Moguće tehnike pristupa forenzckim podacima 09.2013
0 likes475 views
Dokument raspravlja o tehnikama analize i pristupa internim forenzičkim podacima koristeći razne alate za analizu, uključujući komercijalne i open-source alate. Prikazuje kako se mogu generirati i analizirati podaci, uključujući forenzičke slike diskova i memorije, te izazove pri korištenju alata poput Encase v7. Također se ističe potreba za standardizacijom i prilagodljivošću alata za bolje upravljanje složenim incidentima.
Moguće tehnike pristupa forenzckim podacima 09.2013
- 1. Neke tehnike pristupa internim forenzičkim podacima pomoću alata za analizu podataka Damir Delija [email protected] "Nove sigurnosne ugroze i kritična nacionalna infrastruktura“ Zagreb, 12-13.09.2013
- 2. Ideja • kako analizirati i pristupiti podacima u internim strukturama forenzičkih alata za velike sustave, da li korištenjema alata za analizu podataka? • ili generalizacija – pristup na skrivene ili nedostupne podatke u forenzičkim alatima, posebno onim za entreprise opseg istraživanja – (to nije nova situacija, slično je bilo i sa network management alatima)
- 3. Da bi se istražila situacija • pokušaj da se ustanovi što se može dobiti iz komercijalnih forenzičkih alata – Encase v7, ftk i njihove izvedenice – Infozoom kao alat za prikza podataka i analizu • isto tako i neki neophodni open source alati
- 4. Evolucija enterprise forenzike disk images Forenzička slika udaljenih fizičkih ili logičkih diskova, generirana i pohranjen na forenzičkomr računalu slike memorije i procesa Forenzička slika cijelog RAM i procesa sa udaljenog računala, generirana i pohranjen na forenzičkomr računalu snapshot računala Tekuće stanje korinsika, procesa, dll, open files, network information (ARP table, DNS table, routing table) udaljenog računala, generirana i pohranjen na forenzičkomr računalu • svaki korak generira velike količine podataka (metadata i sl) • ti podaci iako možda nisu direktno bitni za tekući događaj nisu bezvrijedni
- 5. Forenzički alat : EnCase v7 • EnCase v7 – podaci u cache datotekama i evidence datotekama • cache obrađeni podaci – sqlite format i još ponešto • evidence originali podataka, forenzička slika (EO1, L01 format) – drugi alati drže podatke u bazama ili datotekama (ftk, xways, ufed ...) – podaci su tamo, ali vidite samo ono što vam alat da • veliki napor da se do podataka dodje kroz neki zaobilazni i nedestruktivni način
- 6. EnCase Enterprise sustav WAN Main Office B Branch Office Target Node Target Node Target Node Main Office A Target Node Target Node Target Node SAFE Target Node Target Node Target Node SAFE Examiner Company Headquarters Examiner Target Node Target Node Target Node SAFE Target Node
- 7. EnCase Enterprise sweep • skuplja “snapshot” podatke sa svih računala – na svakom računalu instaliran agent (servlet) • podaci idu na examiner računalo u sqlite datoteku i u L01 datoteke (isti podaci) • za neke finije analize EnCase v7 jednostavno ne daje dobro sučelje • standardni pristup sweep podacima iz EnCase –”data browser” ili napisati Enscript program
- 8. Jednostavan scenarij incidenta Korak Zadatak Snapshot / sweep 1 za sva računala/resurse za koja se sumnja da su dio incidetna Interna analiza u forenzičkom alatu 2 podaci kroz data browser, record view i sl. ,te export podataka van forenzičkog alata za detaljnije analize (export, print, review, copy out, copy/paste) Eksterna analiza van forenzičkog alata 3 vanjska analiza na osnovi svojstava podataka, što ne mora biti u prvom koraku vrijednost koju daje forenzički alat, analiza se radi u drugom neforenzičkom alatu poduzimanje korektivne akcije ili ponovo sweep/snapshot 4 korektivna akcija na temelju nalaza iz koraka 3 ili ponavljanje dohvata podataka za dalju analizu tj. korak 1. •prikaz podatka je ovisan o incidentu i jako nejasan (fuzzy) •pregled podtaka u nekom drugom alatu i korelacija sa drugim podacima su korisni • podaci se obično obrađuju u excel ili kroz sql bazu
- 9. EnCase primjer podataka •niz sweep struktura i pripadna sqlite db datoteka •Sweep.sqlite sve iz svih sweep-a
- 10. Objašnjene podataka • hackiranje ... tj nije dokumentirano • za svaki sweep – sweep je ovdje skup snapshota raznih računala – neki podaci nedokumentirani – podaci se čuvaju u povezanim tabelama u sqlite bazi • machine data • users, groups • network data (ip, route, arp, mac ..) • dll i dll atribute – instances dll, ownership, size, hash, loads • procese i atribute – instances process, ownership, size, hash .. – nema disk dumpova (drugi način pohrane i pristupa)
- 12. Snapshot • opis svakog snapshots
- 13. Ip podaci • IP mrežni podaci • formatirani za računalo (hex, binary etc)
- 14. Podaci o procesima • sve o procesima u jednoj tabeli • relativno lako za uočiti uzorke, pravilnosti Primjer svchost.exe – zato jer je često inficiran
- 15. Primjer proces svchost.exe sa svih računala u sweep db
- 16. EnCase v7 sweep pogled • kroz EnCase program • kroz case analyzer enscript – (browser / reporter) • grubo sučelje za neke detaljne analize • nema globalnog dashboard pregleda
- 17. EnCase prikaz podataka iz sweep-a
- 18. EnCase snapshot i disk prikaz
- 19. EnCase data browser Case analyzer Enscript
- 20. Case analyzer izbor izvještaja
- 21. Encase – program view na podatke
- 22. INsig2 – Integrirana sigurnost Primjer integracije sa drugim enterpreise sec. alatima ideja je pristup na njihove podatke tokom incidenta zlatni izvor SIEM / logovi
- 23. Zaključak • korisno, treba puno znanja i iskustva ali daje prednost jer skračuje trajanje analize • nema standardizacije i puno “trade secrets” što otežava interpretiranje podataka • xml mogući koristan model za prebacivanje među alatima • sadašnji alati su previše usmjereni na rad u alatu umjesto na rješavanje incideta kad se radi o složenijom analizama • mobilni uređaji daju cijelu novu dimenziju ovom pitanju kroz forenziku mobilnih uređaja
- 24. Srodni alati & ideje, tekuće stanje • Nuix http://www.nuix.com/ • drugi data mining / data analyses alati (sas) • prošle i ove godine puno proizvođaća daje svoje alate koji rade dodatnu analitiku nad klasičnim “forenzičkim” podacima, ali tu nedostaje prilagodjivosti • to je područje koje se upravo pojavljuje (povezano sa actionable inteligence)