Curso Forense Computacional com Software Livre EaD

Curso EaD - Engenharia Reversa e Análise de Malwares

Início em 22/07/2014

Obs: esse curso faz parte da formação de Perito Forense Digital. Entretanto, qualquer pessoa pode realizá-lo, sendo indicado, caso não seja aluno da formação, que cumpra os pré requisitos.

Curso que alia prática e teoria, abordando técnicas de análise de diversos objetos maliciosos, como vírus, worms, rootkits e documentos com código malicioso. Com esse conteúdo, o aluno será capaz de auxiliar no processo de resposta a incidentes que envolvam malwares, e elevar sua capacidade de análise forense à um nível superior aos dos demais profissionais.

O instrutor será o profissional Luiz Vieira, com 18 anos de experiência em TI e 12 em segurança da informação. O instrutor do curso possui anos de experiência em testes de invasão, tanto em redes, quanto aplicações web, redes wireless e review code. E é uma oportunidade de aprender com quem convive com as necessidades e situações reais do mercado atual, com clientes de grande porte como multinacionais de diversas áreas (Petróleo e Gás, Telecomunicações, Transportes, Operadoras de Cartão de Crédito, Bancos, Instituições Militares e Órgãos Públicos). Mais informações no linkedin

O curso abordará técnicas de análise de malwares tanto de Windows quanto Linux, e cobrirá os tópicos abaixo, de uma forma macro:

• Análise de Arquivos de Documentos Maliciosos - O aluno será capaz de demonstrar um entendimento das ferramentas e técnicas utilizadas para analisar arquivos de documentos maliciosos.
• Análise de Arquivos Protegidos - O aluno será capaz de realizar a análise de arquivos de softwares protegidos contra o processo de análise, e aprenderá suas técnicas correspondentes.
• Análise de Malwares Web - O aluno será capaz de utilizar ferramentas e técnicas para analisar malwares do tipo web.
• Características em x86 Assembly e Malwares Comuns da Plataforma Windows - O aluno aprenderá as características de malwares comuns de plataforma Windows, bem como os padrões existentes no código Assembly desse tipo de malware.
• Análise Completa de Browsers Scripts Maliciosos - O aluno desenvolverá as habilidade necessárias para analisar malwares web complexos que se utilizam de browsers scripts para infecção e propagação.
• Análise Completa de Executáveis Maliciosos - O aluno aprenderá métodos avançados para examinar softwares maliciosos e descobrir detalhes adicionais sobre suas funcionalidades.
• Análise de Malwares Utilizando Forense de Memória - O aluno aprenderá como utilizar técnicas de forense de memória para identificar e extrair malwares a serem analisados.
• Fundamentos de Análise de Código de Malwares e Comportamental - O aluno aprenderá como utilizar ferramentas e técnicas para realizar análise estática e dinâmica de malwares, incluindo a construção de ambiente de laboratório e o uso de debuggers, disassemblers, sniffers, e outras ferramentas úteis.

O aluno montará seus próprios LABs com orientação do instrutor, e poderá utilizar sua infraestrutura para realizar os testes durante a aula, e posteriormente ao assistir os vídeos gravados das aulas.

Máquinas virtuais necessárias: REMnux Linux, Windows 7, Windows XP e outras que serão disponibilizadas pelo instrutor ao início do curso. As máquinas podem ser virtualizadas utilizando VMWare ou VirtualBox.

Quem tiver interesse no curso, por favor, acesse o link http://bit.ly/ZkbwEE e faça sua inscrição no curso "Engenharia Reversa e Análise de Malwares". Para pagamentos via Paypal ou BCash, após preencher o formulário, aguarde o e-mail com o link de cobrança.

Carga horária: 40h
Investimento: R$ 990,00 (com possibilidade de parcelamento em até 12x no cartão de crédito)
Desconto: 10% de desconto para pgtos à vista.
Horário de aula: 22h às 01h
Dias de aula: ter. e qui.
Início das aulas: 22/07/2014
Local: Internet

Observação: para pagamentos via depósito em conta, com 10% de desconto, entre em contato com luizwt at gmail.com.

Suíte de ferramentas FOCA

Não sei se todos os que acessam o blog conhecem a suíte de ferramentas FOCA, e por isso decidi escrever esse pequeno artigo...
Até o momento, existem três ferramentas distintas na suíte, criada pelo pessoal do http://informatica64.com/ :
- FOCA
- FOCA Forensic
- Evil FOCA

Não adianta falar do Evil FOCA sem explicar as demais ferramentas da suíte e suas funcionalidades. Por isso, vamos começar do início, a primeira ferramenta...

