A Forense Digital é uma disciplina essencial no campo da segurança cibernética, permitindo a investigação e análise de incidentes de segurança. Uma das ferramentas mais poderosas para auxiliar nesse processo é o AIDE (Advanced Intrusion Detection Environment), que monitora a integridade dos arquivos do sistema e detecta alterações suspeitas. Neste artigo, vamos explorar como usar o AIDE no Rocky Linux 9 para realizar análises forenses, com 5 exemplos práticos que você pode aplicar em seu ambiente.
Rocky Linux (https://rockylinux.org/pt-BR) é um sistema operacional empresarial de código aberto projetado para ser 100% compatível com o Red Hat Enterprise Linux®. Rocky Linux está em desenvolvimento intensivo pela comunidade.
O que é o AIDE?
O AIDE é uma ferramenta de código aberto que cria um banco de dados com os hashes dos arquivos do sistema. Posteriormente, ele compara o estado atual dos arquivos com esse banco de dados para identificar alterações, como modificações, exclusões ou adições. Isso é extremamente útil para detectar atividades maliciosas, como a instalação de malware ou a alteração de arquivos críticos.
Instalação e configuração do AIDE no Rocky Linux 9
Antes de começarmos com os exemplos práticos, vamos configurar o AIDE no Rocky Linux 9.
-
Instalar o AIDE:
sudo dnf install -y aide
-
Inicializar o Banco de Dados:
sudo aide --init sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
-
Configurar o AIDE (Opcional):
-
Edite o arquivo
/etc/aide.confpara personalizar os diretórios e arquivos monitorados. -
Exemplo de configuração:
/bin NORMAL /sbin NORMAL /usr NORMAL /etc NORMAL /var NORMAL /root NORMAL
-
-
Executar uma Verificação Inicial:
sudo aide --check
Exemplos práticos de uso do AIDE para Forense Digital
Agora que o AIDE está configurado, vamos explorar 5 cenários práticos onde ele pode ser usado para análises forenses.
1. Detecção de arquivos modificados
Cenário: Um administrador suspeita que um arquivo crítico, como /etc/passwd, foi modificado por um invasor.
Passos:
-
Execute uma verificação com o AIDE:
sudo aide --check
-
Analise o relatório para identificar alterações:
sudo aide --check > /var/log/aide-report-$(date +%F).log cat /var/log/aide-report-$(date +%F).log
-
Se o arquivo
/etc/passwdfoi modificado, o relatório mostrará algo como:Changed files: /etc/passwd
-
Compare o arquivo atual com uma cópia de backup ou use ferramentas como
diffpara analisar as alterações.
2. Identificação de arquivos excluídos
Cenário: Um arquivo importante, como /etc/ssh/sshd_config, foi excluído por um ataque.
Passos:
-
Execute uma verificação com o AIDE:
sudo aide --check
-
Verifique o relatório para identificar arquivos excluídos:
Removed files: /etc/ssh/sshd_config
-
Restaure o arquivo a partir de um backup ou reinstale o pacote relacionado:
sudo dnf reinstall openssh-server
3. Detecção de arquivos adicionados
Cenário: Um malware foi instalado no sistema, adicionando arquivos suspeitos em /usr/local/bin.
Passos:
-
Execute uma verificação com o AIDE:
sudo aide --check
-
Analise o relatório para identificar arquivos adicionados:
Added files: /usr/local/bin/malware
-
Investigue o arquivo suspeito:
file /usr/local/bin/malware strings /usr/local/bin/malware -
Remova o arquivo e investigue como ele foi introduzido no sistema.
4. Monitoramento de diretórios críticos
Cenário: Um invasor pode ter modificado scripts de inicialização em /etc/init.d.
Passos:
-
Configure o AIDE para monitorar o diretório
/etc/init.d:-
Edite
/etc/aide.confe adicione:/etc/init.d NORMAL
-
-
Execute uma verificação:
sudo aide --check
-
Verifique o relatório para identificar alterações:
Changed files: /etc/init.d/malicious-script
-
Analise o script suspeito e remova-o se necessário.
5. Verificação de integridade após uma atualização
Cenário: Após uma atualização do sistema, você deseja garantir que nenhum arquivo crítico foi corrompido ou modificado indevidamente.
Passos:
-
Atualize o banco de dados do AIDE para refletir o novo estado do sistema:
sudo aide --update sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
-
Execute uma verificação:
sudo aide --check
-
Analise o relatório para garantir que não há alterações inesperadas.
Boas práticas para uso do AIDE em Forense Digital
-
Backup do banco de dados:
-
Mantenha uma cópia segura do banco de dados do AIDE em um local imutável.
-
-
Verificações periódicas:
-
Configure tarefas cron para executar verificações regulares e enviar relatórios por e-mail.
-
-
Integração com rerramentas de monitoramento:
-
Use ferramentas como o ELK Stack (Elasticsearch, Logstash, Kibana) para centralizar e analisar logs do AIDE.
-
-
Atualização do banco de dados:
-
Sempre atualize o banco de dados após alterações legítimas no sistema.
-
-
Combinação com outras ferramentas:
-
Use o AIDE em conjunto com outras ferramentas de segurança, como SELinux, ClamAV e Fail2Ban.
-
Conclusão
O AIDE é uma ferramenta poderosa para análises forenses, permitindo a detecção de alterações suspeitas em arquivos do sistema. No Rocky Linux 9, ele pode ser usado para monitorar a integridade do sistema, identificar atividades maliciosas e auxiliar na investigação de incidentes de segurança. Ao seguir os exemplos práticos e boas práticas descritas neste artigo, você estará melhor preparado para proteger seu ambiente e responder a incidentes de forma eficaz.
Referências Bibliográficas
Aqui estão três referências bibliográficas que podem ajudá-lo a aprofundar seus conhecimentos sobre forense digital e segurança de sistemas:
-
Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.
-
Este livro é uma referência clássica sobre análise forense de sistemas de arquivos, cobrindo técnicas e ferramentas para investigar sistemas comprometidos.
-
-
Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
-
Um guia abrangente sobre evidências digitais e investigação de crimes cibernéticos, com foco em práticas forenses e técnicas de análise.
-
-
NIST Special Publication 800-86 (2006). Guide to Integrating Forensic Techniques into Incident Response.
-
Este guia do NIST fornece diretrizes para integrar técnicas forenses em respostas a incidentes, incluindo o uso de ferramentas como o AIDE.
- https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf
-
