O documento discute como se tornar um analista de logs, fornecendo dicas sobre experiência, conhecimento e pesquisa. Recomenda-se estudar sistemas operacionais, segurança da informação e especificamente entender seções comuns em logs como arquivos criados/modificados, drivers e processos em execução. A análise de logs requer identificar arquivos suspeitos e pesquisar online sobre eles antes de tomar qualquer ação.
O documento discute como se tornar um analista de logs, fornecendo dicas sobre experiência, conhecimento e pesquisa. Recomenda-se estudar sistemas operacionais, segurança da informação e especificamente entender seções comuns em logs como arquivos criados/modificados, drivers e processos em execução. A análise de logs requer identificar arquivos suspeitos e pesquisar online sobre eles antes de tomar qualquer ação.
O documento discute como se tornar um analista de logs, fornecendo dicas sobre experiência, conhecimento e pesquisa. Recomenda-se estudar sistemas operacionais, segurança da informação e especificamente entender seções comuns em logs como arquivos criados/modificados, drivers e processos em execução. A análise de logs requer identificar arquivos suspeitos e pesquisar online sobre eles antes de tomar qualquer ação.
O documento discute como se tornar um analista de logs, fornecendo dicas sobre experiência, conhecimento e pesquisa. Recomenda-se estudar sistemas operacionais, segurança da informação e especificamente entender seções comuns em logs como arquivos criados/modificados, drivers e processos em execução. A análise de logs requer identificar arquivos suspeitos e pesquisar online sobre eles antes de tomar qualquer ação.
Baixe no formato DOC, PDF, TXT ou leia online no Scribd
Fazer download em doc, pdf ou txt
Você está na página 1de 24
Pgina 1 de 24
Torne-se um analista de logs hoje
Segurana: discusses, dvidas etc 1. Torne-se um DJ usando linux 2. Torne-se tecnico em informtica por telefone desde sua casa 3. Torne-se IBM Certified Mais resultados? Use nossa pesquisa. Pgina 1 de 9 1 2 3 6 18-03-2012 por swampedman Torne-se um analista de logs hoje Ol pessoal Bom, h bastante tempo pensava em criar um tpico como este e nunca tinha tempo para escrever tudo de uma vez, por isso fui escrevendo aos poucos por se tratar de um assunto tanto quanto delicado, ao meu ver. Acredito que saber analisar um log e ter cincia do que est presente em seu computador um detalhe trivial que, na minha opinio, deveria ser do interesse de todo internauta e tratado com mais transparncia na web, e no com a burocracia imposta em inmeros fruns. Afinal, a cada minuto praticamente novos malwares so criados -- um mais sofisticado que o outro -- e saber como lidar com estas pragas algo importantssimo. Contudo, um dos meios mais simples para isto, creio eu, que seja uma anlise de log. Por qu? Sabendo interpretar um log, voc saber onde a contaminao est e possivelmente evitar que ela espalhe no sistema. Sim, antivirus, firewalls e qualquer outro 'utensilho' que possua a capacidade de defender o computador de pragas virtuais so instrumentos EXTREMAMENTE importantes, porm, todos sabem que estes programas no so 100% efetivos, sobretudo, quando o PC est infectado o desespero bate a porta de muitos, e a impacincia em identificar/remover a ameaa o mais rpido torna-se natural. Pgina 2 de 24 No intuito de auxiliar queles que pretendem se especializar em tal atividade e no sabem como comear ou estiverem com dificuldades, gostaria de fazer deste tpico um espao para dvidas, sugestes, dicas, discusses (pacficas, por favor), troca de experincias sobre anlises de logs, utilizao de ferramentas, procedimentos adequados e etc. Caso voc tenha alguma dvida sobre um log qualquer, sobre alguma ameaa, indeciso e etc, poste aqui! Nota Importante: Este tpico no destinado a pedidos de anlises, somente dvidas, partilha de conhecimentos e dicas! Se voc" est com pro#lemas em seu $% e deseja &ue os amigos analistas 'aam uma vistoria em seu log, poste nesta rea. Abaixo deixo alguns fatores interessantes que me ajudaram muito quando comecei e tenho por mim que possa ser til a todos. peo que compartilhem seus conhecimentos tambm, ou dvidas, sintam-se em casa! Experincia , este um ponto essencial para quem gosta da rea tcnica da informtica. Querendo ou no, o tempo de experincia de um usurio conta muito em qualquer situao, no somente na tecnologia, claro. Entretanto, muitos chegam a desistir de seus propsitos pois julgam-se incapazes de adquirir o conhecimento de uma pessoa experiente, e esse o primeiro erro. Experincia requer tempo e tempo requer estudo. Tudo depende somente de voc, no se menospreze. Particularmente defino o termo experincia com quatro palavras: interesse, estudo, dedicao e prtica. Se voc no gosta de mexer com determinada rea e no est disposto a aprender, faa um bem para a humanidade e caia fora dessa! Agora se voc quer realmente aumentar