{"id":22218,"date":"2025-03-08T00:05:00","date_gmt":"2025-03-08T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22218"},"modified":"2025-03-07T23:50:40","modified_gmt":"2025-03-08T02:50:40","slug":"forense-digital-com-linux-tecnicas-praticas-parte-14","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-14\/","title":{"rendered":"Forense Digital com Linux \u2013 T\u00e9cnicas Pr\u00e1ticas \u2013 Parte 14"},"content":{"rendered":"\n<p style=\"text-align: justify;\">A\u00a0Forense Digital\u00a0\u00e9 uma disciplina essencial no campo da seguran\u00e7a cibern\u00e9tica, permitindo a investiga\u00e7\u00e3o e an\u00e1lise de incidentes de seguran\u00e7a. Uma das ferramentas mais poderosas para auxiliar nesse processo \u00e9 o\u00a0<strong>AIDE (Advanced Intrusion Detection Environment)<\/strong>, que monitora a integridade dos arquivos do sistema e detecta altera\u00e7\u00f5es suspeitas. Neste artigo, vamos explorar como usar o AIDE no\u00a0<strong>Rocky Linux 9<\/strong>\u00a0para realizar an\u00e1lises forenses, com 5 exemplos pr\u00e1ticos que voc\u00ea pode aplicar em seu ambiente.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Rocky Linux (<a href=\"https:\/\/rockylinux.org\/pt-BR\" target=\"_blank\" rel=\"noopener\">https:\/\/rockylinux.org\/pt-BR<\/a>) \u00e9 um sistema operacional empresarial de c\u00f3digo aberto projetado para ser 100% compat\u00edvel com o Red Hat Enterprise Linux\u00ae. Rocky Linux est\u00e1 em desenvolvimento intensivo pela comunidade.<\/p>\n<p>\u00a0<\/p>\n<p><strong>O que \u00e9 o AIDE?<\/strong><\/p>\n<p style=\"text-align: justify;\">O AIDE \u00e9 uma ferramenta de c\u00f3digo aberto que cria um banco de dados com os hashes dos arquivos do sistema. Posteriormente, ele compara o estado atual dos arquivos com esse banco de dados para identificar altera\u00e7\u00f5es, como modifica\u00e7\u00f5es, exclus\u00f5es ou adi\u00e7\u00f5es. Isso \u00e9 extremamente \u00fatil para detectar atividades maliciosas, como a instala\u00e7\u00e3o de malware ou a altera\u00e7\u00e3o de arquivos cr\u00edticos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Instala\u00e7\u00e3o e configura\u00e7\u00e3o do AIDE no Rocky Linux 9<\/strong><\/p>\n<p>Antes de come\u00e7armos com os exemplos pr\u00e1ticos, vamos configurar o AIDE no Rocky Linux 9.<\/p>\n<ul>\n<li>\n<p><strong>Instalar o AIDE<\/strong>:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> dnf <span class=\"token function\">install<\/span> <span class=\"token parameter variable\">-y<\/span> aide<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p><strong>Inicializar o Banco de Dados<\/strong>:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--init<\/span>\n<span class=\"token function\">sudo<\/span> <span class=\"token function\">mv<\/span> \/var\/lib\/aide\/aide.db.new.gz \/var\/lib\/aide\/aide.db.gz<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p><strong>Configurar o AIDE (Opcional)<\/strong>:<\/p>\n<ul>\n<li>\n<p>Edite o arquivo\u00a0<code>\/etc\/aide.conf<\/code>\u00a0para personalizar os diret\u00f3rios e arquivos monitorados.<\/p>\n<\/li>\n<li>\n<p>Exemplo de configura\u00e7\u00e3o:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong>\/bin    NORMAL\n\/sbin   NORMAL\n\/usr    NORMAL\n\/etc    NORMAL\n\/var    NORMAL\n\/root   NORMAL<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Executar uma Verifica\u00e7\u00e3o Inicial<\/strong>:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<br \/><br \/><br \/><\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<p><strong>Exemplos pr\u00e1ticos de uso do AIDE para Forense Digital<\/strong><\/p>\n<p style=\"text-align: justify;\">Agora que o AIDE est\u00e1 configurado, vamos explorar 5 cen\u00e1rios pr\u00e1ticos onde ele pode ser usado para an\u00e1lises forenses.<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>1. Detec\u00e7\u00e3o de arquivos modificados<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>Cen\u00e1rio<\/strong>: Um administrador suspeita que um arquivo cr\u00edtico, como\u00a0<code>\/etc\/passwd<\/code>, foi modificado por um invasor.<\/p>\n<p><strong>Passos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Execute uma verifica\u00e7\u00e3o com o AIDE:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Analise o relat\u00f3rio para identificar altera\u00e7\u00f5es:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span> <span class=\"token operator\">&gt;<\/span> \/var\/log\/aide-report-<span class=\"token variable\">$(<span class=\"token function\">date<\/span> +%F)<\/span>.log\n<span class=\"token function\">cat<\/span> \/var\/log\/aide-report-<span class=\"token variable\">$(<span class=\"token function\">date<\/span> +%F)<\/span>.log<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Se o arquivo\u00a0<code>\/etc\/passwd<\/code>\u00a0foi modificado, o relat\u00f3rio mostrar\u00e1 algo como:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong>Changed files:\n\/etc\/passwd<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p style=\"text-align: justify;\">Compare o arquivo atual com uma c\u00f3pia de backup ou use ferramentas como\u00a0<code>diff<\/code>\u00a0para analisar as altera\u00e7\u00f5es.<\/p>\n<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>2. Identifica\u00e7\u00e3o de arquivos exclu\u00eddos<\/strong><\/p>\n<p><strong>Cen\u00e1rio<\/strong>: Um arquivo importante, como\u00a0<code>\/etc\/ssh\/sshd_config<\/code>, foi exclu\u00eddo por um ataque.<\/p>\n<p><strong>Passos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Execute uma verifica\u00e7\u00e3o com o AIDE:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Verifique o relat\u00f3rio para identificar arquivos exclu\u00eddos:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong>Removed files:\n\/etc\/ssh\/sshd_config<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Restaure o arquivo a partir de um backup ou reinstale o pacote relacionado:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> dnf reinstall openssh-server<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<p><strong>3. Detec\u00e7\u00e3o de arquivos adicionados<\/strong><\/p>\n<p><strong>Cen\u00e1rio<\/strong>: Um malware foi instalado no sistema, adicionando arquivos suspeitos em\u00a0<code>\/usr\/local\/bin<\/code>.<\/p>\n<p><strong>Passos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Execute uma verifica\u00e7\u00e3o com o AIDE:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Analise o relat\u00f3rio para identificar arquivos adicionados:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong>Added files:\n\/usr\/local\/bin\/malware<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Investigue o arquivo suspeito:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">file<\/span> \/usr\/local\/bin\/malware\nstrings \/usr\/local\/bin\/malware<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Remova o arquivo e investigue como ele foi introduzido no sistema.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>4. Monitoramento de diret\u00f3rios cr\u00edticos<\/strong><\/p>\n<p><strong>Cen\u00e1rio<\/strong>: Um invasor pode ter modificado scripts de inicializa\u00e7\u00e3o em\u00a0<code>\/etc\/init.d<\/code>.<\/p>\n<p><strong>Passos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Configure o AIDE para monitorar o diret\u00f3rio\u00a0<code>\/etc\/init.d<\/code>:<\/p>\n<ul>\n<li>\n<p>Edite\u00a0<code>\/etc\/aide.conf<\/code>\u00a0e adicione:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\u00a0<\/div>\n<pre><strong>\/etc\/init.d  NORMAL<\/strong><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>Execute uma verifica\u00e7\u00e3o:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Verifique o relat\u00f3rio para identificar altera\u00e7\u00f5es:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\u00a0<\/div>\n<pre><strong>Changed files:\n\/etc\/init.d\/malicious-script<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Analise o script suspeito e remova-o se necess\u00e1rio.<\/p>\n<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>5. Verifica\u00e7\u00e3o de integridade ap\u00f3s uma atualiza\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>Cen\u00e1rio<\/strong>: Ap\u00f3s uma atualiza\u00e7\u00e3o do sistema, voc\u00ea deseja garantir que nenhum arquivo cr\u00edtico foi corrompido ou modificado indevidamente.<\/p>\n<p><strong>Passos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Atualize o banco de dados do AIDE para refletir o novo estado do sistema:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--update<\/span>\n<span class=\"token function\">sudo<\/span> <span class=\"token function\">mv<\/span> \/var\/lib\/aide\/aide.db.new.gz \/var\/lib\/aide\/aide.db.gz<\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Execute uma verifica\u00e7\u00e3o:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><strong><span class=\"token function\">sudo<\/span> aide <span class=\"token parameter variable\">--check<\/span><\/strong><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Analise o relat\u00f3rio para garantir que n\u00e3o h\u00e1 altera\u00e7\u00f5es inesperadas.