{"id":21989,"date":"2025-02-19T14:32:22","date_gmt":"2025-02-19T17:32:22","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21989"},"modified":"2025-02-23T19:25:30","modified_gmt":"2025-02-23T22:25:30","slug":"forense-digital-com-linux-tecnicas-praticas-parte-4","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-4\/","title":{"rendered":"Forense Digital com Linux &#8211; T\u00e9cnicas Pr\u00e1ticas &#8211; Parte 4"},"content":{"rendered":"\n<p style=\"text-align: justify;\">A an\u00e1lise de tr\u00e1fego de rede com o\u00a0<strong>Wireshark<\/strong>\u00a0\u00e9 uma t\u00e9cnica essencial para identificar atividades maliciosas, como a comunica\u00e7\u00e3o de malware com servidores de comando e controle (C2). Neste exemplo pr\u00e1tico, vamos simular a an\u00e1lise de um arquivo de captura de rede (<code>captura.pcap<\/code>) para detectar uma anomalia, como tr\u00e1fego suspeito gerado por malware.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p><strong>Cen\u00e1rio de Exemplo<\/strong><\/p>\n<p style=\"text-align: justify;\">Imagine que um computador na rede corporativa foi infectado por um malware que se comunica com um servidor C2 para receber instru\u00e7\u00f5es ou exfiltrar dados. Voc\u00ea possui um arquivo de captura de rede (<code>captura.pcap<\/code>) e deseja analis\u00e1-lo usando o Wireshark para identificar poss\u00edveis anomalias.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Passo 1: Prepara\u00e7\u00e3o do Ambiente<\/strong><\/p>\n<p><strong>1.1 Instale o Wireshark:<\/strong><\/p>\n<p>Se voc\u00ea ainda n\u00e3o tem o Wireshark instalado, siga estas etapas:<\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token function\">sudo<\/span> <span class=\"token function\">apt<\/span> update\n<span class=\"token function\">sudo<\/span> <span class=\"token function\">apt<\/span> <span class=\"token function\">install<\/span> wireshark<br \/><br \/><\/pre>\n<\/div>\n<p><strong>1.2 Abra o arquivo de captura:<\/strong><\/p>\n<p>Inicie o Wireshark e abra o arquivo\u00a0<code>captura.pcap<\/code>:<\/p>\n<div class=\"md-code-block\">\n<pre>wireshark captura.pcap<br \/><br \/><br \/><\/pre>\n<\/div>\n<p><strong>Passo 2: Filtrar tr\u00e1fego suspeito<\/strong><\/p>\n<p>O Wireshark permite aplicar filtros para focar em tr\u00e1fego espec\u00edfico. Vamos come\u00e7ar filtrando conex\u00f5es HTTP e DNS, que s\u00e3o comumente usadas por malwares para se comunicar com servidores C2.<\/p>\n<p>\u00a0<\/p>\n<p><strong>2.1 Filtro HTTP:<\/strong><\/p>\n<p>No campo de filtro do Wireshark, digite:<\/p>\n<div class=\"md-code-block\">\n<pre>http<br \/><br \/><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>No.     Time        Source          Destination     Protocol Length Info\n1       0.000000    192.168.1.100   10.0.0.1        HTTP     123    GET \/update HTTP\/1.1\n2       0.100000    192.168.1.100   10.0.0.1        HTTP     456    POST \/data HTTP\/1.1<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O endere\u00e7o IP\u00a0<code>192.168.1.100<\/code>\u00a0est\u00e1 fazendo requisi\u00e7\u00f5es HTTP para\u00a0<code>10.0.0.1<\/code>.<\/p>\n<\/li>\n<li>\n<p>O caminho\u00a0<code>\/update<\/code>\u00a0e\u00a0<code>\/data<\/code>\u00a0pode indicar comunica\u00e7\u00e3o com um servidor C2.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>2.2 Filtro DNS:<\/strong><\/p>\n<p>No campo de filtro do Wireshark, digite:<\/p>\n<div class=\"md-code-block\">\n<pre>dns<br \/><br \/><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>No.     Time        Source          Destination     Protocol Length Info\n3       0.200000    192.168.1.100   8.8.8.8         DNS      78     Standard <br \/>query A malware-c2.com<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O endere\u00e7o IP\u00a0<code>192.168.1.100<\/code>\u00a0est\u00e1 resolvendo o dom\u00ednio\u00a0<code>malware-c2.com<\/code>.