Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  1. Verificação de computadores Mac

Revisar conexões de rede

PreviousRevisar extensões do kernelNextRevisar logs do XProtect

Last updated 4 months ago

O spyware precisará eventualmente transmitir os dados coletados (como capturas de tela, senhas, pressionamentos de teclas etc.) para um local remoto, o Embora não seja possível prever quando essa transmissão ocorrerá, é possível que algum spyware estabeleça uma conexão permanente com o servidor ou que se conecte com frequência suficiente para que você o detecte.

Para verificar se há conexões em andamento, você pode, por exemplo, registrar todo o tráfego de rede usando o e, posteriormente, inspecionar os resultados armazenados. Entretanto, uma abordagem mais interessante é usar ferramentas que não apenas monitorem a atividade da rede, mas que também possam vinculá-la aos processos em execução. Em geral, você deve procurar processos incomuns que se conectem a endereços IP suspeitos.

Uma ferramenta popular para fazer isso é o , desenvolvido pela Objective-See.

NB: a interface do NetIQuete não está disponível em português.

img

A ferramenta é bastante simples: ela lista todas as conexões de rede estabelecidas e fornece informações sobre o processo de origem e o destino. Você provavelmente ficará surpreso ao observar a quantidade de conexões de rede ativas mesmo em sistemas aparentemente ociosos. A primeira etapa da pesquisa de conexões de rede suspeitas é fechar todos os aplicativos em execução no sistema que não sejam necessários no momento, pois isso removerá alguns ruídos durante a análise.

Em seguida, examine os aplicativos um a um e avalie se é legítimo que eles se comuniquem com a rede. Se for, observe as diferentes conexões desse processo para ver se parecem legítimas. Você deve ter em mente algumas informações sobre endereços de rede:

  • 127.0.0.1 é o endereço do localhost (servidor local); qualquer conexão com ele significa que o programa está falando com o próprio computador, portanto, é legítimo.

  • Os endereços IP que começam com192.168. or 10.são endereços privados, que pertencem ao seu computador ou a um computador em sua própria rede privada.

Para obter mais informações sobre um endereço IP, você pode usar as ferramentas online ou . Elas informarão a qual rede um IP pertence, mas talvez não forneçam o usuário real de um endereço IP, portanto, você terá que desenvolver uma noção do que é normal em uma rede ou não.

Por exemplo, na captura de tela acima, vemos uma conexão do processo do Spotify com o endereço 151.101.132.246.Verificando no CentralOps, vemos que esse endereço IP pertence à organização Fastly, um provedor de nuvem americano usado por muitas empresas, como o Spotify, na função de Rede de Fornecimento de Conteúdo ( ou CDN), portanto, trata-se de uma conexão legítima.

CentralOps
IPinfo
Content Delivery Network
servidor Command & Control.
Wireshark
Netiquette