Forensics Live Analysis باستخدام اداة Redline لانظمه وندوز

في اي عملية تحقيق جنائي لحادثة اختراق جمع المعلومات مهمة رئيسيه. جمع المعلومات تتم على مستوى الشبكه او على مستوى الجهاز (Host). كل المعلومات مهمه للغاية حتى تلك المعلومات المؤقته الموجوده في ذاكرة النظام.

في العادة يتم اخذ صوره كاملة من الهارد ديسك للتحليل ولكن احيانا يتطلب اخذ المعلومات بشكل مباشر دون اطفاء النظام هذه العملية تسمى بـ Live analysis او Live response . تطرقت للموضوع سابقا بفيديو على مجتمع iSecur1ty.

جانب مهم يجب مراعاته هو عدم تغيير اي شي في النظام المراد التحقيق فيه, لذلك يجب استخدام اداوات مخصصه لعملية الجمع. الكثير يستخدم سكربتات وادوات بسيطه قام ببرمجتها او عن طريق استخدام الاوامر الموجوده في النظام بشكل افتراضي. قليله جدا هي الادوات التي توفر لك بيئه جيده لجمع المعلومات دون المساس بالنظام والاعتماد بشكل كلي على مكتبات مضمنه مع السكربتات محاولة لعدم الاعتماد على مكتبات في النظام وتشغيلها واحداث التغييرات.

اداة Redline توفر مجموعه من السكربات التي تقوم بانشائها واستخدامها اثناء الاستجابة للحوادث . السكربتات تقوم بجمع المعلومات بشكل تلقائي. الاداة ايضا تستطيع  اخذ صوره من ذاكرة النظام وهذا جزء أساسي من عملية Live response حيث ان الذاكرة تحتوي على معلومات مهمه للغاية.

طريقة عمل الاداة وهي اولا تقوم بتنصيب الاداة على جهازك الذي تستخدمه للتحقيق الجنائي الرقمي. لا تقوم ابدا بتنصيب الاداة على الجهاز المراد التحقيق فيه وألا سوف تقوم بإتلاف الدليل , عند فتح الادة سوف يكون هناك خياران, الاول وهو انشاء السكربات المطلوبه لجمع البيانات, الثاني تحليل بيانات تم جمعها.

سوف نقوم باختيار الخيار الاول, الاداة سوف تتيح لك خيار تعديل السكربتات التي سوف تولدها. هناك تقريبا 11 تصنيف من المعلومات التي سوف تجمع واكثر 60 مصدر سوف تجمع منه المعلومات .

كما هو واضح في الصوره يمكن اختيار ما تريد جمعه, بعد عملية الاختيار قم بتحديد مكان حفظ السكربات.  من الافضل وضعهم في قرص USB واستخدام القرص اثناء جمع المعلومات من الجهاز المراد التحقيق فيه.

سوف تجد الملف RunRedlineAudit.bat والذي سوف يقوم ببدء عملية الجمع. بعد انقضاء الوقت المطلوب للجمع والذي يختلف على حسب البيانات التي اخترتها للجمع. قم بنقل الملف الذي سوف يتم انشائه في نفس مسار السكربتات والذي يحتوي على البيانات لفتحها باستخدام الاداه نفسها وتحليل البيانات .

الاداة رائعة في تحليل النتائج وعرض البيانات بشكل رسومي, ويمكن ايضا تحليل الذاكرة واستخراج الكثير من البيانات المفيده . هذا رابط لدليل المستخدم الخاص بالاداة .

لقد قمت مسبقا بتسجيل فيديوهات عن الاداة مقسمة لجزئين, اتمنى ان تكون مفيده.

 

ماهي معلومات Shimcache والفائدة منها في التحقيق الجنائي الرقمي

Shimcache تم اضافتها الى نظام وندوز ابتداء من وندوز اكس بي وكان الهدف منها تتبع معلومات الملفات التنفيذيه لغرض متابعه التوافقيه للملفات التنفيذيه لمختلف اصدارات وندوز . هذا يعني ان نظام وندوز يقوم بجمع معلومات عن الملفات التنفيذيه (البرامج ) في النظام , هذه المعلومات يطلق عليها Shimcache  .

معلومات الـ Shimcache تتضمن في التالي:

  • File Full Path
  • File Size
  • $Standard_Information (SI) Last Modified time
  • Shimcache Last Updated time
  • Process Execution Flag

هذه المعلومات لها قيمة فعلية للتحقيق الجنائي الرقمي والكثير من ادوات التحقيق الجنائي مثل Encase و FTK تحلل وتستخرج هذه المعلومات اثناء تحليل صورة النظام .من خلال هذه المعلومات نستطيع معرفة البرمجيات التي تم تشغيلها في النظام ومعلومات اخرى مثل الحجم ومسار الملف وغيرها .

في 2012 قام Andrew Davis بنشر White paper عنها ومنذ ذلك الحين اصبحت من الـartifacts المهمه للتحقيق الجنائي الرقمي في انظمه وندوز  .

يمكن للمحقق الجنائي استخدام اداة ShimCacheParser لاستخراج هذه المعلومات من الرجستري الخاص بالنظام . ايضا هناك plugin يمكن استخدامها مع مشروع volatility لتحليل الذاكرة .

هذا مثال عملي لاستخراج هذه المعلومات من موقع fireeye

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv.html

ايضا هذا المقال يشرح التفاصيل التقنيه

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv/shim-shady-part-2.html

 

نظرة على اداة Bulk extractor

هناك مرحلة في التحقيق الجنائي الرقمي اسمها مرحلةالـ Triage وهي ببساطة عملية غربلة وفرز البيانات والمعلومات الكثيرة التي تم الحصول عليها اثناء جمع الادلة لمعرفة ماهي البيانات المهمه والغير مهمه للبدء في التحقيق بشكل معمق . كثيرة القضايا التي يكون فيها كم هائل من المعلومات لدرجة ان تقنيات تحليل البيانات المستخدمه في Big Data تستخدم حاليا اثناء التحقيق واستخراج المعلومات . من الادوات المفيده اداة Bulk extractor والتي تتميز بسرعتها في فحص كم هائل من البيانات واستخراج المعلومات ووضعها في ملفات مرتبة ومصنفة . الاداة تتميز بسرعتها في البحث وتصنيف البيانات . فعلى سبيل المثال اذا قمت باستخدام الاداة مع هاردديسك 1 تيرا بايت ممتلئ بالبيانات المتنوعة سوف تقوم الادة بالزحف بشكل سريع ورائع وتنتج ملفات تحتوي على المعلومات التي تم الحصول عليها ووضع كل نوع من المعلومات في ملف منفصل .

بعض المعلومات التي تدعمها الاداة وليس جميعها

  • ارقام بطاقات الائتمان
  • اسماء الدومينات
  • الايميلات
  • عناويين الايبي
  • عناوين MAC address
  • ارقام الهواتف
  • الروابط التشعبية

وغيرها من المعلومات, الجميل في الاداة انها تدعم Regular expressions بحيث تقوم بكتابة expression معين واذا تم التطابق اثناء البحث سوف يتم فرز البيانات ووضعها في ملف منفصل . الاداة رائعة جدا ومفيده في التحقيق الجنائي تستطيع ان تفرز هارد ديسك بالكامل بحثاً عن معلومات تخص اسم شخص او رقم هاتف وما الى ذلك .

رابط الاداة على github :

https://github.com/simsong/bulk_extractor

مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي

يتطلب التحقيق الجنائي الرقمي دقة كبيرة اثناء التحقيق واستخراج المعلومات بسبب ان المعلومات سوف تقدم كدليل يستخدم جنائيا في المحكمه وعلى اساسة يتم اتخاذ الاحكام . المعهد الوطني للمعايير والتكنولوجيا الامريكي ( national institute of standards and technology ) كذلك المعهد الوطني للعدالة الامريكي ( national institute of justice ) قاموا بعمل مشروع يقوم باختبار الادوات التي يتم استخدامها في التحقيق الجنائي من قبل رجال الامن والمختصين الجنائيين او أي شركات خاصة . هذا المشروع يقوم بعمل اختبارات على الادوات التجارية والمجانيه المشهورة بحيث يتم اضافتها الى قائمه الادوات ذات الجوده والدقة في النتائج .اذا تم تقديم تقرير الى المحكمه باستخدام اداة غير معروفة او لم تعدى الاختبار لا يتم قبول  التقرير . متابعة قراءة “مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي”

قبل البدء في التحقيق الجنائي الرقمي

في هذه التدوينة سوف القي الضوء على الامور التي يجب ان تتم بالطريقة الصحيحه قبل البدء في اي عملية تحقيق جنائي رقمي  وماهي الخطوات اللازمه لتحقيق جنائي رقمي ناجح ودقيق.

الخطوة الاولى : التأكد من الحادثة

التاكد من الاختراق ( سوف استخدم مصطلح اختراق او حادثة  واعممة على كل انواع المخاطر الامنية التي قد تحصل من تسريبات وغيرها ) قبل اتخاذ الاجراءات اللازمه , اذا كان مدير الشبكة له الخبرة التقنية الكافية للتاكد من الحادثة فعليه قبل ان يصاب بالهلع واعلان الخطر ان يتحقق من ان الاختراق بالفعل حدث. هناك الكثير من السيناريوهات التي قد تودي الى الشك بان هناك اختراق مثل ان يكون هناك log في انظمه حماية الشبكه مثل IDS يدل على شي مريب , ادعاءات من قبل شخص او مجموعة انهم اخترقوا الشبكة وغيرها .  الحالة الاولى بان اجهزه الحماية تنشئ تقرير بان هناك شي مريب , يجب على مدير الشبكه او المحقق الجنائي فور وصولة ان يقوم بالتحقق بشكل جيد ودقيق قبل الحكم بأن هناك اختراق ويجب العلم بان اجهزة مراقبة الشبكات ليست دقيقه. كذلك قد يكون هناك خبر وينتشر بشكل كبير خاصة اذا الموسسه او الشركه لها ثقل وسمعة بانها اُخترقت من قبل مجموعة القراصنة X ويتم الترويج للخبر وتناولة في الشبكات الاجتماعية وليس هناك اي اختراق  . هناك حادثة حقيقه حصلت في 2012 بأن الـ New York stock exchange تم اختراقها  وانتشر الخبر كالنار في الهشيم وكانت مجرد ادعاء او اشاعة . الفريق الامني قام باعلان حالة الطوارئ واتخاذ الاجراءات ولفتره ليست بالقصيرة ظن الجميع بأن هناك اختراق بالفعل. متابعة قراءة “قبل البدء في التحقيق الجنائي الرقمي”