seu conhecimento, maravilha! Conhecimento Pgina 3 de 24 No se engane, saber analisar um log no exige conhecimentos apenas em segurana. Entender o significado de termos tcnicos da informtica (em geral), saber trabalhar com os diferentes tipos de sistemas operacionais (especialmente o Windows pois estamos tratando de anlises de logs), manusear suas funes, conhecer seus arquivos e seus termos tcnicos, explorar seus recursos e etc, so fatores de suma importncia nesta tarefa, seno os maiores. No conhecer o ambiente cujo encontra-se prejudicado so dez pontos a mais para o malware. No Windows muitos malwares afetam reas delicadas como o registro, a MBR, o kernel, dependendo do tipo, contaminam arquivos legtimos e retardam as funes e o andamento. Portanto, preciso conhecer bem estas reas para saber o que deve e no deve ser feito l. Nunca aja por impulso ou achismo! Porm, no preciso dizer que um conhecimento aguado sobre segurana da informao o detalhe "chave" nessa questo, n? Calma, calma... no estou dizendo que voc precisa ter um diploma superior ou ser um professor da Harvard para entender os conceitos dessa matria. Pesquise, pergunte, leia, explore conhecimentos/experincias alheias -- pois eles so os que mais iro lhe ajudar nessa estrada. No tenha vergonha de perguntar porque a nica pessoa que vai sair perdendo voc. Se curtir do assunto e quiser fazer um curso superior futuramente, da com voc. Antes de qualquer coisa, lembre-se que voc estar manipulando dados sensveis de sua pessoa ou, principalmente, de outras (o que aumenta cem vezes mais a sua responsabilidade). Todavia, logicamente, no pense que voc precisa saber tudo de tudo ou deve ser isento de falhas, porque simplesmente no existe ser humano capaz disso. Computador um mundo! Pgina 4 de 24 Estude, Pesquise e Pergunte Pessoal, sejamos realistas, analisar um log no bicho de sete cabeas. Programao uma rea muito mais complexa, por exemplo. Falando a grosso modo, analisar um log nada mais do que verificar se um arquivo legtimo (seja de um programa, jogo, sistema) ou malicioso, em cada uma das entradas. Foque-se inicialmente na localizao de cada arquivo, seus nomes e suas extenses. Esquea, por ora, da parte adicional dos logs. Copie o nome ou a localizao completa do arquivo e jogue no Google. Observe a descrio que os resultados lhe daro, leia vrias opinies distintas antes de agir. D preferncia para sites especializados como Bleeping Computer, ProcessLibrary e ThreatExpert. No entanto, ainda assim muito cuidado, pois estes sites tambm podem fornecer informaes incorretas. Se voc achou no Google um caso parecido com o que est enfrentando e o mesmo foi bem resolvido, voc pode t-lo como um guia ou uma referncia. Mas lembre-se que cada caso um caso. Se ferramentas especficas e preparos de scripts foram publicados no caso encontrado, no copie-o! Estude e pesquise bastante os processos, nomes de arquivos, suas localizaes corretas, o que fazem, para que servem, enfim... aquela famosa decorba clssica para voc ir se familiarizando com os danados. Perguntem sempre que houver dvidas, no sintam-se acanhados em no saber do que se trata algo. Algum pode tirar sua dvida em menos de minutos. Se ainda assim houverem suspeitas sob o arquivo, submeta-o ao VirusTotal. Est craque nos processos, arquivos e tudo mais? hora de trabalhar nos detalhes adicionais do log. Mas o que seriam estes detalhes? So as sees correspondentes a cada parte do log, aquelas informaes complementares que so impressas juntamente com as entradas para deixar o analista ambientado. No entanto, veja bem, cada log Pgina 5 de 24 contm um tipo de detalhe adicional diferente. Darei um exemplo tendo como base um log do OTL. Citao: Ao gerar um log do OTL, no meio daquelas incontveis informaes, voc enxergar sees como: a - Files/Folders - Created Within 30 Days b - Files - Modified Within 30 Days c - Driver Services (SafeList) d - Win32 Services (SafeList) e - Processes (SafeList) f - Chrome, Firefox, Internet Explorer g - [2012/03/10 09:41:41 | 000,001,894 | ---- | M] [ ---HDRS--- ] h - LOP Check Explicao a - Lista os arquivos e pastas criados nos ltimos 30 dias. O nmero de dias pode ser alterado diretamente na interface do OTL b - Lista os arquivos e pastas modificados nos ltimos 30 dias. No confunda com os arquivos criados, pois estes j existiam e foram modificadas por algum motivo c - Lista os arquivos responsveis pelos dispositivos e drivers dos programas, como drivers de som, rede, grfico e etc d - Lista os servios presentes no Windows, mais especificamente no services.msc e - Lista os arquivos carregados na memria (Gerenciador de Tarefas) na hora em que o relatrio foi gerado f - Listam os componentes instalados em cada um dos browsers, seja extenses, plugins, toolbars, barras de busca, home page, configuraes proxy, etc g - Data em que o arquivo foi criado/modificado (depende da seo) || hora que o arquivo foi criado/modificado || tamanho do arquivo em bytes || a letra Msignifica Modified (modificado), se no lugar de M houver a letra C significar Created (Criado) | a letra significa Hidden (Oculto), a ! significa Directory(Diretrio/Pasta), a " significa Readonly (Somente Leitura) e a # significa System (arquivo do sistema) h - Lista o diretrio onde o malware Lop.com costuma residir: C:\Users\[nome de usuario]\AppData\"oaming. No QUOTE mencionei apenas alguns exemplos que, na prtica, so as sees mais comuns. Porm, no log podem haver outras sees. Para muitos, estes detalhes podem confundir um pouco. Mas, na verdade, eles no servem para nada, seno ajudar o analista a saber qual rea do log ele est analisando e eventualmente at ajudar na hora de preparar um script, talvez. Entenda estes detalhes como se fossem uma espcie de bssola. Como assim swampedman? Imagine se no houvesse a diviso de sees no log, todas as entradas juntas em um s lugar, arquivos de diferentes finalidades Pgina 6 de 24 juntos, drivers, plugins e toolbars todos reunidos um sobre o outro... Seria uma "vitamina" bagunada, composta de ingredientes vitais sade do micro + ingredientes letais ao PC. Isso sim, iria confundir totalmente e levar o analista a cometer erros desnecessrios. fato que poucos desenvolvedores disponibilizam tutoriais pblicos de como utilizar suas ferramentas, com raras exceo de autores como Old Timer (OTL) e jpshortstuff (SystemLook) que disponibilizam na ntegra uma documentao de suas principais ferramentas -- as quais podem ser conferidas aqui e aqui. A maioria dos desenvolvedores consideram estes materiais altamente "inflamveis" nas mos erradas e, honestamente, em certas ocasies eles tm razo. Todavia, acredite, dificilmente as partes adicionais dos logs sero fundamentais para a remoo dos arquivos, a no ser servir como ponto de referncia para o analista e ajudar a preparar um script, como j mencionei. Dvidas em alguma seo adicional? Indague no tpico, afinal, a inteno do mesmo esclarec-las. $s Ma%&ares Este um assunto que voc !E'E saber. Pesquise sobre os diversos tipos de malwares, os sintomas que cada classe estimula no sistema, suas consequncias e mtodos corretos de deteco/remoo. Alm disso, saiba diferenci-los uns dos outros. Citando os mais populares temos: Citao: Adware Spyware Trojan Horse ou Cavalo de Tria Worm Backdoor Rootkit Bootkit Scareware ou Rogue Pgina 7 de 24 Banker Ransomware File Infector ou Vrus Polimrfico Keylogger Cada um deles provoca uma reao caracterstica no sistema. Tenha em mente que, durante uma anlise, saber com o que voc est lidando no log um fator culminante. Exemplo de alguns deles: - Adwares normalmente instigam a abertura abusiva de pop-ups, instalam toolbars e searches nos browsers; - Bankers, que so designados a roubar dados pessoais, podem adicionar endereos IP's de bancos no HOSTS e configurar proxies maliciosos nos browsers (principalmente no IE); - Rogues podem instalaar softwares (geralmente de segurana) fraudulentos na mquina e emitir mensagens solicitando a compra de tais programas. (esta pgina enesta voc confere atualizaes frequentes de novos rogues diariamente; Ressalto ainda que malwares no atuam padronizadamente, isto , mesmo que o sintoma principal de tal malware seja causar "x" anomalias, ele pode perfeitamente causar "y" anomalias no sistema. Portanto, como dizia a msica do Engenheiros do Hawaii: olho vivo e faro fino! Nunca subestime-os, ou, superestime-se. Em especial, estude sobre os rootkits. So malwares comuns hoje em dia e de difcil remoo, o caso do ZeroAcess e TDSS/TDL2. Muitos logs no mostram entradas relacionadas a rootkits. Por isso, torna-se coerente efetuar uma anlise anti-rootkit especfica no computador, inclusive, fruns especializados j solicitam um log do OTL + GMER para adiantar o processo. Estude logs de ferramentas como TDSSKiller, RootRepeal e GMER. Agora, jamais hesite em aconselhar o usurio a formatar a mquina em circunstncias drsticas. Dependendo do caso, o malware deixa o sistema absolutamente instvel e Pgina 8 de 24 danifica-o inteiro ou parcialmente. Neste caso, formatao a melhor e mais segura opo. #cripts to Prepare Curiosamente, observo que o que mais desperta interesse entre analistas novatos a famosa e poderosa criao de scripts. Resumidamente, so linhas de comando que executam uma tarefa pr-definida pelo usurio. Os scripts podem ser validados por intermdio de ferramentas autorizadas ou criados a partir do Bloco de Notas mesmo (no caso, o .BAT). bvio que para criar um .BAT voc deve ter um conhecimento, no mnimo, intermedirio de Windows -- teoricamente nos comandos do prompt. J para os scripts executados atravs de ferramentas autorizadas voc precisa conhecer bem a ferramenta em questo e como preparar estes fixes. No preciso salientar que a criao de scripts expressamente recomendada a usurios com uma certa experincia. Mas, ei, take it easy my friend! Se depender de mim, voc