Pgina 1 de 24

Torne-se um analista de logs hoje

Segurana: discusses, dvidas etc
1. Torne-se um DJ usando linux
2. Torne-se tecnico em informtica por telefone desde sua casa
3. Torne-se IBM Certified
Mais resultados? Use nossa pesquisa.
Pgina 1 de 9 1 2 3 6
18-03-2012 por swampedman
Torne-se um analista de logs hoje
Ol pessoal
Bom, h bastante tempo pensava em criar um tpico como
este e nunca tinha tempo para escrever tudo de uma vez,
por isso fui escrevendo aos poucos por se tratar de um
assunto tanto quanto delicado, ao meu ver.
Acredito que saber analisar um log e ter cincia do que est
presente em seu computador um detalhe trivial que, na
minha opinio, deveria ser do interesse de todo internauta
e tratado com mais transparncia na web, e no com a
burocracia imposta em inmeros fruns. Afinal, a cada
minuto praticamente novos malwares so criados -- um
mais sofisticado que o outro -- e saber como lidar com
estas pragas algo importantssimo. Contudo, um dos
meios mais simples para isto, creio eu, que seja uma
anlise de log. Por qu? Sabendo interpretar um log, voc
saber onde a contaminao est e possivelmente evitar
que ela espalhe no sistema. Sim, antivirus, firewalls e
qualquer outro 'utensilho' que possua a capacidade de
defender o computador de pragas virtuais so instrumentos
EXTREMAMENTE importantes, porm, todos sabem que
estes programas no so 100% efetivos, sobretudo,
quando o PC est infectado o desespero bate a porta de
muitos, e a impacincia em identificar/remover a ameaa o
mais rpido torna-se natural.
Pgina 2 de 24
No intuito de auxiliar queles que pretendem se
especializar em tal atividade e no sabem como comear ou
estiverem com dificuldades, gostaria de fazer deste tpico
um espao para dvidas, sugestes, dicas, discusses
(pacficas, por favor), troca de experincias sobre anlises
de logs, utilizao de ferramentas, procedimentos
adequados e etc.
Caso voc tenha alguma dvida sobre um log qualquer,
sobre alguma ameaa, indeciso e etc, poste aqui!
Nota Importante: Este tpico no destinado a pedidos de anlises, somente
dvidas, partilha de conhecimentos e dicas! Se voc" est com pro#lemas em seu $% e
deseja &ue os amigos analistas 'aam uma vistoria em seu log, poste nesta rea.
Abaixo deixo alguns fatores interessantes que me ajudaram
muito quando comecei e tenho por mim que possa ser til a
todos. peo que compartilhem seus conhecimentos
tambm, ou dvidas, sintam-se em casa!
Experincia
, este um ponto essencial para quem gosta da rea
tcnica da informtica. Querendo ou no, o tempo de
experincia de um usurio conta muito em qualquer
situao, no somente na tecnologia, claro. Entretanto,
muitos chegam a desistir de seus propsitos pois julgam-se
incapazes de adquirir o conhecimento de uma pessoa
experiente, e esse o primeiro erro. Experincia requer
tempo e tempo requer estudo. Tudo depende somente de
voc, no se menospreze. Particularmente defino o
termo experincia com quatro
palavras: interesse, estudo, dedicao e prtica.
Se voc no gosta de mexer com determinada rea e no
est disposto a aprender, faa um bem para a humanidade
e caia fora dessa!
Agora se voc quer realmente aumentar seu conhecimento,
maravilha!
Conhecimento
Pgina 3 de 24
No se engane, saber analisar um log no exige
conhecimentos apenas em segurana. Entender o
significado de termos tcnicos da informtica (em geral),
saber trabalhar com os diferentes tipos de sistemas
operacionais (especialmente o Windows pois estamos
tratando de anlises de logs), manusear suas funes,
conhecer seus arquivos e seus termos tcnicos, explorar
seus recursos e etc, so fatores de suma importncia nesta
tarefa, seno os maiores. No conhecer o ambiente cujo
encontra-se prejudicado so dez pontos a mais para o
malware.
No Windows muitos malwares afetam reas delicadas como
o registro, a MBR, o kernel, dependendo do tipo,
contaminam arquivos legtimos e retardam as funes e o
andamento. Portanto, preciso conhecer bem estas reas
para saber o que deve e no deve ser feito l. Nunca aja
por impulso ou achismo!
Porm, no preciso dizer que um conhecimento aguado
sobre segurana da informao o detalhe "chave" nessa
questo, n? Calma, calma... no estou dizendo que voc
precisa ter um diploma superior ou ser um professor da
Harvard para entender os conceitos dessa matria.
Pesquise, pergunte, leia, explore
conhecimentos/experincias alheias -- pois eles so os que
mais iro lhe ajudar nessa estrada. No tenha vergonha de
perguntar porque a nica pessoa que vai sair perdendo
voc. Se curtir do assunto e quiser fazer um curso superior
futuramente, da com voc.
Antes de qualquer coisa, lembre-se que voc estar
manipulando dados sensveis de sua pessoa ou,
principalmente, de outras (o que aumenta cem vezes mais
a sua responsabilidade).
Todavia, logicamente, no pense que voc precisa saber
tudo de tudo ou deve ser isento de falhas, porque
simplesmente no existe ser humano capaz disso.
Computador um mundo!
