{"id":22194,"date":"2025-03-05T00:05:00","date_gmt":"2025-03-05T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22194"},"modified":"2025-02-24T18:54:42","modified_gmt":"2025-02-24T21:54:42","slug":"forense-digital-com-linux-tecnicas-praticas-parte-11","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-11\/","title":{"rendered":"Forense Digital com Linux – T\u00e9cnicas Pr\u00e1ticas – Parte 11"},"content":{"rendered":"\n

An\u00e1lise de malware com Express\u00f5es Regulares no Linux<\/strong><\/p>\n

A forense digital \u00e9 uma disciplina essencial para investigar incidentes de seguran\u00e7a, especialmente quando se trata de analisar m\u00e1quinas infectadas por malware. Neste artigo, vamos explorar como as express\u00f5es regulares (regex) no Linux podem ser utilizadas para identificar e analisar padr\u00f5es suspeitos em logs, arquivos e tr\u00e1fego de rede, ajudando a desvendar comportamentos maliciosos em uma m\u00e1quina comprometida.<\/p>\n

\u00a0<\/p>\n

1. Introdu\u00e7\u00e3o ao cen\u00e1rio<\/strong><\/p>\n

Imagine uma m\u00e1quina Linux que est\u00e1 apresentando comportamentos an\u00f4malos, como alto uso de CPU, tr\u00e1fego de rede incomum e arquivos corrompidos. O objetivo \u00e9 utilizar express\u00f5es regulares para analisar logs, arquivos de sistema e capturas de pacotes, identificando padr\u00f5es que possam indicar a presen\u00e7a de malware.<\/p>\n

\u00a0<\/p>\n

2. Compreendendo Express\u00f5es Regulares<\/strong><\/p>\n

Express\u00f5es regulares s\u00e3o sequ\u00eancias de caracteres que definem padr\u00f5es de busca em textos. Elas s\u00e3o extremamente \u00fateis para filtrar e extrair informa\u00e7\u00f5es espec\u00edficas de grandes volumes de dados. No Linux, ferramentas como\u00a0grep<\/code>,\u00a0awk<\/code>,\u00a0sed<\/code>\u00a0e\u00a0perl<\/code>\u00a0suportam o uso de regex, tornando-as ideais para an\u00e1lise forense.<\/p>\n

\u00a0<\/p>\n

3. Analisando Logs do Sistema<\/strong><\/p>\n

Logs do sistema, como\u00a0\/var\/log\/syslog<\/code>\u00a0e\u00a0\/var\/log\/auth.log<\/code>, s\u00e3o fontes valiosas de informa\u00e7\u00e3o. Vamos come\u00e7ar analisando o arquivo\u00a0auth.log<\/code> para identificar tentativas de login suspeitas:<\/p>\n

\n
grep<\/span> \"Failed password\"<\/span> \/var\/log\/auth.log

<\/strong><\/pre>\n<\/div>\n
Este comando utiliza\u00a0grep<\/code> para buscar todas as linhas que cont\u00eam a express\u00e3o “Failed password”, indicando tentativas de login mal-sucedidas. Para refinar a busca e identificar IPs suspeitos, podemos usar uma regex mais complexa:<\/p>\n
\n
grep<\/span> -E<\/span> \"Failed password for .* from ([0-9]{1,3}\\.){3}[0-9]{1,3}\"<\/span> \/var\/log\/auth.log<\/strong><\/pre>\n<\/div>\n
\u00a0<\/p>\n
Aqui,\u00a0-E<\/code>\u00a0habilita o uso de express\u00f5es regulares estendidas. A regex\u00a0([0-9]{1,3}\\.){3}[0-9]{1,3}<\/code>\u00a0captura endere\u00e7os IP, permitindo identificar de onde est\u00e3o vindo as tentativas de acesso.<\/p>\n
\u00a0<\/p>\n
4. Buscando Arquivos Suspeitos<\/strong><\/p>\n
Malwares frequentemente criam ou modificam arquivos no sistema. Para identificar arquivos criados recentemente, podemos usar o comando\u00a0find<\/code> combinado com regex:<\/p>\n
\n
find<\/span> \/ -type<\/span> f -mtime<\/span> -7<\/span> -regex<\/span> \".*\\.\\(sh\\|py\\|exe\\)$\"<\/span><\/strong><\/pre>\n<\/div>\n
\u00a0<\/p>\n
Este comando busca por arquivos (-type f<\/code>) modificados nos \u00faltimos 7 dias (-mtime -7<\/code>) que tenham extens\u00f5es\u00a0.sh<\/code>,\u00a0.py<\/code>\u00a0ou\u00a0.exe<\/code>\u00a0(-regex \".*\\.\\(sh\\|py\\|exe\\)$\"<\/code>). Essas extens\u00f5es s\u00e3o comumente associadas a scripts e execut\u00e1veis maliciosos.<\/p>\n
\u00a0<\/p>\n
5. Analisando Capturas de Pacotes<\/strong><\/p>\n
Capturas de pacotes, como as geradas pelo Wireshark ou\u00a0tcpdump<\/code>, podem conter evid\u00eancias de comunica\u00e7\u00e3o maliciosa. Suponha que voc\u00ea tenha um arquivo\u00a0captura.pcap<\/code>. Podemos usar\u00a0tcpdump<\/code> com regex para filtrar tr\u00e1fego suspeito:<\/p>\n
\n
tcpdump -nn<\/span> -r<\/span> captura.pcap |<\/span> grep<\/span> -E<\/span> \"(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])\\.
(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])\\.(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])\\.
(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9]):[0-9]{1,5}\"

<\/span><\/strong><\/pre>\n<\/div>\n
Este comando l\u00ea o arquivo\u00a0captura.pcap<\/code>\u00a0e filtra linhas que contenham endere\u00e7os IP e portas, que podem indicar comunica\u00e7\u00e3o com servidores maliciosos.<\/p>\n
\u00a0<\/p>\n
6. Extraindo Strings de Bin\u00e1rios<\/strong><\/p>\n
Malwares frequentemente armazenam strings significativas, como URLs, comandos ou chaves de registro, dentro de seus bin\u00e1rios. Podemos usar o comando\u00a0strings<\/code>\u00a0combinado com\u00a0grep<\/code> e regex para extrair essas informa\u00e7\u00f5es:<\/p>\n
\n
strings malware.bin |<\/span> grep<\/span> -E<\/span> \"https?:\/\/[^\\s]+\"

<\/span><\/strong><\/pre>\n<\/div>\n
Este comando extrai todas as strings do arquivo\u00a0malware.bin<\/code>\u00a0e filtra aquelas que correspondem a URLs (https?:\/\/[^\\s]+<\/code>), que podem ser usadas para comunica\u00e7\u00e3o com servidores de comando e controle (C2).<\/p>\n
\u00a0<\/p>\n
7. Correlacionando Dados com Awk<\/strong><\/p>\n
Para uma an\u00e1lise mais avan\u00e7ada, podemos usar\u00a0awk<\/code>\u00a0para correlacionar dados de diferentes fontes. Por exemplo, para contar o n\u00famero de tentativas de login por IP no arquivo\u00a0auth.log<\/code>:<\/p>\n
\n
awk<\/span> '\/Failed password\/ {print $(NF-3)}'<\/span> \/var\/log\/auth.log |<\/span> sort<\/span> |<\/span> uniq<\/span> -c<\/span> |<\/span> sort<\/span> -nr

<\/span><\/strong><\/pre>\n<\/div>\n
Este comando extrai o IP de cada linha com “Failed password”, conta as ocorr\u00eancias por IP e ordena os resultados. Isso pode ajudar a identificar IPs que est\u00e3o realizando ataques de for\u00e7a bruta.<\/p>\n
\u00a0<\/p>\n
Conclus\u00e3o<\/strong><\/p>\n
Express\u00f5es regulares s\u00e3o uma ferramenta poderosa para an\u00e1lise forense em sistemas Linux, permitindo a identifica\u00e7\u00e3o r\u00e1pida e eficiente de padr\u00f5es suspeitos em logs, arquivos e tr\u00e1fego de rede. Ao dominar o uso de regex com ferramentas como\u00a0grep<\/code>,\u00a0find<\/code>,\u00a0tcpdump<\/code>\u00a0e\u00a0awk<\/code>, voc\u00ea estar\u00e1 melhor equipado para investigar m\u00e1quinas infectadas e coletar evid\u00eancias cruciais.<\/p>\n
No entanto, \u00e9 importante lembrar que a an\u00e1lise forense \u00e9 um processo complexo que requer a integra\u00e7\u00e3o de m\u00faltiplas t\u00e9cnicas e ferramentas. A pr\u00e1tica constante e a atualiza\u00e7\u00e3o cont\u00ednua s\u00e3o essenciais para se manter \u00e0 frente no campo din\u00e2mico da seguran\u00e7a cibern\u00e9tica.<\/p>\n
\u00a0<\/p>\n
Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n
    \n
  • \n
    Robbins, A. (2005).\u00a0Unix in a Nutshell<\/em>. O’Reilly Media.<\/p>\n<\/li>\n
  • \n
    Friedl, J. E. F. (2006).\u00a0Mastering Regular Expressions<\/em>. O’Reilly Media.<\/p>\n<\/li>\n<\/ul>\n
    Estas refer\u00eancias fornecem uma base s\u00f3lida para o uso de express\u00f5es regulares e t\u00e9cnicas de an\u00e1lise forense, complementando o conte\u00fado pr\u00e1tico apresentado neste artigo.<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"
    An\u00e1lise de malware com Express\u00f5es Regulares no Linux A forense digital \u00e9 uma disciplina essencial para investigar incidentes de seguran\u00e7a, especialmente quando se trata de analisar m\u00e1quinas infectadas por malware. Neste artigo, vamos explorar como as express\u00f5es regulares (regex) no Linux podem ser utilizadas para identificar e analisar padr\u00f5es suspeitos em logs, arquivos e tr\u00e1fego […]<\/p>\n","protected":false},"author":2,"featured_media":22196,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-22194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22194"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22194\/revisions"}],"predecessor-version":[{"id":22199,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22194\/revisions\/22199"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22196"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}