Überblick über die besten kostenlosen forensischen Forschungs-Apps / Sudo Null IT News

Heute haben einige Forensiker in der Russischen Föderation Schwierigkeiten, digitale Beweismittel mit kostenpflichtiger kommerzieller Software zu recherchieren, da es nicht immer möglich ist, das Lizenzabonnement oder die Gültigkeitsdauer des Hardwareschlüssels zu verlängern. Wir müssen nach alternativen Wegen suchen, die es erlauben, wenn auch mit gewissen Zeitverlusten, Ermittlungen in ausreichender Qualität durchzuführen. Wir von Informzaschita haben eine ziemlich große Anzahl kostenloser Open-Source-Tools untersucht, die wir in unseren Untersuchungen verwenden, und möchten unsere Eindrücke und Erfahrungen mit der Verwendung solcher Software mit Ihnen teilen.

MemProcFS-Analyzer

Ein regelmäßig aktualisiertes Tool, das ein umfassendes Powershell-Skript und eine Reihe vieler beliebter Dienstprogramme für die Durchführung digitaler Recherchen im Rahmen der Forensik ist. Ein wichtiges Feature ist die vollautomatische Installation aller notwendigen Komponenten beim ersten Ausführen des Skripts. Der Hauptfokus dieses Tools liegt auf der Untersuchung von RAM-Dumps, jedoch wird die Analyse hier ohne die Verwendung traditioneller Volatilität durchgeführt. Das Skript erstellt eine virtuelle Festplatte und hängt den untersuchten Speicherauszug darauf, wobei es in Zukunft damit wie mit dem Dateisystem interagiert.

Eine interessante Lösung für diejenigen, die Volatility aufgrund der großen Menge an Plugins und der Notwendigkeit, das richtige Betriebssystemprofil für die Analyse auszuwählen, nicht verwenden möchten. Fairerweise sollte ich anmerken, dass ich dieses Toolkit nur zum Analysieren von Windows-Speicherabbildern verwendet habe. Inwieweit das Tool für die Analyse von Linux Memory Dumps akzeptabel ist, kann ich nicht sagen. Auch der Autor des Toolkits hat in der Beschreibung nichts dazu angegeben. Ich möchte einige Merkmale hervorheben, die mein besonderes Interesse im Rahmen der Forschung geweckt haben.

Auch beim Extrahieren von Dateien aus dem Dump weist das Programm sofort auf verdächtige untergeordnete Prozesse im Arbeitsspeicher und Scheduler-Tasks hin. Kein schlechter Hinweis, um zu verstehen, in welche Richtung Sie nach Abschluss des Vorgangs „graben“ können.

Verdächtige Prozessdateien werden automatisch von ClamAV Open Source Antivirus gescannt. Dazu deaktiviert das Skript vorübergehend den Windows Defender-Dienst, damit Sie dies nicht überrascht.

Nach Abschluss der Extraktion und primären Datenverarbeitung erhalten wir die folgenden Ordner mit sortierten Beweisen:

Ich bin froh, dass durch die Verarbeitung nicht nur Text- und .csv-Dateien entstehen, sondern auch formatierte Excel-Tabellen, mit denen man viel angenehmer arbeiten kann.

Interessant ist die Datei FindEvil.xlsx, die Informationen über verdächtige Dateien enthält, die anhand der vom Autor unter dem Link separat beschriebenen Indikatoren identifiziert wurden https://github.com/ufrisk/MemProcFS/wiki/FS_FindEvil

Die Datei proc.xlsx enthält nicht nur eine Liste von Prozessen mit ihrer PID, PPID und dem Benutzernamen, unter denen sie gestartet werden, sondern auch einen vollständigen Prozessstartbefehl, ähnlich dem cmdscan/cmdline-Plugin von Volatility.

Die Datei „tasks.xlsx“ enthält eine vollständige Liste aller Scheduler-Tasks mit einer vollständigen auszuführenden Befehlszeile.

Wenn das Skript während der automatischen Verarbeitung Prozesse mit verdächtiger Vererbung entdeckt hat, z. B. wenn ein typischer Outlook.exe-Prozess powershell.exe erzeugt, befindet sich die Liste dieser Prozesse mit ihren Beschreibungen in einem separaten Ordner sys\proc\Unusual_Parent- Child_Relationships als Textdateien.

Und natürlich jedermanns Lieblingszeitleiste. Vollständig formatiert, mit praktischen Filtern.

Von den Minuspunkten, auf die ich im Laufe der Arbeit mit dem Tool gestoßen bin, möchte ich Folgendes anmerken.

  • Heute gibt es ein Problem mit der Netzwerkverfügbarkeit von Updates für die Komponenten dieses Toolkits, daher werden Sie solche Fehler sehen, wenn Sie es starten.

Diese Komponenten müssen manuell geladen werden. Dies gilt auch für die Aktualisierung der Datenbank für ClamAV. Ohne aktualisierte Datenbanken „hängt“ ClamAV einfach das Skript bei endlosen Versuchen, sich mit dem lokalen ClamAV-Dienst zu verbinden, der wiederum ohne aktualisierte Datenbanken einfach nicht startet.

  • Es gibt keine separate Liste für die identifizierten “Start”-Komponenten. Es gibt einige Daten aus dem Register, aber Sie und ich wissen, dass dies keine vollständigen Informationen sind.

  • Die verarbeiteten Daten werden schließlich in ein 7zip-Archiv mit dem Passwort MemProcFS gepackt, das auf der Website des Autors nicht angegeben ist und nur im Hauptteil des Skripts zu finden ist. Dies kann bei der ersten Verwendung verwirrend sein.

Hayabusa

Ein ausgezeichnetes, regelmäßig aktualisiertes Open-Source-Tool für die eingehende Analyse von Windows-Systemereignissen mit dem Schwerpunkt auf der Identifizierung abgeschlossener oder aktiver Cyberangriffe. Sie können über den Link herunterladen https://github.com/Yamato-Security/hayabusa

Für freie Software hat sie ziemlich flexible Einstellungen und erfordert kein “Tanzen mit einem Tamburin” während der Installation. In den neuesten Versionen kann es in mehreren Threads arbeiten, was die Analysezeit erheblich verkürzt.

Es wird erwartet, dass die Eingabe den Pfad zum Ordner mit den .evtx-Ereignisdateien angibt, oder Sie können eine Live-Analyse des aktuellen Hosts durchführen. Die Ausgabe kann an eine .csv-Datei gesendet werden, die wie folgt aussieht:

Aus meiner Sicht eine sehr informative Ergebnisliste. Dieses Tool exportiert nicht nur Systemereignisse und sortiert nach Quelle, sondern findet auch, basierend auf internen Algorithmen, Beziehungen zwischen bestimmten Ereignissen und trifft Vermutungen über das Vorhandensein bösartiger Aktivitäten im System. Sie können die Ergebnisse nicht nur nach ihrer Gefährlichkeit sortieren, sondern auch nach der Art der schädlichen Auswirkung aus der MitreAttack-Klassifizierung. Übrigens erhöht sich die Genauigkeit erheblich, wenn der sysmon-Dienst auf dem System installiert ist. Dies ist jedoch logisch, da sysmon selbst ein sehr detailliertes Ereignisprotokoll führt.

Mit Hayabusa können Sie die Regeln, die in .yml-Dateien geschrieben sind, in einer Syntax anpassen, die an YARA-Regeln erinnert:

Übrigens können Sie einzelne Sigma-Regeln importieren, was Hayabusa perfekt versteht.

Aus eigener Erfahrung ist Hayabusa sehr gut darin, Angriffe auf Active Directory zu erkennen. Diverse Brute-Force-Versuche, Password Spray, Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Credential Dumping und all das wird sehr gut erkannt.

Von den Minuspunkten – außer dass die Ausgabe nur im CSV-Format verfügbar ist, sodass Sie sie manuell formatieren müssen.

KAPE

Jetzt erzähle ich Ihnen von einem größeren Tool, das hauptsächlich mit Klonen / Images einer Festplatte arbeitet. Der Autor ist Eric Zimmerman, der Forensikern bestens bekannt ist. Eigentlich steht KAPE für Kroll’s Artifact Parser and Extractor, und Kroll ist der Name der Firma, zu der der Autor von KAPE gehört.

Sie können KAPE auf Anfrage über das Kontaktformular von der offiziellen Website herunterladen. https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape

Das Tool wird auch regelmäßig aktualisiert und besteht aus einer Reihe von Skripten, die eng mit Eric Zimmermans eigenen forensischen Dienstprogrammen integriert sind, die eine grafische Oberfläche haben, die für ein kostenloses Tool recht anständig ist.

KAPE hat zwei Hauptbetriebsarten: Datenerhebung (sog. Acquisition) und Datenanalyse. Der linke Teil des Hauptfensters ist für das Sammeln von Daten zuständig, der rechte Teil für verschiedene Analysemöglichkeiten.

Zuerst wählen Sie den Quelldatenträger aus, von dem Sie die Daten untersuchen möchten. Hier ist ein wichtiger Punkt – KAPE kann keine Disk-Images als Eingabe akzeptieren. Daher müssen Sie zunächst das Image in Form eines logischen Laufwerks mounten und am Eingang Zielquelle den Pfad zum logischen Laufwerk eingeben. Geben Sie im Zielziel den Ordner an, in den die Daten für die Analyse extrahiert werden. Aber welche Art von Daten extrahiert werden, wählen Sie aus einer langen Liste von Plugins aus. Tatsächlich ist es hier schwierig, sich zu verwirren, da die Namen der Plugins den Daten entsprechen, die extrahiert werden. Beispielsweise extrahiert das Plug-in !SANS_Triage einen Standarddatensatz mithilfe der SANS-Methodik. Was genau sind die Daten? Wir doppelklicken auf den Plugin-Namen und sehen das folgende Fenster:

Die Module, die von diesem Skript verwendet werden, sind hier aufgelistet. Diese Module werden im Ordner KAPE\Targets gespeichert. Öffnen Sie zum Beispiel EventLogs.tkape und sehen Sie:

Wir schließen daraus, dass .evtx-Dateien aus den entsprechenden Ordnern zur Analyse extrahiert werden.

Ich denke, dass die Logik klar ist – die vorhandenen Plugins können geöffnet und mit den angegebenen Moduldateien verglichen werden, welche Daten von wo extrahiert werden.

Wir beginnen mit der Extraktion, der Prozess hat begonnen:

In meinem Fall habe ich bei ausgewähltem !SANS_Triage die folgenden Ordner und Dateien zur weiteren Analyse erhalten:

Jetzt kommt der zweite Teil von KAPE ins Spiel – Plug-Ins für die Analyse von der rechten Seite des Hauptfensters. Die Logik ist die gleiche – bei der Eingabe Modulquelle geben wir den Ordner mit den Inhalten aus der ersten Stufe an und bei Modulziel geben wir an, wo die Ergebnisse der Dateianalyse gespeichert werden sollen. Der Inhalt der Plugins kann wie im ersten Schritt eingesehen werden. Genauso ist es mit Modulen. Wählen Sie als nächstes das Format zum Speichern der Ergebnisse und starten Sie die Analyse.

Während der Ausführung können Sie den Start von Standard-Tools von Eric Zimmerman sehen, aber das ist typisch für das !EZParser-Plugin. Andere Module führen die in ihren Beschreibungen aufgeführten Dienstprogramme aus:

Übrigens ist es Ihnen höchstwahrscheinlich bereits klar geworden, dass Sie Ihre eigenen Plugins erstellen und sie dem Ordner KAPE\Modules hinzufügen können.

Als Ergebnis erhalten wir eine Reihe von Ordnern mit den Ergebnissen der Analyse, sortiert nach Kategorien:

Was folgt, ist eine typische Arbeit eines Forensikers. Wir studieren .csv-Dateien und suchen nach den notwendigen Beweisen.

Von den Minuspunkten kann Folgendes festgestellt werden.

  • Bis heute gibt es einige Probleme damit, nach dem Ausfüllen eines Formulars auf der Seite einen Link zu KAPE zu bekommen. Ein Brief bei ihr kommt zeitweise oder gar nicht. Darüber hinaus ist es erforderlich, die Firmenpost anzugeben.

  • Sie müssen einige Dienstprogramme für die Module selbst herunterladen und in den Ordner KAPE\Modules\bin kopieren.

  • KAPE reagiert nicht gut auf Disk-Images, die mit FTKImager gemountet wurden, und empfiehlt die Verwendung von Arsenal Image Mounter. Dieses Problem wird jedoch gelöst, indem die Option FTK-Warnung ignorieren auf der rechten Seite des Hauptfensters aktiviert wird. Aber erfahrungsgemäß gibt es wirklich einige Probleme mit FTKImager, denn mit Arsenal habe ich es wirklich geschafft, mehr Daten aus den geparsten Dateien während der grundlegenden Analyse mit dem !EZParser-Plugin zu extrahieren.

Hier sind drei großartige, kostenlose Apps, die wir bei der forensischen Forschung verwenden. Wenn es Fragen gibt, hinterlassen Sie sie in den Kommentaren.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *