Malware no compartilhamento do Fileserver? Descubra a origem!
Com certeza todo administrator de redes já se deparou com a situação onde o Servidor de arquivos (Windows 2000, 2003 ou 2008 Server) da empresa em que trabalha/presta serviço foi comprometido por vírus do tipo worm. Este tipo específico de vírus tem como característica a auto disseminação, onde ele se espalha para vários outros computadores de variadas formas e dentre estas formas está a existência de comparilhamentos inseguros, com permissões de leitura onde não deveria haver estas permissões.Uma solução que poucos SysAdmin habilitam é a auditoria de pastas em compartilhamentos quando temos o Active Directory implantado no ambiente. Entretanto, é hora de você começar a pensar nisto, pois, apesar de ter seus prós e contras, é esta a solução que usaremos para descobrir qual usuário que anda infectando o nosso compartilhamento.
Como tudo tem seus prós e seus contras, veremos o porque você deve (ou não) habilitar a auditoria de pastas.
Vantagens:
Você pode armazenar todas as operações envolvendo os dados gravados no servidor de arquivos da empresa. Quando se habilita os logs de auditoria você pode definir qual operação deve ser auditada: criação de arquivos e pastas, deleção e modificação são apenas algumas das personalizações disponíveis na auditoria. O nível de detalhes é você quem vai dizer.
Desvantagens:
Se você marcar para gravar todas as operações, o log de segurança do Windows vai ficar muito grande, alocando muito espaço em disco. Para resolver esse problema é possível você customizar o tamanho máximo do log de segurança. Porém, caso o tamanho não seja bem definido, os logs mais antigos serão substituidos pelos novos e quando você procurar o evento em questão será tarde demais.
Se você tem uma ambiente com muitas estações fica inviável você procurar o evento exato onde seria possível visualizar o usuário que gravou o vírus no compartilhamento. Seria como procurar uma agulha no palheiro.
E a solução?
FTK Imager + ADfind!
O FTK Imager é uma ferramenta gratuita para coleta e análise forense (Investigação de crimes) de dados armazenados em HD’s, desenvolvida pela AccessData. Existe uma versão paga com mais funcionalidades, mas para nossa situação a solução gratuita resolve nosso problema.
O ADfind é uma ferramanta de linha de comando para fazer buscas de dados e informações no Active Directory.
Os testes
Para o ambiente demonstrado temos um servidor de arquivos com o sistema operacional Windows 2003 Server com Active Directory.
Antes de iniciar é interessante deixar claro como são obtidas as informações que aparecerão no log da sua auditoria:
1º – Quando se grava qualquer dado em partições do tipo NTFS ele armazena uma série de informações no arquivo, entre elas o OWNER SID que seria a identificação do criador do arquivo.
2º – O valor do OWNER SID é numeração que pode ser comparada com o CPF, onde só existe uma pessoa com aquela sequência numérica (teoricamente).
3º – Cada usuário no Active Directory tem seu SID (“CPF”).
O que vamos fazer é visualizar e armazenar o OWNER SID do arquivo infectado através do FTK e guardar essa informação. Em seguida utilizaremos o ADfind para fazer uma listagem de todos os objetos do Active Directory e armazenar esta listagem em um arquivo de texto. Logo depois vamos efetuar uma busca com o valor do OWNER SID obtido do arquivo infectado. Essa busca será feita na listagem do ADfind. No final das buscas descobriremos qual usuário que criou aquele arquivo e consequentemente o host da rede quevem infectando o servidor.
Passo 1
Após o download do FTK extraia os arquivos no servidor e execute o arquivo “ftk imager.exe”:
Passo 2
Click no segundo ícone localizado na barra de opções para o FTK adicionar todos os discos lógicos do servidor:
Passo 3
Após a adição dos drivers lógicos navegue até o diretório compartilhado onde se encontra o arquivo malicioso:
Passo 4
Vai na guia “View” e marque a opção “Properties”. Click em cima do arquivo malicioso e procure o OWNER SID no box das propriedades do arquivo e copie o SID.
Passo 5
Após o download do ADfind, extraia-o em uma pasta do servidor de sua preferência e em seguida abra o Prompt de comando e navegue até a pasta onde o aplicativo se encontra. Após isso rode o seguinte comando:
adfind -b dc=lab,dc=local -f (sAMAccountName=*) objectSID > c:\sid.txt
Altere as opções em vermelho de acordo com seu ambiente. A opção “C:\sid.txt” é o arquivo de texto onde será armazenado todos os SID’s e o nome dos seus respectivos objetos do Active Directory.
Passo 6
Agora abra o arquivo c:\sid.txt com o bloco de notas do Windows e mande fazer uma busca do SID que foi coletado no passo 04.
Olhai o Joaozinho fazendo “besteira”… Com o nome do usuário associado ao malware fica fácil identificar a máquina infectada e a partir dai tomar algumas providências como verificar se o SO e o antivírus da máquina estão atualizados ou até mesmo tirar o computador da rede até desinfectá-lo totalmente.
I/OTecnologia
Postagens
0 comentários:
Postar um comentário