Anti-Anti-Forense de Memória: Abortando o "Abort Factor"

  • avatar Tony Rodrigues
    Profissional com mais de 25 anos de experiência em TI, tendo liderado várias investigações, perícias e pesquisas sobre Computação Forense. É Analista de Sistemas em um banco do setor público, já colaborou com a Comissão de Crimes de Alta Tecnologia da OAB-SP e palestrou em importantes conferencias internacionais (YSTS, H2HC, WebSecForum, OWASP, CNASI). Autor/criador do blog forcomp.blogspot.com
Em 2012, dois pesquisadores japoneses elaboraram uma técnica, apresentada na Black Hat Europa do mesmo ano, que consiste em modificar um byte - sem causar crash do sistema - a fim de impedir que ferramentas de análise (Volatility, Memoryze e HBGary) consigam entender e posteriormente interpretar um dump de memória. Esta técnica ficou conhecida como Abort Factor.

Durante suas pesquisas, Takahiro Haruyama e Hiroshi Suzuki identificaram três operações críticas e comuns nas ferramentas de análise de memória:
- Tradução do endereço virtual em kernel space
- Identificação do Sistema Operacional e arquitetura do dump
- Obtenção de objetos do kernel

Dessa forma, através da manipulação de apenas um byte nas estruturas relacionadas a cada um dos itens acima, foi possível tornar esse dump incompreensível para ferramentas de análise forense.

Pesquisamos a técnica do Abort Factor e demonstraremos como é possível identificar o ataque, bem como reverter/corrigir um dump de memória de uma máquina onde a técnica foi usada.