FOCA

Tudo começou com a FOCA, que quer dizer "Fingerprinting Organizations with Collected Archives", e o primeiro post de seu criador data de 2008 em seu blog.

O foco (sem trocadilhos) dessa ferramenta é a extração de metadados de arquivos e documentos, para que possam ser utilizados tanto em investigação forense, quanto na fase de fingerprinting de um pentest. E seu criador usou como base várias ferramentas como modelo, incluindo o Metagoofil, que era uma das principais no que dizia respeito à extração e análise de metadados de arquivos.

Seguem abaixo algumas das funcionalidades da FOCA, para auxiliar investigadores e pentesters:

• Nomes de usuários do sistema
• Versão do Software utilizado
• Correios eletrônicos encontrados
• Data de criação, alteração e impressão de documentos
• Sistema operacional de onde o documento foi criado
• Nome das impressoras utilizadas
• Permite descobrir subdomínios e mapear a rede da organização
• Nome e IPs descobertos nos metadados
• Transferência de zona
• Entre muitas outras coisas...

Bons links para entender um pouco mais sobre a ferramenta:

• http://www.darkreading.com/blog/227700505/foca-and-the-power-of-metadata-analysis.html
• https://www.infosecisland.com/blogview/6707-Metadata-Analysis-With-FOCA-25.html
• http://www.securitytube.net/video/1353
• http://www.youtube.com/watch?v=Ou4TRvzYpVk
• http://www.youtube.com/watch?v=r3K7V4LL8yk
• http://www.youtube.com/watch?v=l9R_m7TI-7A

Para baixar o FOCA, basta acessar esse link e informar seu e-mail ao final da página:
http://informatica64.com/foca.aspx

Também é possível, para facilitar nossas vidas, usar a ferramenta na versão online:
http://informatica64.com/foca/

FOCA Forensic

Extendendo algumas funcionalidade da FOCA original, seus desenvolvedores decidiram criar a FOCA Forensic, cuja funcionalidade principal é que, através da análise dos metadados de arquivos, gera um caso forense através do que chamamos de "Forensic Sound Manner" (seguindo padrões internacionais estabelecidos para garantir a integridade das informações adquiridas). Assim, o usuário tem certeza de que a documentação gerada pela aplicação, é íntegra e pode ser utilizada durante uma investigação forense com base legal.

Os formatos de arquivos suportados pela aplicação são:

• Microsoft Office 2007 e posterior (.docx, .xlsx, .pptx, .ppsx)
• Microsoft Office 97 até 2003 (.doc, .xls, .ppt, .pps)
• OpenOffice (.odt, .ods, .odg, .odp, .sxw, .sxc, .sxi)
• Documentos PDF
• Informações EXIF de imagens JPG
• WordPerfect (.wpd)
• Imagens SVG
• Documentos de InDesign (.indd)

A ferramenta disponibiliza diversas formas de visualização dos dados extraídos dos documentos analisados e ao final, ainda permite exportas essas informações no formato XML ou HTML para que sejam utilizados da forma que lhe convier.

Quem quiser conhecer um pouco mais sobre essa ferramenta e baixar o Demo da mesma, basta acessar o link abaixo:
http://www.informatica64.com/forensicfoca/

Evil FOCA

Há alguns dias atrás, os criadores da FOCA lançaram uma nova ferramenta, que integrará a suíte FOCA, mas com um foco diferente: ataques à redes IPv4 e IPv6. E o nome dessa ferramenta é Evil FOCA!

Infelizmente, como as outras ferramentas da suíte, apenas o Demo está disponível e pode ser baixado daqui:
http://informatica64.com/EvilFoca/download.aspx

Essa ferramenta permite a realização de diversos ataques interessantes, e é ainda uma das poucas que suporta o IPv6 para alguns ataques. Acessem os links abaixo para ver alguns desses ataques e entenderem o procedimento:

• http://www.elladodelmal.com/2013/03/evil-foca-ataque-slaac-1-de-4.html
• http://www.elladodelmal.com/2013/03/evil-foca-ataque-slaac-2-de-4.html
• http://www.elladodelmal.com/2013/03/evil-foca-ataque-slaac-3-de-4.html
• http://www.elladodelmal.com/2013/03/evil-foca-ataque-slaac-4-de-4.html