Pgina 4 de 24
Estude, Pesquise e Pergunte
Pessoal, sejamos realistas, analisar um log no bicho de
sete cabeas. Programao uma rea muito mais
complexa, por exemplo.
Falando a grosso modo, analisar um log nada mais do que
verificar se um arquivo legtimo (seja de um programa,
jogo, sistema) ou malicioso, em cada uma das entradas.
Foque-se inicialmente na localizao de cada arquivo, seus
nomes e suas extenses. Esquea, por ora, da parte
adicional dos logs.
Copie o nome ou a localizao completa do arquivo e jogue
no Google. Observe a descrio que os resultados lhe
daro, leia vrias opinies distintas antes de agir. D
preferncia para sites especializados como Bleeping
Computer, ProcessLibrary e ThreatExpert. No entanto,
ainda assim muito cuidado, pois estes sites tambm podem
fornecer informaes incorretas. Se voc achou no Google
um caso parecido com o que est enfrentando e o mesmo
foi bem resolvido, voc pode t-lo como um guia ou uma
referncia. Mas lembre-se que cada caso um caso. Se
ferramentas especficas e preparos de scripts foram
publicados no caso encontrado, no copie-o!
Estude e pesquise bastante os processos, nomes de
arquivos, suas localizaes corretas, o que fazem, para que
servem, enfim... aquela famosa decorba clssica para
voc ir se familiarizando com os danados. Perguntem
sempre que houver dvidas, no sintam-se acanhados em
no saber do que se trata algo. Algum pode tirar sua
dvida em menos de minutos. Se ainda assim houverem
suspeitas sob o arquivo, submeta-o ao VirusTotal.
Est craque nos processos, arquivos e tudo mais? hora de
trabalhar nos detalhes adicionais do log. Mas o que seriam
estes detalhes? So as sees correspondentes a cada
parte do log, aquelas informaes complementares que so
impressas juntamente com as entradas para deixar o
analista ambientado. No entanto, veja bem, cada log
Pgina 5 de 24
contm um tipo de detalhe adicional diferente. Darei um
exemplo tendo como base um log do OTL.
Citao:
Ao gerar um log do OTL, no meio daquelas incontveis informaes, voc enxergar
sees como:
a - Files/Folders - Created Within 30 Days
b - Files - Modified Within 30 Days
c - Driver Services (SafeList)
d - Win32 Services (SafeList)
e - Processes (SafeList)
f - Chrome, Firefox, Internet Explorer
g - [2012/03/10 09:41:41 | 000,001,894 | ---- | M] [ ---HDRS--- ]
h - LOP Check
Explicao
a - Lista os arquivos e pastas criados nos ltimos 30 dias. O nmero de dias pode
ser alterado diretamente na interface do OTL
b - Lista os arquivos e pastas modificados nos ltimos 30 dias. No confunda com
os arquivos criados, pois estes j existiam e foram modificadas por algum motivo
c - Lista os arquivos responsveis pelos dispositivos e drivers dos programas, como
drivers de som, rede, grfico e etc
d - Lista os servios presentes no Windows, mais especificamente no services.msc
e - Lista os arquivos carregados na memria (Gerenciador de Tarefas) na hora em
que o relatrio foi gerado
f - Listam os componentes instalados em cada um dos browsers, seja extenses,
plugins, toolbars, barras de busca, home page, configuraes proxy, etc
g - Data em que o arquivo foi criado/modificado (depende da seo) || hora que o
arquivo foi criado/modificado || tamanho do arquivo em bytes || a letra Msignifica
Modified (modificado), se no lugar de M houver a letra C significar Created (Criado)
| a letra significa Hidden (Oculto), a ! significa Directory(Diretrio/Pasta),
a " significa Readonly (Somente Leitura) e a # significa System (arquivo do
sistema)
h - Lista o diretrio onde o malware Lop.com costuma residir: C:\Users\[nome de
usuario]\AppData\"oaming.
No QUOTE mencionei apenas alguns exemplos que, na
prtica, so as sees mais comuns. Porm, no log podem
haver outras sees.
Para muitos, estes detalhes podem confundir um pouco.
Mas, na verdade, eles no servem para nada, seno ajudar
o analista a saber qual rea do log ele est analisando e
eventualmente at ajudar na hora de preparar um script,
talvez. Entenda estes detalhes como se fossem uma
espcie de bssola. Como assim swampedman? Imagine se
no houvesse a diviso de sees no log, todas as entradas
juntas em um s lugar, arquivos de diferentes finalidades
Pgina 6 de 24
juntos, drivers, plugins e toolbars todos reunidos um sobre
o outro... Seria uma "vitamina" bagunada, composta de
ingredientes vitais sade do micro + ingredientes letais
ao PC. Isso sim, iria confundir totalmente e levar o analista
a cometer erros desnecessrios.
fato que poucos desenvolvedores disponibilizam tutoriais
pblicos de como utilizar suas ferramentas, com raras
exceo de autores como Old Timer (OTL) e jpshortstuff
(SystemLook) que disponibilizam na ntegra uma
documentao de suas principais ferramentas -- as quais
podem ser conferidas aqui e aqui. A maioria dos
desenvolvedores consideram estes materiais altamente
"inflamveis" nas mos erradas e, honestamente, em
certas ocasies eles tm razo.
