Análise Forense com ClamAV: Identificando malware e alterações em sistemas comprometidos
A detecção de malware é uma etapa crucial na análise forense digital, especialmente quando se trata de investigar sistemas comprometidos. O ClamAV, um antivírus de código aberto, é uma ferramenta poderosa para identificar arquivos maliciosos e auxiliar na análise de alterações suspeitas em uma máquina. Neste artigo, vamos explorar como utilizar o ClamAV para verificar arquivos criados, deletados, alterações em diretórios e logs, fornecendo exemplos práticos de análise forense.
1. Introdução ao cenário
Imagine uma máquina Linux que está apresentando comportamentos anômalos, como lentidão, tráfego de rede incomum e arquivos corrompidos. O objetivo é utilizar o ClamAV para:
-
Verificar a presença de malware em arquivos recentemente criados ou modificados.
-
Identificar exclusões de arquivos críticos.
-
Analisar diretórios suspeitos em busca de atividades maliciosas.
-
Investigar logs adulterados ou corrompidos.
2. Instalação e configuração do ClamAV
Antes de começar, é necessário instalar o ClamAV. Em sistemas baseados em Debian/Ubuntu, utilize:
sudo apt-get update sudo apt-get install clamav clamav-daemon
Após a instalação, atualize a base de assinaturas de vírus:
sudo freshclam
3. Verificando arquivos criados ou modificados
Arquivos maliciosos são frequentemente criados ou modificados durante um ataque. Para identificar arquivos alterados nos últimos 7 dias e verificá-los com o ClamAV, siga os passos abaixo:
3.1. Localizando arquivos recentes
Use o comando find para listar arquivos modificados nos últimos 7 dias:
find / -type f -mtime -7 -exec ls -l {} \;
3.2. Verificando com ClamAV
Para verificar esses arquivos com o ClamAV, utilize:
find / -type f -mtime -7 -exec clamscan {} \;
Exemplo de saída:
/home/user/.hidden_script.sh: Win.Trojan.Malware-12345 FOUND
Arquivos marcados como “FOUND” devem ser isolados e analisados com mais detalhes.
4. Detectando exclusões de arquivos
A exclusão de arquivos críticos pode ser um indicativo de atividade maliciosa. Para identificar exclusões, analise os logs do sistema, como /var/log/syslog ou /var/log/auth.log.
4.1. Buscando comandos de exclusão
Use grep para buscar entradas relacionadas ao comando rm:
grep "rm -rf" /var/log/syslog
4.2. Verificando arquivos excluídos
Se possível, restaure os arquivos excluídos de backups ou sistemas de versionamento (ex: git, snapshots) e verifique-os com o ClamAV:
clamscan /caminho/do/backup
5. Analisando diretórios suspeitos
Diretórios como /tmp, /var/www, ou /home são alvos comuns de malware. Para verificar diretórios específicos com o ClamAV, utilize:
clamscan -r /var/www
-
-r: Verifica recursivamente todos os arquivos no diretório.
Exemplo de Saída:
/var/www/uploads/malware.exe: Win.Trojan.Dropper-67890 FOUND
6. Investigando logs adulterados
Ataques frequentemente incluem a adulteração de logs para apagar evidências. Para identificar logs corrompidos ou maliciosos, siga os passos abaixo:
6.1. Verificando logs com ClamAV
Analise logs do sistema, como /var/log/auth.log ou /var/log/apache2/access.log, em busca de scripts ou payloads maliciosos:
clamscan /var/log
6.2. Buscando padrões de ataque
Combine o ClamAV com grep para identificar padrões suspeitos:
grep -E "wget|curl|bash -c" /var/log/auth.log | clamscan -
-
Regex:
wget|curl|bash -ccaptura comandos comuns usados em ataques. -
clamscan -: Verifica o conteúdo diretamente a partir da entrada padrão.
7. Monitorando atividades em tempo real
Para monitorar alterações em tempo real e verificar novos arquivos com o ClamAV, utilize o inotifywait em conjunto com o ClamAV:
inotifywait -m -r -e create,modify /diretorio/monitorado | while read path action file; do clamscan "$path$file" done
-
inotifywait: Monitora eventos de criação e modificação em um diretório. -
clamscan: Verifica cada novo arquivo criado ou modificado.
Conclusão
O ClamAV é uma ferramenta essencial para análise forense, permitindo a detecção de malware e a investigação de alterações suspeitas em sistemas comprometidos. Ao combinar o ClamAV com comandos como find, grep e inotifywait, é possível:
-
Identificar arquivos maliciosos criados ou modificados.
-
Detectar exclusões de arquivos críticos.
-
Analisar diretórios e logs em busca de atividades maliciosas.
No entanto, a análise forense exige uma abordagem abrangente: valide sempre os resultados com múltiplas ferramentas e documente todas as evidências para garantir a integridade do processo.
Referências Bibliográficas
-
Nikkel, B. (2021). Practical Linux Forensics: A Guide for Digital Investigators. No Starch Press.
-
ClamAV Documentation. (2023). Official ClamAV User Manual. Disponível em: https://docs.clamav.net/.
-
Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.
Estas obras fornecem bases técnicas aprofundadas sobre análise forense, uso do ClamAV e metodologias de investigação, complementando os exemplos práticos deste artigo.
