Técnica anti-forenses para PenTesters #1

A Analise forense computacional é o ponto chave de um incidente de segurança, principalmente para coletar evidências e descobrir daonde partiu o ataque e a sua origem, para assim, tomar medidas cabiveis e evitar que isso ocorra de novo.

Uma das séries que curto muito é Mr. Robot (2015-2019) e nela, temos diversos exemplos de técnicas anti-forense. Claro muitos analisam o anti-forense apenas para maldade, porém em um serviço de PenTest é algo interessante de se fazer, principalmente quando falamos de limpar os rastros após um ataque.

Quais técnicas anti-forense são utilizadas?

Utilização de serviços de VPN: Quando falamos de técnicas para esconder seus rastros, muitos já se falam de VPN (Rede privada virtual), que consiste em se conectar a uma rede privada e a partir dessa rede, realizar os seus ataques. Porém não é qualquer VPN que você utiliza, existem serviços que são propriamente prontos para esse propósito, aonde utilizam redes que se encontram em países aonde a legislação em relação a dados pessoais é rigorosa, como a Suiça.

Ferramenta bastante utilizada: https://airvpn.org/

Serviço de E-mail criptografado: A utilização de serviços de e-mail criptografados é um meio para evitar técnicas de forense em cabeçalhos de e-mail, principalmente quando falamos de serviços que priorizam a encriptação da mensagem e auto-destruição. A diferença para os e-mails tradicionais é principalmente a questão da quebra de sigilo e no fácil rastreamento de origem. Por isso, utilizar um e-mail criptografado se torna útil.

Ferramenta bastante utilizada: https://protonmail.com/

Navegação anônima: Sim, você pensou certo, eu vou falar do Tor, mas não significa que ele é seguro totalmente, principalmente quando falamos da forma que ele trabalha. A minha recomendação é que você aprenda a configurar a comunicação do Tor para evitar os nós de saída e jogar como destino, países que tem leis que dificultam a quebra de sigilo. Mas o tor ele é nada mais nada menos que um meio de comunicação criptografado que trabalha com 3 nós de comunicação até chegar no servidor de destino.

Ferramenta bastante utilizada: https://www.torproject.org/

Whonix e Tails: As ferramentas Whonix e Tails são bastante utilizada para mascaramento de endereços de IP e comunicação, garantindo o anônimato e o sigilo da sua comunicação, através de tuneis de comunicação. Ambas são duas distribuições Linux já configuradas com a maior privacidade possível e burlar resrições da internet.

Ferramentas bastante utilizada: https://www.whonix.org/ e https://tails.boum.org/install/

Criptografia de disco: Utilização de criptografias para esconder mensagens e limitar acessos é bastante utilizada, principalmente criptografia de disco para dificultar a leitura dos arquivos e o acesso a eles. Não vou indicar ferramentas, por questões indelicadas e não ter conhecimento da melhor para isso.

Esteganografia: A arte de esconder uma informação em uma imagem, áudio ou video. Geralmente é utilizada para esconder alguma mensagem, um arquivo ou até mesmo um malware em uma imagem, dificultando mais ainda a detecção. Geralmente é utilizados ferramentas pública na internet ou scripts que apenas alocam a informação no binário do arquivo e não realizam a obfuscação, sendo fácil sua reversão. Eu não vou indicar uma ferramenta também, até por não conhecer a melhor, eu utilizo várias kkk.

Spoofing: A técnica de falsificação, seja um endereço de IP ou até mesmo um endereço de dominio, geralmente o Spoofing consiste em você se passar por alguém de uma forma lógica, exemplo: E-mail spoofing é quando você envia uma mensagem, utilizando um endereço de e-mail de alguma pessoa existente ou o dominio daquela empresa, assim explorando a falta de segurança de um servidor de e-mail.

USB Killer: Essa é uma técnica aonde você utiliza o USB Killer para queimar os circuitos do seu computador, ocasionando em uma descarga elétrica forte que ocasiona até mesmo em uma perda total. Geralmente utilizado como botão do pânico. Porém eu apresento um outro Killer, utilizando um periférico controlador como Digispark, para executar um pequeno script em Python que criptografa o seu HD bit por bit e destroi a chave automaticamente.

Ferramenta utilizada: https://github.com/CyberSecurityUP/fsocietyencrypt

Apagando rastros no Linux: Após um PenTest você pode remover todo histórico do seu terminal, geralmente você utiliza o comando: “rm ~/bash_history” ou “history -c” para apagar os comandos que você digitou no terminal.

Limpado rastros do Windows com Metasploit: O Windows registra os eventos que você realiza no “Visualizador de Eventos”, fazer a limpeza dos logs, após os testes é algo bacana a se fazer. Veja um tutorial utilizando o Meterpreter.

Tutorial: https://www.offensive-security.com/metasploit-unleashed/event-log-management/

Criptografia: A utilização da criptografia para esconder mensagens utilizando Hashs e cifragens avançadas, se tornou algo bastante utilizado, principalmente para enviar arquivos e outros tipos de dados de uma forma que poucos consigam ler. Por isso eu recomendo que você conheça criptografias Open Source e que não tenham algum tipo de backdoor.

Mas por que ensinar anti-forense?

O Intuito não é ensinar a esconder seus rastros das autoridades, mas sim, utilizar essas técnicas de maneira interna, seja em um PenTest na sua empresa ou em algum cliente, assim simulando a vida real da melhor forma possível.

A utilização dessas técnicas para crimes, tem suas consequências de alguma forma, não significa que vão garantir que você não seja pego, pois não é só os ataques que estão ficando cada vez mais sofisticados, mas a inteligência também está se aprimorando. E também é um fato, que a teoria é diferente da prática, utilizar essas ferramentas não significa que você vai estar totalmente seguro, pois não existe nada 100% seguro. Além disso, a conscientização é um fator principal para entender como os criminosos agem e porque todos nós, devemos nos preocupar com segurança.

E existem milhares de técnicas que são bacanas demais, pretendo apresenta-las e até colocar em prática algumas, quem sabe uma parte 2?

Caso queira dar uma olhada em algumas outras técnicas:

https://blog.eccouncil.org/6-anti-forensic-techniques-that-every-cyber-investigator-dreads/

https://resources.infosecinstitute.com/category/computerforensics/introduction/areas-of-study/digital-forensics/anti-forensic-tools-techniques/#gref

Hits: 78

Leave a Reply

Your email address will not be published. Required fields are marked *