<\/p>\n<\/li>\n<\/ul>\n<h2>\u00a0<\/h2>\n<p><strong>Boas pr\u00e1ticas para uso do AIDE em Forense Digital<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Backup do banco de dados<\/strong>:<\/p>\n<ul>\n<li>\n<p>Mantenha uma c\u00f3pia segura do banco de dados do AIDE em um local imut\u00e1vel.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Verifica\u00e7\u00f5es peri\u00f3dicas<\/strong>:<\/p>\n<ul>\n<li>\n<p>Configure tarefas cron para executar verifica\u00e7\u00f5es regulares e enviar relat\u00f3rios por e-mail.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Integra\u00e7\u00e3o com rerramentas de monitoramento<\/strong>:<\/p>\n<ul>\n<li>\n<p>Use ferramentas como o ELK Stack (Elasticsearch, Logstash, Kibana) para centralizar e analisar logs do AIDE.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Atualiza\u00e7\u00e3o do banco de dados<\/strong>:<\/p>\n<ul>\n<li>\n<p>Sempre atualize o banco de dados ap\u00f3s altera\u00e7\u00f5es leg\u00edtimas no sistema.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Combina\u00e7\u00e3o com outras ferramentas<\/strong>:<\/p>\n<ul>\n<li>\n<p>Use o AIDE em conjunto com outras ferramentas de seguran\u00e7a, como SELinux, ClamAV e Fail2Ban.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2>\u00a0<\/h2>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O AIDE \u00e9 uma ferramenta poderosa para an\u00e1lises forenses, permitindo a detec\u00e7\u00e3o de altera\u00e7\u00f5es suspeitas em arquivos do sistema. No Rocky Linux 9, ele pode ser usado para monitorar a integridade do sistema, identificar atividades maliciosas e auxiliar na investiga\u00e7\u00e3o de incidentes de seguran\u00e7a. Ao seguir os exemplos pr\u00e1ticos e boas pr\u00e1ticas descritas neste artigo, voc\u00ea estar\u00e1 melhor preparado para proteger seu ambiente e responder a incidentes de forma eficaz.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<p>Aqui est\u00e3o tr\u00eas refer\u00eancias bibliogr\u00e1ficas que podem ajud\u00e1-lo a aprofundar seus conhecimentos sobre forense digital e seguran\u00e7a de sistemas:<\/p>\n<ul>\n<li>\n<p><strong>Carrier, B. (2005).\u00a0<em>File System Forensic Analysis<\/em>. Addison-Wesley Professional.<\/strong><\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\">Este livro \u00e9 uma refer\u00eancia cl\u00e1ssica sobre an\u00e1lise forense de sistemas de arquivos, cobrindo t\u00e9cnicas e ferramentas para investigar sistemas comprometidos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Casey, E. (2011).\u00a0<em>Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet<\/em>. Academic Press.<\/strong><\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\">Um guia abrangente sobre evid\u00eancias digitais e investiga\u00e7\u00e3o de crimes cibern\u00e9ticos, com foco em pr\u00e1ticas forenses e t\u00e9cnicas de an\u00e1lise.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>NIST Special Publication 800-86 (2006).\u00a0<em>Guide to Integrating Forensic Techniques into Incident Response<\/em>.<\/strong><\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\">Este guia do NIST fornece diretrizes para integrar t\u00e9cnicas forenses em respostas a incidentes, incluindo o uso de ferramentas como o AIDE.<\/p>\n<\/li>\n<li><a href=\"https:\/\/nvlpubs.nist.gov\/nistpubs\/legacy\/sp\/nistspecialpublication800-86.pdf\" target=\"_blank\" rel=\"noopener\">https:\/\/nvlpubs.nist.gov\/nistpubs\/legacy\/sp\/nistspecialpublication800-86.pdf<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A\u00a0Forense Digital\u00a0\u00e9 uma disciplina essencial no campo da seguran\u00e7a cibern\u00e9tica, permitindo a investiga\u00e7\u00e3o e an\u00e1lise de incidentes de seguran\u00e7a. Uma das ferramentas mais poderosas para auxiliar nesse processo \u00e9 o\u00a0AIDE (Advanced Intrusion Detection Environment), que monitora a integridade dos arquivos do sistema e detecta altera\u00e7\u00f5es suspeitas. Neste artigo, vamos explorar como usar o AIDE no\u00a0Rocky [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22226,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-22218","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22218","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22218"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22218\/revisions"}],"predecessor-version":[{"id":22229,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22218\/revisions\/22229"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22226"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22218"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22218"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22218"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}