{"id":22204,"date":"2025-03-07T00:05:00","date_gmt":"2025-03-07T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22204"},"modified":"2025-02-26T18:27:39","modified_gmt":"2025-02-26T21:27:39","slug":"forense-digital-com-linux-tecnicas-praticas-parte-13","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-13\/","title":{"rendered":"Forense Digital com Linux – T\u00e9cnicas Pr\u00e1ticas – Parte 13"},"content":{"rendered":"\n

An\u00e1lise Forense com Express\u00f5es Regulares no Linux: Identificando altera\u00e7\u00f5es em sistemas comprometidos<\/strong><\/p>\n

A an\u00e1lise forense digital \u00e9 fundamental para identificar atividades maliciosas em sistemas comprometidos. Uma das t\u00e9cnicas mais eficazes para detectar altera\u00e7\u00f5es suspeitas \u2014 como arquivos criados, exclu\u00eddos, modifica\u00e7\u00f5es em diret\u00f3rios ou adultera\u00e7\u00e3o de logs \u2014 \u00e9 o uso de\u00a0express\u00f5es regulares (regex)<\/strong>\u00a0combinadas com ferramentas nativas do Linux. Neste artigo, vamos explorar como aplicar regex para investigar mudan\u00e7as em uma m\u00e1quina potencialmente comprometida, passo a passo.<\/p>\n

\u00a0<\/h3>\n

1. Introdu\u00e7\u00e3o ao cen\u00e1rio<\/strong><\/p>\n

Suponha que uma m\u00e1quina Linux esteja apresentando comportamentos an\u00f4malos: alto uso de recursos, arquivos desconhecidos ou logs inconsistentes. O objetivo \u00e9 utilizar express\u00f5es regulares para:<\/p>\n

    \n
  • \n

    Identificar arquivos criados ou modificados recentemente.<\/p>\n<\/li>\n

  • \n

    Detectar exclus\u00f5es de arquivos cr\u00edticos.<\/p>\n<\/li>\n

  • \n

    Analisar altera\u00e7\u00f5es em diret\u00f3rios sens\u00edveis.<\/p>\n<\/li>\n

  • \n

    Investigar logs adulterados.<\/p>\n<\/li>\n<\/ul>\n

    \u00a0<\/h3>\n

    2. Identificando arquivos criados ou modificados<\/strong><\/p>\n

    Arquivos maliciosos s\u00e3o frequentemente criados ou modificados durante um ataque. Para localizar arquivos alterados nos \u00faltimos 7 dias, use o comando\u00a0find<\/code> com regex:<\/p>\n

    \n
    find<\/span> \/ -type<\/span> f -mtime<\/span> -7<\/span> -regextype<\/span> posix-extended -regex<\/span> \".*\\.(sh|py|conf|log)$\"<\/span><\/strong><\/pre>\n<\/div>\n
      \n
    • \n
      Explica\u00e7\u00e3o:<\/strong><\/p>\n
        \n
      • \n
        -mtime -7<\/code>: Filtra arquivos modificados nos \u00faltimos 7 dias.<\/p>\n<\/li>\n
      • \n
        -regex \".*\\.(sh|py|conf|log)$\"<\/code>: Busca arquivos com extens\u00f5es comumente alvo de ataques (.sh<\/em>,\u00a0.py<\/em>,\u00a0.conf<\/em>,\u00a0.log<\/em>).<\/p>\n<\/li>\n
      • \n
        Use\u00a0-exec ls -l {} \\;<\/code>\u00a0para listar detalhes como permiss\u00f5es e propriet\u00e1rios.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
        Exemplo de Sa\u00edda:<\/strong><\/p>\n
        \n
        -rwxr-xr-x 1 root root 1024 Jun 10 15:30 \/var\/log\/.hidden_script.sh<\/strong>  