Todavia, acredite, dificilmente as partes adicionais dos logs
sero fundamentais para a remoo dos arquivos, a no ser
servir como ponto de referncia para o analista e ajudar a
preparar um script, como j mencionei.
Dvidas em alguma seo adicional? Indague no tpico,
afinal, a inteno do mesmo esclarec-las.
$s Ma%&ares
Este um assunto que voc !E'E saber. Pesquise sobre os
diversos tipos de malwares, os sintomas que cada classe
estimula no sistema, suas consequncias e mtodos
corretos de deteco/remoo. Alm disso, saiba
diferenci-los uns dos outros. Citando os mais populares
temos:
Citao:
Adware
Spyware
Trojan Horse ou Cavalo de Tria
Worm
Backdoor
Rootkit
Bootkit
Scareware ou Rogue
Pgina 7 de 24
Banker
Ransomware
File Infector ou Vrus Polimrfico
Keylogger
Cada um deles provoca uma reao caracterstica no
sistema. Tenha em mente que, durante uma anlise, saber
com o que voc est lidando no log um fator culminante.
Exemplo de alguns deles:
- Adwares normalmente instigam a abertura abusiva de
pop-ups, instalam toolbars e searches nos browsers;
- Bankers, que so designados a roubar dados pessoais,
podem adicionar endereos IP's de bancos no HOSTS e
configurar proxies maliciosos nos browsers (principalmente
no IE);
- Rogues podem instalaar softwares (geralmente de
segurana) fraudulentos na mquina e emitir mensagens
solicitando a compra de tais programas. (esta
pgina enesta voc confere atualizaes frequentes de
novos rogues diariamente;
Ressalto ainda que malwares no atuam
padronizadamente, isto , mesmo que o sintoma principal
de tal malware seja causar "x" anomalias, ele pode
perfeitamente causar "y" anomalias no sistema. Portanto,
como dizia a msica do Engenheiros do Hawaii: olho vivo e
faro fino! Nunca subestime-os, ou, superestime-se.
Em especial, estude sobre os rootkits. So malwares
comuns hoje em dia e de difcil remoo, o caso do
ZeroAcess e TDSS/TDL2. Muitos logs no mostram entradas
relacionadas a rootkits. Por isso, torna-se coerente efetuar
uma anlise anti-rootkit especfica no computador,
inclusive, fruns especializados j solicitam um log do OTL
+ GMER para adiantar o processo. Estude logs de
ferramentas como TDSSKiller, RootRepeal e GMER.
Agora, jamais hesite em aconselhar o usurio a formatar a
mquina em circunstncias drsticas. Dependendo do caso,
o malware deixa o sistema absolutamente instvel e
Pgina 8 de 24
danifica-o inteiro ou parcialmente. Neste caso, formatao
a melhor e mais segura opo.
#cripts to Prepare
Curiosamente, observo que o que mais desperta interesse
entre analistas novatos a famosa e poderosa criao de
scripts. Resumidamente, so linhas de comando que
executam uma tarefa pr-definida pelo usurio. Os scripts
podem ser validados por intermdio de ferramentas
autorizadas ou criados a partir do Bloco de Notas mesmo
(no caso, o .BAT). bvio que para criar um .BAT voc
deve ter um conhecimento, no mnimo, intermedirio de
Windows -- teoricamente nos comandos do prompt. J para
os scripts executados atravs de ferramentas autorizadas
voc precisa conhecer bem a ferramenta em questo e
como preparar estes fixes.
No preciso salientar que a criao de scripts
expressamente recomendada a usurios com uma certa
experincia. Mas, ei, take it easy my friend! Se depender
de mim, voc chegar l rapidinho. No h necessidade de
grupos de estudos, como os oferecidos em determinados
fruns, ou escolas tcnicas para isso. s uma questo de
ateno e prtica.
OBS: Usufrue sempre de uma mquina virtual para treinar e fazer
testes.
Selecionando por popularidade, as ferramentas que
fornecem um mtodo de correo via script so: ComboFix
(CFScript.txt), OTL, OTM, OTS e Avenger. Com exceo da
OTL e OTM, cada ferramenta suporta uma sintaxe distinta
em seu script. O que uma sintaxe? Nos scripts, a sintaxe
o "crebro" da linha de comando, isto , a ferramenta
executar uma ao sob as entradas baseado no que foi
definido na sintaxe.
Exemplos:
Pgina 9 de 24
Citao:
Files to delete: )#*(+,-E.
C:\WINDOWS\malware.exe )E(+",!,.
Driver:: )#*(+,-E.
malware )E(+",!,.
P.S.: A sintaxe tem de ser colocada sempre antes da entrada e nunca se esquea de
que elas so parcialmente sensitives, por isso, atente-se na pontuao e nos nomes.
Antes de preparar qualquer script, voc deve ter a absoluta
certeza de que as entradas que sero corrigidas so 100%
maliciosas e/ou totalmente invlidas. E aps prepar-lo,
revise-o vrias vezes para ver se no h nenhum caractere
ou entrada errados. Um equvoco sequer pode levar a
ilaes absurdas, desde um sistema inoperante at um
comprometimento total do SO. Portanto, a ateno na hora
de criar um script deve ser triplicada. Ciente destes
adendos, sigamos em frente...
Para facilitar o estudo de vocs, separei as sintaxes
principais das ferramentas comentadas anteriormente.