chegar l rapidinho. No h necessidade de grupos de estudos, como os oferecidos em determinados fruns, ou escolas tcnicas para isso. s uma questo de ateno e prtica. OBS: Usufrue sempre de uma mquina virtual para treinar e fazer testes. Selecionando por popularidade, as ferramentas que fornecem um mtodo de correo via script so: ComboFix (CFScript.txt), OTL, OTM, OTS e Avenger. Com exceo da OTL e OTM, cada ferramenta suporta uma sintaxe distinta em seu script. O que uma sintaxe? Nos scripts, a sintaxe o "crebro" da linha de comando, isto , a ferramenta executar uma ao sob as entradas baseado no que foi definido na sintaxe. Exemplos: Pgina 9 de 24 Citao: Files to delete: )#*(+,-E. C:\WINDOWS\malware.exe )E(+",!,. Driver:: )#*(+,-E. malware )E(+",!,. P.S.: A sintaxe tem de ser colocada sempre antes da entrada e nunca se esquea de que elas so parcialmente sensitives, por isso, atente-se na pontuao e nos nomes. Antes de preparar qualquer script, voc deve ter a absoluta certeza de que as entradas que sero corrigidas so 100% maliciosas e/ou totalmente invlidas. E aps prepar-lo, revise-o vrias vezes para ver se no h nenhum caractere ou entrada errados. Um equvoco sequer pode levar a ilaes absurdas, desde um sistema inoperante at um comprometimento total do SO. Portanto, a ateno na hora de criar um script deve ser triplicada. Ciente destes adendos, sigamos em frente... Para facilitar o estudo de vocs, separei as sintaxes principais das ferramentas comentadas anteriormente. Link das sintaxes. Vocs ainda podem conferir a explicao de cada sintaxe nos artigos abaixo: OTM e OTL ComboFix Avenger (tutorial oficial feito pelo desenvolvedor, em ingls) Dados necessrios para a criao de um script 1/ *denti0icar a entrada ma%iciosa 2/ Caminho comp%eto para se chegar a in0eco 1entrada2 3/ !e0inir a sintaxe apropriada para a correo da entrada 3/ 4untar tudo e executar o script Aplicando na prtica Para deixar este post mais didtico, e treinar os mais entusiasmados, resolvi preparar um singelo exerccio Pgina 10 de 24 bsico. S para usar como demonstrao, peguei uma parte do log do OTL. Se quiser fazer o exerccio, segue os links. OBS: No olhe o resultado agora. Faa o exerccio primeiro e depois confira se acertou. Exerccio Resultado Se voc acertou tudo, parabns! Se no acertou, no fique chateado e tampouco desanime. Pratique sempre. 5erramentas Existe um arsenal de ferramentas para vrios tipos de contaminaes ao alcance de todos. Especialmente temos a nossa inteira disposio o Malwarebytes, Kaspersky Removal Tool, Rescue Disk's e Scanners Online que so acessrios excelentes e no requerem conhecimento avanado para manuse-los. Por outro lado, grande parte dos usurios no sabem quando usar uma, quando usar outra, e acabam que indicando qualquer uma. Tome nota de que existem as ferramentas que combatem malwares estritamente especficos e aquelas que lidam com qualquer tipo de infeco. As que trabalham com qualquer infeco so as mais conhecidas, dentre elas, ComboFix, MBAM e Removal Tool. As demais so menos populares e exigem que o user tenha conhecimento de causa, isto , saiba a exata infeco para indic-las. Contudo, MBAM e ComboFix so programas indubitavelmente versteis, destarte, eles conseguem detectar uma quantidade estupenda de malwares. Ento, caso no consiga identificar o tipo da ameaa que est no log, eles podem ser sugeridos. S tome cuidado com o ComboFix, pois um aplicativo brutalmente poderoso e Pgina 11 de 24 avanado. Outro detalhe importante: sempre que for analisar um log, solicite logs mais completos como os do RSIT, DDS, OTL ou OTS (se voc souber). Eles exibem entradas cruciais que o HijackThis no mostra. Abaixo esto algumas outras opes igualmente boas. $+, => Automatiza a criao de scripts com o OTS e Avenger. Muito til para quem no consegue criar um script no OTS. 6oored5ix => Lida com o malware goored e outras infeces capazes de provocar redirecionamentos imprevisveis nos navegadores. 5## ou 5ar7ar #er8ice #canner => Excelente aplicativo que gera um relatrio completo dos arquivos, valores do registro e servios responsveis pela conexo da Internet, aps a conexo ser prejudicada por algum malware. $+ => Mais uma bela ferramenta do Old Timer, auxiliar a OTL, que pode finalizar todos os processos ativos na memria e rodar um scan com o OTL. osts-pert => Limpa e reseta o arquivo HOSTS do Windows. Utilizado para remover endereos maliciosos do HOSTS => entradas O1 do HijackThis e OTL. 9P!iag => Efetua um diagnstico completssimo no sistema e gera um log. Seu relatrio chega a ser at mais preciso que o do OTL e OTS, por exemplo => Tutorial oficial (em francs). ,d&C%eaner => Remove adwares (toolbars, searches, home pages, pastas, valores de registro e tudo mais associado ao adware). +oo%7ar#hooter => Tambm remove toolbars maliciosos (como o AdwCleaner) => changelog ToolbarShooter. Pgina 12 de 24 (orman Ma%&are C%eaner => Ferramenta excelente que lida com inmeros tipos de ameaas. :an;er5ix => Identifica e remove uma grande quantidade de trojans bankers => changelog BankerFix !r.