Что такое форензика и зачем это нужно рядовому безопаснику?

Форензика – это «криминалистическое исследование разных цифровых вещей». Обычному безопаснику знание инструментов и умение ими пользоваться может пригодиться при сборе доказательной базы событий информационной безопасности, например, при расследовании инцидентов или определении их причин, поиске инсайдера.

Opensource - зло или нет?

Многие (почти все, особенно DFIR) инструменты имею в своей основе opensource решения. Без них многих коммерческих продуктов просто не было бы. Кроме того, использование opensource в коммерческих решениях не всегда подразумевает прямой перенос кода, часто это использование лежащей в основе технологии. Есть некоторые вопросы доверия к opensource, если инструмент не является сертифицированным или общепризнанным. В таком случае всё держится на авторитете специалиста. 

Насколько надежными будут доказательства, полученные с помощью инструментов форензики?

В российской практике доказательством в суде является результат экспертизы либо показания специалиста как свидетеля, а не сами результаты работы программ. Именно эксперт или специалист гарантирует что знает инструменты и что они работают именно так как он описывает.

Если инструмент является общепризнанным, то уровень доверия к нему будет выше. Также обращают внимание на прохождение курсов по использованию определенного софта.

10 бесплатных форензик-инструментов марта от Дмитрия Борощука

1. mac_apt Artifact parsing Tool - инструмент для обработки полных образов дисков компьютера Mac и извлечения данных/метаданных, полезных для расследований. Это фреймворк на основе Python, в котором есть плагины для обработки отдельных артефактов (история браузера Safari, сетевые интерфейсы, файлы и тома, к которым недавно обращались и т. п.) Также может извлекать данные из образов iOS устройств.

2. KnockKnock - показывает список автоматически запускаемых элементов (программ, скриптов, команд, двоичных файлов) в macOS. Может использоваться для отслеживания вредоносного ПО.

3. The LaZagne - приложение с открытым исходным кодом, используемое для получения большого количества разнообразных учетных данных, хранящихся на локальном компьютере. Каждое ПО хранит свои пароли, используя различные методы (открытый текст, API, пользовательские алгоритмы, базы данных и т. п.) Этот мультиплатформенный инструмент был разработан с целью поиска этих паролей для наиболее часто используемого ПО.

4. FOCA (Fingerprinting Organizations with Collected Archives) - криминалистический комплекс для поиска документов в сети и извлечения из них истории создания и размещения и других метаданных. Способен анализировать широкий спектр документов, имеет ряд плагинов для расширения функциональности. Может использоваться, например, для определения утечек данных.

5. Mobile Security Framework (MobSF) - мультиплатформенное приложение для пентеста и анализа программ и оценки безопасности, способное осуществлять статический и динамический анализ. Поддерживает бинарные файлы мобильных приложений (APK, XAPK, IPA, APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с конвейером CI/CD или DevSecOps. Имеет удобный графический интерфейс и собственную базу уязвимостей. 

6. dumpzilla - утилита для извлечения данных (cookie, история загрузок, посещений, сохраненные веб-формы и пр.) из браузеров на движке Firefox, работает из командной строки.

7. LogonTracer - инструмент, позволяющий отследить несанкционированные входы в систему путем анализа и визуализации журналов событий Windows Active Directory. Программа связывает имя хоста или IP-адрес и имя учетной записи, найденные в журналах событий, связанных со входом в систему, и отображает их в виде графа. Таким образом, можно понять в какой учетной записи произошла попытка входа в систему и какой хост использовался.

8. usbrip - простая консольная утилита для восстановления истории подключения (дату/время, имя устройства, vendorID, название, производитель и т. п.) USB-устройств к компьютерам под управлением Linux. Можно использовать для поиска и определения инсайдера, пытающегося скопировать данные.

9. Timesketch - инструмент с открытым исходным кодом, предназначенный для анализа и визуализации событий на временной шкале, позволяющий восстановить и наглядно представить последовательность событий во время инцидента. Поддерживает совместную работу.

10. Skadi - криминалистический "комбайн" из коробки. Образ виртуальной машины (или docker-контейнер) с набором инструментов, позволяющих собирать, обрабатывать и проводить расширенный анализ криминалистических артефактов и изображений. Инструменты объединены в одну платформу, что позволяет быстро и точно находить доказательства злонамеренных действий на хосте.

Рекомендуем канал “Investigation and Forensic Tools” с ежемесячной подборкой бесплатных forensic-инструментов от автора.

11. Elcomsoft iOS Forensic Toolkit - специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами низкоуровневого и логического анализа. Работает как с джейлбрейком, так и без него.

Кейс использования: ответ на вопрос, что можно «вытащить» с устройства в целом и из конкретного приложения в случае физической кражи устройства.

12. Kroll Artifact Parser and Extractor (KAPE) - инструмент для анализа и извлечения артефактов из систем. Мощный пакет в составе Zimmermann Tools

Кейс использования: расследование инцидента заражения шифровальщиком. Требуется быстро получить «зацепки» о том, как он попал в систему и какой масштаб заражения может быть.

Мобильный криминалист (МК) Скаут - модуль программы «Мобильный Криминалист Детектив». Позволяет находить и извлекать информацию из исследуемого персонального компьютера (учетные записи и токены, закладки, данные форм автозаполнения, историю посещений и файлы куки из интернет-браузеров, учетные данные и токены из мессенджеров, WiFi точки доступа и пароли к ним, резервные копии iTunes, учетные данные и токены из портативных версий программ и программ, установленных по нестандартному пути и пр.). Это коммерческая программа.

Кейс использования: извлечение переписки потенциального инсайдера в telegram из облака с использованием токена, хранящегося на локальном ПК.

Volatility – фреймворк для исследования оперативной памяти устройства. Альтернатив по факту нет, большая часть коммерческих продуктов используют его в своей основе. Коммерческие продукты могут представить результаты в более наглядном виде и систематизировать их, однако всё равно требуется понимание принципов работы и устройства оперативной памяти.

Кейс использования: внедрение вредоносного функционала в ПО с открытым исходным кодом, который выполняется только в оперативной памяти и может быть не обнаружен обычными инструментами.

Timeline/Plaso – инструмент номер 1 для извлечения событий и парсинга событий в timeline. Недостатком может быть очень долгая работа для анализа всего содержимого. Для решения проблемы можно использовать комбинацию методов triage и plaso, сузив первоначальную область анализа.

nirsoft - набор маленьких утилит для извлечения логов из windows-based платформ.

Autopsy – бесплатная платформа для цифровой форензики с широким набором возможностей извлечения и анализа данных. 

Кейс использования: Анализ компьютера увольняющегося сотрудника. Позволит понять, чем занимался уволившийся сотрудник последнее время и чего в связи с этим можно ожидать. Особенно актуально в случае топ-менеджмента, когда использование обычных инструментов наблюдения и анализа в процессе работы затруднительно.

Где поучиться использованию форензик-инструментов и общим принципам криминалистического анализа?

- На курсах вендоров конкретных инструментов (например, курсы Оксиджен Софтвер по Мобильному Криминалисту, курсы Basis Technology по Autops  и т.п.);

- Учебный центр «Специалист» – курсы по информационной безопасности и в т.ч. по этичному хакингу;

- Курсы EC Сouncil (следует иметь в виду, что они все «заточены» на иностранную законодательную базу);