Introdução
Acredito que todos nós recebemos diariamente dezenas de e-mails não solicitados, sendo muitos deles Phishing.
A grande maioria destes Phishings utilizam Trojans para o roubo de informações, principalmente bancárias, incluindo mensagens que não tenham ligação com o assunto, como e-mails que dizem: "Você esta sendo traído... clique aqui para ver as fotos".
Objetivos
Demonstrar uma técnica de análise de artefato baseado em "Dump" de memória, com a finalidade e identificar o destino das informações capturadas pelos Trojans.
Procedimento
01 - Preparando o ambiente
É de extrema importância utilizarmos uma máquina virtual para a execução desta atividade, evitando que nossa máquina real (host) não seja infectada com o Trojan.
Outro detalhe é de não permitir que esta máquina virtual utilize conexão de rede. O ideal é utilizar um dispositivo 3G USB, pois vamos precisar de acesso à internet.
02 - Phishing
Neste caso a mensagem diz para clicar no link para realizar o download do comprovante.
Observamos, na parte inferior do browser, a URL para onde seremos direcionados.
03 - Download do artefato
Neste passo, iremos digitar a URL apresentada no e-mail. Notamos que nenhum site é aberto, apenas a mensagem de download do arquivo.
Salve este arquivo no Desktop.
04 - O artefato
Temos neste caso, um arquivo de extensão ".com" e é necessário que o usuário execute manualmente este arquivo para infectar a máquina.
A maioria dos Antivírus detectam este tipo de arquivo. Para os testes desabilite.
05 - Execução do artefato
Execute o arquivo. Após sua execução é possível identificar uma série de alterações em nosso sistema.
- Criação de uma entrada no MSCONFIG, para a execução automática ao iniciar a máquina.
- Novo arquivo criado em pasta de Profile. Obs: oculto
- Novo processo, mostrando sua execução no sistema.
06 - Dump da memória
Com todas as informações coletadas acima, vamos realizar um Dump da memória utilizando uma ferramenta chamada Winhex.
Abra o Winhex, clique em "Tools / open RAM". Na lista de processos apresentada, encontre o processo em questão. Expanda o processo e clique em "Entire Memory".
07 - Capturando senhas
O dump da memória referente ao processo é apresentado. Clique em localizar e procure por palavras como "senha, pass, password, user, username, sql", etc...
Neste caso, digitei a palavra "Password" para localizar. Após algumas buscas, foi possível localizar as informações de "User ID=usuário do DB", "Password=senha do DB" e "Data Source=caminho do DB".
08 - Acessando os dados
Após conseguir todas as informações referentes ao Banco de Dados SQL, vamos ao que interessa... acessar as tabelas.
Utilizei o SQL Server 2008 para acessar este DB. Apenar crie uma nova conexão, informado os dados acima coletados. Pronto.. temos acesso a todas as tabelas. Agora é só fazer as Query.
Conclusão
Podemos utilizar estas técnicas para coletar evidências relativas a fraude que possam ocorrer dentro das organizações.
É importante citar que para executar esta atividade é necessário ter autorização judicial. Caso contrário o jogo pode inverter, e você, antes vítima, pode passar a ser o acusado. Não entendo muito sobre esta parte jurídica. Se algum puder colaborar, explicando aos colega como funciona eu agradeço.
Para a Parte 2, vou apresentar uma análise de artefato utilizando Engenharia Reversa com as ferramentas OllyDBG, PE-Explorer, PEiD, e outras.
Espero ter colaborado com boas informações!
Abraços!