Link das sintaxes. Vocs ainda podem conferir a explicao
de cada sintaxe nos artigos abaixo:
OTM e OTL
ComboFix
Avenger (tutorial oficial feito pelo desenvolvedor, em ingls)
Dados necessrios para a criao de um script
1/ *denti0icar a entrada ma%iciosa
2/ Caminho comp%eto para se chegar a in0eco
1entrada2
3/ !e0inir a sintaxe apropriada para a correo da
entrada
3/ 4untar tudo e executar o script
Aplicando na prtica
Para deixar este post mais didtico, e treinar os mais
entusiasmados, resolvi preparar um singelo exerccio
Pgina 10 de 24
bsico. S para usar como demonstrao, peguei uma parte
do log do OTL.
Se quiser fazer o exerccio, segue os links.
OBS: No olhe o resultado agora. Faa o exerccio primeiro
e depois confira se acertou.
Exerccio
Resultado
Se voc acertou tudo, parabns! Se no acertou, no fique
chateado e tampouco desanime. Pratique sempre.
5erramentas
Existe um arsenal de ferramentas para vrios tipos de
contaminaes ao alcance de todos. Especialmente temos a
nossa inteira disposio o Malwarebytes, Kaspersky
Removal Tool, Rescue Disk's e Scanners Online que so
acessrios excelentes e no requerem conhecimento
avanado para manuse-los.
Por outro lado, grande parte dos usurios no sabem
quando usar uma, quando usar outra, e acabam que
indicando qualquer uma. Tome nota de que existem as
ferramentas que combatem malwares estritamente
especficos e aquelas que lidam com qualquer tipo de
infeco. As que trabalham com qualquer infeco so as
mais conhecidas, dentre elas, ComboFix, MBAM e Removal
Tool. As demais so menos populares e exigem que o user
tenha conhecimento de causa, isto , saiba a exata infeco
para indic-las.
Contudo, MBAM e ComboFix so programas
indubitavelmente versteis, destarte, eles conseguem
detectar uma quantidade estupenda de malwares. Ento,
caso no consiga identificar o tipo da ameaa que est no
log, eles podem ser sugeridos. S tome cuidado com o
ComboFix, pois um aplicativo brutalmente poderoso e
Pgina 11 de 24
avanado.
Outro detalhe importante: sempre que for analisar um log,
solicite logs mais completos como os do RSIT, DDS, OTL ou
OTS (se voc souber). Eles exibem entradas cruciais que o
HijackThis no mostra.
Abaixo esto algumas outras opes igualmente boas.
$+, => Automatiza a criao de scripts com o OTS e
Avenger. Muito til para quem no consegue criar um script
no OTS.
6oored5ix => Lida com o malware goored e outras
infeces capazes de provocar redirecionamentos
imprevisveis nos navegadores.
5## ou 5ar7ar #er8ice #canner => Excelente aplicativo
que gera um relatrio completo dos arquivos, valores do
registro e servios responsveis pela conexo da Internet,
aps a conexo ser prejudicada por algum malware.
$+ => Mais uma bela ferramenta do Old Timer, auxiliar a
OTL, que pode finalizar todos os processos ativos na
memria e rodar um scan com o OTL.
osts-pert => Limpa e reseta o arquivo HOSTS do
Windows. Utilizado para remover endereos maliciosos do
HOSTS => entradas O1 do HijackThis e OTL.
9P!iag => Efetua um diagnstico completssimo no
sistema e gera um log. Seu relatrio chega a ser at mais
preciso que o do OTL e OTS, por exemplo => Tutorial
oficial (em francs).
,d&C%eaner => Remove adwares (toolbars, searches,
home pages, pastas, valores de registro e tudo mais
associado ao adware).
+oo%7ar#hooter => Tambm remove toolbars maliciosos
(como o AdwCleaner) => changelog ToolbarShooter.
Pgina 12 de 24
(orman Ma%&are C%eaner => Ferramenta excelente que
lida com inmeros tipos de ameaas.
:an;er5ix => Identifica e remove uma grande quantidade
de trojans bankers => changelog BankerFix
!r.<e7 Cure*t => Mais um extraordinrio programa na
caa de malwares e vrus de diferentes gneros.
=#:5ix => Na minha opinio, trata-se do melhor aplicativo
para a limpeza de dispositivos mveis e PCs infectados por
worms provenientes destes dispositivos.
5ind>?i%% ou 5>? => Detecta e remove o malware Bagle,
alm de restaurar as funcionalidades do Windows
desativados pelo malware, como modo de segurana e a
exibio arquivos ocultos => changelog FindyKill, tutorial
em francs e alguns dos arquivos criados pelo Bagle.
"egistr> #earch => Facilita a procura de chaves e valores
especficos no Registro (Regedit).
+5C => Muito recomendada para efetuar uma limpeza no
PC aps uma remoo de malwares.
itmanPro => Programa que realiza um diagnstico on-
demand no sistema para encontrar ameaas desconhecidas
e/ou vulnerabilidades, mas para remover as infeces
somente comprando a soluo.
*nherit => Ferramenta criada por sUBs (autor do
ComboFix) que tenta forar a execuo de aplicativos que
os malwares esto impedindo ou danificaram.
"ogue?i%%er => Remove uma quantidade grande de
softwares rogues => changelog RogueKiller e tutorial
oficial (em ingls).
