Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  • Pré-requisito
  • Utilização
  • Indicadores (O que procurar?)
  • Ameaças direcionadas
  • Trojans de acesso remoto (RATs)
  • Spyware / stalkerware
  • Referências
  1. Verificação avançada de dispositivos Android

Wireshark

PreviousVerificação avançada de dispositivos AndroidNextMVT

Last updated 4 months ago

Pré-requisito

Configure o monitoramento do tráfego de rede de acordo com o artigo .

Utilização

O Wireshark é uma ferramenta para capturar o tráfego de rede que passa por uma interface de rede.

Durante a primeira inicialização, é necessário selecionar a interface de rede que você deseja monitorar. Essa deve ser a interface de rede que atua como ponto de acesso (AP) para o telefone. Observação: se não tiver certeza de qual é a interface, desconecte o adaptador Wifi, conecte-o novamente e verifique o sudo dmesg para ver o nome da interface detectada.

Quando o tráfego estiver fluindo, podemos começar a procurar atividades suspeitas.

NB: A interface do Wireshark não está disponível em português.

Um exemplo de captura do Wireshark quando um aplicativo é iniciado no telefone.

Indicadores (O que procurar?)

Geral

  • Domínios suspeitos. Por exemplo, goog1e.com

  • Conexão direta com um IP sem consulta de DNS.

  • Conexão periódica, por exemplo, a cada hora, sempre que o dispositivo é inicializado

  • Conexão persistente

  • Portas TCP e UDP incomuns

  • Conexão não correlacionada com a atividade do usuário, como quando a tela do dispositivo está desligada, mas há muito tráfego de rede.

Ameaças direcionadas

Malwares extramement furtivos tendem a ocultar seu tráfego com outros aplicativos benignos.

Trojans de acesso remoto (RATs)

Os RATs (do inglês Remote Access Trojan) geralmente precisam se comunicar com servidores de comando e controle (servidores C2 ou servidores C&C) operados pelo invasor. O invasor pode emitir comandos para controlar remotamente o dispositivo infectado. Isso deve envolver muito tráfego bidirecional.

Spyware / stalkerware

Esses malwares geralmente não têm servidores C2, mas apenas coletam e carregam continuamente informações do usuário (como atividade do usuário no sistema, localização) para servidores de coleta.

Adware (malware para publicidade) / mineradores de criptomoedas

Essa categoria de software é a menos intrusiva. O adware geralmente se conecta a vários sites diferentes para gerar cliques em anúncios. Os mineradores usam o poder de processamento do dispositivo para minerar criptomoedas e geralmente precisam se conectar a pools de mineração para obter resultados.

Referências

Mais informações sobre análise de tráfego de rede no site da Rapid7 (em inglês):

https://www.rapid7.com/fundamentals/network-traffic-analysis/
Monitorar o tráfego de rede
Um exemplo de captura do Wireshark quando um aplicativo é iniciado no telefone.