<e7 Cure*t => Mais um extraordinrio programa na caa de malwares e vrus de diferentes gneros. =#:5ix => Na minha opinio, trata-se do melhor aplicativo para a limpeza de dispositivos mveis e PCs infectados por worms provenientes destes dispositivos. 5ind>?i%% ou 5>? => Detecta e remove o malware Bagle, alm de restaurar as funcionalidades do Windows desativados pelo malware, como modo de segurana e a exibio arquivos ocultos => changelog FindyKill, tutorial em francs e alguns dos arquivos criados pelo Bagle. "egistr> #earch => Facilita a procura de chaves e valores especficos no Registro (Regedit). +5C => Muito recomendada para efetuar uma limpeza no PC aps uma remoo de malwares. itmanPro => Programa que realiza um diagnstico on- demand no sistema para encontrar ameaas desconhecidas e/ou vulnerabilidades, mas para remover as infeces somente comprando a soluo. *nherit => Ferramenta criada por sUBs (autor do ComboFix) que tenta forar a execuo de aplicativos que os malwares esto impedindo ou danificaram. "ogue?i%%er => Remove uma quantidade grande de softwares rogues => changelog RogueKiller e tutorial oficial (em ingls). !e8!iag => Lista todos os dispositivos e drivers da mquina (podendo encontrar drivers maliciosos) e identifica Pgina 13 de 24 problemas neles (chegando ser til no dia-a-dia mesmo). <C32 => Tenta desinfectar ficheiros do tipo htm, .html, .php, .doc, .asp, .pdf contaminados pelo file infector Virut sem danific-los. #ecurit>Chec; => Verifica se h mdulos de proteo instalados no PC (antivirus, firewall, anti-spyware, etc) e se esto ativos, se o Service Pack , Java, IE e Adobe esto atualizados. tima ferramenta para averiguar se o sistema est atualizado ou se h falhas de segurana. 6a7?i%%er => Identifica uma variedade boa de ameaas, em especial dialers e adwares. (a8i%og1 => Remove variantes do rogue NaviPromo => changelog Navilog1. Cacao"emo8er => Elimina o add-on Cacaoweb instalado no Firefox que, por vrias razes, considerado um objeto suspeito. ";i%% => Programa que tenta encerrar processos maliciosos conhecidos para que a ferramenta de segurana rode sem problemas => Instrues de uso oficial. =nhide => Restaura as configuraes de pastas e do registro modificados pelo rogue FakeHDD (fraudulenta soluo que se passa por um software de reparao) =>tutorial oficial. M:"Chec; => Verifica a integridade da MBR do sistema que pode estar comprometida por bootkits, como Whistler/Black Internet. as&M:" => Poderosa ferramenta que realiza um scan profundo na MBR a procura de bootkits que possivelmente possa ter contaminado-a. M:"#can => Tambm verifica a MBR em busca de ameaas . Pgina 14 de 24 M:" "epair => Repara uma MBR que pode ter sido prejudicada por um bootkit. @op#!2 => Remove o malware Lop.com, embora no seja uma infeco to comum atualmente. ,($+: => Muito til para comparar dois logs e exibir as modificaes existentes no ltimo log. "app,nti8ir => Obtm o relatrio de deteco/remoo de scan do Avira Antivir. Funciona somente em PCs com esse antivirus instalado, lgico. Com o tempo adicionarei outras ferramentas nessa lista. ,teno na !escrio Toda vez que um usurio posta um log para ser analisado, comumente ele acrescenta uma breve (ou completa) descrio de seu problema. No passe batido nisso pois voc pode identificar a causa do problema ali mesmo. Leia com calma, pesquise para ver se h caso semelhante, faa um reconhecimento de campo. Nada melhor do que iniciar o auxlio tendo ideia de possveis correes. @eitura e Prtica Leia freneticamente. Sempre acompanhe notcias, matrias, artigos, tutoriais e tudo mais relacionado segurana em sites especializados. Para maior comodidade assine os feeds RSS desses sites. Esteja ciente de novas ameaas, novas tcnicas, novos produtos, novos meios de remoo/deteco, reviews e etc. Atente-se em cada detalhizinho, por menor que seja. Isso vai lhe ajudar muito em todos os sentidos. OBS: Vou reunir os sites dos quais eu assino os feeds e Pgina 15 de 24 acrescentarei ao tpico mais tarde, para quem estiver interessado! Mas, principalmente, pratique. Use a mquina virtual a seu favor, infecte-a, instale um monte de coisas, mexa no Windows e, por final, gere um log. Observe cada linhazinha do log e tente interpretar. Tome uma xcara de caf, belisque uns petiscos, coloque um CD do Dream Theater (Six Degrees uma boa pedida ) e, finalmente, identifique a infeco no meio dos diversos arquivos e entradas. O comeo sempre chato e exaustivo, todos passamos por esse processo, normal. Mas com o tempo voc se acostuma. !i0erena entre os sistemas Como ponto de curiosidade e sabedoria abrangente, experimente encontrar um log de diferentes verses do Windows, como 98, 2000, 2003 Server, 2008 Server, XP, Vista e 7 (x86 e x64), por exemplo. Voc perceber que os arquivos, as localizaes e as demais informaes sero distintas umas das outras. Os logs do Vista e do 7 so bem semelhantes. Mas, se tiver oportunidade, veja um log do Win 2003. Para quem est mais familiarizado com 7 e XP, vai estranhar bastante. interessante conhecer os outros sistemas, embora no existam tantos casos relacionados a estes SOs. , an%ise em si Para fazer um grand finale do post, deixo abaixo oito dicas complementares. 