!e8!iag => Lista todos os dispositivos e drivers da
mquina (podendo encontrar drivers maliciosos) e identifica
Pgina 13 de 24
problemas neles (chegando ser til no dia-a-dia mesmo).
<C32 => Tenta desinfectar ficheiros do tipo htm, .html,
.php, .doc, .asp, .pdf contaminados pelo file infector Virut
sem danific-los.
#ecurit>Chec; => Verifica se h mdulos de proteo
instalados no PC (antivirus, firewall, anti-spyware, etc) e se
esto ativos, se o Service Pack , Java, IE e Adobe esto
atualizados. tima ferramenta para averiguar se o sistema
est atualizado ou se h falhas de segurana.
6a7?i%%er => Identifica uma variedade boa de ameaas,
em especial dialers e adwares.
(a8i%og1 => Remove variantes do rogue NaviPromo
=> changelog Navilog1.
Cacao"emo8er => Elimina o add-on Cacaoweb instalado
no Firefox que, por vrias razes, considerado um objeto
suspeito.
";i%% => Programa que tenta encerrar processos maliciosos
conhecidos para que a ferramenta de segurana rode sem
problemas => Instrues de uso oficial.
=nhide => Restaura as configuraes de pastas e do
registro modificados pelo rogue FakeHDD (fraudulenta
soluo que se passa por um software de reparao)
=>tutorial oficial.
M:"Chec; => Verifica a integridade da MBR do sistema
que pode estar comprometida por bootkits, como
Whistler/Black Internet.
as&M:" => Poderosa ferramenta que realiza um scan
profundo na MBR a procura de bootkits que possivelmente
possa ter contaminado-a.
M:"#can => Tambm verifica a MBR em busca de
ameaas .
Pgina 14 de 24
M:" "epair => Repara uma MBR que pode ter sido
prejudicada por um bootkit.
@op#!2 => Remove o malware Lop.com, embora no seja
uma infeco to comum atualmente.
,($+: => Muito til para comparar dois logs e exibir as
modificaes existentes no ltimo log.
"app,nti8ir => Obtm o relatrio de deteco/remoo
de scan do Avira Antivir. Funciona somente em PCs com
esse antivirus instalado, lgico.
Com o tempo adicionarei outras ferramentas nessa lista.
,teno na !escrio
Toda vez que um usurio posta um log para ser analisado,
comumente ele acrescenta uma breve (ou completa)
descrio de seu problema. No passe batido nisso pois
voc pode identificar a causa do problema ali mesmo. Leia
com calma, pesquise para ver se h caso semelhante, faa
um reconhecimento de campo. Nada melhor do que iniciar
o auxlio tendo ideia de possveis correes.
@eitura e Prtica
Leia freneticamente. Sempre acompanhe notcias, matrias,
artigos, tutoriais e tudo mais relacionado segurana em
sites especializados. Para maior comodidade assine os feeds
RSS desses sites. Esteja ciente de novas ameaas, novas
tcnicas, novos produtos, novos meios de
remoo/deteco, reviews e etc. Atente-se em cada
detalhizinho, por menor que seja. Isso vai lhe ajudar muito
em todos os sentidos.
OBS: Vou reunir os sites dos quais eu assino os feeds e
Pgina 15 de 24
acrescentarei ao tpico mais tarde, para quem estiver
interessado!
Mas, principalmente, pratique. Use a mquina virtual a seu
favor, infecte-a, instale um monte de coisas, mexa no
Windows e, por final, gere um log. Observe cada linhazinha
do log e tente interpretar. Tome uma xcara de caf,
belisque uns petiscos, coloque um CD do Dream Theater
(Six Degrees uma boa pedida ) e, finalmente,
identifique a infeco no meio dos diversos arquivos e
entradas. O comeo sempre chato e exaustivo, todos
passamos por esse processo, normal. Mas com o tempo
voc se acostuma.
!i0erena entre os sistemas
Como ponto de curiosidade e sabedoria abrangente,
experimente encontrar um log de diferentes verses do
Windows, como 98, 2000, 2003 Server, 2008 Server, XP,
Vista e 7 (x86 e x64), por exemplo. Voc perceber que os
arquivos, as localizaes e as demais informaes sero
distintas umas das outras.
Os logs do Vista e do 7 so bem semelhantes. Mas, se tiver
oportunidade, veja um log do Win 2003. Para quem est
mais familiarizado com 7 e XP, vai estranhar bastante.
interessante conhecer os outros sistemas, embora no
existam tantos casos relacionados a estes SOs.
, an%ise em si
Para fazer um grand finale do post, deixo abaixo oito dicas
complementares.
12 Descarte sempre analisadores automatizados, como o
do Hijackthis.de. Primeiro por se tratar de um sistema
genrico que se baseia em votos de qualquer indivduo.
Segundo por lhe fazer tomar um vcio, e uma vez viciado
Pgina 16 de 24
nesta anlise robotizada, dificilmente voc ter sucesso em
realizar uma anlise humana futuramente e se tornar um
analista de verdade. Terceiro por ser um servio nada
recomendvel por especialistas da rea, alis, nem mesmo
o autor original do HijackThis, Merijn Bellekom, consentiu
ou aconselhou/aconselha o uso deste aplicativo -- palavras
do prprio neste post.
