórios binários comuns** (_/bin_, _/sbin_) em busca de arquivos modificados recentemente, pois esses podem ter sido alterados por malware.
```bash
# List recent files in a directory:
ls -laR --sort=time /bin```
# Sort files in a directory by inode:
ls -lai /bin | sort -n```
```
2020-12-28 22:28:30 +00:00
{% hint style="info" %}
Note que um **atacante** pode **modificar** o **horário** para fazer com que os **arquivos pareçam** **legítimos**, mas ele **não pode** modificar o **inode**. Se você descobrir que um **arquivo** indica que foi criado e modificado ao **mesmo tempo** que o restante dos arquivos na mesma pasta, mas o **inode** é **inesperadamente maior**, então os **timestamps daquele arquivo foram modificados**.
2020-12-28 22:28:30 +00:00
{% endhint %}
## Comparar arquivos de diferentes versões de sistema de arquivos
### Resumo da Comparação de Versões de Sistema de Arquivos
2021-01-06 15:28:14 +00:00
Para comparar versões de sistema de arquivos e identificar mudanças, usamos comandos simplificados de `git diff`:
- **Para encontrar novos arquivos**, compare dois diretórios:
2021-01-06 15:28:14 +00:00
```bash
git diff --no-index --diff-filter=A path/to/old_version/ path/to/new_version/
2021-01-06 15:28:14 +00:00
```
- **Para conteúdo modificado**, liste as alterações ignorando linhas específicas:
2021-01-06 15:28:14 +00:00
```bash
git diff --no-index --diff-filter=M path/to/old_version/ path/to/new_version/ | grep -E "^\+" | grep -v "Installed-Time"
2021-01-06 15:28:14 +00:00
```
- **Para detectar arquivos deletados**:
2021-01-06 15:28:14 +00:00
```bash
git diff --no-index --diff-filter=D path/to/old_version/ path/to/new_version/
2021-01-06 15:28:14 +00:00
```
- **Opções de filtro** (`--diff-filter`) ajudam a reduzir para alterações específicas como arquivos adicionados (`A`), deletados (`D`), ou modificados (`M`).
- `A`: Arquivos adicionados
- `C`: Arquivos copiados
- `D`: Arquivos deletados
- `M`: Arquivos modificados
- `R`: Arquivos renomeados
- `T`: Mudanças de tipo (por exemplo, de arquivo para link simbólico)
- `U`: Arquivos não mesclados
- `X`: Arquivos desconhecidos
- `B`: Arquivos corrompidos
2020-12-28 21:51:56 +00:00
2023-06-06 18:56:34 +00:00
## Referências
2020-12-23 22:44:17 +00:00
2021-10-19 00:01:07 +00:00
* [https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems\_Ch3.pdf](https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems\_Ch3.pdf)
2020-12-23 22:44:17 +00:00
* [https://www.plesk.com/blog/featured/linux-logs-explained/](https://www.plesk.com/blog/featured/linux-logs-explained/)
* [https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203](https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203)
* **Livro: Malware Forensics Field Guide for Linux Systems: Digital Forensics Field Guides**
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
2022-04-28 16:01:33 +00:00
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2022-04-28 16:01:33 +00:00
**Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
2022-04-28 16:01:33 +00:00
</details>
2022-08-31 22:35:39 +00:00
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente com as ferramentas comunitárias mais avançadas do mundo.\
Acesse hoje:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}