12 Descarte sempre analisadores automatizados, como o do Hijackthis.de. Primeiro por se tratar de um sistema genrico que se baseia em votos de qualquer indivduo. Segundo por lhe fazer tomar um vcio, e uma vez viciado Pgina 16 de 24 nesta anlise robotizada, dificilmente voc ter sucesso em realizar uma anlise humana futuramente e se tornar um analista de verdade. Terceiro por ser um servio nada recomendvel por especialistas da rea, alis, nem mesmo o autor original do HijackThis, Merijn Bellekom, consentiu ou aconselhou/aconselha o uso deste aplicativo -- palavras do prprio neste post. 22 Analise cada entrada do log com cautela. Leia uma por uma, v anotando as mais suspeitas, mas no ignore as demais, afinal, as aparncias enganam. Se est em dvidas, diga ao usurio que envie o arquivo ao VirusTotal. Soluo mais segura no h. 32 Errar humano. Experiente tambm erra (alguns inclusive intitulam-se como "The Best" por conta prpria e possuem o pssimo hbito de no reconhecerem seus erros). Porm, no quesito "anlise de log", o erro normalmente resultado da desateno e do descuido do analista. Claro, sistema operacional um ambiente totalmente imprevisvel, ento, mesmo que voc no tenha errado em nada esteja sempre preparado por possveis sequelas e resultados inesperados. 32 Tire suas dvidas antes de tirar concluses precipitadas. Fruns sempre tm membros que manjam do assunto. Sim, alguns deles (de mau com a vida) no compartilham seus conhecimentos; outros, por sua vez, criticam quem compartilha. Mas no existem s eles, ignore-os. Sobretudo, como coloquei no comeo do post, este tpico foi feito para esclarecer dvidas referentes ao assunto discutido aqui mesmo. A2 Acompanhe anlises de logs em outros fruns. Confesso que uma das coisas que mais me ajudou nas anlises foi acompanhar outros casos em fruns gringos (especialmente franceses e americanos). Aprendi muito vendo aqueles Jackie-Chans-Gringos analisarem logs. Os caras so feras. Voc acaba por descobrir novas ferramentas, novos procedimentos e, acima de tudo, aprender com pessoas que entendem muito do assunto. Pgina 17 de 24 Contudo, no acompanhe somente anlises de logs, passeie nos setores de notcias e dicas do frum para descobrir novos horizontes. Cadastre-se nos fruns especializados e tire suas dvidas l tambm. B2 Ingls primordial. Pessoal, o ingls a lngua-me da Internet. Praticamente todos os logs so gerados neste idioma. No saber nada de ingls e estudar informtica a fundo, quase a mesma coisa que dar um tiro no escuro. Saiba o significado dos termos tcnicos, tente interpretar um texto, uma mensagem, as opes e etc. Pratique bastante seu ingls pois isso vai colaborar ainda mais nas anlises. Uma boa pedida ser participante assduo de fruns americanos/ingleses, como somos do GdH . Assim voc ter contato direto com nativos da lngua-me. C2 Esteja preparado (ou quase?) para tudo. Analisar log aparentemente fcil mas, acredite, um dia voc pode apanhar com algum deles. Chega um momento em que todos os recursos que voc conhece podero no dar mais conta do recado, e nesta hora, voc ter trs opes eminentes: realizar uma pesquisa mais minuciosa sobre o problema, recomendar a formatao do disco ou pedir ajuda a outros colegas analistas para ver se eles tm uma ideia. Se a terceira opo parecer mais vivel, no seja orgulhoso. Duas mentes sbias pensam melhor que uma... avaliando ambos os pontos de vista, voc pode chegar soluo! D2 NUNCA tire concluses de um arquivo pelo nome dele. Outro equvoco grotesco declarar que um arquivo malicioso por ter um nome suspeito. Em logs voc pode se deparar com arquivos do tipo serkf01521459.sys e, ao jogar no Google este nome, ele retornar 0 resultados. Muitos pensaram: "Ah, se nem o Google conhece pode remover"! Nada disso. Pergunte ao dono do log ou, melhor ainda, envie ao VirusTotal. No mais, isso! Espero que tenham gostado. Boa sorte e sucesso a todos. Pgina 18 de 24 Deixem suas dvidas, comentrios e crticas aqui! Abrao swampedman 18-03-2012 por apimente.br Citao: Postado Originalmente por s&edman Nota Importante: Este tpico no destinado a pedidos de anlises, somente dvidas, partilha de conhecimentos e dicas. Se voc est com problemas em seu PC e deseja ue os ami!os analistas "a#am uma vistoria em seu lo!, poste nesta rea. Apenas para ressaltar que anlises de logs devem ser solicitadas na sala adequada e em tpico individual! 18-03-2012 por Meyer timo tpico, amigo... Vou dar uma lida geral, j que no tem nada pra fazer mesmo ... 