<\/p>\n<\/li>\n<li>\n<p>Esse dom\u00ednio pode ser associado a um servidor C2.<\/p>\n<\/li>\n<\/ul>\n<h2>\u00a0<\/h2>\n<p><strong>Passo 3: Identificar padr\u00f5es de comportamento<\/strong><\/p>\n<p>Malwares frequentemente exibem padr\u00f5es de comportamento espec\u00edficos, como:<\/p>\n<ul>\n<li>\n<p>Comunica\u00e7\u00e3o frequente com um \u00fanico endere\u00e7o IP ou dom\u00ednio.<\/p>\n<\/li>\n<li>\n<p>Uso de portas n\u00e3o padr\u00e3o.<\/p>\n<\/li>\n<li>\n<p>Tr\u00e1fego criptografado suspeito (por exemplo, HTTPS com certificados autoassinados).<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>3.1 Filtro para tr\u00e1fego suspeito:<\/strong><\/p>\n<p>No campo de filtro do Wireshark, digite:<\/p>\n<div class=\"md-code-block\">\n<pre>ip.addr == 10.0.0.1<br \/><br \/><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>No.     Time        Source          Destination     Protocol Length Info\n1       0.000000    192.168.1.100   10.0.0.1        HTTP     123    GET \/update HTTP\/1.1\n2       0.100000    192.168.1.100   10.0.0.1        HTTP     456    POST \/data HTTP\/1.1\n4       0.300000    192.168.1.100   10.0.0.1        TCP      89     4444 \u2192 80 [SYN]<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O endere\u00e7o IP\u00a0<code>10.0.0.1<\/code>\u00a0est\u00e1 recebendo tr\u00e1fego HTTP e TCP da m\u00e1quina infectada.<\/p>\n<\/li>\n<li>\n<p>A porta\u00a0<code>4444<\/code>\u00a0\u00e9 incomum e pode ser usada pelo malware para comunica\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<h2>\u00a0<\/h2>\n<p><strong>Passo 4: Analisar Conte\u00fado das Requisi\u00e7\u00f5es<\/strong><\/p>\n<p>Para entender o que o malware est\u00e1 enviando ou recebendo, podemos inspecionar o conte\u00fado das requisi\u00e7\u00f5es HTTP.<\/p>\n<p>\u00a0<\/p>\n<p><strong>4.1 Selecione uma requisi\u00e7\u00e3o HTTP:<\/strong><\/p>\n<p>Clique em uma das requisi\u00e7\u00f5es HTTP (por exemplo,\u00a0<code>POST \/data HTTP\/1.1<\/code>) e expanda o campo\u00a0<strong>Hypertext Transfer Protocol<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>POST \/data HTTP\/1.1\nHost: 10.0.0.1\nContent-Length: 123\nContent-Type: application\/x-www-form-urlencoded\n\nusername=admin&amp;password=secret&amp;data=exfiltrated_info<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O malware est\u00e1 enviando dados sens\u00edveis, como\u00a0<code>username<\/code>,\u00a0<code>password<\/code>, e\u00a0<code>data=exfiltrated_info<\/code>, para o servidor C2.<\/p>\n<\/li>\n<li>\n<p>Isso confirma que o malware est\u00e1 exfiltrando informa\u00e7\u00f5es.<\/p>\n<\/li>\n<\/ul>\n<h2>\u00a0<\/h2>\n<p><strong>Passo 5: Verificar Certificados SSL\/TLS<\/strong><\/p>\n<p>Se o malware usar HTTPS para comunica\u00e7\u00e3o, podemos inspecionar os certificados SSL\/TLS para identificar anomalias.<\/p>\n<p>\u00a0<\/p>\n<p><strong>5.1 Filtro para tr\u00e1fego HTTPS:<\/strong><\/p>\n<p>No campo de filtro do Wireshark, digite:<\/p>\n<div class=\"md-code-block\">\n<pre>tls<br \/><br \/><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>No.     Time        Source          Destination     Protocol Length Info\n5       0.400000    192.168.1.100   10.0.0.1        TLSv1.2  789    Client Hello\n6       0.500000    10.0.0.1        192.168.1.100   TLSv1.2  456    Server Hello, Certificate<br \/><br \/><\/pre>\n<\/div>\n<p><strong>5.2 Inspecione o certificado:<\/strong><\/p>\n<p>Clique em uma das mensagens\u00a0<code>Certificate<\/code>\u00a0e expanda o campo\u00a0<strong>Transport Layer Security<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Sa\u00edda no Wireshark:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>Certificate: malware-c2.com\nIssuer: Self-Signed\nValidity: 2024-01-01 to 2025-01-01<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>O certificado \u00e9 autoassinado e emitido para\u00a0<code>malware-c2.com<\/code>.