Área do Aluno
Área do Aluno

PROCESSO DE DUMP DE MEMÓRIA RAM COM CYBER TRIAGE

Registro acerca do processo de dump de memória ram com a utilização do software Cyber Triage, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital

 

Orientador (a): Renan Cavalheiro

 

RIO DE JANEIRO – RJ

2021

RESUMO

 

Este trabalho apresenta de forma introdutória a elucidação de utilização da ferramenta Cyber Triage na identificação de uma máquina que tenha sido comprometida com um malware, analisando o dump de memória ilustrando o processo de verificação com o software.

 

Sumário

RESUMO 2

Objetivo 4

JUSTIFICATIVA 4

AFD Tech: Como Subir Uma Máquina Virtual com o FTK Imager 5

1 – ftk imager: Processo de Preparo Erro! Indicador não definido.

2 – Subindo a Imagem Erro! Indicador não definido.

1 Bibliografia 15

Glossário 16

Objetivo

 

Dissertar de maneira introdutória sobre uma das metodologias utilizadas no processamento do dump de memória através do Cyber Triage para apresentar o processo de identificação de uma máquina que pode ter sido comprometida com um malware.

 

JUSTIFICATIVA

 

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

 

AFD Tech: Processamento do Dump de Memória com Cyber Triage

 

Existem diversas maneiras de realizar o processamento de um dump de memória, desde a escolha de softwares para a realização da aquisição, até os softwares de análise. 

 

  1. Realizando o Dump de Memória

Utilizando então o software Magnet RAM Capture, a partir de um dispositivo externo, vamos conectar o dispositivo ao computador ao qual querermos o dump e iniciaremos a ferramenta.

Figura 1 – Magnet Dump

 magnet dump

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Basta apontar o diretório para armazenamento do dump de memória, que neste caso, é o armazenamento endereçado como “E:\” e o nosso arquivo de dump receberá o nome de “dumpLab.raw”. Os arquivos de dump geralmente terão a extensão “raw”, dd ou similares, por se tratarem de arquivos de armazenamento puros ele conterá literalmente, os dados que estavam na memória no momento do dump.

 

Ao fim do processo, é exibida uma mensagem de conclusão. Durante o processo, esta janela apresenta uma numeração de indicação de progresso da operação no canto inferior direito.

Figura 2  – Magnet Dump final

Magnet Dump Final

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Vale ressaltar que em um cenário de coleta, é necessário tirar o hash do dump, uma vez que esta ferramenta não apresenta essa funcionalidade nativamente. 

 

Processamento do Dump com Cyber Triage

 

Para realizar o processamento do dump de memória, realize a cópia dele para a estação de trabalho/análise, onde encontra-se também o Cyber Triage. Utilizaremos a versão Lite, pois ela atente todos os requisitos necessários para a demonstração do processo.

 

Com o dump então já na máquina ao qual realizaremos o processamento do mesmo, abra o Cyber Triage e inicie uma nova sessão em “New Session”.

Figura 3 – Cyber Triage

cyber triage

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Informaremos também, que se trata de um Dump de Memória em “Memory Image

Figura 4 – Cyber Triage Memory Image

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Nesta próxima janela, observe os campos de:

 

  • Host Name: Deve, de preferência, conter o nome do host ao qual se realizou a aquisição.
  • Souce File: Diretório onde encontra-se o Dump de Memória.
  • Volatility Profile: Build/Versão do Sistema Operacional.

O Cyber Triage assim como outras ferramentas, a identificação de profiles com base no Volatility. Deixando a opção “AutoDetect” o Cyber Triage vai realizar a identificação para descobrir qual é a versão/build do sistema ao qual o dump pertence.

Clicando em “Continue”, será apresentada a próxima tela, com a qual para este cenário, manteremos como padrão. Porém existem opções que podem ser selecionadas para uma análise mais completa caso seja necessário em outro cenário.

Figura 5 – Cyber Triage Memory Image Options

cyber triage memory

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

A partir deste momento, o processo já foi iniciado. Porém, é necessário aguardar alguns instantes para que o Cyber Triage possa preparar todos os parâmetros que serão utilizados, de acordo com as opções marcadas anteriormente.

Figura 6 – Cyber Triage Memory Image Process_01

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

O Cyber Triage apresentará uma nova tela com algumas informações, porém o processamento ainda estará em andamento. É necessário aguardar o fim do processo, porém cada descoberta já pode ser visualizada.

Figura 7 – Cyber Triage Memory Process_02

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

À esquerda, é possível observar algumas opções que, uma vez que o dump está sendo processado, podem ser visualizadas de forma isolada, na direita.

Figura 8 – Cyber Triage Memory Process_03

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

Algumas das informações possíveis de serem encontradas são:

  • Informações de Login e Contas
  • Informações de Conexões
  • Informações sobre páginas web
  • Programas/Processos em Execução
  • Conexões Ativas, Portas, entre outras.

 

Quando se está buscando encontrar um comportamento suspeito através da memória existem diversas possibilidades. Podemos começar buscando por processos que tenham algo de suspeito na sua execução.

Figura 9 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Indo para a aba “Processes podemos observar que o processo bin?rio.exe, que possui o PPID 3036, que pertence ao PID do “Exporer.exe” , foi executado no Desktop. Porém isto somente não é o suficiente para condenar o executável como um arquivo malicioso.

 

Observando a área de “Active Connections” vemos que este binário possui uma conexão de saída, na porta 4444, com o IP 144.126.133.115. Este é um comportamento anormal para um executável que se inicia na área de trabalho. Caso estivesse em outro diretório, existem outros pontos a se observar. 

Figura 10 – Cyber Triage Memory Process_04

Fonte: https://www.youtube.com/watch?v=JSyKOExtRNk

 

Para fins didáticos, sabemos que esse é o malware utilizado para que esse cenário fosse criado. Aplicando o mesmo raciocínio, é possível realizar a análise do dump de memória de forma mais aprofundada afim de levantar outras informações como seu comportamento e persistência no sistema.

Desta forma, concluímos nesta etapa a apresentação do processo do processamento do dump de memória através do Cyber Triage.

 

Conclusão

 

O Cyber Triage é capaz de realizar a identificação de uma máquina infectada através da análise do dump de memória previamente coletado por outro software. Funcionando como umas das ferramentas no auxilio investigativo fornecendo subsídios necessários para uma análise mais aprofundada caso necessário.

Bibliografia

1. ACADEMIA DE FORENSE DIGITAL. Como processar dump de Memória RAM com Cyber Triage? (Passo a Passo)
Disponivel em: <https://www.youtube.com/watch?v=JSyKOExtRNk>.
Acesso em: 2021.

 

Glossário

Para a compreensão do texto, é importante apresentar uma relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, acompanhadas das respectivas definições.

 

 

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement

logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2023. Todos os direitos reservados