18-03-2012 por wi!!ian"o!t# Excelente tpico, muito bom, eu mesmo quero aprender a usar algumas ferramentas dessas, importante hoje em dia na rea tcnica manter esses tipos de SW em um pendrive. 18-03-2012 por Meyer Humm... Surgiu uma dvida aqui... Tenho observado logs do HijackThis e do OTL, e vejo que aqueles tipos "O2" tem em ambos... O HijackThis foi baseado no OTL ou ao contrrio? 18-03-2012 por $%emso%&naodigo A!!!!!!!!!!!!! Valeu. Agora vou comear a processar a "wall of text". Valeu mesmo. Citao: Postado Originalmente por Me>erE Humm... Surgiu uma dvida aqui... Tenho observado logs do HijackThis e do T!" e vejo que aqueles ti#os $%$ tem em ambos... HijackThis foi baseado no T! ou ao contr&rio' Hijackthis uma ferramenta mais antiga, at onde eu sei. EDIT: Tenho uma dvida: no Hijackthis, sempre que eu via uma Pgina 19 de 24 entrada de registro sem nome ou sem arquivos em removia. No OTS tambm existem umas entradas sem nome, ou sem arquivo. Como saber se ou no seguro remov-las? Obrigado. 18-03-2012 por swampedman Citao: Postado Originalmente por Me>erE Humm... Surgiu uma dvida aqui... Tenho observado logs do HijackThis e do T!" e vejo que aqueles ti#os $%$ tem em ambos... HijackThis foi baseado no T! ou ao contr&rio' Como o colega quemsouFnaodigo explicou, o Hijack mais antigo. Ento, em tese, a OTL foi inspirada no Hijack. Abraos Citao: Postado Originalmente por quemsouFnaodigo (D)T: Tenho uma dvida: no Hijackthis" sem#re que eu via uma entrada de registro sem nome ou sem arquivos em removia. *o TS tamb+m e,istem umas entradas sem nome" ou sem arquivo. -omo saber se + ou n.o seguro remov/0las' Amigo, neste caso depende. Alguns logs no imprimem nome ou arquivo nenhum mesmo, mas exibem os valores do registro. Exemplo de um log do Hijack: Citao: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Se voc pesquisar pelo valor entre os colchetes no Google, ver que a entrada faz parte do Windows Live Call Hover. A menos que o usurio tenha removido este componente do PC, no seguro a remoo da mesma. Mas a verdade que cada analista pensa de uma maneira. Muitos removem entradas como essas, j outros so mais precavidos. Eu, pessoalmente, sou do time dos precavidos. Se houver valor ou qualquer outra referncia na entrada, faa uma pesquisa e veja se pertencem a algum software. Se o Google no achar nada, crie um ponto de restaurao Pgina 20 de 24 e fixe-a. Se puder postar uma entrada como demonstrao, s para termos uma ideia, acredito que facilitaria. Abraos 18-03-2012 por $%emso%&naodigo Citao: Postado Originalmente por s&edman 1migo" neste caso de#ende. 1lguns logs n.o im#rimem nome ou arquivo nenhum mesmo" mas e,ibem os valores do registro. (,em#lo de um log do Hijack: Se voc/ #esquisar #elo valor entre os colchetes no 2oogle" ver& que a entrada fa3 #arte do 4indo5s !ive -all Hover. 1 menos que o usu&rio tenha removido este com#onente do 6-" n.o + seguro a remo7.o da mesma. 8as a verdade + que cada analista #ensa de uma maneira. 8uitos removem entradas como essas" j& outros s.o mais #recavidos. (u" #essoalmente" sou do time dos #recavidos. Se houver valor ou qualquer outra refer/ncia na entrada" fa7a uma #esquisa e veja se #ertencem a algum soft5are. Se o 2oogle n.o achar nada" crie um #onto de restaura7.o e fi,e0a. Se #uder #ostar uma entrada como demonstra7.o" s9 #ara termos uma ideia" acredito que facilitaria. 1bra7os Obrigado pela resposta. Infelizmente no estou mais com o log aqui. No lembro tambm de que PC era. Eu costumo jogar o nome ou o arquivo no Google. o que eu sempre fao, para quase todos os arquivos (no conheo quase nenhum de cabea). Mas no me atentei possibilidade de procurar pelo valor da chave. Mas pelo que eu vejo, muitas dssas entradas so "rastros" de coisas que j foram removidas. Obrigado. Vou acompanhar o tpico bem de perto. 19-03-2012 por swampedman Pgina 21 de 24 Citao: Postado Originalmente por quemsouFnaodigo brigado #ela res#osta. Opa amigo, estamos aqui para isso mesmo. Pergunte sempre que quiser! Citao: Infelizmente no estou mais com o log aqui. No lembro tambm de que PC era. Eu costumo jogar o nome ou o arquivo no Google. o que eu sempre fao, para quase todos os arquivos (no conheo quase nenhum de cabea). Mas no me atentei possibilidade de procurar pelo valor da chave. Mas pe%o que eu 8eGo, muitas dssas entradas so HrastrosH de coisas que G 0oram remo8idas. [Negrito grifado por minha conta] Na prtica voc est certo QS_ND, na maioria dos casos, quando aparece um "no name" ou "no file" geralmente corresponde a uma entrada invlida mesmo. Mas uma vez li um post do Merijn em seu site, que alis infelizmente no existe mais, respondendo a dvida de um leitor, onde ele dizia que em algumas ocasies entradas aparentemente invlidas poderiam ser frutos de um bug do HijackThis. E neste mesmo post ele fez um adendo aconselhando a todos que no fixassem essas entradas sem antes conhec-las. Foi a que comecei a atentar-me mais nesse detalhe pois eu tambm sempre fixava entradas