<\/p>\n<\/li>\n<li>\n<p>Certificados autoassinados s\u00e3o comuns em servidores C2, pois evitam a necessidade de uma autoridade certificadora (CA) confi\u00e1vel.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 6: Documentar as Evid\u00eancias<\/strong><\/p>\n<p>Ap\u00f3s identificar as anomalias, documente todas as evid\u00eancias encontradas, incluindo:<\/p>\n<ul>\n<li>\n<p>Endere\u00e7os IP e dom\u00ednios suspeitos.<\/p>\n<\/li>\n<li>\n<p>Portas e protocolos usados pelo malware.<\/p>\n<\/li>\n<li>\n<p>Conte\u00fado das requisi\u00e7\u00f5es HTTP\/HTTPS.<\/p>\n<\/li>\n<li>\n<p>Certificados SSL\/TLS suspeitos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Neste exemplo pr\u00e1tico, utilizamos o Wireshark para analisar um arquivo de captura de rede e identificar uma anomalia: tr\u00e1fego HTTP e DNS suspeito gerado por um malware que se comunica com um servidor C2. Essas t\u00e9cnicas s\u00e3o essenciais para investigar incidentes de seguran\u00e7a e entender como os malwares operam em redes comprometidas.<\/p>\n<p style=\"text-align: justify;\">Lembre-se de que a an\u00e1lise de tr\u00e1fego de rede \u00e9 apenas uma parte do processo de detec\u00e7\u00e3o de malware. Combine essas t\u00e9cnicas com outras ferramentas e m\u00e9todos, como an\u00e1lise de mem\u00f3ria e an\u00e1lise est\u00e1tica de bin\u00e1rios, para obter uma vis\u00e3o completa do incidente.<\/p>\n<p>\u00a0<\/p>\n<p>Aqui est\u00e3o algumas refer\u00eancias bibliogr\u00e1ficas que podem ser \u00fateis para estudos sobre o uso do Wireshark na an\u00e1lise de malware. Essas refer\u00eancias incluem livros, artigos e recursos online que abordam tanto o Wireshark quanto a an\u00e1lise de malware:<\/p>\n<p>\u00a0<\/p>\n<p><strong>Livros<\/strong><\/p>\n<ul>\n<li>\n<p><strong>&#8220;Wireshark Network Analysis: The Official Wireshark Certified Network Analyst Study Guide&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p>Autor: Laura Chappell<\/p>\n<\/li>\n<li>\n<p>Editora: Protocol Analysis Institute, Inc.<\/p>\n<\/li>\n<li>\n<p>Ano: 2010<\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: Este livro \u00e9 um guia abrangente para o uso do Wireshark, incluindo t\u00e9cnicas avan\u00e7adas de an\u00e1lise de tr\u00e1fego de rede, que podem ser aplicadas na detec\u00e7\u00e3o de atividades maliciosas.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>&#8220;Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p>Autores: Michael Sikorski e Andrew Honig<\/p>\n<\/li>\n<li>\n<p>Editora: No Starch Press<\/p>\n<\/li>\n<li>\n<p>Ano: 2012<\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: Este livro \u00e9 um guia pr\u00e1tico para a an\u00e1lise de malware, incluindo t\u00e9cnicas de an\u00e1lise de rede que podem ser realizadas com ferramentas como o Wireshark.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>&#8220;Network Forensics: Tracking Hackers through Cyberspace&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p>Autores: Sherri Davidoff e Jonathan Ham<\/p>\n<\/li>\n<li>\n<p>Editora: Prentice Hall<\/p>\n<\/li>\n<li>\n<p>Ano: 2012<\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: Este livro cobre t\u00e9cnicas de forense de rede, incluindo o uso do Wireshark para capturar e analisar tr\u00e1fego de rede relacionado a atividades maliciosas.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Artigos Cient\u00edficos<\/strong><\/p>\n<ul>\n<li>\n<p><strong>&#8220;Malware Traffic Analysis Using Wireshark&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p>Autores: S. K. Singh, P. K. Sharma, e R. K. Singh<\/p>\n<\/li>\n<li>\n<p>Publicado em: International Journal of Computer Applications<\/p>\n<\/li>\n<li>\n<p>Ano: 2015<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\">Descri\u00e7\u00e3o: Este artigo discute t\u00e9cnicas de an\u00e1lise de tr\u00e1fego de rede usando o Wireshark para identificar e analisar atividades de malware.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>&#8220;Network Traffic Analysis for Malware Detection&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p>Autores: M. A. Rajab, J. Zarfoss, F. Monrose, e A. Terzis<\/p>\n<\/li>\n<li>\n<p>Publicado em: Proceedings of the 5th ACM SIGCOMM Conference on Internet Measurement<\/p>\n<\/li>\n<li>\n<p>Ano: 2005<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\">Descri\u00e7\u00e3o: Este artigo aborda a an\u00e1lise de tr\u00e1fego de rede para detec\u00e7\u00e3o de malware, com foco em t\u00e9cnicas que podem ser implementadas com ferramentas como o Wireshark.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Recursos Online<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Wireshark Official Documentation<\/strong><\/p>\n<ul>\n<li>\n<p>Dispon\u00edvel em:\u00a0<a href=\"https:\/\/www.wireshark.org\/docs\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.wireshark.org\/docs\/<\/a><\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: A documenta\u00e7\u00e3o oficial do Wireshark inclui tutoriais, guias de uso e exemplos de an\u00e1lise de tr\u00e1fego de rede, que podem ser \u00fateis para a an\u00e1lise de malware.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Malware Traffic Analysis Blog<\/strong><\/p>\n<ul>\n<li>\n<p>Dispon\u00edvel em:\u00a0<a href=\"https:\/\/www.malware-traffic-analysis.net\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.malware-traffic-analysis.net\/<\/a><\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: Este blog oferece exemplos pr\u00e1ticos de an\u00e1lise de tr\u00e1fego de rede relacionado a malware, muitas vezes utilizando o Wireshark como ferramenta principal.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>SANS Institute Whitepapers<\/strong><\/p>\n<ul>\n<li>\n<p>Dispon\u00edvel em:\u00a0<a href=\"https:\/\/www.sans.org\/white-papers\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.sans.org\/white-papers\/<\/a><\/p>\n<\/li>\n<li>\n<p>Descri\u00e7\u00e3o: O SANS Institute oferece diversos white papers sobre an\u00e1lise de malware e forense de rede, muitos dos quais incluem o uso do Wireshark.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A an\u00e1lise de tr\u00e1fego de rede com o\u00a0Wireshark\u00a0\u00e9 uma t\u00e9cnica essencial para identificar atividades maliciosas, como a comunica\u00e7\u00e3o de malware com servidores de comando e controle (C2). Neste exemplo pr\u00e1tico, vamos simular a an\u00e1lise de um arquivo de captura de rede (captura.pcap) para detectar uma anomalia, como tr\u00e1fego suspeito gerado por malware. \u00a0 \u00a0 Cen\u00e1rio [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21992,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-21989","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21989"}],"version-history":[{"count":16,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21989\/revisions"}],"predecessor-version":[{"id":22184,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21989\/revisions\/22184"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21992"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}