Resposta a incidente em Forense

Resposta a incidente em Forense

Imagine a situação, houve um vazamento de informação na sua empresa, você suspeita quem foi mas não quer gerar nenhuma situação desconfortante ao suspeito, já que é um colaborador na empresa que você trabalha. Como fazer uma analise rápida e sem suspeita?

DFIRriage - Digital forensic acquisition tool for Windows

Essa situação pode ser resolvida pelo DFIRTriage, é uma aplicação desenvolvida em Python, que houve uma atualização recente depois de três anos sem ter atualização. Cheguei até fazer um FORK desse programa e chamei ele de F1RSTriage e adaptei ao meu cenário na empresa, fiz até uma melhoria para fazer coleta de multiplos usuários para quem tem Active Directory. 

Este programa DFIRTriage (original) é uma “mão na roda” para resolver problemas de coleta forense de forma rápida e simples, seja você executando ou fazendo uma coleta via PSEXEC.

Fonte

DFIRTriage esta disponível no GITHUB, no endereço: https://github.com/travisfoley/dfirtriage

Instalação

git clone https://github.com/travisfoley/dfirtriage

Recursos

DFIRTriage irá realizar a coleta forense nos seguintes itens:

  • Dump de memória RAM; (obrigatório/opcional)
  • Verifica se esta executando com privilegios administrativos;
  • Detecta a arquitetura do sistema (32/64Bits)
  • Coleta e Parse de Prefetch;
  • Coleta de historico do Power Shell;
  • Ultimas atividades do usuário;
  • HASh de: (usuários, system32, windows, temp)
  • Informações de rede;
  • Windows update log;
  • Windows defender log;
  • Dump e Parsing das HIVES do Registro do Windows;
  • Coleta de dispositivos USB;
  • Historico de navegação do usuário;
  • Hash de todos os arquivos coletados;

Ao terminar a coleta, também tera a disposição o programa “DTFIND”, que permite fazer busca dentro dos arquivos coletados, mais abaixo demostrarei.

Fazendo a coleta local

A coleta é muito tranquila, basta abrir uma tela de prompt ou executar com duplo clique. Importante estar executando como administrador! Neste exemplo, foi executado sem dump de ram.

Resultado

O resultado, sera compactado com o nome do computador . data e hora de execução. Ao descompactar teremos:

Ao descompactar o LiveResponseData.zip terá todos os arquivos coletados, demostrar neste post seria muito extenso, vale a pena conferir, alguns exemplos:

DTFind

DTFind permite você procurar palavras dentro dos arquivos coletados. No exemplo abaixo no item “1” coloquei a palavra chave “github.com” e no item “2” o diretório da coleta (descompactada)

Este é o resultado:

Conclusão

Esta aplicação para Windows é simples e objetiva na coleta forense. Para ambientes corporativos em que não é necessário realizar uma coleta forense “disco a disco” pode ser uma solução excelente. Este programa costumo utilizar na empresa para debugar sobre malwares e encontrar possíveis brecha de segurança cometido pelo usuário.

No repositório do Github, há uma explicação de como executar ele via PSEXEC.

About The Author

Related posts

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *