Adli Bilgi Edinme ve Triyaja Giriş
Adli tıp görüntüleme veya veri toplama olarak da bilinen adli tıp edinimi, orijinal verileri yasal veya soruşturma amaçları doğrultusunda korumak amacıyla belirli bir depolama cihazından veya ortamdan verilerin tam bir kopyasını (veya “görüntüsünü”) oluşturma işlemidir. Görüntü daha sonra orijinal verileri değiştirmeden analiz edilebilir ve kanıt açısından incelenebilir. Bu süreç, dijital delillerin toplanması ve korunması için cezai soruşturmalarda, hukuk davalarında ve bilgisayar güvenliği olayı soruşturmalarında kullanılır.
Adli tıp edinimi tipik olarak, silinmiş ve ayrılmamış alan da dahil olmak üzere tüm depolama cihazının parça parça kopyasını oluşturmak için özel yazılım ve donanımın kullanılmasını içerir. Bu, gizli veya silinmiş dosyalar da dahil olmak üzere ilgili tüm verilerin yakalanıp korunmasını sağlar. Daha sonra, verilerin bütünlüğünü sağlamak için elde edilen verilere karma işlemi uygulanır ve orijinal depolama aygıtı değiştirilmez. Adli tıp ediniminin bir diğer önemli yönü, orijinal depolama cihazının ve elde edilen verilerin uygun şekilde kullanılması ve belgelenmesidir. Bu, cihazın tanımlanmasını ve etiketlenmesini ve kanıtların bütünlüğünün tehlikeye atılmamasını sağlamak için bir gözetim zincirinin sürdürülmesini içerir.
Edinim sürecinden sonraki adım triyajdır. Triyaj, araştırmayla ilgili verilerin belirlenmesi ve önceliklendirilmesi sürecidir. Bu, elde edilen verileri analiz ederek ve kanıt içerebilecek dosyaları, e-postaları veya diğer verileri belirleyerek yapılır. Bu işlem manuel olarak veya özel yazılım kullanılarak gerçekleştirilebilir. Triyaj, araştırmaya odaklanmaya yardımcı olur ve gereksiz veri analizini ortadan kaldırarak zaman tasarrufu sağlar. Bazı durumlarda analiz edilmesi gereken veri miktarı çok fazla olabilir. Bu gibi durumlarda, alakasız verilerin filtrelenmesine ve potansiyel kanıtların belirlenmesine yardımcı olmak için otomatik önceliklendirme araçları kullanılabilir. Bu, anahtar kelime aramalarını, dosya türüne göre filtrelemeyi ve belirli dosya modellerini tanımlamayı içerebilir. Otomatik önceliklendirme araçları, süreci önemli ölçüde hızlandırabilir ve daha verimli hale getirebilir, ancak ilgili tüm verileri bulamayabileceklerini ve bu nedenle manuel analizin hala gerekli olduğunu unutmamak önemlidir.
Triyaj ayrıca depolama cihazında bulunabilecek kötü amaçlı yazılımları veya kötü amaçlı yazılımları tanımlamanın ve izole etmenin önemli bir yoludur. Bu, kötü amaçlı yazılımın diğer sistemlere yayılmasını ve daha fazla hasara neden olmasını önlemeye yardımcı olabileceğinden güvenlik olayları açısından önemlidir. Triyaj aynı zamanda bir olayın kapsamının ve etkisinin belirlenmesine de yardımcı olur ve bu da uygun müdahalenin belirlenmesine yardımcı olur. Genel olarak, adli tıp toplama ve triyaj, dijital kanıtların toplanması ve analiz edilmesi sürecinde kritik adımlardır.
Edinme ve triyaj süreci yan yana gider. Triyajda, edinimden elde edilen veriler, olay soruşturmasını destekleyecek ilgili kanıtları belirlemek için analiz edilir.
Örnek bir senaryoyu ele alalım:
Senaryo
Bu senaryoda SOC Ekibi, üretim sunucularının güvenliğinin ihlal edildiğine dair bir uyarı alır. Kredi kartı bilgileri de dahil olmak üzere hassas müşteri verilerinin çalındığından şüpheleniyorlar. SOC yöneticisi vakaya adli tıp ve olay müdahale analistlerinden oluşan bir ekip atar.
Soruşturmanın ilk adımı Adli Tıp’ın sunucuyu ele geçirmesidir. Adli tıp araştırmacıları, tüm depolama cihazının ve belleğin parça parça bir kopyasını oluşturmak için “KAPE”, “FTK görüntüleyici”, “Mıknatıs RAM Yakalama” gibi edinim araçlarını kullanıyor. Ayrıca ilgili tüm verilerin yakalanıp korunmasını sağlamak için ağdaki tüm bilgisayarları ve sunucuları da alırlar. Daha sonra, verilerin bütünlüğünü sağlamak için elde edilen verilere karma işlemi uygulanır ve orijinal depolama aygıtı değiştirilmez.
Edinim süreci tamamlandıktan sonra bir sonraki adım “triyaj”dır. Adli tıp araştırmacıları, elde edilen verileri analiz etmek ve kanıt içerebilecek dosyaları, hafızayı veya diğer verileri tanımlamak için “KAPE”, “FireEye Redline”, “Volatility” gibi araçları kullanır. Potansiyel kanıtları belirlemek için anahtar kelime aramalarını ve dosya türüne göre filtrelemeyi de kullanırlar. Araştırmacılar ayrıca ilgili tüm bilgilerin toplandığından emin olmak için verileri manuel olarak inceliyor.
Bilgisayar korsanının bir kimlik avı e-postası yoluyla bir sisteme erişim sağladığını ve tespit edilmesinden önce birkaç hafta boyunca veri sızdırdığını öğrendiler. Ayrıca bilgisayar korsanının hala aktif olan sisteme kötü amaçlı yazılım yüklediğini de buldular. Araştırmacıların, daha fazla yayılmasını önlemek için kötü amaçlı yazılımın bulunduğu yerde izole edilmesi gerekiyordu.
Soruşturma ekibi, gereksiz veri analizini ortadan kaldıracak şekilde vakayla ilgili verilere öncelik vermelidir. Bilgisayar korsanının kullandığı IP adreslerini tanımlamak ve belirli bir kişiye kadar izini sürmek için verileri kullanırlar. Topladıkları IOC’ler sayesinde, saldırganın yanal olarak hareket ettiği ağdaki güvenliği ihlal edilmiş bazı iş istasyonlarını tespit edebildiler ve sonuçta üretim sunucusunun güvenliğini tehlikeye attılar.
Adli tıp toplama ve önceliklendirme süreci, orijinal verileri koruyarak ve ilgili kanıtları belirleyerek soruşturmada kritik bir rol oynadı; bu da sonuçta olayın etkisinin kontrol altına alınmasına ve hasarın azaltılmasına yol açtı.
Verilere yapılacak herhangi bir müdahalenin yanlış delillere yol açabileceği ve soruşturmayı yanıltabileceğinden, toplama ve önceliklendirme adımının bir soruşturma için çok önemli olduğunu unutmamak önemlidir. Amaç, mümkün olduğunca az ayak izi bırakarak veriyi elde etmektir. Güvenliği ihlal edildiği andaki aynı durumdaki bir aygıttan disk görüntüsü veya bellek almak mümkün değildir. İhtiyacımız olan verileri toplamak için sistemle etkileşime girmemiz gerekiyor, dolayısıyla ne kadar az etkileşim o kadar iyi. “Belkasoft Remote Acquisition”, “Magnet Axiom” gibi ticari edinim araçları, çok az yer kaplayan ve kanıtları mümkün olduğunca orijinal durumuna yakın bırakan yazılımlara mükemmel örneklerdir. Ücretsiz araçlar aynı zamanda arkalarında çok fazla iz bırakmaz, bu da neredeyse ticari araçlar kadar iyi çalıştıkları anlamına gelir.
Bu edinme ve önceliklendirme araçları genellikle sisteme bağlı bir USB’den veya bir ağ dosya paylaşımından veya başka bir şekilde uzaktan çalıştırılır. Bu şekilde çalışmak, araçları doğrudan cihaza yükleyip çalıştırmak yerine daha az ayak izi bırakır.
Bu kursta tartışacağımız araçların tümü ücretsiz olarak mevcuttur. Çoğu USB’den veya uzaktan çalıştırılabilir, ancak pratik amaçlar ve kolaylık sağlamak için bunları doğrudan sistemden kurarak kullanacağız. Metodolojinin geri kalanı aynı olacak, yalnızca yazılımın çalıştırıldığı ortam değiştirilecektir.
Bahsedeceğimiz araçlar şunlardır:
1- FTK Imager (Windows)
2- Belkasoft Live RAM Capture (Windows)
3- AVML (Linux)
4- KAPE (Windows)
5- FireEye Redline (Windows)
6- Autopsy (Windows and Linux)
Windows ve Linux’tan Bellek Görüntüsü Alma
Bellek edinmek, olay müdahale yaşam döngüsünde önemlidir; çünkü olay anında hangi süreçlerin çalıştığı, hangi ağ bağlantılarının kurulduğu ve hangi dosyalara erişildiği gibi bir olay hakkında değerli bilgiler sağlayabilir. Bu bilgiler, olayların temel nedeninin belirlenmesine, kötü niyetli faaliyetlerin belirlenmesine ve hasarın değerlendirilmesine yardımcı olmak açısından hayati öneme sahip olabilir. Ek olarak bellek, bir sistemde bulunabilecek kötü amaçlı yazılımları tanımlamak ve analiz etmek için de kullanılabilir; bu, tehdidin kontrol altına alınması ve ortadan kaldırılması için çok önemlidir.
Bellek, disklere kıyasla daha küçük boyutu (yüzlerce TB’ye kadar) ve uçucu doğası nedeniyle genellikle edinilen ve analiz edilen ilk veri kaynaklarından biridir.
Bu dersimizde hem Windows hem de Linux’tan bellek edineceğiz. Windows edinimiyle başlayalım.
Windows’tan Bellek Görüntüsü Alma
“Belkasoft Live RAM Capturer” ve “FTK Imager” kullanarak Windows’tan hafıza görüntüleri yakalayacağız. Belkasoft Live RAM Capturer ile başlayalım.
Belkasoft Canlı RAM Yakalayıcı
Belkasoft Live RAM Capturer, aktif bir hata ayıklama önleme veya boşaltma önleme sistemi tarafından korunsa bile, bir bilgisayarın geçici belleğindeki tüm içeriğin güvenilir bir şekilde çıkarılmasına olanak tanıyan küçük, ücretsiz bir adli tıp aracıdır. Aracın kapladığı alanı mümkün olduğunca en aza indirmek için ayrı 32 bit ve 64 bit yapılar mevcuttur. Belkasoft Live RAM Capturer ile yakalanan bellek dökümleri, Belkasoft Evidence Center’da Canlı RAM Analizi ile analiz edilebilmektedir. Belkasoft Live RAM Capturer, XP, Vista, Windows 7, 8 ve 10, 2003 ve 2008 Server dahil tüm Windows sürümleri ve sürümleriyle uyumludur.
Belkasoft Live RAM Capturer, agresif bir hata ayıklama önleme veya bellek boşaltma önleme sistemi çalışıyor olsa bile düzgün çalışacak şekilde tasarlanmıştır. Belkasoft Live RAM Capturer, çekirdek modunda çalışarak bu koruma sistemleriyle aynı seviyede çalışarak, nProtect GameGuard gibi en gelişmiş sistemlerle korunan uygulamaların adres alanını doğru bir şekilde elde edebilmektedir. Belkasoft Live RAM Capturer, tasarım hedeflerindeki farklılık nedeniyle pek çok popüler bellek dökümü uygulamasını kesinlikle geride bırakıyor. Rakip araçların mevcut sürümleri (AccessData FTK Imager 3.0.0.1443, PMDump 1.2) sistemin kullanıcı modunda çalışır, bu da onları nProtect GameGuard gibi aktif hata ayıklama koruma sistemleri tarafından gerçekleştirilen anti-damping faaliyetlerine karşı duyarlı hale getirir.
Belkasoft Live RAM Capturer ile rakip RAM toplama araçlarının en son sürümleri arasında yapılan dahili bir karşılaştırma, diğer araçlar boş bir alan (FTK Görüntüleyici) veya rastgele veriler (PMDump) döndürürken Belkasoft Live RAM Capturer’ın korumalı bir bellek kümesinin görüntüsünü elde etme yeteneğini gösterdi. ).
Aracı https://belkasoft.com/ram-capturer adresinden ücretsiz olarak indirebilirsiniz . İndirme bağlantısını alabilmeniz için Belkasoft’ta hesap açmanız gerekmektedir.
“RamCapture64.exe”yi yönetici olarak çalıştırın.
Çıktıyı depolamak istediğiniz yolu girin ve Yakala’ya tıklayın.
Çıktı rastgele adlandırılacaktır.
Bu, az yer kaplayan bellek elde etmek için mükemmel bir araçtır. Çoğu durumda bu önerilir.
FTK görüntüleyici
FTK® Görüntüleyici, Forensic Toolkit (FTK®) gibi bir adli araçla daha fazla analiz yapılmasının gerekli olup olmadığını belirlemek için elektronik kanıtları hızlı bir şekilde değerlendirmenize olanak tanıyan bir veri önizleme ve görüntüleme aracıdır. Yerel sabit sürücülerin, CD’lerin ve DVD’lerin, flash sürücülerin veya diğer USB aygıtlarının, tüm klasörlerin, tek tek dosyaların veya yakalama belleğinin adli görüntülerini oluşturabilir.
Araç https://www.exterro.com/ftk-imager adresinden ücretsiz olarak indirilebilir .
Aracı yönetici olarak açalım.
Ana arayüz boş olacak ve şöyle görünecektir.
Şimdi Dosya -> Belleği yakala’ya gidin
Bir açılır pencere ile yönlendirileceksiniz.
Bellek görüntüsünü “Hedef Yol”da saklamak istediğiniz yola göz atın. Bu, masaüstünüz gibi yerel bir klasör veya ağ paylaşımı gibi uzak bir yol veya sabit sürücü veya USB gibi harici olarak bağlanan herhangi bir cihaz olabilir. “Hedef dosya adı”nda yakaladığımız hafıza görüntüsünün adını belirtebiliriz. Bellek görüntülerinin bazı uzantıları “mem”, “bin” veya “raw” dosya uzantıları olabilir. Windows sayfa dosyası bilgilerini de istiyorsanız “Sayfa dosyasını dahil et” seçeneğini de işaretleyebilirsiniz. Bizim durumumuz için, onu olduğu gibi bırakalım.
Az önce belirlediğimiz parametreleri gözden geçirelim.
Hedef yolu: G:\Lets_Defend_Acquisition
Hedef dosya adı: LetsDefend_Acquisition.mem
Şimdi hafızayı yakala’ya tıklıyoruz ve hafıza edinme süreci başlıyor.
FTK görüntüleyicinin yalnızca bellek edinme amacıyla yaratılmadığını, dolayısıyla şimdiye kadarki en iyi bellek edinme aracı olmadığını unutmamak önemlidir. Zaman zaman hatalar olabiliyor. Yani mükemmel değil ama işi hallediyor. Bu nedenle, MAGNET RAM Capturer veya Belkasoft RAM Capturer gibi araçlar, bellek edinme konusunda FTK Imager’dan daha iyidir.
Linux Bellek Dökümü Edinme
Bir Linux sisteminden/sunucusundan bellek almak için Microsoft’un AVML’sini kullanacağız. Microsoft’un Linux sistemleri için bir satın alma aracına sahip olmasının biraz şaşırtıcı olduğunu biliyoruz.
AVML
AVML, Rust’ta yazılmış, statik bir ikili dosya olarak dağıtılması amaçlanan bir X86_64 kullanıcı alanı geçici bellek toplama aracıdır. AVML, hedef işletim sistemi dağıtımını veya çekirdeği önceden bilmeden bellek elde etmek için kullanılabilir. Hedefe yönelik derleme veya parmak izi alınmasına gerek yoktur. Bellek kaynakları şunlardır:
-/dev/crash
-/proc/kcore
-/dev/mem
Bellek kaynağı komut satırında belirtilmemişse AVML, işlevsel bir kaynak bulmak için bellek kaynakları üzerinde yineleme yapacaktır.
Bu araç, hiçbir bağımlılığa veya çekirdek nesnesi oluşturmaya ihtiyaç duymadan tek bir ikili dosya olarak gönderildiğinden çok kullanışlıdır. Sadece ikili dosyayı çalıştırıyoruz ve çıkış yolunu belirliyoruz ve bir bellek görüntüsü alıyoruz. Uygulamalı olarak görelim. AVML şu adresten indirilebilir: https://github.com/microsoft/avml/releases/download/v0.9.0/avml .
Öncelikle bu ikili dosyayı çalıştırılabilir hale getirmemiz gerekiyor, bu yüzden şunu çalıştırın:
Komut: “chmod +x avml”
Artık ikili dosyayı herhangi bir ek argüman olmadan çalıştırıyoruz ve yardım menüsünü görebiliyoruz.
Bellek görüntüsünü elde etmek için istenen uzantıyla birlikte bir dosya adı girin. Dosya yerel olarak herhangi bir yola veya ağ dosya paylaşımları gibi uzak konumlara kaydedilebilir. Bu özellik, analistler ele geçirilen sunucuda gereksiz değişiklikler yapmadan uzaktaki bir dosya paylaşımına doğrudan yazı yazabildiği için kullanışlıdır. Avml’yi çalışırken görelim.
Aynı lokasyonda “Linux_Acquisition.raw” isimli bir hafıza imajı oluşturacak olan bu komutu çalıştırıyoruz. İstem kısa süre içinde tamamlanacak. AVML’nin işini yaptığına dair size herhangi bir çıktı verilmeyecektir.
Artık çalışmayı durdurduğuna göre, belleğin boşaltılıp boşaltılmadığını görmek için içerikleri listeleyelim.
Burada dosya adını ve boyutunu görebiliriz. Linux sisteminin RAM’i, alındığı yer olan 5,6 GB idi.
Bellek Windows veya Linux’tan alındıktan sonra analistler Redline veya Volatility gibi araçları kullanarak bunları analiz edebilir. Hafızanın kazanılması önemli, kolaydır ve adli açıdan değerlidir, bu nedenle her analistin bunu nasıl yapacağını bilmesi gerekir.
Bu dersimizde, özellikle uzak bir konumdan çalıştırırken veya USB’den çalıştırırken hem Windows hem de Linux sistemlerinde belleğin nasıl düzgün şekilde alınacağını tartıştık. Ayrıca, bizim durumumuzda delilleri (Bellek veya RAM) değiştirebileceğinden güvenliği ihlal edilmiş sistemle etkileşime girmemenin ne kadar önemli olduğunu da tartıştık.
Analiz için FTK Kullanan ve Görüntüyü Bağlayan Özel Görüntü
FTK Imager, özel görüntüler oluşturmak için de kullanılabilir. Özel görüntü, ihtiyaçlarımıza göre dosya sisteminin bölümlerini içerir. Tam disk alımı yerine, ilgilendiğimiz belirli dosyaları veya klasörleri/yolları edinim için belirtebiliriz. Tam disk görüntülerinin boyutları nedeniyle alınması saatler hatta günler sürebileceğinden bu gerçekten önemlidir. Özel görüntü, hızlı önceliklendirme için ilgili verileri edinmemize ve tam disk alınana kadar araştırmaya başlamamıza olanak tanıyabilir. Daha sonra derinlemesine analiz için tam disk görüntü analizi gereklidir.
FTK Imager’ı yönetici olarak çalıştırın.
Dosya -> Kanıt Öğesi Ekle seçeneğine gidin.
Özel görseli oluşturmak için açılan pencerede oluşturduğumuz görselin kaynağını seçeceğiz.
Kaynak seç, kanıtı eklemek istediğimiz disk tipini seçmek anlamına gelir.
1- Fiziksel Disk: Bilgisayarınıza takılan HDD, SSD vb. sürücü. Bu sürücü, fiziksel donanımın tüm kapasitesini barındırdığı gibi, ayrılmış ve ayrılmamış alanlara da sahiptir. Bu genellikle boyut olarak daha büyüktür ancak silinen dosyaların/içeriklerin kurtarılmasına olanak tanır.
2- Mantıksal Sürücü: Mantıksal sürücü tıpkı fiziksel sürücü gibidir, tek farkı sadece dosyalara ve ayrılmış alana sahip olmasıdır. Ayrılmamış alan mevcut değil.
3- İmaj Dosyası: Edinilen bir disk imajını kullanmak ve ondan belirli dosyalar/içerikler çıkarmak istiyorsak bu kaynağı kullanabiliriz.
4- Klasörün içeriği: İstediğimiz klasördeki tüm verileri almamızı sağlar. Bu seçenek yalnızca belirtilen klasörün mantıksal alanını içerir.
Canlı sistemlerden alım yaparken fiziksel, mantıksal veya sonuncusunu seçebilirsiniz. Düzenli olduğu ve fiziksel olandan daha az düzenli olduğu için mantıksal olanı seçeceğiz. Daha sonra verileri almak istediğiniz sürücüyü seçin.
Eklemek istediğimiz Yerel disk görüntüsünü seçin. Kurumsal ve aktif dizin ortamlarında, Windows kökü olduğu için “C:\” ile ilgileniriz. Daha sonra “Son”a tıklayın.
Daha sonra bunu Kanıt Ağacı altında göreceğiz. Bunu NONAME[NTFS] -> [root] olarak genişletin
Dosya sisteminden istediğimiz sayıda dosya veya klasör ekleyebiliriz. “PC” kullanıcısının Belgeler klasörünü ekleyelim.
Eklemek istediğimiz klasöre/dosyaya sağ tıklayın.
Ayrıca olay günlüklerini, kayıt defteri kovanlarını veya Windows sisteminde mevcut olan herhangi bir yapıyı da ekleyebiliriz. Bu görüntü daha sonra analiz için bir adli tıp araştırmacısının sistemine monte edilebildiğinden bu kullanışlıdır. Örnek olarak imajımıza kayıt defteri kovanlarını ekleyelim. Kayıt defteri kovanları şu konumda bulunur:
%SYSTEMROOT%\config\
Üzerine sağ tıklayıp özel görsele ekleyelim.
Şimdi belirli bir dosya ekleyeceğiz. Kullanıcı masaüstünde bir powershell betiği gördüğümüzü varsayalım.
Buna sağ tıklayıp ekleyelim. Görselimize eklediğimiz tüm kanıt öğelerini soldaki gezinme menüsünde görebiliriz.
Şimdi dosya ve klasörleri ve şu ana kadar elde ettiğimiz verileri içerecek özel imajı oluşturalım. Aşağıdaki “Resim Oluştur” butonuna tıklayın.
Bir açılır pencereyle yönlendirileceğiz. Daha sonra dosyanın saklanacağı hedef konumu belirtmek için “Ekle”ye tıklayın. Uzak bir ağ dosya paylaşımı veya yerel bir yol olabilir. “Ekle”ye tıkladıktan sonra, bizim durumumuzda atlayabileceğimiz daha fazla bilgi istenecektir, ancak gerçek durumlarda, gözetim zincirinin takibine yardımcı olduğu için şiddetle tavsiye edilir.
Daha sonra varış yerini sağlayabiliriz. Uzak bir ağ dosya paylaşımı veya yerel bir yol olabilir. Özel görüntü için adlar da sağlayabiliriz. Yaygın adlandırma formatı, edinme tarihi ve saati ile Bilgisayar Adı/IP adresidir.
Gerekmedikçe her şeyi bırakın. Bitir’e tıklayalım.
Şimdi ilk açılır pencereye geri döndük. “Görüntüleri oluşturulduktan sonra doğrula” seçeneğini işaretlediğinizden emin olun; bu, görüntünün oluşturulduktan sonra bozulmadığını veya değiştirilmediğini doğrulayacaktır. “Görüntüdeki tüm dosyaların oluşturulduktan sonra dizin listelerini oluştur” seçeneği dizin yapısını oluşturur ve eklenen kanıtları tıpkı gerçek bir dosya sisteminde olduğu gibi orijinal konumuna yerleştirir. Etkinleştirilirse, tüm dosya/klasörler aynı kök dizine yerleştirilecektir, aksi takdirde orijinal yollarında mevcut olacaklardır. Birçok dosya ve klasör içeren özel bir görüntü oluşturduysanız bu seçeneğin etkinleştirilmesi, verilerin sınıflandırılmasına yardımcı olacaktır. Sizi sergilemesi için onu etkin bırakalım.
“Başlat” düğmesine tıklayın. İlerlemeyi gösterecektir ve kaç öğe eklediğimize ve veri boyutuna bağlıdır.
Özel görüntünün boyutu 191 MB’tır ve çok fazla veri içerir. Eğer isteseydik daha farklı yapılar ve veri kaynakları ekleyebilirdik ama bu sadece FTK görüntüleyicinin yeteneklerini göstermek içindi, dolayısıyla artık veri eklemiyoruz.
Görüntünün Montajı
Şimdi FTK Görüntüleyiciyi kullanarak görüntülerin nasıl bağlanacağını tartışalım. FTK görüntüleyici, tam disk görüntülerini veya yeni oluşturduğumuz gibi özel görüntüleri eklemek için Windows sistemlerinde kullanılabilir. Bu işlem görüntüyü aldığınız makinede yapılmamalıdır. Bu, analizin analistler tarafından yapıldığı bir adli tıp iş istasyonunda yapılmalıdır. Görüntünün eklenmesi, tıpkı kendi bilgisayarınızda geziniyormuş gibi görüntünün içeriğine göz atmanıza olanak tanır.
Dosyaya Git -> Görüntü Montajı
“Resim Dosyası” sekmesinde montajlamak istediğimiz özel imajı ekleyebiliriz. Tam disk görüntülerini de ekleyebiliriz, ancak yeni oluşturduğumuz görüntüyü demo amacıyla bağlayacağız. Tam disk görüntüleri yüzlerce GB boyutunda olabilir ve kurs gösterimi için pratik değildir. İşlem, özel bir görselle aynıdır, yalnızca boyutu nispeten daha büyük olacaktır.
Disk imajını monte etmek için “Mount” butonuna tıklayalım. İmajın montajı yapıldıktan sonra, monte edildiği sürücü harfini görebiliriz.
E: sürücüsünü tespit edip edemeyeceğimizi görmek için dosya gezginini açalım.
Bunu açalım.
Elde ettiğimiz veriler “[root]” dizini altında olacaktır.
Burada tıpkı kendi yerel dosya sistemimizde geziniyormuşuz gibi görebiliyoruz. “PC” kullanıcısından aldığımız belgeler klasörüne gidelim.
Ayrıca kullanıcının masaüstünde PowerShell betiğini de görüyoruz.
Montaj özelliği, analistlerin, güvenliği ihlal edilmiş makinede canlı analiz gerçekleştirmek gibi, analizlerini disk tabanlı veriler üzerinde gerçekleştirmelerine yardımcı olur.
Bu derste, tam diskin alınması için günlerce beklemek yerine, Windows sisteminden hedeflenen verileri nasıl elde edeceğimizi ve araştırmamızla ilgili bir disk görüntüsünü nasıl oluşturacağımızı tartıştık. Elde edilen görüntünün montajlanarak triyaj sürecinin başlatılması ve verilerin analizine başlanması konusunu da tartıştık.
Not: Bu aracı laboratuvarda denemek ve keşfetmek istiyorsanız, verileri depolamak için Yerel Disk “D:”yi kullanın. Edinme işlemi genellikle çok fazla alan gerektirdiğinden ve laboratuvarlar için pek pratik olmadığından, lütfen mevcut disk alanı sınırlamasının farkında olun.
KAPE’nin Satın Alma Hedefleri
KAPE, “Kroll Artifact Ayrıştırıcı ve Çıkarıcı” anlamına gelir ve Windows yapıtlarını edinmek ve ayrıştırmak için kullanılır. KAPE, bir cihazı veya depolama konumunu hedef alan ve adli açıdan en önemli eserleri (ihtiyaçlarınıza göre) bulmanıza ve bunları birkaç dakika içinde ayrıştırmanıza yardımcı olan güçlü, ücretsiz bir önceliklendirme programıdır. KAPE, hızı sayesinde araştırmacıların vakaları için en kritik sistemleri bulmasına ve önceliklendirmesine olanak tanır. Ek olarak KAPE, görüntüleme sürecinin başlamasından önce önemli eserleri toplamak için de kullanılabilir. Görüntüleme devam ederken KAPE tarafından oluşturulan veriler potansiyel müşteriler, inşaat zaman çizelgeleri vb. açısından incelenebilir.
KAPE, ilgili verileri hızlı bir şekilde toplamaya ve işlemeye, yapıları EvidenceOfExecution, TarayıcıHistory ve AccountUsage gibi kategorilere ayrılmış dizinlerde gruplandırmaya odaklanır. Nesneleri kategoriye göre gruplamak, bir denetçinin artık yürütme eserlerinin kanıtlarıyla ilgili olduğundan önceden getirme, shimcache, amcache, userassist vb. işlemleri nasıl işleyeceğini bilmesine gerek olmadığı anlamına gelir.
KAPE’in iki ana aşaması vardır: hedef toplama ve modül yürütme:
– Hedefler esas olarak dosya ve dizin spesifikasyonlarının koleksiyonlarıdır.
– Modüller, hedefler aracılığıyla toplanan dosyalar ve canlı yanıt perspektifinden bir sistemde çalıştırmak isteyebileceğiniz diğer program türleri de dahil olmak üzere her şeyi hedefleyebilen programları çalıştırmak için kullanılır.
KAPE, adli tıp muayenelerinde gerekli olan en yaygın operasyonlar için hedeflere ve modüllere erişmenizi sağlar, araştırmacıların daha kısa sürede daha geniş bir yelpazedeki eserleri toplamasına yardımcı olur ve kanıt kütüphanelerini zenginleştirir.
Bu dersimizde, eserleri elde etmek ve mevcut hedefleri keşfetmek için KAPE hedef toplamayı kullanacağız ve bir sonraki derste triyaj aşaması olarak değerlendirilebilecek modül aşamasını ele alacağız.
KAPE’i buradan indirebilirsiniz: https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape ücretsiz. İndirme bağlantısını almak için bir form doldurmanız gerekecektir.
KAPE Hedef Toplama
Resmi açıklamadan,
Hedefler, dosya ve dizin özelliklerinin temel koleksiyonlarıdır. KAPE bu spesifikasyonları nasıl okuyacağını ve bunları hedef konumda bulunan dosya ve dizinlere nasıl genişleteceğini biliyor. KAPE tüm hedefleri işledikten ve bir dosya listesi oluşturduktan sonra liste işlenir ve her dosya kaynaktan hedef dizine kopyalanır. İşletim sistemi tarafından kilitlenen ve bu nedenle normal yollarla kopyalanamayan dosyalar için dosya ikincil bir kuyruğa eklenir. Bu ikincil sıra, kilitlenmiş veya kullanımda olan tüm dosyaları içerir. Birincil kuyruk işlendikten sonra ikincil kuyruk işlenir ve kilitleri atlamak için ham disk okumalarını kullanan farklı bir teknik kullanılır. Bu, dosyanın kaynakta mevcut olduğu şekliyle bir kopyasının alınmasıyla sonuçlanır. Dosyanın nasıl kopyalandığına bakılmaksızın (düzenli olarak veya ham erişim yoluyla), tüm dizinlerdeki orijinal zaman damgaları ve dosyaların kendisi, hedef dosyalara yeniden uygulanır. Meta veriler aynı zamanda günlük dosyalarında da toplanır.
Özetlemek gerekirse, KAPE’nin “hedef” dizininde bir dizi yapılandırma dosyası vardır. Bunlar, Windows sistemlerinde bulunabilecek farklı önemli adli bilişim yapıları hakkında yolları, meta verileri ve bilgileri içerir. İstediğimiz kazanım türünü toplamak için hedeflerden herhangi birini parametreleriyle birlikte kullanabiliriz. Örneğin, tarayıcı analiziyle ilgili verileri toplayacak “tarayıcı” ile ilgili verileri elde etmeye yönelik bir hedef vardır. SANS enstitüsü tarafından yapılmış, SANS tarafından önerilen yapıtları ve verileri elde eden bir hedef modül var. KAPE’in, KAPE mühendisleri tarafından oluşturulan ve aynı zamanda hızlı önceliklendirme için iyi ve ilgili eserleri de toplayan kendi özel hedefi vardır.
KAPE dosyaları yüklendiğinde böyle görünür. Genel bir bakış için Hedefler dizinini ziyaret edelim.
Bunların dizinlere göre daha da kategorize edildiğini görebiliriz. Antivirüs dizinlerini ziyaret edelim.
Burada birçok farklı antivirüs satıcısı için birçok hedef dosyanın bulunduğunu görebiliriz. Bu son derece kullanışlıdır; örneğin verileri Avast antivirüsünü çalıştıran bir uç noktadan alıyoruz. Avast antivirüs ile ilgili günlükleri ve dosyaları getireceği için toplama aşamasında hedeflerimizden biri olarak Avast hedefini de seçeceğiz. Dosyaların uzantısının Hedef KAPE anlamına gelen TKAPE olarak etiketlendiğine dikkat edin. Avast.tkape dosyasını not defterinde açalım.
Avast’ın verilerini sakladığı bazı ortak konumları belirttiğini görebiliriz. Yani KAPE’i çalıştırıp hedeflerden biri olarak Avast’ı belirlediğimizde KAPE yukarıdaki yollardan geçerek verileri toplayacaktır. Benzer şekilde, farklı tarayıcılar için hedefler içerecek tarayıcılar için kategoriler, Apache, IIS, Nginx vb. gibi günlüklerin yollarını içerecek günlük hedefleri vardı.
Not: Kaç tane veri kaynağının bulunduğunu öğrenmek için tüm hedef dizinleri keşfetmeniz önerilir.
Ana hedef dizinler Windows ve bileşik olacaktır. Windows hedefi, amcache, prefetch vb. gibi Windows adli bilişim yapılarına yönelik birçok farklı hedef içerir.
Bu, yalnızca RDP ile ilgili olay günlüklerini istiyorsak, EventLogs-RDP hedefini seçeceğimiz gibi belirli veri türlerini elde etmek istediğimizde kullanışlı olacaktır. Bir diğer önemli hedef kategori ise bileşik olarak bilinir. Bu hedefler, yalnızca belirli bir yapı için değil, Windows sistemindeki önemli adli bilişim yapılarının çoğunu toplayacak şekilde yapılandırılmıştır. Örneğin, SANS triyajı ve KAPE triyajı, olay müdahalesinde ihtiyaç duyulan neredeyse tüm önemli eser türlerini topladıklarından yaygın olarak kullanılmaktadır.
Yapısını görmek için SANS Target dosyasını analiz edelim.
Bileşik hedef dosyalarında görebileceğimiz gibi, veri kaynağı yolları, konumları belirtilmez ancak ilgili yapının gerçek konum yolunu içeren diğer hedef dosyalar belirtilir. Bu, bileşik hedeflerin daha önce kısaca incelediğimiz diğer tüm hedef dosyalardan oluştuğu anlamına gelir. Ayrıca kendi özel hedef kuralınızı yazabilir veya gerekirse mevcut kuralı değiştirebilirsiniz. Ancak derste bunu yapmayacağız.
KAPE hedeflerini kullanarak edinme
Artık KAPE’in yapısını, verileri nasıl topladığını konuştuğumuza ve neyi aramamız gerektiğini bildiğimize göre, satın alma sürecine başlayalım. Ana KAPE dizininde biri “kape.exe”, diğeri “gkape.exe” adında 2 adet .exe dosyası görüyoruz. GUI versiyonu olduğu için gkape’yi kullanacağız.
Not: Aracı yönetici olarak çalıştırın.
Henüz bir şey yapmadığımız için KAPE’in iniş arayüzü çoğunlukla boş olacak.
Veri almaya başlamak için “Hedef Seçeneklerini Kullan” seçeneğini etkinleştirin.
Hedef Kaynak: Veriyi almak istediğiniz yol. Genellikle dosya sistemi kökü veya Windows köküdür.
Hedef Hedef: Edinilen eserleri depolamak istediğiniz yol.
Not: Yıkama seçeneği, dizin verilerini toplamadan önce siler. Edinme dizinini tarihle adlandırmak istiyorsanız %d Ekle ve %m Ekle kontrollerini etkinleştirebilirsiniz. Bu, satın almayı takip etmek için kullanışlı bir özelliktir.
Daha sonra hedefleri seçebileceğimiz hedef seçeneğini görebiliriz. Yukarıda tartışılan Hedefler dizini altında bulunan tüm hedefleri bulmak için arama yapabilir veya kaydırabiliriz.
Verileri elde etmek için SANS önceliklendirme hedefini kullanalım.
Hedef seçeneklerin hemen altında daha fazla seçenek var. Bunları da tartışalım.
– VSCS İşle: Birim gölge kopyalarını da edinin.
– Konteyner: Elde edilen verileri Zip dosyası gibi bir konteynere ekleyin. Eğer seçilirse, konteyner dosyası için “Temel isim” alanına bir isim girmemiz gerekiyor.
Gerektiğinde veriyi aktarmak uygun olacağından kapsayıcı olarak Zip’i seçelim. Şu ana kadar seçilen seçeneklerimizi gözden geçiriyoruz.
KAPE’in sağ alt kısmındaki “Execute” butonuna tıklayalım.
Komut isteminin açıldığını ve KAPE’nin verileri topladığını göreceğiz. GUI KAPE kullanım kolaylığı için sadece bir arayüz sağlar, arka uçtaki CLI’yi kullanır.
Koleksiyon tamamlandı.
Şimdi topladığımız verilerin üzerinden geçelim ve gezinelim.
Haydi onu açalım ve gezinelim.
Ana veriler “C” dizini altında olacaktır.
Şimdi FTK görüntüleyiciyle benzer bir şey yaptığımızı düşünüyor olabilirsiniz. KAPE ile hedef seçimimize göre yüzlerce önemli veri kaynağını ve eseri otomatik olarak topladı. Bunu FTK Imager’da yapsaydık, her yapıyı gözden geçirmemiz ve onu özel görüntüye manuel olarak eklememiz gerekirdi. KAPE bunu bizim için 5 dakikadan kısa bir sürede gerçekleştirdi ve bunu FTK Görüntüleyicide uygularken fark edemeyeceğimiz birçok dosya ve yapıyı içeriyordu. KAPE’in SANS önceliklendirmesine göre bizim için topladığı veriler yalnızca 2,52 GB boyutundadır ve adli tıp soruşturması için ihtiyaç duyacağımız neredeyse tüm gerekli yapıları ve veri kaynaklarını içerirken, tam disk görüntüsü TB boyutunda olurdu. KAPE’in gerçek gücü, hızlı önceliklendirme için KAPE tarafından alınan eserleri anında işleyeceğimiz bir sonraki derste incelenecektir.
Bu derste KAPE’in ne olduğunu, KAPE Hedefleri özelliğini anlamayı ve KAPE hedeflerini kullanarak seçtiğiniz yüzlerce veri kaynağından ilgili verilerin nasıl elde edileceğini tartıştık.
Not: Bu aracı laboratuvarda denemek ve keşfetmek istiyorsanız, verileri depolamak için Yerel Disk “D:”yi kullanın. Edinme işlemi genellikle çok fazla alan gerektirdiğinden ve laboratuvarlar için pek pratik olmadığından, lütfen mevcut disk alanı sınırlamasının farkında olun.
Triyaj ve Analiz için KAPE Modülleri
Hedefler gibi modüller de basit özellikler kullanılarak tanımlanır ve programları çalıştırmak için kullanılır. Bu programlar, hedef yetenekler yoluyla toplanan dosyalar ve ayrıca bir sistemde canlı yanıt perspektifinden çalıştırmak isteyebileceğiniz diğer program türleri de dahil olmak üzere her şeyi hedefleyebilir.
Örneğin, atlama listeleri topladıysanız JLECmd gibi bir araç, atlama listelerinin içeriğini CSV’ye aktarabilir. Ayrıca netstat veya ipconfig çıktısını da toplamak istiyorsanız bunu yapabilirsiniz. Bu seçeneklerin her biri kendi modülünde yer alacak ve daha sonra modüller arasındaki ortak noktalara göre, örneğin “NetworkLiveResponse” gibi, birlikte gruplandırılacaktır.
Daha basit bir deyişle, modül dosyaları aynı zamanda hedeflerden toplanan bir yapının nasıl işleneceğini/ayrıştırılacağını belirten yapılandırma dosyalarıdır. Modüller, PowerShell, not defteri vb. gibi herhangi bir Windows yerleşik uygulamasını veya indirilen herhangi bir harici programı kullanabilir. Modüllerde, programların/uygulamanın yolu, belirli bir yapıyı ayrıştırmak için gerekli argümanlarla birlikte belirtilir. Modüller ayrıca başka herhangi bir toplanan yapı olmadan bir sistemden doğrudan bilgi toplamak için de kullanılabilir. Örneğin, Zamanlanmış Görev modülü, sistemi zamanlanmış görevler için sorgulayacak ve sonuçları otomatik olarak bir elektronik tabloya kaydedecektir. Bu, Windows’taki “schtasks.exe” yardımcı programı ve diğer gerekli argümanlar kullanılarak yapılır. KAPE otomatik olarak yaptığı için komutu manuel olarak çalıştırmamıza gerek yoktu. Modül Kape dosyaları “.MKAPE” uzantısına sahiptir. “Modüller” dizinini ziyaret edelim.
Birazdan tartışacağımız “bin” ve “EZtools” dizini dışında modüllerin yapısı hedeflere benzer. Öncelikle, temel bir fikir edinebilmeniz için Windows modüllerini ve yukarıda tartıştığımız zamanlanmış görevleri ziyaret edelim.
Bu, KAPE’e, mevcut zamanlanmış görevler hakkında veri toplamak için bu aracı belirtilen argümanlarla birlikte çalıştırmasını söyler. Şimdi bin ve EZTools dizinlerini tartışalım.
EZTools Dizini
Bu dizin, KAPE’e birçok Windows Yapısını ayrıştırmak için Eric Zimmerman araçlarının nasıl kullanılacağını söyleyen mkape yapılandırma dosyalarını içerir. EZTools veya Eric Zimmerman araçları, neredeyse tüm Windows yapıtlarını işleyen ve ayrıştıran harika araçlar koleksiyonudur. Bu dizinin altında bir mkape dosyası görelim.
Bu mkape dosyası, Eric Zimmermen’in araçlarından biri olan AmcacheParser.exe’yi kullanarak amcache’yi ayrıştırmaya odaklanmıştır.
bin Dizini
Bu dizin, EZTools veya amcache vb. modüller tarafından kullanılan tüm Eric zimmerman araçlarını içerir. Bin dizininde yüklü araçları görelim.
Bunlar değerli eserlerin çoğunu ayrıştıracak araçlardır ancak buraya istediğimiz herhangi bir uygulamayı ekleyip bunun için bir mkape dosyası oluşturabiliriz.
Bileşik Modüller
Tıpkı hedeflerde olduğu gibi, birden fazla modülü bir arada kullanabileceğimiz Bileşik Modüller de mevcuttur. EZTools dizininde az önce keşfettiğimiz tüm mkape dosyalarını kullanan “!EZParser” modülü için “Compound” dizinine gidip mkape dosyasını okuyalım.
EZtools tarafından adlandırılan mkape dosyalarına referans verdiğini görebiliriz ve bunlar EZTools dizininde bulunabilir.
Modüller hedef edinimiyle birlikte yürütülebilir; yani eserler toplanırken aynı zamanda seçilen modüller tarafından önceliklendirilir ve ayrıştırılır. Önceki derste yaptığımız örneği genişletelim ama şimdi veriler toplanırken önceliklendirme yapacağız. Bu, saatlerce zaman ve insan gücü tasarrufu sağlayabilir.
Burada bir önceki derste uyguladığımız Bileşik Hedef “!SANS_Triage”i seçtik. Bu sadece hedef belirleme kısmıydı. Artık GUI’nin sağ yarısında kilitlenmiş bir modül kısmı görüyoruz. Bu kısmı etkinleştirmek için “Modül seçeneklerini kullan”a tıklayın.
“Modül Kaynağı” işlenecek dosyaları içeren dizindir. Verileri zaten aldıysanız, dizini Modül Kaynağı olarak seçebilirsiniz; seçilen modüller, dosyaları bu yol altında işleyecektir. Ancak yaptığımız şey, verileri anında elde etmek ve önceliklendirmek olduğundan, henüz verileri almadığımız için modül kaynağını boş bırakacağız. KAPE, Modül Kaynağını otomatik olarak Hedef Hedefe ayarlayacaktır, yani veri alım sonrasında verilerin nerede saklanacağı, KAPE dosyaları otomatik olarak orada işleyecektir.
Modül hedefi triyaj sonuçlarını depolamak istediğimiz yer olacaktır. Verilerin alınacağı yolda triage adında bir dizin oluşturalım ve orada Modül hedefini ayarlayacağız.
Daha sonra bizim durumumuzda daha verimli olacağı için “!EZParser Modülü”nü seçeceğiz. En yaygın ve önemli eserler ayrıştırılacak ve veriler bizim için analiz edilmeye hazır hale gelecektir.
Şimdi KAPE’in genel yapılandırmasını gözden geçirelim ve Edinme ve önceliklendirme sürecini başlatalım.
Sağ alttaki “Yürüt”e tıklayın.
Açılan pencerede Tamam’a tıklayın. Hedef veya modül hedef yollarında temizleme seçeneğinin seçimini kaldırırsanız bu sorulmaz.
KAPE verileri almaya ve önceliklendirmeye başlayacak. Eser verileri önceliklendirilecek ve tamamlandıktan sonra analize hazır hale getirilecek.
Triyaj tamamlandı. Burada elde edilen verileri görüyoruz, tıpkı önceki derste edindiğimiz gibi.
Öncelikli verilerin saklanacağı hedef olarak oluşturduğumuz ve belirlediğimiz önceliklendirme dizini.
Veriler, depoladığı bilgi türüne göre kategorilere ayrılır. “ProgramExecution” klasörünü ziyaret edelim.
Artık analistler, yapıları manuel olarak ayrıştırmaya gerek kalmadan sonuçları doğrudan analiz edebiliyor.
Bu dersimizde KAPE modüllerini öğrendik ve hedeflerle birlikte nasıl kullanılacağını tartıştık. KAPE, verileri hızlı bir şekilde elde etmek ve önceliklendirmek için kullanılabilir. Bu nedenle her Adli Tıp Analistinin KAPE’in nasıl kullanılacağını bilmesi gerekir.
Not: Bu aracı laboratuvarda denemek ve keşfetmek istiyorsanız, verileri depolamak için Yerel Disk “D:”yi kullanın. Edinme işlemi genellikle çok fazla alan gerektirdiğinden ve laboratuvarlar için pek pratik olmadığından, lütfen mevcut disk alanı sınırlamasının farkında olun.
FireEye Redline Kullanarak Triyaj
FireEye’ın önde gelen ücretsiz uç nokta güvenlik aracı olan Redline®, bellek ve dosya analizi ve bir tehdit değerlendirme profilinin geliştirilmesi yoluyla kullanıcılara kötü amaçlı etkinlik işaretlerini bulmaları için ana bilgisayar araştırma yetenekleri sağlar. Uç nokta verilerini toplamak, analiz etmek ve filtrelemek, IOC analizi gerçekleştirmek ve inceleme yapmak için Redline’ı kullanın. ( https://fireeye.market/apps/211364)
Redline, analistlerin yalnızca uç nokta verilerini hızlı bir şekilde önceliklendirmesine yardımcı olmakla kalmıyor, aynı zamanda belirli IOC’ler (Uzlaşma Göstergeleri) için uç noktaları taramalarına da olanak tanıyor. Triyaj yapmak istediğimiz uç noktalarda bir Redline toplayıcı çalıştırabiliriz ve veriler tek bir uygulamada alınıp önceliklendirilecektir. “.mans” uzantılı bir Mandiant dosyası oluşturulur. Redline uygulamasında açıp elde edilen ve ayrıştırılan tüm verileri analiz edeceğiz. Aracın güzel bir GUI’si var ve verileri çok düzgün bir şekilde kategorilere ayırıyor. Redline Windows İşletim Sistemlerinde çalıştırılabilir.
Redline, kayıt defterini önceliklendirebilir, bellekteki işlemleri, tarayıcı verilerini çalıştırabilir, sistem genelinde bilinen kötü ve şüpheli dizeleri tarayabilir vb. Redline toplayıcılarını çalıştırmadan önce neyin taranacağını özelleştirebiliriz. Redline toplayıcı, kullanıcı tarafından yapılandırılan verilerin alınmasından sorumludur. Daha sonra hızlı bir önceliklendirme için analistler tarafından analiz edilebilecek bir Mandiant oturum dosyası oluşturulur. Bu, analistlerin soruşturmayı başlatması için tek bir durak sağlar.
