No artigo anterior, exploramos como o AIDE (Advanced Intrusion Detection Environment) pode ser usado para análises forenses no Rocky Linux 9. Agora, vamos apresentar mais 5 exemplos práticos que demonstram a versatilidade e eficácia do AIDE em cenários reais de segurança cibernética.
1. Detecção de backdoors em binários
Cenário: Um invasor pode ter injetado um backdoor em binários do sistema, como /usr/bin/ssh.
Passos:
-
Execute uma verificação com o AIDE:
sudo aide --check
-
Analise o relatório para identificar alterações em binários:
Changed files: /usr/bin/ssh
-
Compare o binário atual com uma versão limpa:
sudo rpm -Vf /usr/bin/ssh
-
Se houver discrepâncias, reinstale o pacote afetado:
sudo dnf reinstall openssh-clients
2. Monitoramento de arquivos de log
Cenário: Um invasor pode ter adulterado arquivos de log para ocultar suas atividades.
Passos:
-
Configure o AIDE para monitorar diretórios de log, como
/var/log:-
Edite
/etc/aide.confe adicione:/var/log NORMAL
-
-
Execute uma verificação:
sudo aide --check
-
Verifique o relatório para identificar alterações:
Changed files: /var/log/secure
-
Analise os logs suspeitos e restaure-os a partir de backups, se necessário.
3. Detecção de arquivos de configuração alterados
Cenário: Um invasor pode ter modificado arquivos de configuração, como /etc/sudoers, para escalar privilégios.
Passos:
-
Execute uma verificação com o AIDE:
sudo aide --check
-
Analise o relatório para identificar alterações:
Changed files: /etc/sudoers
-
Compare o arquivo atual com uma cópia de backup:
sudo diff /etc/sudoers /backup/sudoers.backup
-
Corrija as alterações e investigue como o invasor obteve acesso.
4. Verificação de permissões de arquivos
Cenário: Um invasor pode ter alterado permissões de arquivos para obter acesso não autorizado.
Passos:
-
Configure o AIDE para monitorar permissões de arquivos:
-
Edite
/etc/aide.confe adicione:/etc p+i+u+g
-
-
Execute uma verificação:
sudo aide --check
-
Verifique o relatório para identificar alterações de permissões:
Changed files: /etc/shadow
-
Restaure as permissões corretas:
sudo chmod 600 /etc/shadow
5. Detecção de arquivos ocultos
Cenário: Um invasor pode ter criado arquivos ocultos em diretórios como /tmp ou /root.
Passos:
-
Configure o AIDE para monitorar diretórios suspeitos:
-
Edite
/etc/aide.confe adicione:/tmp NORMAL /root NORMAL
-
-
Execute uma verificação:
sudo aide --check
-
Analise o relatório para identificar arquivos ocultos:
Added files: /tmp/.hidden-file /root/.malware
-
Investigue e remova os arquivos suspeitos.
Conclusão
O AIDE é uma ferramenta indispensável para análises forenses, permitindo a detecção de alterações suspeitas em arquivos do sistema. Com os 5 exemplos práticos adicionais apresentados neste artigo, você pode expandir suas habilidades em forense digital e segurança cibernética no Rocky Linux 9. Além disso, as referências bibliográficas oferecem um ponto de partida para estudos mais aprofundados.
Referências Bibliográficas
Aqui estão três referências bibliográficas que podem ajudá-lo a aprofundar seus conhecimentos sobre forense digital e segurança de sistemas:
-
Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.
-
Este livro é uma referência clássica sobre análise forense de sistemas de arquivos, cobrindo técnicas e ferramentas para investigar sistemas comprometidos.
-
-
Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
-
Um guia abrangente sobre evidências digitais e investigação de crimes cibernéticos, com foco em práticas forenses e técnicas de análise.
-
-
NIST Special Publication 800-86 (2006). Guide to Integrating Forensic Techniques into Incident Response.
-
Este guia do NIST fornece diretrizes para integrar técnicas forenses em respostas a incidentes, incluindo o uso de ferramentas como o AIDE.
- https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf
-