E para complementar, o blog DragonJAR fez um manual não-oficial do Evil FOCA, com alguns prints legais de tela e o direcionamento para alguns ataques. Acessem e divirtam-se:
http://www.dragonjar.org/evil-foca-manual-no-oficial.xhtml

É isso :-)

Extensão para o Metasploit/Meterpreter: sessiondump

Essa nova extensão para o meterpreter, é utilizada para realizar o dump de senhas de sistemas Windows. Ela oferece essa possibilidade para senhas que utilizem os algoritmos LM e NTLM em sistemas Windows nas versões XP/2003 até 8/2012, tanto de arquitetura x86 quanto x64.

A ferramenta foi desenvolvida por Steven Barbeau e pode ser baixada daqui: http://www.hsc.fr/ressources/outils/sessiondump/download/sessiondump0.1.bz2

Depois de baixá-lo, a primeira coisa a se fazer é descompactá-lo:

E então colocá-lo no lugar correto, dentro do diretório do Metasploit, já que o desenvolvedor criou seguindo a mesma estrutura do Metasploit:

Após uma exploração bem sucedida, usando qualquer exploit que seja, e conseguindo uma sessão do meterpreter, carregamos a extensão:

E abaixo podemos ver quais os comandos estão disponíveis:

Aqui executamos o comando getHashes:

Ou o comando getWdigestPasswords:

No caso de tentar executar esses comandos em um sistema Windows x64, é provável que ocorra um erro, dizendo que você não tem a versão correta de offsets. Isso pode ser resolvido migrando para o processo winlongon. Vejamos abaixo:

E última coisa que precisa ser lembrada: para executar essa extensão no alvo, você precisa ser usuário com poderes administrativos como NT\AUTHORITY SYSTEM por exemplo. E isso pode ser conseguido após uma escalada de privilégio ;-)

Formações em Segurança da Informação

Valores atualizados em Janeiro/2016

Como vários alunos já haviam solicitado, estamos lançando as formações de segurança para facilitar o acesso dos alunos ao mercado de trabalho e promover descontos na aquisição de pacotes de cursos, além de possibilitar o pagamento de forma mais diluída como uma mensalidade, através de depósito em conta.

Ao todo, oferecemos no momento 10 cursos diferentes, que combinados em pacotes de 6 cursos, tornam-se formações profissionais.

Todas as formações tem desconto de 20% se comparados aos cursos componentes das mesmas caso fossem adquiridos separadamente. E para facilitar aos alunos a participação nas formações, todas poderão ser pagas em 10x sem juros através de depósito em conta, ou à vista com 10% de desconto. Caso queira realizar o pagamento via PagSeguro, não haverá descontos, mas será possível utilizar seu cartão de crédito.

Vamos às formações e os cursos que fazem parte das mesmas:

Perito Forense Digital

1 - Hardening de Servidores Linux

2 - Pentest em Redes

3 - Pentest em Aplicações WEB

4 - Perícia Forense Digital

5 - Fundamentos de Programação com Assembly e C

6 - Análise de Malwares

Investimento na formação = 18x 380,00

Carga horária = 240h

Especialista em Teste de Invasão

1 - Pentest em Redes
2 - Engenharia Social (conteúdo offline)
3 - Pentest em Aplicações WEB

4 - Fundamentos de Programação com Assembly e C

5 - Programação para Pentesters

6 - Pentest Avançado e Introdução à Exploração de Softwares

Investimento na formação = 18x 370,00

Carga horária = 218h

Desenvolvedor de Exploits

1 - Pentest em Redes
2 - Pentest em Aplicações WEB
3 - Fundamentos de Programação com Assembly e C

4 - Programação para Pentesters

5 - Pentest Avançado e Introdução à Exploração de Softwares

6 - Exploitation

Investimento na formação = 18x 410,00

Carga horária = 240h

O aluno participará das turmas conforme as mesmas forem ocorrendo de acordo com nosso calendário, possibilitando que o aluno possa iniciar sua formação a qualquer momento, no início de qualquer uma das turmas que façam parte de sua formação.

Além do certificado de cada curso, ao final da formação o aluno receberá o diploma referente à formação escolhida.

Para inscrever-se, basta entrar em contato por e-mail: luizwt@gmail.com e informar em qual formação deseja inscrever-se.

PS: é possível realizar mais de uma formação por vez.