DFIR Toolkit: כלים ואפשרויות

[ זמן קריאה משוער; 6 דקות. ]

תגובה לתקרית סייבר במחיר מינימלי, יש חיה כזאת? איך יוצרים קיט תחקור ופורנזיקה עם תקציב מינימלי? האם בניית מערך כלים עם עלות נמוכה יכולה לתת ערך כמו כלים יקרים? שאלות ספציפיות מתוך תריסרים רבים כאשר בונים קיט DFIR. בניית קיט DFIR עם תקציב נמוך ועם ניהול נכון (תהליכים, ידע ושאר ירקות) עדיין יכולים למזער נזקים ולהגיב תקריות בצורה המיטבית.

המאמר DFIR Toolkit: כלים ואפשרויות נוגע בכלים ואפשרויות לבניית קיט CFIR ענני. בניית קיט תגובה, תחקור ופורנזיקה בענן הוא תרחיש מעט שונה שנוגע בטכנולוגיות אחרות ומצריך ידע אחר, עם זאת, עדיין אפשר למצוא את העקרונות המוכרים שניהול אירוע. המאמר מתמקד בכלים ואפשרויות בבניית DFIR Toolkit.

ידוע כי מתקפות סייבר הן בלתי נמנעות והרעיון שאפשר לקוות שתוקפים לעולם לא יופיעו מתרחש רק אם אין שום נכס בעל ערך וגם זה בתנאים מסויימים. אם יש נכס דיגיטלי, במיוחד אחד עם ערך או מותג כלשהוא, צריך להיות מוכן ולהיערך לעובדה שיהיה קצת (או הרבה) תקריות, תחקור ותגובה.

בניית קיט DFIR עבור ארגונים רבים עלולה להציף בעיה, כי תגובה לתקריות ואירועים טובה (אפילו בסיסית +) אינה זולה, וזה עוד לפני שמחשבים עלויות של צוות מיומן, רכישת הכלים יכולה להיות יקרה להפליא. יש כלים מדהימים בקטע הזה, אבל הם לא זולים ופריסות בסיסיות יכולות להגיע במהירות למספר ספרות, בשנה, אפילו עבור סביבות קטנות.

זה נחמד אם יש תקציב גדול (וסוגר המון פינות), אבל להשכיב תקציב בין מספר ספרות (5-7 ספרות) ובנוסף לכך את הכלי אבטחה הקיימים או חדשים בכדי לכסות את החלקים הנוספים שכמעט בוודאות צריך, אז זה ממש הופך להיות נטל כספי. זאת מבלי לקחת בחשבון את עלות הצוות הפנימי ואת הצוות חיצוני שצריך להפעיל במקרים מסויימים.

החלק הטוב הוא שיש אפשרויות חלופיות ואפשר לבנות קיט DFIR פונקציונלית במלואה בעלות מינימלית, באמצעות שילוב של כלים בעלות נמוכה או במקרי קצה ללא עלות כלל. חשוב לזכור דבר אחד, ללא עלות (או החינם) הוא לא ממש בחינם…

כלים ואפשרויות בבניית DFIR Toolkit

כאשר מגיעים לחלקים המעניינים שהם ללא עלות ״צריך לשלם בזמן״ כדי לפתח ולפתור בעיות, אך גם אלה לרוב נמוכים מהעלות השנתית של רישיון מסחרי של הכלים הגדולים. מה עושים? בוחנים אפשרויות ובודקים התאמות.

קיט DFIR

המאמר אינו צולל לעומקם של הכלים ואינו נוגע בכלים בענן, אלה יגיעו במאמר המשך. בנוסף, זה גם לא יכסה הכל – כי אי אפשר – DFIR זה לא על רגל אחת. בנוסף לזה, תמיד יהיו כלים חדשים או פרויקטים חדשים, ואם זה מדרבן אותך לחפש כלי טוב/אחר, אז אולי המטרה הושגה. 👌

דבר נוסף וחשוב. כאשר בונים קיט DFIR לא ממש כדאי לכסות ביחד את החלק שלא איסוף לוגים ופלטפורמת SIEM או כל תשתית איסוף לוגים אחרת, כי אנו מערבבים שמחה בשמחה. אומנם זה קריטי עבור השילוב עם DFIR אבל בהחלט דורש מיקוד נוסף/אחר.