Redline buradan kurulabilir ( https://fireeye.market/apps/211364) . İndirme bağlantısını almak için bir form doldurmanız gerekir. Araç sizin için uygun bir şekilde laboratuvara yerleştirilecektir.
Bu aracı kullanmaya başlayalım. Redline’ı yönetici olarak çalıştırın.
Uygulama açılış menüsü şuna benzer.
Şimdilik “Veri Topla” kısmıyla ilgileniyoruz. Redline’da 3 tip koleksiyoncu vardır.
– Standart Toplayıcı: Standart Toplayıcı, bir analizi tamamlamak için minimum miktarda veri toplayacak şekilde komut dosyalarını yapılandırır.
– Kapsamlı Toplayıcı: Kapsamlı Toplayıcı, Redline’ın topladığı ve analiz ettiği verilerin çoğunu toplamak için komut dosyalarını yapılandırır. Tam bir analiz yapmak istiyorsanız veya bilgisayardan veri toplamak için tek bir fırsatınız varsa bu tür Redline Collector’ı kullanın.
– IOC Arama Toplayıcı (yalnızca Windows): IOC Arama Toplayıcı, seçilen Tehlike Göstergeleriyle (IOC’ler) eşleşen verileri toplar. Bu Redline Collector türünü yalnızca IOC isabetlerini aradığınızda ve başka herhangi bir olası uzlaşmayı aramadığınızda kullanın. Varsayılan olarak, bir IOC ile eşleşmeyen tüm verileri filtreler, ancak ek veri toplamayı da tercih edebilirsiniz. Bir IOC Arama Toplayıcı kullanmıyorsanız, veriler bir analiz oturumu oluşturmak için Redline’a aktarıldıktan sonra IOC’lerle toplanan verileri yine analiz edebilirsiniz. IOC analizinin etkinliği, analiz oturumunda mevcut olan verilere bağlıdır.
Bu derste bir gösteri olarak Standart Koleksiyoncuyu kullanacağız. Gerçek araştırmalarda amacınız hızlı ve tam bir triyaj analizi ise Kapsamlı toplayıcı önerilir. Tehdit avcılığı faaliyetleri yürütüyorsanız ve ağınızda belirli IOC’leri arıyorsanız, IOC Search Collector bunun için idealdir.
“Standart Toplayıcı Oluştur”a tıklayın.
Burada verileri elde ettiğimiz ve önceliklendirdiğimiz hedef platformu seçiyoruz. Windows’u seçiyoruz. Ardından, ilgilendiğimiz veri türlerini yapılandırabileceğimiz yer burası olduğundan, komut dosyası seçeneğinizi “Düzenle” ye tıklayın. Bu, özellikle olaylar sırasında kritik zamandan tasarruf etmek için ilgilenmediğimiz gereksiz seçenekleri kaldırabildiğimiz için çok faydalıdır.
Burada hafızadan hangi bilgilerin alınacağını görebiliriz. Ayrıca volatilite çerçevesi gibi analiz için herhangi bir sayıda araçla kullanılabilecek ayrı bir bellek görüntüsü oluşturacak olan “Bellek Görüntüsü Al” onay kutusunu da etkinleştirebiliriz. Devre dışı bırakıldığında, bellekten alınan veriler, bellekle ilgili verilerden ağla ilgili verilere kadar elde edilen ve önceliklendirilen tüm verileri içerecek şekilde oluşturulan “.mans” dosyasına dahil edilecektir. Zaman kazanmak için bellekle ilgili tüm seçenekleri devre dışı bırakalım.
Daha sonra “Disk” bölümüne gidiyoruz. Hızlı ve temel bir triyaj için aşağıdaki seçeneklerden birkaçını seçiyoruz.
Daha sonra “Sistem” bölümüne geçiyoruz. Burada seçenekleri aşağıdaki gibi seçiyoruz.
Burada mükemmel bir veri kaynağı olabilecek sistem geri yükleme noktalarına yönelik olay günlükleri seçeneğini seçebiliriz. Her şey ihtiyaçlarınıza ve bir olay sırasında ne kadar zaman harcayabileceğinize bağlıdır.
Ardından Ağ sekmesine gidip birkaç ortak seçeneği seçiyoruz. Kötü amaçlı tarayıcı etkinlikleri için mükemmel bir kaynak olabilecek tarayıcı verilerini de seçebiliriz.
Geriye kalan son bölüm ise “Diğer” olup özellikle olay müdahale ekipleri için oldukça faydalıdır.
Burada Redline’ı bazı anormallikleri arayacak ve sistemdeki olası kalıcılık mekanizmaları işaretlerini arayacak şekilde yapılandırabiliriz.
Artık toplayıcımızı yapılandırdığımız için “Tamam”a tıklayın. Bu ekrana geri döneceğiz.
Şimdi aşağıya gidin ve göz at’ı tıklayın. Burada toplayıcı scriptimizin yerleştirileceği konumu seçeceğiz ve o scripti çalıştırdıktan sonra triyajlanan verilerimiz saklanacak. Daha iyi bir fikir edinebilmeniz için bunu gösterelim. Bu ders için oluşturduğumuz “LetsDefend_Redline” isimli dizini seçiyoruz.
Artık seçilen yolu yapılandırdığımız yerden aynı ekranda görebiliriz. Sağ alt köşedeki “Tamam”a tıklayın.
Birkaç saniye sonra size bir uyarı verilecektir:
Konuma gidelim ve toplayıcı komut dosyalarını görelim.
Burada “RunRedlineAudit” adlı toplu komut dosyası çalıştıracağımız ana komut dosyasıdır ve verileri alıp sistemden önceliklendirecektir. Toplayıcı komut dosyalarıyla ilgili çok önemli ve harika bir şey, toplayıcı komut dosyalarını ağ sürücülerine kaydedebilmemiz veya bunları USB’lerde saklayabilmemizdir ve ne zaman bir olay meydana gelse ve bir uç noktayı önceliklendirmek istediğimizde, komut dosyalarını USB’den veya ağ sürücüsünden çalıştırabiliriz. direkt olarak. Önceden yapılandırıp kaydederek farklı türde toplayıcılar oluşturabiliriz, böylece bir uç noktayı tetiklemeden önce her zaman yeni bir toplayıcı oluşturmamıza gerek kalmaz. Bunu göstermek ve size aracın nasıl kullanılacağını göstermek için yaptık.
Şimdi “RunRedLineAudit” toplayıcı scriptimizi yönetici olarak çalıştıralım.
Triyajın ilerlemesini gösteren bir cmd istemi açılacaktır.
“-o” anahtarından sonraki yol “G:\LetsDefend_Redline\\Sessions\AnalyticSession1\Audits” olup, burada mandiant dosyamız “.mans” uzantısıyla kaydedilecektir. Bu dosya, kategorize edilmiş bir şekilde analiz edilmeye hazır tüm önceliklendirilmiş verileri içerecektir. “MemoryzeAuditScript.xml” XML dosyası, betiği düzenlediğimizde ve yukarıda tercihlerimizi belirlediğimizde yapılandırmamızı saklar.
Tamamlandığında cmd çıkacaktır. Toplayıcı betiğimizin kurulu olduğu klasöre gidin. Orada bir “Oturumlar” klasörü göreceğiz.
Daha sonra “AnalizSession1” adında bir klasör oluşacaktır. Collector scriptini tekrar çalıştırırsak “AnalizSession2” adında başka bir klasör oluşturulacak ve bu şekilde devam edecek.
Burada .mans dosyasını görebileceğimiz bu klasöre gidin (Mandiant Analizi).
Bu sadece önceliklendirilmiş oturum dosyasını açacağımız bir dosyadır, veriler Denetimler dizininde saklanır.
Şimdi “AnalizSession1.mans” isimli dosyayı açın.
Redline’ın dosyayı yüklemesi yaklaşık 10 dakika sürecektir, ardından aşağıdaki ekranı göreceğiz.
İkinci seçeneği tercih edeceğiz: “Harici Bir Araştırmacı Lidere Dayalı Bir Sunucuyu Araştırıyorum”. Tarayıcı adli tıpıyla ilgileniyorsak 3. seçeneği tercih ederiz. Benzer şekilde, bilinen risk göstergelerini kullanarak tehditleri araştırıyoruz ve son seçeneği tercih ediyoruz. İlk seçenek, kuruluş FireEye Uç Nokta Tehdit Önleme Platformu (HX) kullanıyorsa, tüm süreç daha hızlı ve otomatik hale gelecektir.