        <\/pre>\n<\/div>\n
        Arquivos ocultos em\u00a0\/var\/log<\/code>\u00a0ou com permiss\u00f5es incomuns (ex:\u00a0777<\/code>) devem ser investigados.<\/p>\n
        \u00a0<\/h3>\n
        3. Detectando exclus\u00f5es de arquivos<\/strong><\/p>\n
        Logs do sistema, como\u00a0\/var\/log\/syslog<\/code>\u00a0ou\u00a0\/var\/log\/auth.log<\/code>, registram opera\u00e7\u00f5es de exclus\u00e3o. Use\u00a0grep<\/code>\u00a0com regex para buscar entradas relacionadas ao comando\u00a0rm<\/code>:<\/p>\n
        grep<\/span> -E<\/span> “rm -[rf]|unlink”<\/span><\/strong> \/var\/log\/syslog<\/strong> <\/span><\/p>\n
          \n
        • \n
          Regex:<\/strong>\u00a0rm -[rf]|unlink<\/code>\u00a0captura comandos de exclus\u00e3o recursiva (-r<\/code>) ou for\u00e7ada (-f<\/code>).<\/p>\n<\/li>\n<\/ul>\n
          \u00a0<\/p>\n
          Padr\u00e3o Suspeito:<\/strong><\/p>\n
          \n
          Jun 10 14:45 user: root COMMAND=\/usr\/bin\/rm -rf \/var\/www\/html\/*<\/strong> 
           <\/pre>\n<\/div>\n
          Exclus\u00f5es em massa em diret\u00f3rios cr\u00edticos (ex:\u00a0\/var\/www<\/code>) podem indicar atividade maliciosa.<\/p>\n
          \u00a0<\/p>\n
          4. Analisando altera\u00e7\u00f5es em diret\u00f3rios<\/strong><\/p>\n
          Diret\u00f3rios como\u00a0\/etc<\/code>,\u00a0\/bin<\/code>, ou\u00a0\/home<\/code>\u00a0s\u00e3o alvos comuns. Para listar altera\u00e7\u00f5es recentes em\u00a0\/etc<\/code>, combine\u00a0ls<\/code>\u00a0com regex:<\/p>\n
          \n
          \n
          \u00a0<\/div>\n<\/div>\n
          ls<\/span> -lt<\/span> \/etc |<\/span> grep<\/span> -E<\/span> \"Jun [0-9]{2} (14|15|16):[0-9]{2}\"<\/span>  <\/strong><\/pre>\n<\/div>\n
            \n
          • \n
            Regex:<\/strong>\u00a0Jun [0-9]{2} (14|15|16):[0-9]{2}<\/code>\u00a0filtra arquivos modificados entre 14h e 16h no m\u00eas de junho.<\/p>\n<\/li>\n<\/ul>\n
            Casos de Aten\u00e7\u00e3o:<\/strong><\/p>\n
              \n
            • \n
              Arquivos de configura\u00e7\u00e3o modificados fora de janelas de manuten\u00e7\u00e3o (ex:\u00a0\/etc\/passwd<\/code>).<\/p>\n<\/li>\n
            • \n
              Novos diret\u00f3rios ocultos (ex:\u00a0\/etc\/.backdoor<\/code>).<\/p>\n<\/li>\n<\/ul>\n
              \u00a0<\/p>\n
              5. Investigando logs adulterados<\/strong><\/p>\n
              Ataques frequentemente incluem a adultera\u00e7\u00e3o de logs para apagar evid\u00eancias. Use regex para identificar lacunas ou inconsist\u00eancias:<\/p>\n
              \u00a0<\/p>\n
              5.1. Verificando Lacunas Temporais<\/strong><\/p>\n
              \n
              cat<\/span> \/var\/log\/auth.log |<\/span> grep<\/span> -E<\/span> \"Jun [0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}\"<\/span> |<\/span> awk<\/span> 
              '{print $1,$2,$3}'<\/span> |<\/span> uniq<\/span> -c<\/span> <\/strong> <\/pre>\n<\/div>\n
                \n
              • \n
                Regex:<\/strong>\u00a0Jun [0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}<\/code>\u00a0captura timestamps.<\/p>\n<\/li>\n
              • \n
                Sa\u00edda Suspeita:<\/strong>\u00a0Intervalos de tempo ausentes (ex: logs das 02:00 \u00e0s 04:00 apagados).<\/p>\n<\/li>\n<\/ul>\n
                \u00a0<\/p>\n
                5.2. Buscando padr\u00f5es de ataque<\/strong><\/p>\n
                Para detectar tentativas de inje\u00e7\u00e3o de comandos em logs do Apache (\/var\/log\/apache2\/access.log<\/code>):<\/p>\n
                \n
                grep<\/span> -E<\/span> \"union select|<?php|wget|curl\"<\/span> \/var\/log\/apache2\/access.log<\/strong>  <\/pre>\n<\/div>\n
                  \n
                • \n
                  Regex:<\/strong>\u00a0union select|<?php|wget|curl<\/code>\u00a0identifica tentativas de explora\u00e7\u00e3o via SQLi ou download de payloads.<\/p>\n<\/li>\n<\/ul>\n
                  \u00a0<\/p>\n
                  6. Monitorando Atividades com Auditd<\/strong><\/p>\n
                  O framework\u00a0auditd<\/code>\u00a0registra altera\u00e7\u00f5es em tempo real. Para rastrear acesso ao diret\u00f3rio\u00a0\/bin<\/code>, configure uma regra:<\/p>\n
                  \n
                  auditctl -w<\/span> \/bin -p<\/span> war -k<\/span> system_binaries<\/strong>  

                  <\/pre>\n<\/div>\n
                    \n
                  • \n
                    An\u00e1lise dos Logs:<\/strong><\/p>\n<\/li>\n<\/ul>\n
                    \n
                    \n
                    \u00a0<\/div>\n<\/div>\n
                    ausearch -k<\/span> system_binaries |<\/span> grep<\/span> -E<\/span> \"execve|rename|unlink\"<\/span> <\/strong> <\/pre>\n<\/div>\n
                      \n
                    • \n
                      Regex:<\/strong>\u00a0execve|rename|unlink<\/code>\u00a0filtra opera\u00e7\u00f5es de execu\u00e7\u00e3o, renomea\u00e7\u00e3o ou exclus\u00e3o.<\/p>\n<\/li>\n<\/ul>\n
                      \u00a0<\/h3>\n
                      7. Conclus\u00e3o<\/strong><\/p>\n
                      Express\u00f5es regulares s\u00e3o indispens\u00e1veis na an\u00e1lise forense para filtrar grandes volumes de dados e identificar padr\u00f5es sutis de comprometimento. Ao combinar regex com ferramentas como\u00a0find<\/code>,\u00a0grep<\/code>,\u00a0awk<\/code>\u00a0e\u00a0auditd<\/code>, \u00e9 poss\u00edvel:<\/p>\n
                        \n
                      • \n
                        Detectar arquivos maliciosos criados ou modificados.<\/p>\n<\/li>\n
                      • \n
                        Identificar exclus\u00f5es n\u00e3o autorizadas.<\/p>\n<\/li>\n
                      • \n
                        Correlacionar eventos em logs adulterados.<\/p>\n<\/li>\n<\/ul>\n
                        No entanto, a an\u00e1lise forense exige uma abordagem hol\u00edstica: valide sempre os resultados com m\u00faltiplas ferramentas (ex:\u00a0stat<\/code>,\u00a0md5sum<\/code>) e documente todas as evid\u00eancias para garantir a integridade do processo.<\/p>\n
                        \u00a0<\/p>\n
                        Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n
                          \n
                        • \n
                          Robbins, A. (2005).\u00a0Unix in a Nutshell<\/em>. O’Reilly Media.<\/p>\n<\/li>\n
                        • \n
                          Friedl, J. E. F. (2006).\u00a0Mastering Regular Expressions<\/em>. O’Reilly Media.<\/p>\n<\/li>\n
                        • \n
                          Nikkel, B. (2021).\u00a0Practical Linux Forensics: A Guide for Digital Investigators<\/em>. No Starch Press.<\/p>\n<\/li>\n<\/ul>\n
                          Estas obras fornecem bases t\u00e9cnicas aprofundadas sobre express\u00f5es regulares, ferramentas Linux e metodologias de an\u00e1lise forense, complementando os exemplos pr\u00e1ticos deste artigo.<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"
                          An\u00e1lise Forense com Express\u00f5es Regulares no Linux: Identificando altera\u00e7\u00f5es em sistemas comprometidos A an\u00e1lise forense digital \u00e9 fundamental para identificar atividades maliciosas em sistemas comprometidos. Uma das t\u00e9cnicas mais eficazes para detectar altera\u00e7\u00f5es suspeitas \u2014 como arquivos criados, exclu\u00eddos, modifica\u00e7\u00f5es em diret\u00f3rios ou adultera\u00e7\u00e3o de logs \u2014 \u00e9 o uso de\u00a0express\u00f5es regulares (regex)\u00a0combinadas com ferramentas […]<\/p>\n","protected":false},"author":2,"featured_media":22196,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-22204","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22204"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22204\/revisions"}],"predecessor-version":[{"id":22208,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22204\/revisions\/22208"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22196"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}