זיהוי ותגובה בנקודות קצה

Velociraptor

פלטפורמה טובה וזמינה – ללא עלות או בתשלום. הכלי Velociraptor הוא פלטפורמה לנקודות קצה, זיהוי פלילי דיגיטלי ותגובה. הוא מספק את היכולת להגיב בצורה יעילה למגוון רחב של חקירות דיגיטליות פורנזיות ותגובות לאירועי סייבר וכן פרצות נתונים. הכלי משתמש בסוכן שמדווח לרכיב מרכזי ומספק אפשרויות פריסה מגוונות מאוד.

במקרה של תקרית/ אירוע, האנליטס/מתחקר יכול לבצע פעולות רבות של שליטה בסוכנים כדי לחפש ולצוד פעילות זדונית, להפעיל איסוף ממוקד, לנתח קבצים ולמשוך דגימות נתונים גדולות. ברגע שזה מגיע לענייני תמיכה, זה יכול להיות זמין בתשלום. זה עדיין זול משמעותית מול המתחרים המסחריים (אלה עם הקוד סגור).

יתרונות וחסרונות:

  • אחסון מרכזי של אירועים.
  • ריפו לממצאים פורנזיים.
  • סוכני Insight שהם חלק מהכלי.
  • מצריך למידה של שפת כתיבה ייעודית (VQL).
  • יכולות חיפוש נקודתיות.

איסוף ראיות

KAPE

KAPE הוא כלי יחסית פופולרי לאיסוף קבצים ממערכת חשודה. כלי אשר מבוסס על קבוצה של כלים וסקריפטים של שורת פקודה המאפשרים לאסוף ארטיפקטים וממצאים ממערכת יעד. למשל, הכלי מאפשר לבצע איסוף ראיות ממוקד לתוך VHDX. עם הכלי, אפשר למצוא ולתעדף את המערכות הקריטיות ביותר בכל מקרה ומשם לאסוף ממצאים מרכזיים לפני ביצוע imaging.

משמעות הדבר היא שאין עוד צורך לחכות עד לאיסוף מערכת מלאות ולאחר מכן לדשדש בנתונים שעלולים להציג אחוזים בודדים בלבד עם ערך פורנזי כלשהו. ברוב המקרים.

קיימות שתי שיטות עיקריות שבהן הכלי אוסף נתונים:

  • קבוצה של קבצים וספריות נאספת בהתבסס על קובצי תצורה.
  • פועל עם כלי שורת פקודה המאפשרים לחלץ או לנתח נתונים נוספים.
  • התוצאות יכולות להישמר במיקומים הבאים:
    • מבנה תיקיות לוגי
    • קובץ ZIP
    • קובץ VHDX/VHD

ניתן להשתמש בכלי בחינם לשימוש פנימי, אכיפת חוק ושימוש אקדמי. רישיון מסחרי נדרש למצבים מסויימים.

יתרונות וחסרונות:

  • הפלט הוא ערכת קבצים לוגית ולכן כל כלי שיכול לקלוט קבצים לוגיים יכול לעבד את התוצאות.
  • ניתן להרחבה כי הכלי משתמש בקובצי תצורה כדי לציין מה יועתק או יופעל, דבר המאפשר ליצור ערכת קבצים.
  • מבצע סטנדרטיזציה של תהליכים פורנזיים.
  • יכול להשפיע על שינוי image ברמת דיסק כאשר ישנם נתונים ממוקדים.

תגובה

CyLR

חיה שדומה לכלי Kape. הכלי CyLR מריץ איסוף מהיר עם מינימום השפעה על מערכת היעד עם ממצאים מוגדרים מראש על מערכת ייעודית. זה אומר פחות הגדרות מאשר Kape, אבל יש כמה יתרונות בכך שהוא פועל על פלטפורמות מרובות. ניתן להשתמש בו כדי לשלוח את הנתונים שנאספו למערכת מרוחקת באמצעות SFTP. זה יכול להיות יעיל במידה וצריך ניהול מערכת מקומי למערכת יעד כדי ללכוד נתונים ולשלוח אותם בחזרה למקום מרכזי (למשל, שרת שמנתח את התוצאות). ניתן לשלוח אפילו לענן (Azure Storage/AWS S3).

יתרונות וחסרונות:

  • איסוף מהיר (לעיתים מהיר מאוד).
  • תהליך איסוף קבצים גולמי, אינו משתמש ב Windows API.
  • יכול לציין יעדים מותאמים לאיסוף נתונים.
  • הנתונים שנאספים מאפשרים לשנות את רמת הדחיסה.

Belkasoft RAM Capturer

כלי פורנזי המאפשר לחלץ את התוכן של הזיכרון הנדיף – במקרים מסויימים גם אם הוא מוגן ע״י מערכות הגנה כגון anti-debugging או anti-dumping.

ישנם כלים רבים בהם ניתן להשתמש כדי ללכוד זיכרון ממערכת יעד, אך הכלי של Belkasoft הוא אחד הפשוטים ביותר לשימוש. עדיין, זה משהו שצריך להתאמן ולוודא שהוא מתאים לתהליך ה DFIR ולמערכות יעד. שיקול נוסף, ככל שנקודות הקצה הופכות מאובטחות יותר, היכולת ללכוד זיכרון RAM ולנתח אותו מצטמצמת, ואם מפעילים גרסאות מתקדמות של Windows, כדאי מאוד לוודא את הלכידה כדי לוודא שזה עדיין אפשרי.

FTKImager

FTK הוא אחת משתי ספקיות הכלים הפורנזיים הגדולות בעולם. החבילה המלאה די יקרה, אבל Imager חינמי הוא מאוד שימושי לאיסוף נתונים ממערכת יעד. הכלי עובד על מגוון רחב של פלטפורמות ומאחסן image בפורמטים סטנדרטיים. יתרון נוסף של FTKImager הוא שהוא גם לוכד זיכרון.

עם FTK Imager אפשר לבצע פעולות רבות:

  • יצירת image פורנזי או עותקים של כוננים קשיחים ומדיות מגוונות מבלי לבצע שינויים בראיות המקוריות.
  • הצגת קבצים ותיקיות בתצוגה מקדימה בכוננים קשיחים מקומיים.
  • הצגת תצוגה מקדימה של תוכן image פורנזי שעשוי להיות מאוחסן במכונה או בכונן מקומי.
  • מאפשר טעינת image לתצוגה לקריאה בלבד ומאפשר להציג את התוכן המשפטי בדיוק כפי שנראה בכונן המקורי.
  • ייצוא קבצים ותיקיות מ image פורנזי.
  • הצגה ושחזר קבצים שנמחקו מסל המיחזור, אך עדיין לא הוחלפו בכונן.

סוויטות פורנזיות

Autopsy

Autopsy הוא ככל הנראה אחד הכלים הפורנזיים הטובים ביותר הזמינים, ומכיוון שהוא ללא עלות, הוא למעשה תמורה טובה משמעותית ביחס לאחרים. הוא מטפל ב image ב Windows בקלות, כמו גם אנדרואיד, iOS וכמה מבני קבצים יוצאי דופן אחרים.

