5 Ferramentas Essenciais a Aprender na Estação de Trabalho SIFT
- Camada de Gerenciamento de Mídia
- Camada de Sistema de Arquivo
- Camada de Arquivo (“The Human Interface”)
- Metadata (“Inode”) Layer
- Content (“Block”) Layer
Convenientemente o nome de cada ferramenta corresponde ao seu propósito através de um prefixo/sufixo consistente. Pegue, por exemplo, a ferramenta “mmls”, que é usada para exibir o layout da partição de um sistema de volume. O prefixo “mm” diz-lhe que está a funcionar na camada de Gestão de Média, enquanto o sufixo “ls” é simplesmente o comando Linux “ls” – utilizado para listar ficheiros e directórios. Com efeito, “mmls” irá fornecer-lhe um layout de lista das partições de um sistema de volume, que inclui tabelas de partição e etiquetas de disco.
Contudo, no que diz respeito à ferramenta “icat”, o seu prefixo “i” denota que está a operar na camada inode (metadados), enquanto que o sufixo é simplesmente o comando Linux “cat” e é utilizado para mostrar o conteúdo de um ficheiro. Baseado apenas no nome da ferramenta, podemos inferir com precisão que o “icat” irá emitir o conteúdo de um ficheiro com base no seu número de inode. Melhor ainda, a estação de trabalho SIFT também vem com “Autopsy”, uma interface gráfica que abstrai e simplifica a interação com os programas e plugins do TSK.
Se você preferir trabalhar a partir da linha de comando ou através de uma interface web-browser, o TSK/Autopsy lhe fornecerá as ferramentas necessárias para realizar um exame forense detalhado e robusto.
Volatilidade
Ataques cibernéticos modernos estão se tornando cada vez mais sofisticados na detecção de evasão e muitas vezes não deixam nenhum artefato forense no disco rígido da máquina vítima. Isto, juntamente com o uso generalizado da encriptação de disco completo, tem colocado uma importância ainda maior na capacidade de extrair e conduzir uma análise detalhada do despejo de memória de um sistema de computador.
Utilizar a Volatilidade permite que um examinador conduza uma análise forense da memória e verifique um grande volume de informações valiosas. A volatilidade pode identificar processos desonestos e rootkits, assim como recuperar hashes de senhas e evidências de injeção de código malicioso. A estrutura de Volatilidade é feita sob medida para realizar respostas a incidentes e análises de malware e, na minha opinião, é um aprendizado obrigatório para o examinador forense digital moderno.
RegRipper
No mundo empresarial, o Active Directory e as máquinas Windows são quase onipresentes. Da mesma forma, os sistemas operacionais baseados em Windows representam a grande maioria do mercado para usuários domésticos. Não seria chocante, portanto, aprender que uma grande proporção de crimes informáticos é cometida em máquinas Windows e, como tal, uma ferramenta de análise específica do Windows realmente daria grande valor a um examinador forense digital.
O registo do Windows é uma base de dados hierárquica de chaves, subchaves e valores que fornecem definições críticas de baixo nível para o sistema operativo. Qual usuário logou quando? A que horas foi conectado um drive USB ao dispositivo? Qual era o número de série desse drive USB? Quais arquivos foram acessados? Que usuário pesquisou o quê? Todos esses detalhes – e muito mais – são gravados dentro do Registro. Simplificando, é uma mina de ouro absoluta para descobrir artefatos forenses.
RegRipper é uma ferramenta de código aberto projetada para fornecer uma maneira fácil de analisar valores de interesse do Registro, a fim de realizar uma análise forense. Para o fazer, um examinador fornece a Colmeia de Registo relevante que pretende atingir, como o Sistema, ou SAM, e o nome de um Plugin necessário para executar uma determinada acção no alvo.
Por exemplo, ao passar na Colmeia de Registo em conjunto com o Plugin de Encerramento, o RegRipper analisará rapidamente e devolverá a informação relevante relativa a quando o sistema foi encerrado pela última vez. Como você provavelmente pode dizer, RegRipper é uma ferramenta incrivelmente potente e um componente essencial da Estação de Trabalho SIFT.
Wireshark
Nenhuma lista estaria completa sem a inclusão do conhecido analisador de pacotes, Wireshark. Famoso dentro da comunidade de redes por suas habilidades de depuração e resolução de problemas, a ferramenta tem a habilidade de fazer peer deep e desembaraçar os detalhes de todos os dados que atravessam o fio. Para fins de perícia da rede, Wireshark fornece a um examinador a habilidade de identificar intrusões e tráfego malicioso, bem como reunir informações para ajudar a estabelecer uma base contextual em torno de um crime potencial.
Suponha um criminoso experiente que infringe a rede, mas tem o cuidado de apagar todos os arquivos de registro e evidências de sua presença na máquina alvo. O único registro que resta disso pode estar dentro do tráfego registrado pelo analisador de pacotes. Wireshark fornece um conjunto de recursos para ajudar a isolar e identificar tráfego potencialmente “interessante”, incluindo filtragem por endereço de origem, número de porta e tipo de protocolo.
Ultimamente, a perícia de rede tem gradualmente crescido e se tornado uma sub-área vital na investigação de crimes digitais e Wireshark provou ser uma adição inestimável ao conjunto de ferramentas forenses.
Plaso/Log2Timeline
Análise forense requer uma atenção extrema aos detalhes e construir uma linha de tempo precisa dos eventos é de suma importância ao avaliar as evidências em sua posse. Uma linha de tempo errada pode ser literalmente a diferença entre descobrir evidência inculpatória ou exculpatória. Ao invés de sofrer as lassidões de examinar manualmente os logs de eventos, prefetch, shellbags e colar esses dados de fontes díspares, a SIFT Workstation oferece uma opção para criar uma “Super Linha do Tempo” usando uma ferramenta.
Built em um mecanismo backend conhecido como Plaso, Log2Timeline tem a habilidade de analisar todas essas informações e montá-las em ordem temporal – tudo ordenado dentro de uma fonte de dados. Log2Timeline ajuda a fornecer uma riqueza de contexto às suas descobertas e é excelente para eliminar falsos positivos.
Log2Timeline não só torna o seu trabalho mais fácil, como também melhora a qualidade do seu trabalho e pode muitas vezes levar à descoberta daquela “peça final do puzzle” elusiva necessária para decifrar um caso. É realmente uma ferramenta excelente.
Pensamentos Finais
O SIFT Workstation é uma estrutura forense de qualidade profissional e oferece uma abundância de ferramentas de código aberto de alta qualidade à sua disposição. Eu o encorajaria a satisfazer a sua curiosidade e explorar tudo o que ela tem a oferecer. Sem dúvida, estas cinco ferramentas são as minhas favoritas e, na minha opinião, representam uma aprendizagem forense digital absolutamente essencial.