Um crescente número de queixas de acesso indevido a computadores, realizados de forma remota, que resultam em perda de dados, acesso a informações privilegiadas, interrupção de serviços, alterações de registros e um grande elenco de outros prejuízos, tem elevado o número de solicitações de perícia buscando identificar o meio e o autor do acesso.
Em alguns posts farei referência aos ataques através de softwares de acesso remoto, em boa parte das vezes instalados por pessoas próximas, técnicos de TI, funcionários insatisfeitos, entre outros.
Os softwares de acesso remoto são utilitários legítimos, desenvolvidos de forma a facilitar a manutenção à distância, realização de conferências, etc., entretanto são frequentemente utilizados indevidamente. A quantidade de programas é grande e nos ateremos àqueles que mais demandam perícia
TeamViewer
Em um caso recente, uma empresa registrou ocorrência relatando que em uma determinada data, vários servidores foram desativados prejudicando os negócios da empresa. As investigações iniciais mostraram que a empresa fazia manutenção dos servidores através do TeamViewer e que, eles próprios desconfiavam que a ferramenta havia sido utilizada indevidamente para o ataque.
O TeamViewer produz registros das atividades do utilitário, gravadas no equipamento alvo, nas seguintes pastas:
Windows
%SystemDrive%\%ProgramFiles%\TeamViewer\VersionX (X = versão do TeamViewer) %HomeDrive%\%HomePath%\AppData\Roaming\TeamViewer %HomeDrive%\%HomePath%\AppData\Local\Temp\TeamViewer\VersionX
Linux (Debian)
/var/log/teamviewer
MAC OS
$HOME/Library/Logs/TeamViewer
Os arquivos que armazenam as informações de conexão são:
Connections_incoming.txt – Arquivo que registra as conexões entrantes composto pelas colunas de informação Team Viewer ID, Usuário remoto, Data login, Data Logout, Usuário local, Tipo de conexão, ID da sessão.
TeamViewerX_Logfile.log e TeamViewerX_Logfile_OLD.log, que representa o arquivo de log anterior após certo prazo decorrido – Estes arquivos registram as ações de conexão entre o host remoto e o host local, mostrando toda atividade gerada entre os dois computadores, inclusive arquivos transferidos, endereço IP do host remoto, etc.
Para a análise dos logs do TeamViewer, utilizo o Glogg ou o LogExpert, que já citei anteriormente, no post sobre expressões regulares e exatamente por aceitá-las, tornam-se extremamente úteis nessa tarefa, ainda que o TeamViewer não gere arquivos de log de grandes tamanhos.
Através dos programas citados procure por linhas contendo:
Receive.CMD_SESSIONMODE - Para o início de uma sessão; client hello received from - Criptografando a sessão; Receive.CMD_MEETING_AUTHENTICATION - Autenticando; CmdUDPPing.PunchReceived - Identifica o endereço IP do host remoto; CFileTransferThreadServer started - Iniciando uma sessão de transferência; Mostra pasta - Pastas visualizadas pelo host remoto; Processando transferência de arquivos - Preparando o envio de arquivos; Enviar arquivo "Caminho do arquivo\Nome do arquivo" - Enviando o arquivo; Transferência de arquivos concluída - Concluindo a transferência do arquivo;
Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota.
Obs.: A versão utilizada como referência era 10.0.41404
Até o próximo.