هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

صور أنظمه من قبل NIST للتمرن على التحقيق الجنائي الرقمي

NIST الامريكيه قامت بمشروع CFReDS وهو عباره عن توفير بيانات وصور انظمه تحاكي الواقع لهجمات الكترونية بحيث يستطيع المحقق الجنائي تنزيل هذه الصور والبيانات والتمرن عليها او استخدامها في برامج تاهيل وتدريب الموظفين في الشركات والموسسات. المشروع غطى عدد جيد من الهجمات واعطى اكثر من صوره لكل هجمه مع البيانات اللازمه.

يمكنك زيارة صفحه المشروع من الرابط التالي

https://www.cfreds.nist.gov/

ادوات واجهزة يجب ان يحصل عليها كل محقق جنائي رقمي

سوف اكتب عن بعض الأدوات والأجهزة التي يجب على كل محقق جنائي رقمي ان يحصل عليها.

Forensics Toolkit :

 يجب على المحقق ان الجنائي ان يكون لديه مجموعتة الخاصة من الادوات, هذه الادوات يجمعها المحقق على حسب القضايا التي عمل عليها حتى تكبر وتصبح مجموعه ثمينة من الادوات. هناك بعض الادوات الاساسية والمشهورة والتي اي محقق جنائي سوف يستخدمها وايضا هناك ادوات غير مشهوره وسوف تواجهك حالات تبحث عن ادوات لغرض معين لذلك قم بجمع الادوات في مكان واحد بشكل منضم لترجع اليهم لاحقا. اثناء اختيار اداة يجب المراعاه بانها اداة تقوم بإنتاج نتائج صحيحه قم باختبارها ايضا قم بقراءة المراجعات او اي شي يفيد لمعرفة جودة الاداة, انصحك بالاطلاع على التدوينة التاليه مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي.

بعض الأدوات الشهيرة :

  • SIFT هي توزيعة من SANS تحتوي على كل ما يحتاج المحقق الجنائي في مكان واحد يمكنك الاطلاع على المشروع على موقع SANS من هنا
  • X-Ways Forensics  بيئة خاصة بنظام وندوز للتحقيق الجنائي الرقمي

  • Sleuth Kit  مجموعة من الادوات متخصصة في تحليل نظام الملفات والقرص يوجد كتاب رائع جدا لكيفية استخدام هذه الادوات اسمه File System Forensic Analysis
  • FTK and EnCase هم ادوات غير مجانية متخصصة في التحقيق الجنائي الرقمي وتقوم انصحك بشدة الاطلاع عليهم ومعرفة مميزات كل اداة  والفروق بينهم.
  • ادوات وبرامج متفرقة يجمعها المحقق الجنائي اثناء مسيرته المهنية

Write Blockers :

هي عبارة عن اجهزة تستخدم اثناء اخذ صورة من  البيانات في الاقراص التي تم جمعها للتحليل هذه الأجهزة تضمن سلامة البيانات وعدم أتلاف الدليل انصحك وبشدة ان تطلع على كل انواع الـ Write blockers يمكنك زيارة موقع شركة tableau .

Forensics drive duplicators  :

هذه عبارة عن اجهزة تقوم بنسخ الاقراص من قرص الى قرص اخر مع ميزه فحص سلامه البيانات والتاكد من ان كل البيانات تم نسخها بسلامه , في الحقيقه هناك الكثير من الاجهزه لكل انواع الاقراص الصلبة يمكنك البحث عنهم وتختلف اسعارهم واحجامهم حسب الوظيفة وعدد الاقراص التي يدعمها الجهاز . اجهزة نسخ البيانات اسرع بكثير من عملية النسخ الاعتيادية وكذلك المقدره على نسخ اكثر من هارد ديسك في نفس الوقت. بعض الاجهزه توفر ميزه المسح الامن باستخدام معايير تم قبولها من قبل وزارة الدفاع الامريكيه والقضاء الامريكي , يتم استخدام ميزة المسح لمسح القرص والتاكد من خلوه من اي بيانات قبل نسخ الهارد ديسك الدليل للقرص الخاص بالمحقق.

cables and adapters:

يجب ان يكون هناك مجموعة من cables والتي تعمل على مجموعات مختلفه من الاقراص الصلبه والاجهزة وكذلك  Sim Card Readers و SD card readers وغيرها.

 camera for documentation:

اثناء التحقيق الجنائي وجمع الادلة يجب ان يتم تصوير كل جهاز قبل مساسة وتصوير مسرح الجريمه والالتزام بالبروتوكولات المستخدمه في التحقيق الجنائي لذلك وجود كاميرا مهم جدا لتوثيق كل شي.

computer tool kit:

التعامل مع الهارديسك واخراجه من الجهاز الدليل خاصة اجهزه اللابتوب يتطلب ادوات وخبره لا بأس بها لفتح الاجهزه. تحدي يواجه المحقق الجنائي وهو تعلم طريقة فتح كل موديلات اجهزه اللابتوب حيث انها تختلف من شركه الى اخرى مع تفاوت الصعوبه. لذلك يجب ان يملك المحقق الادوات المناسبة لفتح الجهاز.

Pre-prepared Documentation forms and a notebook:

في تدوينة سابقة “قبل البدء في التحقيق الجنائي الرقمي” ذكرت اهمية التوثيق وبعض الامور التي يجب تسجيلها والانتباه لها عند التحقيق كذلك يوجد هناك بعض checklists التي يجب ان تفحصها اثناء التحقيق هذه كلها يتم تسجيلها في الدفتر الخاص بك او الايباد الذي تسجل فيه كل شي . ايضا يجب ان تكون مستعد بالـ forms التي تخص الـ chain of custody او اي نوع اخر من الـ Forms على حسب الدولة او البروتوكول المستخدم .

انصحك أيضا ان تحصل على نسختك الخاصة من كتاب : (Blue Team Field Manual (RTFM 

تحليل الـ scheduled tasks في نظام Windows

في هذه التدوينة سوف نقوم بتحليل معلومات المهام المجدولة في انظمه وندوز ومعرفة ماهي قيمة هذه البيانات في التحقيق الجنائي الرقمي. مايكروسوفت اضافت ميزه جدولة المهام في انظمة وندوز والتي تسهل على مدراء الانظمه تشغيل الاوامر والسكربتات بوقت معين او بشكل دوري, مثلا كل يوم اربعاء الساعه العاشرة يقوم الجهاز بتحديث نفسه او اخذ Backup او ارسال تقرير معين… الخ. جدولة المهام يتم استغلالها من قبل الهاكرز في تشغيل الملفات الخبيثة والحصول على ميزات اضافية.

قبل ان نشرع في التحليل, دعونا نفهم كيف تعمل جدولة المهام. يمكنك انشاء مهمة في عن طريق سطر الاوامر باستخدام امر at او schtasks او عن طريق الوجهة الرسومية لاداة Taskschd.msc. عملية انشاء المهام المجدولة سهل جدا من خلال الواجهة الرسومية وذلك عن طريق بعض النقرات وتم الامر,  بالنسبة لانشاء مهام مجدولة من خلال سطر الاوامر ارجع الى موقع مايكروسوفت.

دليل استخدام امر at

https://support.microsoft.com/en-us/help/313565/how-to-use-the-at-command-to-schedule-tasks

دليل استخدام امر Schtasks

https://technet.microsoft.com/en-us/library/bb490996.aspx

في الاغلب يتم استخدام امر at من قبل المهاجمين. امر schtasks اكثر تعقيدا وتقدما من امر at حيث انه يملك ميزات اكثر. يمكنك الاطلاع عليها في موقع مايكروسوفت. اذا قمت بتشغيل الامر schtasks في سطر الاوامر سوف يتم عرض كل المهام المجدولة سواء تم انشائها باستخدام at او schtasks ولكن اذا قمت باستخدام امر at في سطر الاوامر سوف يتم عرض فقط المهام التي تم انشائها باستخدام امر at .

ماهي قيمة معلومات المهام المجدولة في التحقيق الجنائي الرقمي

بشكل عام التحقيق الجنائي الرقمي يبحث عن كل معلومه مفيده في التحليل والمهام المجدولة تدخل ضمن هذه المعلومات حيث ان لها القدرة على تشغيل الملفات التنفيذه او الامر الخاصة بنظام التشغيل لذلك قد يستخدمها الهاكرز في تشغيل برمجياتهم الخبيثه في اوقات معينة ايضا باستخدام جدولة المهام.

جدولة المهام توفر لك بعض المرونة مثل انه من الممكن  ان يتم تشغيل الملف من جهاز اخر على الشبكة ايضا عندما يتم تشغيل الملفات عن طريق جدولة المهام يتم تشغيلها بصلاحيات SYSTEM وليس صلاحيات local administrator  وهذه ميزه اضافية للمهاجم انه يحصل على صلاحيات اضافية تفيدها في privilege escalation وتشغيل سكربتات تقوم بمهام متعددة  مثل password dumpers.جانب اخر ومهم جدا وهو عند القيام بجدولة مهمه معينة تقوم بتشغيل cmd ثم تقوم الـ cmd بتشغيل ملف اخر خبيث سوف يتم تسجيل الـ logs بانه تم تشغيل cmd ولن يتم تسجيل اي log للملف الخبيث .

التحليل:

معلومات المهام المجدولة يتم تخزينها في ملفات تحمل الامتدام .job هذه المعلومات لا تخزن الى الابد في نظام التشغيل وانما بشكل مؤقت حسب نوع النظام مثلا في اصدارات وندوز قبل فيستا يتم حذفهم فورا عند تشغيل المهمه المجدولة بنجاح اما في الاصدارات بعد فيستا يتم تخزينهم اطول حتى يتم اغلاق او اعادة تشغيل Task Scheduler service. معلومات المهام يتم تخزينها في الرجستري في المسار التالي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Treea

ملف الـ log للخدمة نفسها Task Scheduler service متى تم تشغيل او اطفاء الخدمه متواجد في الملف C:\Windows\System32\Tasks\SchedLgU.txt

للمهام التي تم انشائها باستخدام at يتم تخزينها معلوماتها في ملفات .job  في المسار C:\Windows\System32\Tasks يمكن تحليل هذه الملفات باستخدام اداة Job File Parser .

للمهام التي تم انشائها باستخدام امر Schtasks او اداة الوجهة الرسومية Taskschd.msc يتم تخزين المعلومات في ملفات xml في المسار التالي C:\Windows\System32\Tasks

هذه المعلومات يتم تحليلها ومعرفة كل المهام المجدولة وماتم تشغيله في النظام مسبقا او مجدولة ليتم تشغيله لاحقا. ايضا يمكن استخراج معلومات مفيده عن المهام المجدولة من خلال Event log لنظام وندوز .

ستة امور اقوم بها لحماية اجهزتي الشخصيه

التدوينة تستهدف المستخدم العادي وغير المتخصص في امن المعلومات 

سوف اقوم بذكر الامور التي اقوم بها شخصيا على اجهزتي لزيادة درجة الحماية,  هذه الخطوات مفيده لاي مستخدم ولكن هذا لا يعني انها الحماية القصوى والكامله, فقط هي خطوات تزيد الامان بشكل كبير.لذلك اظن ان مشاركتها معكم مفيده للمستخدمين الغير المتخصصين. ولكن لكي تحصل على اكبر قدر من الامان يجب ان تقرأ وتفهم طريقة عمل البرمجيات بشكل بسيط وتبقى مطلع . يمكن ان تدرس شهادة CSCU وهي متخصصه في توعية المستخدم العادي والغير متخصص في كيفية استخدام الانترنت بشكل امن .

اقرأ المزيد

دور الـ fuzzy hashing في اكتشاف الـ Malwares

fuzzy hashing هي عباره عن خوارزميات تقوم باكتشاف درجة القرابة بين ملفين واعطاء نسبة بين 0 الى 100 حيث 0 هي اختلاف الملفين تماما و 100 تعني الملفان متشابهين تماما . هذه الخوارزميات تستخدم وبشكل كبير في عملية اكتشاف الـ malwares ولها بعض التطبيقات الاخرى مثل spam detection.

