Utilizaremos em nosso exercício uma máquina virtual nas configurações conforme a figura 01. Para coleta das características iniciais acoplaremos um HD de 20Gb (E:\) a essa máquina virtual e serão utilizados softwares executados a partir de um CD-ROM (NCTFORKIT.iso) na mesma. Lembramos que em situações reais, não existe um estado inicial para comparação e cada sistema possui diversos aplicativos específicos já instalados, dificultando a detecção das alterações feitas pelos códigos maliciosos e criando a necessidade de experiência do analista forense para obtenção de sucesso no trabalho realizado.
O objetivo da perícia é identificar as alterações realizadas pelo código infiltrado no sistema, removendo o mesmo da memória, da inicialização e imunizar o sistema contra ataques similares, levantando assim uma ficha técnica do malware.
Com a ficha técnica do malware, passamos a identificar o objetivo do autor do código e possivelmente o próprio autor, para iniciar um processo criminal tipificado contra o mesmo.
Para fazer parte de um processo criminal, as evidências devem ser coletadas de forma cuidadosa e criteriosa, o sucesso do caso depende na capacidade das amostras serem confirmadas e verificadas como fidedignas. Num caso real, seria gerada uma imagem do HD da vítima para a realização da coleta, de forma que o mesmo fosse preservado como evidência.
Figura 1.
O ataque escolhido para nosso teste foi um malware, portanto, as modificações possíveis no estado atual são inúmeras, buscaremos então coletar o máximo possível de dados, pois assim teremos mais informação para utilizar em testes comparativos do estado anterior e posterior do sistema. Como estamos criando um retrato inicial pré-infecção, a ordem das ferramentas que utilizaremos não fará diferença na análise posterior.
As ferramentas utilizadas tentarão angariar o máximo de informações a respeito do estado anterior do equipamento, todavia, após a infecção, dependendo do tipo de malware que estamos lidando, muitas delas não mostrarão qualquer alteração em seu estado, pois cada tipo de malware tem seu modo de operação, podendo modificar desde drivers instalados a serviços iniciados pelo registro.
Utilizaremos um malware recebido por email por um de nossos clientes em seu dia a dia. O email traz em seu conteúdo um despacho judicial de interesse do destinatário com um link para o mesmo, e foi enviado aparentemente pela Procuradoria de Justiça. Trata-se de um link para um endereço incomum em que não aparece o DNS e sim o próprio IP público.
O autor posicionou o arquivo isca em um servidor ao invés de mandá-lo diretamente como anexo, pois sabia que certamente o arquivo seria bloqueado por softwares antivírus tanto dos clientes quanto dos provedores. De fato, ao tentar baixar arquivo, o antivírus instalado em nosso cliente detectou o malware e eliminou o mesmo. O cliente então se deu conta do scam e entrou em contato conosco. Depois tentamos enviar o arquivo executável diretamente como anexo,mas o mesmo nunca chegou ao destino, sendo facilmente reconhecido como um risco potencial pelos servidores.
Muito embora tal espécie de email deva ser de imediato ignorado, vamos em frente mesmo contra o bom senso para examinarmos esse código a título educacional. Lembrando que tais procedimentos são extremamente arriscados e somente devem ser realizados em máquinas virtuais ou máquinas com conteúdo descartável.
Abrindo o link no navegador em uma máquina virtual sem antivírus, iniciamos o download de um arquivo chamado “DESPACHOARTIGO875234134.exe” e em seguida executamos o mesmo.