Análise de Memória RAM com Cyber Triage Free

Registro acerca do processo de dump de memória ram com a utilização do software Cyber Triage, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado à Segurança Cibernética e Forense Digital na Academia de Forense Digital

Orientador (a): Renan Cavalheiro

OBJETIVO

Dissertar de maneira introdutória sobre uma das metodologias utilizadas no processamento do dump de memória através do Cyber Triage para apresentar o processo de identificação de uma
máquina que pode ter sido comprometida com um malware.

INTRODUÇÃO AO PROCESSO DE DUMP DE MEMÓRIA RAM

Existem diversas maneiras de realizar o processamento de um dump de memória, desde a escolha de softwares para a realização da aquisição, até os softwares de análise.

Então, utilizaremos duas ferramentas para isto: Magnet RAM Capture, feramenta da magnet forense para realizar o dump do sistema e também “complete aqui”

REALIZANDO O DUMP DE MEMÓRIA RAM

Utilizando então o software Magnet RAM Capture, a partir de um dispositivo externo, vamos conectar o dispositivo ao computador ao qual querermos o dump e iniciaremos a ferramenta.

Figura 1 – Magnet Dump

Basta apontar o diretório para armazenamento do dump de memória ram, que neste caso, é o armazenamento endereçado como “E:\” e o nosso arquivo de dump receberá o nome de “dumpLab.raw”.

Os arquivos de dump geralmente terão a extensão “raw”, dd ou similares, por se tratarem de arquivos de armazenamento puros ele conterá literalmente, os dados que estavam na memória no momento do dump.

Ao fim do processo, é exibida uma mensagem de conclusão. Durante o processo, esta janela apresenta uma numeração de indicação de progresso da operação no canto inferior direito.

Figura 2 – Magnet Dump final

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Vale ressaltar que em um cenário de coleta, é necessário tirar o hash do dump, uma vez que esta ferramenta não apresenta essa funcionalidade nativamente.

  • – PROCESSAMENTO DO DUMP COM CYBER TRIAGE

Para realizar o processamento do dump de memória, realize a cópia dele para a estação de trabalho/análise, onde encontra-se também o Cyber Triage.

Utilizaremos a versão Lite, pois ela atente todos os requisitos necessários para a demonstração do processo.

Com o dump então já na máquina ao qual realizaremos o processamento do mesmo, abra o Cyber Triage e inicie uma nova sessão em “New Session”.

Figura 3 – Cyber Triage

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Informaremos também, que se trata de um Dump de Memória em “Memory Image

Figura 4 – Cyber Triage Memory Image

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Nesta próxima janela, observe os campos de:

  • Host Name: Deve, de preferência, conter o nome do host ao qual se realizou a aquisição.
  • Souce File: Diretório onde encontra-se o Dump de Memória.
  • Volatility Profile: Build/Versão do Sistema

O Cyber Triage assim como outras ferramentas, a identificação de profiles com base no Volatility. Deixando a opção “AutoDetect” o Cyber Triage vai realizar a identificação para descobrir qual é a versão/build do sistema ao qual o dump pertence.

Figura 4 – Cyber Triage Memory Image Info

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Clicando em “Continue”, será apresentada a próxima tela, com a qual para este cenário, manteremos como padrão.

Porém, existem opções que podem ser selecionadas para uma análise mais completa caso seja necessário em outro cenário.

Figura 5 – Cyber Triage Memory Image Options

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

A partir deste momento, o processo já foi iniciado. Porém, é necessário aguardar alguns instantes para que o Cyber Triage possa preparar todos os parâmetros que serão utilizados, de acordo com as opções marcadas anteriormente.

Figura 6 – Cyber Triage Memory Image Process_01

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

O Cyber Triage apresentará uma nova tela com algumas informações, porém o processamento ainda estará em andamento.

Assim, é necessário aguardar o fim do processo, porém cada descoberta já pode ser visualizada.

Figura 7 – Cyber Triage Memory Process_02

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

É possível observar a esquerda algumas opções a quais a direita, uma vez que o dump está sendo processado, elas já podem ser visualizadas de forma isolada.

Figura 8 – Cyber Triage Memory Process_03

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Algumas das informações possíveis de serem encontradas são:

  • Informações de Login e Contas
  • Informações de Conexões
  • Informações sobre páginas web
  • Programas/Processos em Execução
  • Conexões Ativas, Portas, entre

Quando se está buscando encontrar um comportamento suspeito através da memória ram existem diversas possibilidades. Podemos começar buscando por processos que tenham algo de suspeito na sua execução.

Figura 9 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Indo para a aba “Processes” podemos observar que o processo bin?rio.exe, que possui o PPID 3036, que pertence ao PID do “Exporer.exe” , foi executado no Desktop.

Contudo, isto somente não é o suficiente para condenar o executável como um arquivo malicioso.

Observando a área de “Active Connections” vemos que este binário possui uma conexão de saída, na porta 4444, com o IP 144.126.133.115. 

Este é um comportamento anormal para um executável que se inicia na área de trabalho. Caso estivesse em outro diretório, existem outros pontos a se observar.

Figura 10 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Para fins didáticos, sabemos que esse é o malware utilizado para que esse cenário fosse criado. Aplicando o mesmo raciocínio, é possível realizar a análise do dump de memória ram de forma mais aprofundada afim de levantar outras informações como seu comportamento e persistência no sistema.

Finalizando então nesta etapa, a apresentação do processo do processamento do dump de memória através do Cyber Triage.

Confira o treinamento Forense em Memória!

BIBLIOGRAFIA

1.ACADEMIA DE FORENSE DIGITAL. Como processar dump de Memória RAM com Cyber Triage? (Passo a Passo) Disponivel em: <https://www.youtube.com/watch?v=JSyKOExtRNk>. Acesso em: 2021.

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados
Gratuito para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement