5 Strumenti essenziali per imparare su SIFT Workstation
- Strato di gestione dei media
- Strato del sistema dei file
- Strato dei file (“L’interfaccia umana”)
- Strato dei metadati (“Inode”)
- Strato del contenuto (“Blocco”)
Convenientemente il nome di ogni strumento corrisponde al suo scopo tramite un formato prefisso/suffisso coerente. Prendete, per esempio, lo strumento “mmls”, che è usato per visualizzare la disposizione delle partizioni di un sistema di volumi. Il prefisso “mm” ti dice che sta operando al livello Media Management, mentre il suffisso “ls” è semplicemente il comando Linux “ls” – usato per elencare file e directory. In effetti, “mmls” vi fornirà un layout di lista delle partizioni in un sistema di volumi, che include tabelle delle partizioni ed etichette dei dischi.
Invece, per quanto riguarda lo strumento “icat”, il suo prefisso “i” denota che sta operando al livello inode (metadati), mentre il suffisso è semplicemente il comando Linux “cat” ed è usato per visualizzare il contenuto di un file. Basandoci solo sul nome dello strumento possiamo dedurre con precisione che “icat” mostrerà il contenuto di un file in base al suo numero di inode. Meglio ancora, la SIFT Workstation viene fornita anche con “Autopsy”, un’interfaccia GUI che astrae e semplifica l’interazione con i programmi e i plugin di TSK.
Sia che preferiate lavorare dalla riga di comando o tramite un’interfaccia web-browser, TSK/Autopsy vi fornirà gli strumenti necessari per eseguire un esame forense dettagliato e robusto.
Volatilità
I moderni attacchi informatici stanno diventando sempre più sofisticati nel sottrarsi al rilevamento e spesso non lasciano artefatti forensi sul disco rigido della macchina vittima. Questo, insieme all’uso diffuso della crittografia dell’intero disco, ha posto un’importanza ancora maggiore sulla capacità di estrarre e condurre un’analisi dettagliata del dump di memoria di un sistema informatico.
L’uso di Volatility permette a un esaminatore di condurre la forense della memoria e accertare un grande volume di informazioni preziose. Volatility può identificare processi rogue e rootkit, oltre a recuperare gli hash delle password e le prove di iniezione di codice dannoso. Il framework Volatility è fatto su misura per eseguire la risposta agli incidenti e l’analisi del malware e, a mio parere, è un must per il moderno esaminatore di digital forensics.
RegRipper
Nel mondo aziendale, Active Directory e macchine Windows sono quasi onnipresenti. Allo stesso modo, i sistemi operativi basati su Windows rappresentano una grande maggioranza della quota di mercato per gli utenti domestici. Non sarebbe scioccante, quindi, apprendere che una grande proporzione di crimini informatici è commessa su macchine Windows e, come tale, uno strumento di analisi specifico per Windows fornirebbe davvero un grande valore a un esaminatore di digital forensics.
Il registro di Windows è un database gerarchico di chiavi, sottochiavi e valori che forniscono impostazioni critiche di basso livello al sistema operativo. Quale utente si è collegato quando? A che ora è stata collegata un’unità USB? Qual era il numero di serie di quel drive USB? A quali file si è acceduto? Quale utente ha cercato cosa? Tutti questi dettagli – e molto di più – sono registrati nel Registro di sistema. In poche parole, è una miniera d’oro assoluta per scoprire artefatti forensi.
RegRipper è uno strumento open-source progettato per fornire un modo semplice per analizzare valori mirati di interesse dal Registro di sistema al fine di eseguire un’analisi forense. Per fare ciò, un esaminatore fornisce l’alveare di registro pertinente che desidera prendere di mira, come System, o SAM, e il nome di un plugin richiesto per eseguire una particolare azione sul target.
Per esempio, passando l’alveare System insieme al plugin Shutdown, RegRipper analizzerà rapidamente e restituirà le informazioni pertinenti relative a quando il sistema è stato chiuso l’ultima volta. Come potete probabilmente capire, RegRipper è uno strumento incredibilmente potente e un componente essenziale della SIFT Workstation.
Wireshark
Nessuna lista sarebbe completa senza l’inclusione del noto analizzatore di pacchetti, Wireshark. Famoso all’interno della comunità di rete per le sue capacità di debug e risoluzione dei problemi, lo strumento ha la capacità di scrutare in profondità e districare i dettagli di tutti i dati che attraversano il filo. Ai fini della forense di rete, Wireshark fornisce a un esaminatore la capacità di identificare le intrusioni e il traffico dannoso, nonché di raccogliere informazioni per aiutare a stabilire una base contestuale intorno a un potenziale crimine.
Supponiamo che un criminale esperto violi la rete ma si preoccupi di cancellare tutti i file di log e le prove della sua presenza sulla macchina bersaglio. L’unica traccia rimanente di ciò che è accaduto può trovarsi nel traffico registrato dall’analizzatore di pacchetti. Wireshark fornisce una serie di funzioni per aiutare a isolare e identificare il traffico potenzialmente “interessante”, compreso il filtraggio per indirizzo sorgente, numero di porta e tipo di protocollo.
In definitiva, la forense di rete è gradualmente cresciuta fino a diventare una sottobranca vitale per indagare sui crimini digitali e Wireshark ha dimostrato di essere un’aggiunta preziosa al toolkit forense.
Plaso/Log2Timeline
L’analisi forense richiede un’estrema attenzione ai dettagli e costruire un’accurata linea temporale degli eventi è di fondamentale importanza quando si valutano le prove in vostro possesso. Una linea temporale errata può letteralmente fare la differenza tra la scoperta di prove incriminanti o assolutorie. Piuttosto che soffrire le difficoltà di esaminare manualmente i log degli eventi, prefetch, shellbag e collazionare questi dati da fonti disparate, SIFT Workstation offre un’opzione per creare una “Super Timeline” usando un solo strumento.
Costruito su un motore backend noto come Plaso, Log2Timeline ha la capacità di analizzare tutte queste informazioni e assemblarle in ordine temporale – tutto ordinatamente all’interno di una fonte di dati. Log2Timeline aiuta a fornire una ricchezza di contesto ai vostri risultati ed è eccellente per eliminare i falsi positivi.
Log2Timeline non solo rende il vostro lavoro più facile, ma migliora anche la qualità del vostro lavoro e spesso può portare a scoprire quell’inafferrabile “pezzo finale del puzzle” necessario per risolvere un caso. È veramente uno strumento eccezionale.
Pensieri finali
La SIFT Workstation è un framework forense di livello professionale e offre un’abbondanza di strumenti open-source di alta qualità a vostra disposizione. Vi incoraggio ad assecondare la vostra curiosità e ad esplorare tutto ciò che ha da offrire. Senza dubbio, questi cinque strumenti sono i miei preferiti del gruppo e, a mio parere, rappresentano un apprendimento forense digitale assolutamente essenziale.