Investigando um acesso autenticado no AD

A cada dia que passa, principalmente no meio corporativo, observamos uma rotatividade de funcionários dentro de uma empresa que deixa qualquer profissional de TI doido. O motivo é bem simples: a segurança da informação. Pasmem, mas é verdade, muitos profissionais de TI nem sequer se preocupam em desabilitar as contas de acesso à rede dos ex-funcionários da empresa, ficando o gerenciamento das contas somente quando há necessidade de se criar uma conta ou alterar algum tipo de permissão atual.

Para um Perito Forense, quando ele é chamado para investigar e analisar um acesso não autorizado em determinado recurso em rede, é fundamental procurarmos nos arquivos de log de um servidor os vestígios deixados pelo determinado indivíduo que acessou de alguma forma o recurso compartilhado em rede. O melhor disso é que conseguiremos dessa forma, analisando o log, descobrir qual conta no AD (Active Directory) foi usada para permitir tal acesso.

Todavia, o trabalho pode ficar mais difícil para o perito se não existir nenhum log no servidor, o que não seria nenhuma novidade em algumas empresas, visto a baixa qualificação dos profissionais de TI que são escolhidos para atuarem na área em troca de um salário irrisório. Eu não ficaria espantado em ver um administrador de rede que nem formado na área de tecnologia é.

Com o arquivo de log em mãos, o perito precisa pesquisar os acessos efetuados no servidor e procurar por eventos que identificam algumas portas utilizadas na autenticação no AD, assim como sugiro procurar também, nos arquivos de log de seu firewall interno da empresa, se é que existe, por acessos ou requisições efetuadas nas seguintes portas:

bootps – 67 – UDP
netbios -138- UDP
netbios -137- UDP
netbios -139- UDP
LDAP – 389 – TCP
epmap – 135 – TCP
SMB – 445 – TCP
SMB – 389 – UDP
ping – 0 – ICMP
ping – 8 – ICMP
mssqp-1434-UDP
boopc-68-UDP
ntp-123-UDP

kerberos-68-UDP
kerberos-749-UDP
kerberos-750-UDP
kerberos-464-UDP
kerberos-4444-UDP
kerberos-2105-UDP
kerberos-543-UDP
kerberos-544-UDP
kerberos-88-UDP

Através dessa lista de portas, que são utilizadas geralmente para se autenticar no AD, o perito terá um vasto material com indícios de autenticação e assim, concluir o seu objetivo de demonstrar e identificar a conta utilizada para acesso determinado recurso compartilhado em rede.

Contudo, sugiro aos administradores de rede e demais profissionais da área de segurança da informação, que fiquem mais atento as normas internacionais quanto à segurança da informações, como ISO 27001, SOX e outras normas que promovam as melhores práticas na área de tecnologia.

Anúncios