גם במערכות עם משאבים מוגבלים הוא כלי מהיר וזה מאפשר גישה למבני הדיסק בזמן שהוא עדיין מעבד את אותם נתונים. לאחר השלמת העיבוד, הוא מסווג קטגוריות כמו, דואר, הורדות, קובצי הפעלה ועוד – אלה מסייעים למתחקר/אנליסט לקבל במהירות את המידע הדרוש.

יחד עם ציר הזמן, הפקת הדוחות והיכולת לשלב חיפושי מודיעין בפורמט STIX, הכלי יכול להיות תואם בקלות את היכולות של כלים יקרים.

יתרונות וחסרונות:

  • ניתוח ציר זמן – ממשק גרפי לצפייה באירועים.
  • טיפול ב Hash – האפשרות לסמן בדגל קבצים נדרשים ולהתעלם מקבצים לגיטימיים.
  • חיפוש מילות מפתח – חיפוש מילות מפתח באינדקס כדי למצוא קבצים עם מונחים רלוונטיים.
  • ארטיפקטים מבוססי אינטרנט – אפשר לחלץ היסטוריה וקובצי Cookie מבראוסרים פופלרים.
  • שחזור קבצים שנמחקו משטח לא מוקצה.

כלים למכביר

רשימה של כלים שיכולים לסייע במשימות IR יומיומיות. מאפשר לבצע ניתוח בסיסי של קבצים זדוניים ואפילו לחלץ קוד זדוני מתוך מסמכים.

Zimmerman Tools

Regrippper

Sysinternals

PEStudio

Oletools

Oledump

Volatility3

מערכות הפעלה

גם בקטוגירה הזאת, הכלים יכולים להיות מורכבים ומושפעים מאוד מבחירה והתאמה נדרשת. מומלץ שלצוות תגובה תהיה גישה לפלטפורמות שמבוססות על מערכות הפעלה כמו Windows ולינוקס. זה נותן גמישות כאשר מדובר בהערכת התקפות, תחקור. למשל, ישנם מצבים בהם כדאי לנתח קוד זדוני של Windows על פלטפורמת לינוקס ולהיפך.

Linux Sift

הפצה נוספת של DFIR. למערכת יש את רוב הכלים שצריך – לפחות אלה שרצים על לינוקס. סינון שימושי במיוחד אם צריך לנתח מערכות קבצים חריגות או מבנים שאין להם תמיכה נרחבת. דוגמה טובה כאן היא Linux LVM2 Logical Volume Manager אשר מפצל את מערכת הקבצים על פני מספר דיסקים. רוב הכלים הפורנזיים – אפילו המסחריים היקרים – מתקשים לשחזר אותם.

REMnux

הפצת לינוקס המוקדשת להנדסה לאחור של תוכנות נגועות וניתוח תוכנות זדוניות. בנוסף, ניתן לשים את REMnux על Azure בתצורות שונות. מידע נוסף במאמר הבא.

https://cyberdom.blog/2020/12/16/remnux-on-azure/

FLARE VM

הפצה נוספת היא FLARE VM. הפצה שמבוססת על Windows וזמינה ללא עלות ובקוד פתוח המיועדת לאנליסטים, מגיבים לאירועים ופורנזיקטורים. FLARE VM מספק פלטפורמה מוגדרת במלואה עם אוסף מקיף של כלי אבטחה של Windows כגון מאתר באגים, כלי ניתוח סטטיים ודינמיים, ניתוח ומניפולציה ברשת ורבים אחרים.

לסיכום

כפי שאפשר לראות במאמר, ישנן דרכים חסכוניות לבנות קיט DFIR חזק, ואם מאמצים את הכלים המוזכרים כאן או כלים שהם שווי ערך ברמת יכולות ותקציב, אז בניית מערך DFIR איננו אתגר.

תמיד כדאי לזכור כי מתקפות סייבר יתרחשו במסגרת זמן כזאת או אחרת ותקריות הן בלתי נמנעות.

מאמרי IR בעברית

מאמרי IR בבלוג של Cyberdom

You may also like...