{"id":376,"date":"2010-07-31T00:59:49","date_gmt":"2010-07-31T03:59:49","guid":{"rendered":"http:\/\/www.eriberto.pro.br\/blog\/?p=376"},"modified":"2011-10-10T17:58:56","modified_gmt":"2011-10-10T20:58:56","slug":"assistindo-a-uma-invasao-de-rede-de-camarote","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2010\/07\/31\/assistindo-a-uma-invasao-de-rede-de-camarote\/","title":{"rendered":"Assistindo a uma invas\u00e3o de rede de camarote…"},"content":{"rendered":"

Bem, estou montando alguns casos para aulas de forense computacional. J\u00e1 fiz dois introdut\u00f3rios, dispon\u00edveis em http:\/\/eriberto.pro.br\/forense<\/a>. Mas eu precisava de algo voltado para uma invas\u00e3o em rede. Ent\u00e3o, montei a isca.<\/p>\n

Dia 30 jul. 10<\/h2>\n

16:00 h<\/h3>\n

Comecei a montar uma m\u00e1quina com Debian Squeeze para servir de base para uma m\u00e1quina virtual vulner\u00e1vel (usando Xen 4). Depois, criei a m\u00e1quina virtual. A m\u00e1quina base (real) possui uma senha de root forte e s\u00f3 est\u00e1 com o servi\u00e7o ssh rodando. A m\u00e1quina virtual possui ssh com senha f\u00e1cil para root e um usu\u00e1rio test com senha f\u00e1cil tamb\u00e9m. Tem um servidor de p\u00e1ginas Apache, PHP5, tudo com configura\u00e7\u00e3o default e, o mais importante, um monitor samhain<\/em> enviando mails, para a minha conta falsa no GMail, a cada ocorr\u00eancia anormal.<\/p>\n

17:00 h<\/h3>\n

A m\u00e1quina virtual est\u00e1 pronta e operando na Internet. Est\u00e1 disfar\u00e7ada em uma m\u00e1quina de uma rede atacadista. \u00c9 importante ressaltar que n\u00e3o houve qualquer tipo de divulga\u00e7\u00e3o a respeito das m\u00e1quinas (real e virtual) e que n\u00e3o houve registro em DNS. Teoricamente, ningu\u00e9m deveria chegar em tais m\u00e1quinas, a n\u00e3o ser por scaneamento. Ou seja: quem chegar \u00e9 bandido! A m\u00e1quina virtual tem IP terminado por 131 e a real 132.<\/p>\n

18:47 h<\/h3>\n

O samhain envia um e-mail dizendo, dentre outras coisas, que o arquivo \/etc\/shadow<\/em> foi alterado \u00e0s 18:42 h (21:42 UTC). Veja:<\/p>\n

CRIT \u00a0 : \u00a0[2010-07-30T18:47:18-0300] msg=<POLICY [ReadOnly] C-------T->, path=<\/etc\/shadow>, ctime_old=<[2010-07-30T19:36:20]>, ctime_new=<[2010-07-30T21:42:17]>, mtime_old=<[2010-07-30T19:36:20]>, mtime_new=<[2010-07-30T21:42:17]>, chksum_old=<B48D594D9879AB0B364DEC764A1322BD08A6F07BB1729B31>, chksum_new=<A394EE8F4C333D45B50D74DCFC78D70AD8F18DE76082D7C3><\/pre>\n
.<\/p>\n
Nessa hora eu estava a caminho do shopping.<\/p>\n
22:30 h<\/h3>\n
Cheguei do shopping e vi a mensagem do samhain. Batata! N\u00e3o consigo mais logar no servidor como root. A senha foi trocada. S\u00f3 tenho acesso \u00e0 maquina real.<\/p>\n
Na verdade, eu poderia tirar a virtual do ar e mont\u00e1-la em um diret\u00f3rio para ver o seu conte\u00fado ou trocar a senha de root novamente. Mas, n\u00e3o \u00e9 o caso. Preciso de um caso forense e vou deixar a m\u00e1quina quieta por mais uns 2 ou 3 dias. Essa \u00e9 a parte mais legal. Como perdi o acesso \u00e0 m\u00e1quina, s\u00f3 conhecerei um pedacinho da hist\u00f3ria. Ent\u00e3o, terei que realmente fazer uma forense para descobrir tudo o que ocorreu. Um ponto chave ser\u00e1 a mem\u00f3ria. At\u00e9 a senha de root (e outras) deve estar l\u00e1 dentro.<\/p>\n
A partir da m\u00e1quina real, rodando IPtraf, constatei as seguintes situa\u00e7\u00f5es:<\/p>\n