Área do Aluno
EAD

PROCESSO DE DUMP DE MEMÓRIA RAM COM CYBER TRIAGE

Registro acerca do processo de dump de memória ram com a utilização do software Cyber Triage, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital

 

Orientador (a): Renan Cavalheiro

 

RIO DE JANEIRO – RJ

2021

RESUMO

 

Este trabalho apresenta de forma introdutória a elucidação de utilização da ferramenta Cyber Triage na identificação de uma máquina que tenha sido comprometida com um malware, analisando o dump de memória ilustrando o processo de verificação com o software.

 

Sumário

RESUMO 2

Objetivo 4

JUSTIFICATIVA 4

AFD Tech: Como Subir Uma Máquina Virtual com o FTK Imager 5

1 – ftk imager: Processo de Preparo Erro! Indicador não definido.

2 – Subindo a Imagem Erro! Indicador não definido.

1 Bibliografia 15

Glossário 16

Objetivo

 

Dissertar de maneira introdutória sobre uma das metodologias utilizadas no processamento do dump de memória através do Cyber Triage para apresentar o processo de identificação de uma máquina que pode ter sido comprometida com um malware.

 

JUSTIFICATIVA

 

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

 

AFD Tech: Processamento do Dump de Memória com Cyber Triage

 

Existem diversas maneiras de realizar o processamento de um dump de memória, desde a escolha de softwares para a realização da aquisição, até os softwares de análise. 

 

  1. Realizando o Dump de Memória

Utilizando então o software Magnet RAM Capture, a partir de um dispositivo externo, vamos conectar o dispositivo ao computador ao qual querermos o dump e iniciaremos a ferramenta.

Figura 1 – Magnet Dump

 magnet dump

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Basta apontar o diretório para armazenamento do dump de memória, que neste caso, é o armazenamento endereçado como “E:\” e o nosso arquivo de dump receberá o nome de “dumpLab.raw”. Os arquivos de dump geralmente terão a extensão “raw”, dd ou similares, por se tratarem de arquivos de armazenamento puros ele conterá literalmente, os dados que estavam na memória no momento do dump.

 

Ao fim do processo, é exibida uma mensagem de conclusão. Durante o processo, esta janela apresenta uma numeração de indicação de progresso da operação no canto inferior direito.

Figura 2  – Magnet Dump final

Magnet Dump Final

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Vale ressaltar que em um cenário de coleta, é necessário tirar o hash do dump, uma vez que esta ferramenta não apresenta essa funcionalidade nativamente. 

 

Processamento do Dump com Cyber Triage

 

Para realizar o processamento do dump de memória, realize a cópia dele para a estação de trabalho/análise, onde encontra-se também o Cyber Triage. Utilizaremos a versão Lite, pois ela atente todos os requisitos necessários para a demonstração do processo.

 

Com o dump então já na máquina ao qual realizaremos o processamento do mesmo, abra o Cyber Triage e inicie uma nova sessão em “New Session”.

Figura 3 – Cyber Triage

cyber triage

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Informaremos também, que se trata de um Dump de Memória em “Memory Image

Figura 4 – Cyber Triage Memory Image

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Nesta próxima janela, observe os campos de:

 

  • Host Name: Deve, de preferência, conter o nome do host ao qual se realizou a aquisição.
  • Souce File: Diretório onde encontra-se o Dump de Memória.
  • Volatility Profile: Build/Versão do Sistema Operacional.

O Cyber Triage assim como outras ferramentas, a identificação de profiles com base no Volatility. Deixando a opção “AutoDetect” o Cyber Triage vai realizar a identificação para descobrir qual é a versão/build do sistema ao qual o dump pertence.

Clicando em “Continue”, será apresentada a próxima tela, com a qual para este cenário, manteremos como padrão. Porém existem opções que podem ser selecionadas para uma análise mais completa caso seja necessário em outro cenário.

Figura 5 – Cyber Triage Memory Image Options

cyber triage memory

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

A partir deste momento, o processo já foi iniciado. Porém, é necessário aguardar alguns instantes para que o Cyber Triage possa preparar todos os parâmetros que serão utilizados, de acordo com as opções marcadas anteriormente.

Figura 6 – Cyber Triage Memory Image Process_01

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

O Cyber Triage apresentará uma nova tela com algumas informações, porém o processamento ainda estará em andamento. É necessário aguardar o fim do processo, porém cada descoberta já pode ser visualizada.

Figura 7 – Cyber Triage Memory Process_02

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

À esquerda, é possível observar algumas opções que, uma vez que o dump está sendo processado, podem ser visualizadas de forma isolada, na direita.

Figura 8 – Cyber Triage Memory Process_03

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Algumas das informações possíveis de serem encontradas são:

  • Informações de Login e Contas
  • Informações de Conexões
  • Informações sobre páginas web
  • Programas/Processos em Execução
  • Conexões Ativas, Portas, entre outras.

 

Quando se está buscando encontrar um comportamento suspeito através da memória existem diversas possibilidades. Podemos começar buscando por processos que tenham algo de suspeito na sua execução.

Figura 9 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Indo para a aba “Processes podemos observar que o processo bin?rio.exe, que possui o PPID 3036, que pertence ao PID do “Exporer.exe” , foi executado no Desktop. Porém isto somente não é o suficiente para condenar o executável como um arquivo malicioso.

 

Observando a área de “Active Connections” vemos que este binário possui uma conexão de saída, na porta 4444, com o IP 144.126.133.115. Este é um comportamento anormal para um executável que se inicia na área de trabalho. Caso estivesse em outro diretório, existem outros pontos a se observar. 

Figura 10 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Para fins didáticos, sabemos que esse é o malware utilizado para que esse cenário fosse criado. Aplicando o mesmo raciocínio, é possível realizar a análise do dump de memória de forma mais aprofundada afim de levantar outras informações como seu comportamento e persistência no sistema.

Desta forma, concluímos nesta etapa a apresentação do processo do processamento do dump de memória através do Cyber Triage.

 

Conclusão

 

O Cyber Triage é capaz de realizar a identificação de uma máquina infectada através da análise do dump de memória previamente coletado por outro software. Funcionando como umas das ferramentas no auxilio investigativo fornecendo subsídios necessários para uma análise mais aprofundada caso necessário.

Bibliografia

1.ACADEMIA DE FORENSE DIGITAL. Como processar dump de Memória RAM com Cyber Triage? (Passo a Passo)
Disponivel em: <https://www.youtube.com/watch?v=JSyKOExtRNk>.
Acesso em: 2021.

 

Glossário

Para a compreensão do texto, é importante apresentar uma relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, acompanhadas das respectivas definições.

 

 

logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

CNPJ/Razão Social:

26.140.618/0001-40 / Academia de Forense Digital LTDA

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2024. Todos os direitos reservados
Close

Plano Expert

  • ABNT ISO 27037;
  • Análise Forense de Malware;
  • Autopsy Forensics: do Zero ao Avançado;
  • Computação Forense;
  • Criptografia com Passware Forensics;
  • Cyber Security Pentest;
  • Forense em Assinatura Eletrônica;
  • Forense em Dispositivos Móveis;
  • Forense em Internet e OSINT;
  • Forense em Memória;
  • Investigação de Ataques Ransomware;
  • IPED-Forensics: do Zero ao Avançado;
  • Metodologias Nacionais de Perícia Digital;
  • Passware Kit Forensics;
  • Resposta a Incidentes;
  • Threat Intelligence.

Plano Detective

  • Análise de Malware Starter;
  • Análise de Superfície de Ataque Externa (EASM) usando ThingsRecon;
  • Caça a Infraestruturas de Malwares;
  • Conceitos de Telefonia Digital e Analógica;
  • Critical Security Controls;
  • Cyber Kill Chain;
  • Dns Da CloudFlare Proteja Seus Servidores;
  • Due Care e Due Dilligence;
  • Engenharia Social e Conscientização;
  • Entendendo TCP/IP e Equipamentos de Redes;
  • Fundamentos de Direito Digital;
  • Fundamentos de Forense Digital;
  • Fundamentos de Redes de Computadores;
  • Indústria 4.0 - Tecnologias Emergentes;
  • Internet Desvendada Aprenda como tudo se conecta;
  • Introdução a Ataques Ransomware;
  • Introdução à Cloud Computing;
  • Introdução à Criptografia;
  • Introdução à Teoria Psicanalítica em Direção à Saúde Mental;
  • Introdução ao Cloud Security;
  • Introdução ao Plano de Continuidade de Negócios;
  • Introdução ao RDStation Marketing;
  • LGPD para Profissionais de Tecnologia;
  • Mapeamento de Processos de Negócios;
  • Mitre Attack;
  • Noções Fundamentais de Telefonia IP;
  • OWASP Top 10;
  • PKI e Certificações Digitais;
  • Planejamento Proativo Capacitação em Continuidade de Negócios para o Sucesso Empresarial;
  • Ransomware e Segurança Defensiva;
  • Ransomware sob Controle Governança Corporativa para uma Defesa Ativa;
  • Resolvendo Desafios de CTF;
  • Roadmap para implantação do sistema de gestão de privacidade e proteção de dados no contexto LGPD;
  • Segurança Cibernética: Fundamentos e Estratégias de Defesa;
  • Segurança e Gerenciamento de Risco;
  • Setup 360º Instalação e Configuração do ISSABEL;
  • Setup 360º Instalação e Configuração do Linux CentOS9;
  • Shell Linux Básico;
  • Triagem de Malwares;
  • Volatility3 para Análise de Memória voltado a Identificação de Malware.

Plano Agent

  • Auditoria de TI na prática;
  • Como enriquecer eventos utilizando plugins no MISP;
  • Comunicação Não-Violenta;
  • Cyber Security Essentials;
  • DFIR Starter;
  • Fundamentos de Cibersegurança;
  • Fundamentos de Segurança da Informação;
  • Gestão de Riscos;
  • HTML5 e CSS3 para Iniciantes;
  • Introdução ao Direito;
  • LGPD para Profissionais de Tecnologia;
  • Linkedin Campeão;
  • Mergulhando no submundo online;
  • Mobile Forensics Starter;
  • Oratória e Comunicação;
  • Os perigos da Desinformação
  • Perito Forense Digital;
  • Português Instrumental;
  • Setup 360º Instalação e Configuração do Linux Debian 11;
  • Setup 360º Instalação e Configuração do PFSense;
  • Threat Intelligence Starter;
  • Webinar Profissional Com Obs Studio.