Octane Labs

Projeto
MUFFIN (Master Unit For Forensics INvestigation) Verso: 0.1

Projeto: MUFFIN
Pgina 1 de 5

Procedimento de Criao de uma Toolkit de Resposta a Incidentes

Objetivo
Criar um toolkit de Resposta a Incidentes que no possua as vulnerabilidades ou fraquezas mapeadas nos toolkits atuais.

Definies
Ingrediente: utilitrios e ferramentas de coleta de informaes volteis. Despensa: coleo de utilitrios e ferramentas homologadas e disponveis para uso. Receita: seleo de utilitrios e ferramentas homologadas e preparadas para coleta automatizada de dados volteis em maquinas.

Usaremos:
Pendrive U3 (boa capacidade) Utilitrios 32-bit e 64-bit o Nirsoft o SysInternals o Dumpers de Memria o MiTeC Comandos e utilitrios CLI (Command Line Interface) dos SOs Ferramenta de CD Burner Linux e Windows Cryptcat Hydan USB Hacksaw/Switchblade

Autor: Tony Rodrigues/Vitor Nakano Elaborado em 14/07/2011

Verso deste Documento: 1.1 Data da Atualizao: 11/08/2011 Alterado por: Vitor Nakano

Octane Labs
Sumrio
1. 2. 3. 4. 5. 6.

Projeto: MUFFIN
Pgina 2 de 5

Procedimento de Criao de uma Toolkit de Resposta a Incidentes

Criar a Despensa ................................................................................................................................... 3 Criando uma Receita ............................................................................................................................ 3 Evitando alteraes nos dados colhidos.............................................................................................. 4 Obfuscando os utilitrios ..................................................................................................................... 4 Gerando o ISO e copiando para o pendrive ........................................................................................ 4 Usando o MUFFIN................................................................................................................................. 5

Autor: Tony Rodrigues/Vitor Nakano Elaborado em 14/07/2011

Verso deste Documento: 1.1 Data da Atualizao: 11/08/2011 Alterado por: Vitor Nakano

Octane Labs
Procedimento para criao do Pendrive MUFFIN

Projeto: MUFFIN
Pgina 3 de 5

Procedimento de Criao de uma Toolkit de Resposta a Incidentes

1. Criar a Despensa Elaborar uma lista de utilitrios e ferramentas destinadas a coleta de informaes volteis em caso de incidentes de segurana; Sugesto: Comece a lista de utilitrios relacionando os utilitrios que compoem as toolkits do HELIX, CAINE, DEFT e COFEE Utilitrio sigcheck.exe Verso 1.71 Plataforma Windows XP com SP2 Compatibilidade XP ou superior Arquitetura 32bit Hash 84455c...

Tabela 1 Lista de utilitrios Incrementar a lista da tabela 1 com outros utilitrios; Separar os utilitrios da lista por arquitetura; Verificar o hash de cada utilitrio contra o hash original informado do site; Homologar os utilitrios para cada verso de Windows/Service Pack/Arquitetura; Sugesto: Caso a toolkit MUFFIN seja destinada a uso corporativo ou em ambientes com variaes de verso de SO determinadas, a homologaco pode restringir-se a apenas os SOs que esto em uso; Sugesto: Assinale os que alteram timestamps, criam temporrios ou outros tipos de alteraes no ambiente. Recomenda-se no us-los ou documentar as alteraes que eles introduzem no ambiente;

2. Criando uma Receita A Receita a automatizao da coleta de informaes volteis, indicando quais ingredientes (utilitrios) sero usados e em que ordem. Preparando a estrutura Criar um diretrio no HD. Ser a base da Receita; Criar subdiretrios para agrupar os ingredientes por: SO / Service Pack 32/64bit Sugesto: Combinar SO (Ex: Todos, WinVistaWin7, ...), j que a maioria dos ingredientes ir executar perfeitamente em todos eles. Apenas alguns poucos tero verses distintas por SO. Colocar apenas os SOs relevantes. Por exemplo, retire o diretrio destinado ao Windows Vista se onde a toolkit ser usada no h essa versao de SO; Dentro de cada diretrio de SO devem estar, em seus respectivos subdiretrios, devidamente homologados:
Autor: Tony Rodrigues/Vitor Nakano Elaborado em 14/07/2011 Verso deste Documento: 1.1 Data da Atualizao: 11/08/2011 Alterado por: Vitor Nakano

Octane Labs

Projeto: MUFFIN
Pgina 4 de 5

Procedimento de Criao de uma Toolkit de Resposta a Incidentes

As ferramentas e suas dependncias; O command e seus utilitrios de apoio; Automatizar a coleta Criar um arquivo batch para automatizar a coleta, tratando a ordem de execuo de cada utilitrio; Sugesto: A ferramenta IRCR2 pode ser usada como modelo; Parmetros podem ser passados pela linha de comando, se necessrio; Um utilitrio ou outro batch deve ser usado para capturar as informaes do SO (verso e SP, por exemplo) e chamar o batch coletor com os parmetros especficos; Sugesto: Redirecionar as sadas dos Ingredientes (utilitrios). Redirecionar tambm as mensagens de erro; Antes de executar em batch cada utilitrio, preferencialmente o hash dele deve ser calculado/validado, a fim de garantir que esteja integro; 3. Evitando alteraes nos dados colhidos Sadas das ferramentas devem ser redirecionadas Para um drive local (pendrive); ou Para um endereo de rede (via cryptcat); Calcular o hash das sadas; O hash vai permitir verificar a integridade dos resultados; O envio pelo Cryptcat possibilitar comunicao segura dos dados para um servidor de coleta; Implementar no batch de automatizao da coleta a escolha do destino para as sadas dos utilitrios; Sugesto: Criar um diretrio nico no destino para as sadas e mensagens de erro dos Ingredientes (utilitrios); 4. Obfuscando os utilitrios Aplicar o Hydan a cada executvel dos utilitrios dispostos na estrutura criada; Sugesto: Utilizar strings aleatrias como chave para cada utilitrio; No vlido para utilitrios 64-bit; Recalcular o hash de cada utilitrio, indicando os novos resultados no batch de automao de coleta, para verificao de integridade antes de serem executados; 5. Gerando o ISO e copiando para o pendrive Gerando o .ISO Criar um arquivo autorun.inf que execute o batch de coleta; Colocar o autorun.inf na raiz do da estrutura do MUFFIN; Colocar o batch de coleta tambm na raiz da estrutura do MUFFIN; O contedo deve ser preparado em um CD burner
Autor: Tony Rodrigues/Vitor Nakano Elaborado em 14/07/2011 Verso deste Documento: 1.1 Data da Atualizao: 11/08/2011 Alterado por: Vitor Nakano

Octane Labs

Projeto: MUFFIN
Pgina 5 de 5

Procedimento de Criao de uma Toolkit de Resposta a Incidentes

Criar um arquivo no formato .iso Selecionar o tamanho (CD ou DVD) que mais se adequar ao tamanho total da estrutura; Levando o .ISO para um pendrive U3 Gravar o .ISO no pendrive usando LPInstaller para U3 Sandisk; Ou, U3_Tool para U3 Sandisk ou Verbatim; Ou, Descubra o utilitrio de upgrade de .ISO especfico do modelo de U3 em uso; Ao trmino da operao de instalao do .ISO no pendrive U3, o pendrive MUFFIN estar pronto para uso. 6. Usando o MUFFIN Conecte o pendrive MUFFIN USB do computador-alvo da coleta de dados volteis; Ao ser reconhecido, o pendrive vai dar origem dois drives/parties na mquina: Um CDROM (CDFS, somente escrita) e uma como um pendrive comum (permite leitura e escrita); O batch dever executar automaticamente; Se o batch no executar imediatamente pelo autorun, force a sua execuo; O batch vai perguntar o destino para os dados coletados; Se o destino for um drive local, informe a path para a partio de leitura e escrita do pendrive U3 Se o destino for um local de rede, informe o IP e a porta da mquina de destino. Informe tambm a password que ser utilizada na sesso; Nesse caso, o listener do Cryptcat precisa ser iniciado na mquina destino; Ao final da execuo do batch de coleta, retire o pendrive e analise as informaes coletadas.

Autor: Tony Rodrigues/Vitor Nakano Elaborado em 14/07/2011

Verso deste Documento: 1.1 Data da Atualizao: 11/08/2011 Alterado por: Vitor Nakano