5 Essential Tools to Learn on SIFT Workstation
- Media Management Layer
- File System Layer
- File Layer (“De menselijke interface”)
- Metadata (“Inode”) laag
- Content (“Block”) laag
Gunstig genoeg komt de naam van elk gereedschap overeen met het doel ervan via een consistente prefix/suffix-indeling. Neem bijvoorbeeld het gereedschap “mmls”, dat wordt gebruikt om de partitie-indeling van een volumesysteem weer te geven. Het voorvoegsel “mm” geeft aan dat het werkt op de Media Management laag, terwijl het achtervoegsel “ls” gewoon het Linux commando “ls” is – gebruikt om bestanden en directories op te sommen. In feite zal “mmls” u een lijst-layout geven van de partities in een volumesysteem, inclusief partitietabellen en schijflabels.
Het voorvoegsel “i” geeft aan dat de tool “icat” actief is op de inode laag (metadata), terwijl het achtervoegsel gewoon het Linux commando “cat” is en wordt gebruikt om de inhoud van een bestand weer te geven. Alleen al uit de naam van het programma kunnen we afleiden dat “icat” de inhoud van een bestand zal weergeven op basis van zijn inode nummer. Beter nog, het SIFT Workstation wordt ook geleverd met “Autopsy”, een GUI interface die de interactie met TSK’s programma’s en plugins abstraheert en vereenvoudigt.
Of je nu verkiest te werken vanaf de command line of via een web-browser Interface, TSK/Autopsy zal je voorzien van de nodige tools om een gedetailleerd en robuust forensisch onderzoek uit te voeren.
Volatiliteit
Moderne cyberaanvallen worden steeds geraffineerder in het omzeilen van detectie en laten vaak geen forensische artefacten achter op de harde schijf van de slachtoffermachine. Dit, in combinatie met het wijdverbreide gebruik van volledige schijfversleuteling, heeft een nog groter belang gehecht aan de mogelijkheid om een geheugendump van een computersysteem te extraheren en gedetailleerd te analyseren.
Het gebruik van Volatility stelt een onderzoeker in staat om forensisch geheugenonderzoek uit te voeren en een grote hoeveelheid waardevolle informatie te achterhalen. Volatility kan malafide processen en rootkits identificeren, maar ook hashes van wachtwoorden en bewijs van injectie van kwaadaardige code achterhalen. Het Volatility framework is op maat gemaakt voor het uitvoeren van incident response en malware analyse, en is naar mijn mening een must voor de moderne digitaal forensisch onderzoeker.
RegRipper
In de bedrijfswereld zijn Active Directory en Windows machines bijna alomtegenwoordig. Ook bij thuisgebruikers hebben Windows-besturingssystemen een groot aandeel in de markt. Het zou dan ook niet schokkend zijn te vernemen dat een groot deel van de computercriminaliteit wordt gepleegd op Windows-machines, en als zodanig zou een Windows-specifiek analyse-instrument inderdaad van grote waarde zijn voor een digitaal forensisch onderzoeker.
Het Windows-register is een hiërarchische database van sleutels, subsleutels en waarden die het besturingssysteem voorzien van essentiële instellingen op laag niveau. Welke gebruiker heeft wanneer ingelogd? Hoe laat was een USB-stick aangesloten op het apparaat? Wat was het serienummer van die USB-drive? Welke bestanden werden geopend? Welke gebruiker heeft wat opgezocht? Al deze details – en nog veel meer – zijn vastgelegd in het register. Simpel gezegd, het is een absolute goudmijn voor het ontdekken van forensische artefacten.
RegRipper is een open-source tool ontworpen om een gemakkelijke manier te bieden om gerichte waarden van belang uit het register te ontleden om een forensische analyse uit te voeren. Om dit te doen, geeft een onderzoeker de relevante Registry Hive die ze willen onderzoeken, zoals System, of SAM, en de naam van een Plugin die nodig is om een bepaalde actie op het doel uit te voeren.
Bijvoorbeeld, door het doorgeven van de System Hive in combinatie met de Shutdown plugin, zal RegRipper snel de relevante informatie met betrekking tot wanneer het systeem voor het laatst werd afgesloten uitpluizen en retourneren. Zoals u waarschijnlijk wel kunt zien, is RegRipper een ongelooflijk krachtig gereedschap en een essentieel onderdeel van het SIFT Workstation.
Wireshark
Geen lijst zou compleet zijn zonder de bekende packet analyzer, Wireshark. Beroemd binnen de netwerkgemeenschap om zijn debugging en troubleshooting capaciteiten, heeft het gereedschap de mogelijkheid om diep te peuren en de details te ontwarren van alle data die de draad doorkruist. Voor forensische netwerkdoeleinden biedt Wireshark een onderzoeker de mogelijkheid om inbraken en kwaadaardig verkeer te identificeren en informatie te verzamelen om een contextuele basis rond een potentiële misdaad te helpen vaststellen.
Voorstel dat een slimme crimineel het netwerk binnendringt, maar er zorg voor draagt om alle logbestanden en bewijzen van zijn aanwezigheid op de doelmachine te wissen. Het enige bewijs dat dit ooit is gebeurd kan liggen in het verkeer dat is opgenomen door de packet analyzer. Wireshark biedt een reeks functies om te helpen potentieel “interessant” verkeer te isoleren en te identificeren, inclusief filteren op bronadres, poortnummer en protocol type.
Uiteindelijk is netwerk forensisch onderzoek geleidelijk uitgegroeid tot een vitale tak van onderzoek naar digitale misdrijven en Wireshark heeft bewezen een onschatbare toevoeging te zijn aan de forensische gereedschapskist.
Plaso/Log2Timeline
Forensische analyse vereist een extreme aandacht voor detail en het bouwen van een accurate tijdlijn van gebeurtenissen is van het grootste belang bij het evalueren van het bewijsmateriaal in je bezit. Een foutieve tijdlijn kan letterlijk het verschil betekenen tussen het ontdekken van ontlastend of ontlastend bewijs. In plaats van handmatig eventlogs, prefetch en shellbags te onderzoeken en deze gegevens uit verschillende bronnen samen te voegen, biedt SIFT Workstation de mogelijkheid om met één tool een “Super Timeline” te maken.
Gebouwd op een backend engine bekend als Plaso, heeft Log2Timeline de mogelijkheid om al deze informatie te ontleden en in tijdsvolgorde samen te voegen – alles netjes binnen één gegevensbron. Log2Timeline helpt een schat aan context te geven aan uw bevindingen en is uitstekend in het elimineren van valse positieven.
Log2Timeline maakt niet alleen uw werk eenvoudiger, het verbetert ook de kwaliteit van uw werk en kan vaak leiden tot het ontdekken van dat ongrijpbare “laatste stukje van de puzzel” dat nodig is om een zaak op te lossen. Het is echt een uitstekende tool.
Final Thoughts
Het SIFT Workstation is een professioneel forensisch raamwerk en biedt een overvloed aan hoogwaardige, open-source tools tot uw beschikking. Ik moedig je aan om je nieuwsgierigheid te prikkelen en alles te verkennen wat het te bieden heeft. Zonder twijfel, deze vijf tools zijn mijn favorieten van het stel en, in mijn ogen, vertegenwoordigen absoluut essentieel digitaal forensisch leren.