22 Analise cada entrada do log com cautela. Leia uma por
uma, v anotando as mais suspeitas, mas no ignore as
demais, afinal, as aparncias enganam. Se est em
dvidas, diga ao usurio que envie o arquivo ao VirusTotal.
Soluo mais segura no h.
32 Errar humano. Experiente tambm erra (alguns
inclusive intitulam-se como "The Best" por conta prpria e
possuem o pssimo hbito de no reconhecerem seus
erros). Porm, no quesito "anlise de log", o erro
normalmente resultado da desateno e do descuido do
analista. Claro, sistema operacional um ambiente
totalmente imprevisvel, ento, mesmo que voc no tenha
errado em nada esteja sempre preparado por possveis
sequelas e resultados inesperados.
32 Tire suas dvidas antes de tirar concluses precipitadas.
Fruns sempre tm membros que manjam do assunto.
Sim, alguns deles (de mau com a vida) no compartilham
seus conhecimentos; outros, por sua vez, criticam quem
compartilha. Mas no existem s eles, ignore-os.
Sobretudo, como coloquei no comeo do post, este tpico
foi feito para esclarecer dvidas referentes ao assunto
discutido aqui mesmo.
A2 Acompanhe anlises de logs em outros fruns. Confesso
que uma das coisas que mais me ajudou nas anlises foi
acompanhar outros casos em fruns gringos
(especialmente franceses e americanos). Aprendi muito
vendo aqueles Jackie-Chans-Gringos analisarem logs. Os
caras so feras. Voc acaba por descobrir novas
ferramentas, novos procedimentos e, acima de tudo,
aprender com pessoas que entendem muito do assunto.
Pgina 17 de 24
Contudo, no acompanhe somente anlises de logs, passeie
nos setores de notcias e dicas do frum para descobrir
novos horizontes. Cadastre-se nos fruns especializados e
tire suas dvidas l tambm.
B2 Ingls primordial. Pessoal, o ingls a lngua-me da
Internet. Praticamente todos os logs so gerados neste
idioma. No saber nada de ingls e estudar informtica a
fundo, quase a mesma coisa que dar um tiro no escuro.
Saiba o significado dos termos tcnicos, tente interpretar
um texto, uma mensagem, as opes e etc. Pratique
bastante seu ingls pois isso vai colaborar ainda mais nas
anlises. Uma boa pedida ser participante assduo de
fruns americanos/ingleses, como somos do GdH . Assim
voc ter contato direto com nativos da lngua-me.
C2 Esteja preparado (ou quase?) para tudo. Analisar log
aparentemente fcil mas, acredite, um dia voc pode
apanhar com algum deles. Chega um momento em que
todos os recursos que voc conhece podero no dar mais
conta do recado, e nesta hora, voc ter trs opes
eminentes: realizar uma pesquisa mais minuciosa sobre o
problema, recomendar a formatao do disco ou pedir
ajuda a outros colegas analistas para ver se eles tm uma
ideia. Se a terceira opo parecer mais vivel, no seja
orgulhoso. Duas mentes sbias pensam melhor que uma...
avaliando ambos os pontos de vista, voc pode chegar
soluo!
D2 NUNCA tire concluses de um arquivo pelo nome dele.
Outro equvoco grotesco declarar que um arquivo
malicioso por ter um nome suspeito. Em logs voc pode se
deparar com arquivos do tipo serkf01521459.sys e, ao
jogar no Google este nome, ele retornar 0 resultados.
Muitos pensaram: "Ah, se nem o Google conhece pode
remover"! Nada disso. Pergunte ao dono do log ou, melhor
ainda, envie ao VirusTotal.
No mais, isso!
Espero que tenham gostado. Boa sorte e sucesso a todos.
Pgina 18 de 24
Deixem suas dvidas, comentrios e crticas aqui!
Abrao
swampedman
18-03-2012 por apimente.br
Citao:
Postado Originalmente por s&ampedman
Nota Importante: Este tpico no destinado a pedidos de anlises, somente
dvidas, partilha de conhecimentos e dicas. Se voc est com problemas em seu PC e
deseja ue os ami!os analistas "a#am uma vistoria em seu lo!, poste nesta rea.
Apenas para ressaltar que anlises de logs devem ser
solicitadas na sala adequada e em tpico individual!
18-03-2012 por Meyer
timo tpico, amigo... Vou dar uma lida geral, j que no
tem nada pra fazer mesmo ...
18-03-2012 por wi!!ian"o!t#
Excelente tpico, muito bom, eu mesmo quero aprender a
usar algumas ferramentas dessas, importante hoje em
dia na rea tcnica manter esses tipos de SW em um
pendrive.
18-03-2012 por Meyer
Humm... Surgiu uma dvida aqui... Tenho observado logs
do HijackThis e do OTL, e vejo que aqueles tipos "O2" tem
em ambos... O HijackThis foi baseado no OTL ou ao
contrrio?
18-03-2012 por $%emso%&naodigo
A!!!!!!!!!!!!! Valeu.
Agora vou comear a processar a "wall of text".
Valeu mesmo.
Citao:
Postado Originalmente por Me>erE
Humm... Surgiu uma dvida aqui... Tenho observado logs do HijackThis e do T!" e
vejo que aqueles ti#os $%$ tem em ambos... HijackThis foi baseado no T! ou
ao contr&rio'
Hijackthis uma ferramenta mais antiga, at onde eu sei.
EDIT:
Tenho uma dvida: no Hijackthis, sempre que eu via uma
Pgina 19 de 24
entrada de registro sem nome ou sem arquivos em
removia. No OTS tambm existem umas entradas sem
nome, ou sem arquivo. Como saber se ou no seguro
remov-las?
Obrigado.
18-03-2012 por swampedman
Citao:
Postado Originalmente por Me>erE
Humm... Surgiu uma dvida aqui... Tenho observado logs do HijackThis e do T!" e
vejo que aqueles ti#os $%$ tem em ambos... HijackThis foi baseado no T! ou
ao contr&rio'
Como o colega quemsouFnaodigo explicou, o Hijack
mais antigo. Ento, em tese, a OTL foi inspirada no Hijack.
Abraos
Citao:
Postado Originalmente por quemsouFnaodigo
(D)T:
Tenho uma dvida: no Hijackthis" sem#re que eu via uma entrada de registro sem
nome ou sem arquivos em removia. *o TS tamb+m e,istem umas entradas sem
nome" ou sem arquivo. -omo saber se + ou n.o seguro remov/0las'
Amigo, neste caso depende. Alguns logs no imprimem
nome ou arquivo nenhum mesmo, mas exibem os valores
do registro. Exemplo de um log do Hijack:
Citao:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Se voc pesquisar pelo valor entre os colchetes no Google,
ver que a entrada faz parte do Windows Live Call Hover. A
menos que o usurio tenha removido este componente do
PC, no seguro a remoo da mesma.
Mas a verdade que cada analista pensa de uma maneira.
Muitos removem entradas como essas, j outros so mais
precavidos. Eu, pessoalmente, sou do time dos precavidos.
Se houver valor ou qualquer outra referncia na entrada,
faa uma pesquisa e veja se pertencem a algum software.
Se o Google no achar nada, crie um ponto de restaurao
Pgina 20 de 24
e fixe-a.
Se puder postar uma entrada como demonstrao, s para
termos uma ideia, acredito que facilitaria.
Abraos
18-03-2012 por $%emso%&naodigo
Citao:
Postado Originalmente por s&ampedman
1migo" neste caso de#ende. 1lguns logs n.o im#rimem nome ou arquivo nenhum
mesmo" mas e,ibem os valores do registro. (,em#lo de um log do Hijack:
Se voc/ #esquisar #elo valor entre os colchetes no 2oogle" ver& que a entrada fa3
#arte do 4indo5s !ive -all Hover. 1 menos que o usu&rio tenha removido este
com#onente do 6-" n.o + seguro a remo7.o da mesma.
8as a verdade + que cada analista #ensa de uma maneira. 8uitos removem
entradas como essas" j& outros s.o mais #recavidos. (u" #essoalmente" sou do time
dos #recavidos.
Se houver valor ou qualquer outra refer/ncia na entrada" fa7a uma #esquisa e veja
se #ertencem a algum soft5are. Se o 2oogle n.o achar nada" crie um #onto de
restaura7.o e fi,e0a.
Se #uder #ostar uma entrada como demonstra7.o" s9 #ara termos uma ideia"
acredito que facilitaria.
1bra7os
Obrigado pela resposta.
Infelizmente no estou mais com o log aqui. No lembro
tambm de que PC era.
Eu costumo jogar o nome ou o arquivo no Google. o que
eu sempre fao, para quase todos os arquivos (no conheo
quase nenhum de cabea). Mas no me atentei
possibilidade de procurar pelo valor da chave.
Mas pelo que eu vejo, muitas dssas entradas so "rastros"
de coisas que j foram removidas.
Obrigado.
Vou acompanhar o tpico bem de perto.
19-03-2012 por swampedman
Pgina 21 de 24
Citao:
Postado Originalmente por quemsouFnaodigo
brigado #ela res#osta.
Opa amigo, estamos aqui para isso mesmo. Pergunte
sempre que quiser!
Citao:
Infelizmente no estou mais com o log aqui. No lembro tambm de que PC era.
Eu costumo jogar o nome ou o arquivo no Google. o que eu sempre fao, para
quase todos os arquivos (no conheo quase nenhum de cabea). Mas no me
atentei possibilidade de procurar pelo valor da chave.
Mas pe%o que eu 8eGo, muitas dssas entradas so HrastrosH de coisas que G
0oram remo8idas.
[Negrito grifado por minha conta]
Na prtica voc est certo QS_ND, na maioria dos casos,
quando aparece um "no name" ou "no file" geralmente
corresponde a uma entrada invlida mesmo.
Mas uma vez li um post do Merijn em seu site, que alis
infelizmente no existe mais, respondendo a dvida de um
leitor, onde ele dizia que em algumas ocasies entradas
aparentemente invlidas poderiam ser frutos de um bug do
HijackThis. E neste mesmo post ele fez um adendo
aconselhando a todos que no fixassem essas entradas sem
antes conhec-las. Foi a que comecei a atentar-me mais
nesse detalhe pois eu tambm sempre fixava entradas
assim.
Porm, a verdade que as chances de ser uma entrada
realmente invlida so de 90%. Agora, se houver um valor
na entrada faa uma pesquisa s para desencargo.
