Форензика
DEEPSIDEФорензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Слово “forensics” пошло от латинского “foren”, что дословно переводится как “речь перед судом”. К нам же данный термин попал из Британии, где означал такое понятие, как “forensic science” - учение об изучении и анализе улик - криминалистика. Данная наука занимается исследованием улик, но в нашей стране термин “форензика” имеет только одно значение - цифровая криминалистика.
Отойдём от этимологии и рассмотрим форензику с точки зрения применения этой науки. На самом деле, это просто сбор компьютерных улик. То есть поиск и исследование цифровых следов киберпреступлений. Они могут быть где угодно: на персональных компьютерах, на телефонах, картах памяти, винчестерах, умных часах. В общем, везде, где может находиться информация. Звучит странно, но форензика может работать даже со стиральными машинами, посудомойками, роботами-пылесосами и иными чудесами современной домашней техники.
Форензику подразделяют на следующие категории:
- Аппаратно-компьютерная экспертиза
- Программно-компьютерная экспертиза
- Компьютерно-сетевая экспертиза
- Информационно-компьютерная экспертиза.
Обычно форензика изучает следующие вопросы:
- Присутствие на носителе данных, имеющих отношение к расследованию преступления (к ним также относится информация в косвенном, искажённом, скрытом или закодированном состоянии);
- Возможность применения анализируемых объектов с конкретной задачей (к примеру, выхода в интернет);
- Операции, выполненные с применением данных объектов;
- Функции программ, принадлежность их к вредоносным;
- Распознавание выявленных данных.
Также зачастую применяется такая штука как экспресс-анализ. Это когда, к примеру, крутой хакер, сидит и взламывает какой-нибудь правительственный форум, слышит звонок в дверь - открывает, заваливаются парни из органов и идут взглянуть на его ПК. Ни к чему хорошему это не приведёт. С помощью экспресс-анализа специалисты в считанные минуты установят всё, что им нужно.
В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Дистрибутивы
Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.
- Digital Evidence & Forensics Toolkit: DEFT Linuix
Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.
Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.
Фреймворки
- Volatility Framework
Один из самых популярных фреймворков для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM)
Извлекаемые данные:
- дата и время;
- список запущенных процессов;
- список открытых сетевых сокетов;
- список открытых сетевых соединений;
- список загруженных библиотек для каждого процесса;
- имена открытых файлов для каждого процесса;
- адреса памяти;
- модули ядра ОС;
- маппинг физических смещений на виртуальные адреса.
Список поддерживаемых образов RAM для следующих операционных систем:
- 32-bit Windows XP Service Pack 2 and 3
- 32-bit Windows 2003 Server Service Pack 0, 1, 2
- 32-bit Windows Vista Service Pack 0, 1, 2
- 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
- 32-bit Windows 7 Service Pack 0, 1
- 32-bit Windows 8, 8.1, and 8.1 Update 1
- 32-bit Windows 10 (initial support)
- 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows Vista Service Pack 0, 1, 2
- 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows 2008 R2 Server Service Pack 0 and 1
- 64-bit Windows 7 Service Pack 0 and 1
- 64-bit Windows 8, 8.1, and 8.1 Update 1
- 64-bit Windows Server 2012 and 2012 R2
- 64-bit Windows 10 (including at least 10.0.14393)
- 64-bit Windows Server 2016 (including at least 10.0.14393.0)
- 32-bit Linux kernels 2.6.11 to 4.2.3
- 64-bit Linux kernels 2.6.11 to 4.2.3
- 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)
- 32-bit 10.6.x Snow Leopard
- 64-bit 10.6.x Snow Leopard
- 32-bit 10.7.x Lion
- 64-bit 10.7.x Lion
- 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
- 64-bit 10.9.x Mavericks (there is no 32-bit version)
- 64-bit 10.10.x Yosemite (there is no 32-bit version)
- 64-bit 10.11.x El Capitan (there is no 32-bit version)
- 64-bit 10.12.x Sierra (there is no 32-bit version)
Для тестирования фреймворка рекомендуем воспользоваться готовыми образами RAM.
- DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
- PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
- Sleuth Kit (TSK) - это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
- MIG: Mozilla InvestiGator - это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
- bulk_extractor - извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
- PhotoRec - мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.
Анализ сетевого взаимодействия
- SiLK (System for Internet-Level Knowledge) - предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
- Wireshark - этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
Дисковые инструменты и сбор данных
- Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
- DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
- EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
- Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
- EWF MetaEditor утилита для редактирования метаданных EWF (E01).
- FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
- Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
- FTK Imager просмотр и клонирование носителей данных в среде Windows.
- Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
- Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
- NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
- Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
- OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
- OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.
Анализ электронной почты
- EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
- Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
- MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
- OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
- PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.
Анализ файлов и данных
- analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
- bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
- CapAnalysis утилита просморта PCAP.
- Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
- Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
- DCode утилита преобразует различные типы данных в значения даты / времени.
- Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
- eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
- Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
- ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
- File Identifier онлайн анализ типа файлов (более 2000).
- Forensic Image Viewer утилита для извлечения данных из изображений.
- Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
- Memoryze анализ образов RAM, включая анализ «page» файлов.
- MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
- Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.
Инструменты для Mac OS
- Audit утилита для вывода аудита и журналов OS X.
- Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
- FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
- IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
- mac_apt утилита для работы с образами E01, DD, DMG.
- Volafox утилита для анализа памяти в Mac OS X.
Мобильные устройства
- iPBA2 утилита анализа резервных копий iOS.
- iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
- ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
- Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
- SAFT извлечение SMS, журналов звонков и контактов из Android устройств.
Материалы и курсы для изучения
Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого рекомендуем ознакомиться со следующими изданиями:
- Н.Н.Федотов: Форензика – компьютерная криминалистика
- Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
- Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
- Brian Carrier: File System Forensic Analysis
- Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
- Philip Polstra: Linux Forensics
- Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core
- Ric Messier: Operating System Forensics
- Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
- Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
- Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
- Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide
- FOR500: Windows Forensic Analysis — курс обучения основам форензики от авторитетного института SANS.
- Free Online Computer Forensics Training Class — CHFI — еще один вариант курса по программе CHFI.
- Android Forensics & Security Testing — материалы к курсу обучения по мобильной форензике.
- Computer Forensics Fundamentals — базовый курс обучения на площадке Udemy
- Computer Hacking Forensic Investigator (CHFI) — еще один курс на площадке Udemy для продвинутых
- Certified Cyber Forensics Professional (CCFP) and Certified Hacking Forensics Investigator (CHFI) exams — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.
Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals .
Практические площадки
Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа:
- Memory samples — набор дампов памяти от Windows до Linux с зашитыми в них артефактами.
- p0wnlabs Sample Challenges — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery.
- Wireshark Sample Captures — репозиторий дампов сетевого трафика.
- Computer Forensic Reference Data Sets (CFReDS) — репозиторий образов для тренировки навыков криминалистической экспертизы.
- Digital Forensics Tool Testing Images — еще один архив снимков ФС.
- Digital Corpora — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков.
- BlackLight — коммерческий набор инструментов и демопак для тестирования навыков.
Заключение
Также инструменты для форензики можно найти и в операционных системах, предназначенных для тестирования на безопасность, вроде Kali Linux или BlackArch. Возникает вопрос: как же можно обезопаситься от всего этого множества инструментов, разбирающих информацию на носителях по косточкам? В этих целях были придуманы системы противодействия форензическим методам, например, такая ОС, как Linux Kodachi. Конечно, сейчас очень популярны в кибербезопасности направления вроде тестирования на безопасность. Но несмотря на это форензика является не менее многогранной и интересной наукой. Как ответвление информационной безопасности, форензика развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.