Araştır’ı tıklayın.
Şimdi önceliklendirilmiş verileri göreceğiz ve bu, topladığımız verilerin türüne bağlıdır.
Edinirken daha fazla veri toplasaydık daha fazla veri görebilirdik. Bunu bir gösteri olarak yaptığımız için sadece sergileme amacıyla çok sınırlı veri topladık. Burada farklı veri kaynaklarından farklı bilgiler görüyoruz. Eğer hafıza triyajını seçseydik hafıza ile ilgili veriler hakkında çok detaylı bir sekmeye sahip olurduk. Tam dosya sistemi önceliklendirmesi yapsaydık bununla ilgili verileri görürdük.
İhtiyaçlarımıza göre herhangi bir bilgiyi kontrol edebilir/işaretini kaldırabiliriz.
Bu derste, uç noktaların hızlı toplanması ve önceliklendirilmesi için redline’ın nasıl kullanılacağını araştırdık. Bir sonraki derste, çeşitli iyi özelliklere sahip, disk edinimi ve analizi için çok kullanışlı bir araç olan otopsiyi keşfedeceğiz.
Not: Bu aracı laboratuvarda denemek ve keşfetmek istiyorsanız, verileri depolamak için Yerel Disk “D:”yi kullanın. Edinme işlemi genellikle çok fazla alan gerektirdiğinden ve laboratuvarlar için pek pratik olmadığından, lütfen mevcut disk alanı sınırlamasının farkında olun.
Otopsi Kullanılarak Disklerin Alınması ve Triyajı
Autopsy® önde gelen uçtan uca açık kaynaklı dijital adli bilişim platformudur. Basis Technology tarafından, ticari adli araçlardan beklediğiniz temel özelliklerle oluşturulmuştur. Autopsy, ihtiyaçlarınıza göre gelişen hızlı, kapsamlı ve etkili bir sabit disk araştırma çözümüdür. Autopsy, Windows, Linux ve Android tabanlı dosya sistemlerini ayrıştırabilir. ( https://www.autopsy.com/ )
Bu aracın özelliklerinden bazıları şunlardır:
– Çok Kullanıcılı Vakalar: Büyük vakalarda diğer denetçilerle işbirliği yapın.
– Zaman Çizelgesi Analizi: Etkinliğin tanımlanmasına yardımcı olmak için sistem olaylarını grafiksel bir arayüzde görüntüler.
– Anahtar Kelime Arama: Metin çıkarma ve dizin arama modülleri, belirli terimlerden bahseden dosyaları bulmanızı ve düzenli ifade kalıplarını bulmanızı sağlar.
– Web Yapıları: Kullanıcı etkinliğini tanımlamaya yardımcı olmak için yaygın tarayıcılardan web etkinliğini çıkarır.
– Kayıt Defteri Analizi: Yakın zamanda erişilen belgeleri ve USB aygıtlarını tanımlamak için RegRipper’ı kullanır.
– LNK Dosya Analizi: Kısayolları ve erişilen belgeleri tanımlar.
– E-posta Analizi: Thunderbird gibi MBOX formatındaki mesajları ayrıştırır.
– EXIF: JPEG dosyalarından coğrafi konum ve kamera bilgilerini çıkarır.
– Medya Oynatma ve Küçük Resim görüntüleyici.
– Güçlü Dosya Sistemi Analizi: NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 dahil olmak üzere yaygın dosya sistemleri desteği.
– Unicode Dize Çıkarma: Birçok dilde ayrılmamış alandan ve bilinmeyen dosya türlerinden dizeleri çıkarır.
– İmzalara ve uzantı uyumsuzluğu tespitine dayalı Dosya Türü Tespiti.
– İlginç Dosyalar Modülü, dosya ve klasörleri ad ve yola göre işaretler.
– Android Desteği: SMS’lerden, arama kayıtlarından, kişilerden, Tango’dan, Arkadaşlarla Sözler’den ve daha fazlasından veri çıkarır.
( Kaynak: https://www.cybervie.com/blog/introduction-to-autopsy-an-open-source-digital-forensics-tool/ )
Otopsiyi şu adresten indirebilirsiniz: https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.19.3/autopsy-4.19.3-64bit.msi
Aracı yönetici olarak çalıştırın
Uygulama bu ekranla başlayacaktır.
Bizim durumumuzda olduğu gibi yeni bir soruşturma başlatmak için “Yeni Vaka” seçeneğini seçin. Daha sonra vakamıza bir isim ve vaka dosyalarımızın saklanacağı dizini vermemiz istenecektir.
Daha sonra ileri’ye tıklayın. Daha sonra yürütmek üzere olduğumuz dava veya soruşturma hakkında ek bilgi verebiliriz. Uygun gözetim zincirini takip ettiği için bu teşvik edilir. Bunun amacı adli tıp soruşturmalarını takip etmektir.
Gösteri amaçlı bazı verileri doldurduk. Şimdi Son’a tıklayın. Daha sonra aşağıdaki gibi başka bir pencereye yönlendirileceğiz.
Veri kaynağı, almak veya analiz etmek istediğimiz disk görüntüsü veya sabit disk olacaktır. Veri kaynağı türünü seçmek için bu pencerede ileri’yi tıklayın.
Halihazırda edinilmiş bir disk imajını analiz etmek istiyorsak ve içeriğini analiz etmek istiyorsak, onu ilk seçenekte bırakırız. Diyelim ki bir olay sırasında analiz ettiğimiz/tetikleme yaptığımız bilgisayarın yerel diskini analiz etmek istiyoruz. Daha sonra ikinci seçeneği seçip next diyoruz.
Burada analiz etmek istediğimiz yerel diski ve adli tıp zaman çizelgesini yapılandırmak istediğimiz saat dilimini seçmemiz gerekiyor. Saat dilimini, incelenen bilgisayar için yapılandırılan saat dilimiyle aynı şekilde ayarlamanız önerilir. Diskin disk görüntüsüne de ihtiyacımız varsa, “Sürücünün analiz edilirken VHD görüntüsünü oluştur” seçeneğini etkinleştirebiliriz.
Sonrakine tıkla. Artık “Almayı Yapılandır” Autopsy’nin temel özelliğidir.
Burada, Autopsy’nin verileri ayrıştırmak amacıyla diskimizde çalışması için hangi eklentilere ihtiyacımız olduğunu seçebiliriz. Örneğin, “E-posta Ayrıştırıcısı” diskte bulunan tüm e-postaları bulmaya çalışacaktır (belki günlüklerde, dosyalarda, programlarda, silinmiş ayrılmamış alanda vb.). Daha sonra “İleri”ye tıklıyoruz ve analiz sonuçları gelmeye başlıyor.
Verilerin nasıl kategorize edildiğini görebilirsiniz. Adli tıp analizi bu dersin kapsamı dışında olduğundan hızlı bir gösterim için 1 veya 2 örnek görelim, fazla ayrıntıya girmeyeceğiz.
OS hesaplarında sistemdeki mevcut kullanıcıları görebiliriz.
“Windows Registry Forensics” dersinde “Son Belgeler” eserini tartışmıştık. Burada Autopsy’de bu eser verilerini görüntüleme seçeneğini görüyoruz.
Ayrıca “Resimler/Videolar” seçeneğine giderek diskte bulunan tüm resimleri/videoları da görüntüleyebiliriz.
Bu diskte çok fazla veri yok çünkü bu bir sanal makine. Eğer bu bir kullanıcının bilgisayarından veya bir sunucudan olsaydı, çok daha fazla veri mevcut olurdu.
Canlı triyaj sürüş özelliği:
Autopsy, analistlerin Autopsy araçlarını USB gibi çıkarılabilir bir medya sürücüsüne otomatik olarak kurmasına olanak tanıyan bir özelliğe sahiptir. Triyaj modu için komut dosyaları oluşturur; bu durumda analistlerin yalnızca USB’den komut dosyasını çalıştırması gerekir ve Autopsy otomatik olarak önceliklendirme yapar ve çıkarılabilir sürücünün takılı olduğu bilgisayardan veri alır.
Bu ders hiçbir şekilde uygun bir GUI’de disk analizine yönelik özellikler açısından zengin olan Autopsy aracının ayrıntılı bir gösterimi değildi.