Abraos
19-03-2012 por 't"an (aber
ferramenta perder de vista. Tenho me interessado pelo
assunto e quanto mais aprendo mais vejo que tenho que
aprender, lembro que comecei a me interessar realmente
pelo assunto quando descobri os Rescue Disks, eu estava
Pgina 22 de 24
prestes a formatar um HD mas postei a dvida aqui no
frum e me indicaram o disco do Kaspersky. Com o bom
resultado em mos eu pensei "puts eu no sei
nenhuma". Ver a mquina voltar a um funcionamento
normal quase que por mgica est me levando a aprender
um pouco mais sobre o assunto.
Alis, obrigado por compartilhar seu conhecimento.
19-03-2012 por swampedman
Citao:
Postado Originalmente por Ethan <a7er
: ferramenta ; #erder de vista. Tenho me interessado #elo assunto e quanto mais
a#rendo mais vejo que tenho que a#render" lembro que comecei a me interessar
realmente #elo assunto quando descobri os Rescue Disks" eu estava #restes a
formatar um HD mas #ostei a dvida aqui no f9rum e me indicaram o disco do
<as#ersky. -om o bom resultado em m.os eu #ensei $#uts eu n.o sei
nenhuma$. =er a m&quina voltar a um funcionamento normal quase que #or m&gica
est& me levando a a#render um #ouco mais sobre o assunto.
1li&s" obrigado #or com#artilhar seu conhecimento.
Amigo Ethan, todos ns aprendemos a cada dia que se
passa. Eu ainda aprendo bastante. Por isso eu acho
fundamental o compartilhamento de informaes e
conhecimentos. Todos dividindo suas experincias,
compartilhando informaes que alguns podem
desconhecer, aprende-se muito mais.
O interessante e o que mais me cativa no GdH a liberdade
que eles nos do em realizar esta troca de conhecimentos,
claro, contanto que no infrinja as regras. Mas se voc
pesquisar, ver que a maioria dos fruns no permitem este
tipo de atividade. A burocracia dada de uma forma que
chega a fazer o usurio a desistir de adquirir qualquer
informao importante que seja.
Portanto, frisando novamente, deixo esse espao aberto
para dvidas, partilhas e dicas.
Abraos
20-03-2012 por swampedman
Ol amigos
Adicionei uma ferramenta chamada 5## ao item
"Ferramentas" do tpico.
Pgina 23 de 24
O objetivo da ferramenta nos ajudar a identificar a fonte
de problemas de conectividade com a Internet, caso os
arquivos responsveis por esta atividade estiverem
infectados ou tiverem sido corrompidos pelo malware. Isto
especialmente til depois de ter removido o malware do
sistema e ainda assim voc estiver incapacitado de se
conectar internet.
O rootkit ZeroAcess, por exemplo, pode provocar este tipo
de queda na conexo.
Abraos e bom proveito!
20-03-2012 por )oao*eto
Cara, excelente tpico. Eu gosto muito de ler coisas
concernente a segurana, mesmo no sendo o foco do meu
trabalho. Mas sempre aparece alguma coisa, ento
sempre bom estar em dia com o conhecimento.
Eu procuro trabalhar um pouco diferente no caso de
contaminaes. Um dia vou postar como fao, embora no
tenha nada de revolucionrio, mas um mtodo que
considero eficiente na maioria dos casos. Isso no significa
que no use ferramentas de logs, uso sim.
20-03-2012 por swampedman
Citao:
Postado Originalmente por 4oao(eto
-ara" e,celente t9#ico. (u gosto muito de ler coisas concernente a seguran7a"
mesmo n.o sendo o foco do meu trabalho. 8as sem#re a#arece alguma coisa"
ent.o + sem#re bom estar em dia com o conhecimento.
(u #rocuro trabalhar um #ouco diferente no caso de contamina7>es. ?m dia vou
#ostar como fa7o" embora n.o tenha nada de revolucion&rio" mas + um m+todo que
considero eficiente na maioria dos casos. )sso n.o significa que n.o use ferramentas
de logs" uso sim.
Amigo 4oao, seria muito legal se voc compartilhasse seu
mtodo pessoal. Afinal, esta a inteno do tpico. Alis,
qualquer partilha de informaes/experincias muito
bem-vinda aqui.
Eu, quando tenho acesso fsico ao PC comprometido,
tambm utilizo mtodos um pouco mais alternativos, os
Pgina 24 de 24
quais qualquer dia desses compartilharei aqui. Mas requer
tempo para escrever tudo.
Enfim, estaremos no aguardo de seu post contendo seus
mtodos pessoais de remoo.
Abraos
20-03-2012 por )oao*eto
Pode deixar swampedman, at o fim de semana eu vou
postar sim. que est um pouco corrido por estes dias,
mas vou postar sim.
20-03-2012 por +,-.M/
Muito,muito bom!!!Gostei demais,parabns pelo capricho e
trabalho bem feito!!
20-03-2012 por 0egion10000
Excelente tpico, parabns!
21-03-2012 por &1'g't2&
Ficou muito bom o seu post, s&ampedman. Acabei de ler
o texto todo... muito obrigado por estar compartilhando seu
conhecimento conosco!
Abrao
21-03-2012 por 0.anonymo%s
-Parabns pela iniciativa...
-Bom trabalho
21-03-2012 por swampedman
Obrigado pessoal
Fico feliz que tenham gostado do tpico.
No esqueam de postar suas dvidas, comentrios, dicas
e crticas sempre que houverem. Sero bem-vindas!
Uma excelente semana a todos!
Abraos