اقرأ المزيد

كتاب: Incident Response & Computer Forensics

كتاب Incident Response & Computer Forensics اضفته الى قائمة الكتب المفضلة وهو كتاب رائع يحتوي على خلاصة خبرة طويلة في مجال الاستجابة والتحقيق في حوادث الاختراق. يوجد نسخه سابقة من الكتاب نشرت تقريبا قبل عشر سنوات من تاريخ نشر النسخه الثالثة. الكتاب بشكل عام كتاب رائع يحتوي على معلومات قوية عملية ونظرية, والجميل ان المفاهيم النظرية والتي تتناول مفهوم الاستجابة للحوادث كمفهوم عام تم وضعها بطريقه تُشعرك اهميه الاستجابه للحوادث كصوره عامه وليس تقنيه بحته . ليس من الضروره ان  يملك القارئ خبرة سابقة في incident response لقراءة الكتاب. المفاهيم بدأت من الصفر ابتداء من المقدمة التعريفية عن المجال حتى المعالجة من دمار الحادثة حيث وضع المؤلفين بداية جيده جدا في الجزء الاول من الكتاب عن المجال ولماذا يجب على كل شركة ان يكون لها فريق استجابة وايضا تم وضع بعض الـ case study والتي كانت حوادث اختراق حقيقة واجهت المؤلفين سابقا.

الجميل في الكتاب ان المؤلفين يضعون كل خبرتهم في الكتاب وتجد ان هناك رغبة في مشاركة المعلومات سواء بالنصائح القيمه او الادوات المستخدمه في التحليل. ايضا بالمصادر الخارجية في حالة اذا كان هناك مقال جيد يريدك المؤلف ان تتطلع عليه لزيادة الفائدة او لأهمية المقال. عدد كبير جدا من الادوات تم ذكرها والتي يمكنك استخدامها اثناء الاستجابة للحوادث البعض منها يشيد بها الكتاب وهي في الاغلب ادوات مشهورة من شركات متخصصه في المجال. الجانب العملي في الكتاب غني ولم يتم التركيز على مفاهيم نظرية فقط.

هناك جزء من الكتاب مخصص لـ Enterprise services مثل dhcp و dns..الخ والاستجابة لها وماهي المعلومات التي تحتويها ملفات الـ log لهذه الخدمات وكيف يمكن الاستفادة منها اثناء التحقيق في الحادثة . نظام وندوز كان لديه حصة الاسد في التحليل حيث تم تناول العديد من الـartefacts للنظام مع نظام الملفات واستراتيجيات التحليل مع ذكر الاداة المناسبة لكلartefact. ايضا نظام ماك تم تناولة في الكتاب بشكل بسيط. كذلك احد الاجزاء المهمه في الكتاب وهي investigating applications وهذا مهم جدا ليس للبرامج التي تناولها الكتاب مثل متصفح كروم وفايرفوكس وبعض البرامج المشهوره الاخرى ولكن ليعطي القارئ فكرة ان كل برنامج موجود في النظام من الممكن ان يكون هو artafact بحد ذاتها عن طريق دراسة الـ structure الذي يتم تخزين فيه المعلومات وطريقة استخراجها وتحليلها, على سبيل المثال متصفح فايرفوكس يحتوي على قواعد بيانات sqlite يمكن تحليلها وبهذه الطريقة اي برنامج يمكن التحقيق فيه . مهمتك كمحقق جنائي مرموق ان تقوم بدراسة البرمجيات المشهوره والمنتشره ومعرفة مايتم تخزينه وماهي المعلومات التي قد يمكن استخراجها وكتابة سكربت لهذا البرنامج . اذا اخذت مثال لبرنامج X وهو برنامج مشهور يستخدمه الملايين ولكن ليس له اي artafact معروفه او اي ادوات في هذه الحاله قم بتحليل البرنامج ودراسته المعلومات التي يخزنها. ومستقبلا اذا واجهك البرنامج في جهاز المشبته يمكنك استخراج المعلومات وبسهولة تامه خاصة اذا جهزت سكربت له مسبقا .

بشكل عام انصح وبشدة ان تقرأ الكتاب

رابط الكتاب على امازون