assim. Porm, a verdade que as chances de ser uma entrada realmente invlida so de 90%. Agora, se houver um valor na entrada faa uma pesquisa s para desencargo. Abraos 19-03-2012 por 't"an (aber ferramenta perder de vista. Tenho me interessado pelo assunto e quanto mais aprendo mais vejo que tenho que aprender, lembro que comecei a me interessar realmente pelo assunto quando descobri os Rescue Disks, eu estava Pgina 22 de 24 prestes a formatar um HD mas postei a dvida aqui no frum e me indicaram o disco do Kaspersky. Com o bom resultado em mos eu pensei "puts eu no sei nenhuma". Ver a mquina voltar a um funcionamento normal quase que por mgica est me levando a aprender um pouco mais sobre o assunto. Alis, obrigado por compartilhar seu conhecimento. 19-03-2012 por swampedman Citao: Postado Originalmente por Ethan <a7er : ferramenta ; #erder de vista. Tenho me interessado #elo assunto e quanto mais a#rendo mais vejo que tenho que a#render" lembro que comecei a me interessar realmente #elo assunto quando descobri os Rescue Disks" eu estava #restes a formatar um HD mas #ostei a dvida aqui no f9rum e me indicaram o disco do <as#ersky. -om o bom resultado em m.os eu #ensei $#uts eu n.o sei nenhuma$. =er a m&quina voltar a um funcionamento normal quase que #or m&gica est& me levando a a#render um #ouco mais sobre o assunto. 1li&s" obrigado #or com#artilhar seu conhecimento. Amigo Ethan, todos ns aprendemos a cada dia que se passa. Eu ainda aprendo bastante. Por isso eu acho fundamental o compartilhamento de informaes e conhecimentos. Todos dividindo suas experincias, compartilhando informaes que alguns podem desconhecer, aprende-se muito mais. O interessante e o que mais me cativa no GdH a liberdade que eles nos do em realizar esta troca de conhecimentos, claro, contanto que no infrinja as regras. Mas se voc pesquisar, ver que a maioria dos fruns no permitem este tipo de atividade. A burocracia dada de uma forma que chega a fazer o usurio a desistir de adquirir qualquer informao importante que seja. Portanto, frisando novamente, deixo esse espao aberto para dvidas, partilhas e dicas. Abraos 20-03-2012 por swampedman Ol amigos Adicionei uma ferramenta chamada 5## ao item "Ferramentas" do tpico. Pgina 23 de 24 O objetivo da ferramenta nos ajudar a identificar a fonte de problemas de conectividade com a Internet, caso os arquivos responsveis por esta atividade estiverem infectados ou tiverem sido corrompidos pelo malware. Isto especialmente til depois de ter removido o malware do sistema e ainda assim voc estiver incapacitado de se conectar internet. O rootkit ZeroAcess, por exemplo, pode provocar este tipo de queda na conexo. Abraos e bom proveito! 20-03-2012 por )oao*eto Cara, excelente tpico. Eu gosto muito de ler coisas concernente a segurana, mesmo no sendo o foco do meu trabalho. Mas sempre aparece alguma coisa, ento sempre bom estar em dia com o conhecimento. Eu procuro trabalhar um pouco diferente no caso de contaminaes. Um dia vou postar como fao, embora no tenha nada de revolucionrio, mas um mtodo que considero eficiente na maioria dos casos. Isso no significa que no use ferramentas de logs, uso sim. 20-03-2012 por swampedman Citao: Postado Originalmente por 4oao(eto -ara" e,celente t9#ico. (u gosto muito de ler coisas concernente a seguran7a" mesmo n.o sendo o foco do meu trabalho. 8as sem#re a#arece alguma coisa" ent.o + sem#re bom estar em dia com o conhecimento. (u #rocuro trabalhar um #ouco diferente no caso de contamina7>es. ?m dia vou #ostar como fa7o" embora n.o tenha nada de revolucion&rio" mas + um m+todo que considero eficiente na maioria dos casos. )sso n.o significa que n.o use ferramentas de logs" uso sim. Amigo 4oao, seria muito legal se voc compartilhasse seu mtodo pessoal. Afinal, esta a inteno do tpico. Alis, qualquer partilha de informaes/experincias muito bem-vinda aqui. Eu, quando tenho acesso fsico ao PC comprometido, tambm utilizo mtodos um pouco mais alternativos, os Pgina 24 de 24 quais qualquer dia desses compartilharei aqui. Mas requer tempo para escrever tudo. Enfim, estaremos no aguardo de seu post contendo seus mtodos pessoais de remoo. Abraos 20-03-2012 por )oao*eto Pode deixar swampedman, at o fim de semana eu vou postar sim. que est um pouco corrido por estes dias, mas vou postar sim. 20-03-2012 por +,-.M/ Muito,muito bom!!!Gostei demais,parabns pelo capricho e trabalho bem feito!! 20-03-2012 por 0egion10000 Excelente tpico, parabns! 21-03-2012 por &1'g't2& Ficou muito bom o seu post, s&edman. Acabei de ler o texto todo... muito obrigado por estar compartilhando seu conhecimento conosco! Abrao 21-03-2012 por 0.anonymo%s -Parabns pela iniciativa... -Bom trabalho 21-03-2012 por swampedman Obrigado pessoal Fico feliz que tenham gostado do tpico. No esqueam de postar suas dvidas, comentrios, dicas e crticas sempre que houverem. Sero bem-vindas! Uma excelente semana a todos! Abraos