. Pesquisadores descrevem ferramenta que manipula RAM, engana os investigadores do cibercrime - Tudo Sobre Tecnologia

Attention Deficit Disorder (ADD) ferramenta de manipulação de memória de computador
Ao visitar o Instituto Nacional de Computação Forense em Birmingham, Alabama, eu aprendi a importância da memória forense para investigações de crimes de computador. Mas, como Jacob Williams, cientista-chefe da CSR-Grupo e criador do DropSmack , assinalou recentemente, é possível manipular as informações armazenadas na memória de um computador para cobrir os próprios rastros e enganar os investigadores.
Durante Shmoocon 2014 , Jake junto com o co-apresentador Alissa Torres , um investigador forense digitais-com Sibertor Forensics, descreveu uma ferramenta conceito que vai obrigar os cientistas forenses a repensar como eles analisam a memória usada em equipamentos de computação.
"No Shmoocon, introduzimos uma ferramenta de prova de conceito que eu especificamente criado para mostrar a facilidade com que os artefatos podem ser falsificadas em uma disciplina específica de computação forense."
Jake, então, explicou o significado de sua descoberta:
"Cientistas forenses digitais não podem mais confiar em suas ferramentas automatizadas quando eles estão investigando artefatos por meio de despejos de memória. Cientistas forenses e investigadores de crime digital terá de passar mais tempo validar os resultados manualmente do que antes."

Entrevista completa

Kassner: Jake, você continua mencionando "despejo de memória" e "artefato", que são eles, e por que eles interessam investigadores forenses?
Williams: Um despejo de memória é um instantâneo de tudo funcionando em um computador.Um analista forense usará ferramentas para analisar através de um despejo de memória em busca de provas ou artefatos de um crime, compromisso, falta do empregado, etc analistas forenses, como despejos de memória, pela mesma razão os autores de malware do alvo fazer: dados criptografados no disco rígido é criptografado para o processamento na memória.Memória também oferece um analista de um espaço de busca muito menor. Se você pensar sobre o seu computador médio hoje, ele pode ter um disco rígido de 1 TB, mas apenas 4 GB de RAM. Um analista iria procurar artefatos como o seguinte:
  • Evidência de sessões de navegação privada, que nunca são gravados em disco
  • Malware que só opera na memória sem nunca tocar o disco
  • Arquivos que não foram salvos
  • As senhas digitadas em formulários e aplicativos
  • As chaves de criptografia para discos criptografados montados
Kassner: Em seguida, eu perguntei Jake se ele iria partilhar um exemplo de onde a memória forense desempenhou um papel importante na resolução de um caso.
Williams: Em um caso em que trabalhei recentemente, uma empresa disse um funcionário do computador-savvy seus serviços não eram mais necessários, mas não chegou a terminar-lo por semanas. Durante esse tempo, o funcionário tentou remover os vestígios de sua atividade ilícita do computador. Ele, então, desafiou a rescisão, alegando que não havia nenhuma evidência de que a empresa alegado. Encontramos evidências, usando memória forense, mostrando que o empregado alterou o computador de uma forma incriminador depois de seu término. Escusado será dizer que ele não se moveu para a frente com seu terno.
Kassner: Agora que sabemos o básico, eu perguntei Jake nos caminhar através de sua ferramenta de conceito: o Transtorno de Déficit de Atenção (DDA). Pelo que eu entendo, Jake encontrou uma maneira de ofuscar o conteúdo de um despejo de memória.
Williams: A ferramenta cria artefatos falsos na memória antes de um despejo de memória é tomada. Eu nomeei a ferramenta Adicionar porque seu uso seria distrair forenses analistas de examinar os artefatos legítimos enquanto perseguir falsificações. Parecia apropriado.
Kassner: Você mencionou que você descobriu vai impactar os cientistas forenses em busca de provas em uma investigação criminal, você poderia explicar?
Williams: ADD permite que um atacante preposição arquivos falsos, conexões de rede e processos na memória. Se o computador for confiscado, e um despejo de memória obtido por um analista forense: os artefatos falsos poderia enviar o analista em uma selvagem busca ganso perseguição para arquivos que não existem. A proposição muito mais assustador é que um invasor pode inserir artefatos falsos que atribuem o ataque a outro grupo ou cibercrime Estado-nação. A mera existência de anti-forense ferramentas como ADD é um alerta de que os analistas precisam validar suas descobertas. Alguns pesquisadores comentou sobre a possibilidade de forjar artefatos em memória a BlackHat em 2007. Mas, tanto quanto sei, ninguém construiu uma ferramenta disponível ao público capaz de fazê-lo até agora.
Kassner: Você acha que essa tecnologia já está em uso, e se assim for, como é que os cientistas forenses sabem?
Williams: É difícil dizer se os bandidos estão usando ferramentas como ADD. Mas se eu tivesse que adivinhar, diria que adversários avançados (grupos de cibercrime e estados-nação, por exemplo) já estão utilizando técnicas semelhantes. Quanto a saber, não vamos ver os artefatos falsos, a menos que especificamente procurá-los. Essa é a real contribuição da ADD-para expor a possibilidade de forjar artefatos de uma forma demonstrável.
Autor:

Sobre 

Michael Kassner Atualmente é gerente de sistemas de uma empresa internacional.Juntamente com seu filho, ele corre MKassner Net, uma pequena consultoria publicação de TI.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo