você está aqui: Home  → Arquivo de Mensagens

Projeto Muffin - Master Unit For Forensics INvestigations

Colaboração: Filippe Spolti

Data de Publicação: 11 de setembro de 2012

Você já conhece o projeto Muffin?

MUFFIN is an Incident Response Toolkit (Master Unit For Forensics INvestigations). MUFFIN supports creating pendrives with prepared utilities and useful tools for collecting volatile information.

Cenário Atual

Você, CSO da empresa XYZ, está em casa. Foi dormir às duas da manhã vendo UFC, é sábado e está o maior frio lá fora. Às 3 em ponto, alguém do seu SOC liga e diz que está monitorando atividade intensa e anormal na sua rede, tem certeza absoluta que aconteceu um outbreak de malware e que provavelmente há vários servidores afetados. Você pensa: "PUTZ, não tinha outra hora para acontecer?". É hora de chamar o CSIRT. Todos te xingam, mas chegam à empresa conforme o marcado e a batalha começa.

Primeiro passo: Entender o que está acontecendo para planejar a CONTENÇÃO. Sua equipe precisa coletar dados voláteis de várias máquinas e analisá-los a fim de traçar estratégias. As máquinas afetadas estão ligadas e não podem ser desligadas (os dados são voláteis). O que a sua equipe tem na mão para fazer isso? Um CD do Helix e um pendrive do CAINE, todos em várias cópias, cada um tem uma. Você orienta o time e eles partem para a batalha, iniciando pelas máquinas mais indicadas, dado o report do SOC. Nisso já são 7h e o CIO, que quase nunca apoia suas orientações, começa a ligar com o famoso "E aí?". Sua equipe precisa coletar os dados e analisá-los o mais rapidamente:

  • Em uma das máquinas, ao colocar o CD com o Helix, ela imediatamente reinicializa;
  • Outra máquina tem uma versão mais antiga do SO, não roda diversos utilitários e toda a coleta fica comprometida;
  • A maioria da equipe não lembra de cabeça os comandos e options necessários. Vários esquecem de capturar a memória por primeiro e muitos sequer trazem o resultado do netstat;
  • Você ouve um barulho, foi um dos analistas socando a mesa porque o Antivirus não deixa de jeito nenhum ele rodar algumas ferramentas;
  • Uma das máquinas tem a famosa tela azul depois da tentativa de rodar um dos programas do toolkit;
  • Quase todo o trabalho de coleta vai por água abaixo porque um dos pendrives retornou infectado. Como o analista estava usando Linux, não houve infecção na sua máquina, mas os resultados coletados seriam confiáveis?

Vocês já viveram isso??? É o que acontece na prática.

Os problemas acima acontecem, todos ou em parte, com cada um dos toolkits atualmente disponíveis como ferramenta de software livre. Dos que eu já pesquisei, o CAINE, o DEFT e o HELIX passam por essas ou outras situações onde ficam devendo. Até mesmo o COFEE, que não se encaixa na definição de software livre (apesar de ser livremente licenciado para polícias) passa por diversos problemas dos narrados acima. É exatamente nesse contexto que o projeto MUFFIN quer entrar: ser uma toolkit voltada para resposta a incidentes e que não tenha as mesmas fraquezas e os mesmos problemas desses que analisamos.

Para atingir isso, o MUFFIN será composto por 3 módulos:

  • O pendrive MUFFIN, que é a toolkit propriamente dita;
  • O MUFFIN Baker, uma ferramenta que permite configurar e gerar o pendrive MUFFIN;
  • O MUFFIN Report, que vai acessar os dados gerados/coletados pelo pendrive MUFFIN.
  • O projeto já tem roadmap e escopo bem definido. Sua versão 0.1, marcada para ser apresentada no formato de procedimento, vai ao ar em breve. Em paralelo, a equipe do projeto trabalha na versão 0.2, primeira versão que vai trazer o Baker, automatizando a geração do pendrive MUFFIN.

Estamos desenvolvendo-o em Lazarus com SQLite. O Lazarus é um compilador Pascal com um ambiente muito parecido com Delphi, trazendo o beneficio de compilar o mesmo fonte em vários sistemas operacionais, incluindo Linux e o Mac OS.

Estamos precisando de colaboradores. Se você conhece de programação e pode nos ajudar, entre em contato. Se você não conhece, mas ainda assim quer ajudar no projeto, excelente. Há muito trabalho e todos são bem vindos.

Participantes: Tony Rodrigues, Diego Fuschini, Dimas Tomadon, Fernando A. Damião, Giancarlo Boaron, Giovanni Zanol, Gustavo Roberto, Ricardo Amaral, Tassya Frigiéri, Eduardo Schimidt, Vitor Nakano
Linguagem: Lazarus - Free Pascal
Página do Projeto: http://code.google.com/p/muffin-project/



 

 

Veja a relação completa dos artigos de Filippe Spolti

Opinião dos Leitores

Filippe Spolti
13 Nov 2012, 14:42
Olá Sebastião, você pode ter livre acesso a ferramenta para usar, testar e nos passar feedback, melhorias, dificuldades em usar o Muffin. A página do projeto está logo acima.
No mais qualquer idéia é bem vinda, se quiser entrar em contato - filippespolti@gmail.com
Abs.
Sebastião
24 Set 2012, 17:05
Oi. Boa tarde. Estou fazendo um TCC com o tema de análise forense e gostaria de saber maiores detalhes sobre esse projeto, se possível. Qualquer coisa entre em contato. Agradeço desde já. Abraço
Bruno
11 Set 2012, 10:12
Lazarus?????? É uma pena, o projeto e o grupo parecem bons, uma lastima a escolha da ferramenta de desenvolvimento. A ferramente se chama Lazarus porque estão tentando ressuscitar o Pascal(Que esta morto), alem do que uma ferramente que esta na versão 1.0 não tem estabilidade e nem uma comunidade estabelecida para suportar os requisitos do projeto.
Eu sinto muito, mas acredito que enquanto a ferramenta não for trocada por uma que realmente tenha as qualidades necessária o Muffin será só um monte de código que não funcionam e ninguém mete a mão.
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script