Контакты
Подписка 2025
Статьи по информационной безопасности

Обзор утилит для создания Forensic Triage: особенности и возможности

Камиль Камалетдинов, 29/08/23

Цифровая криминалистика, или форензика – это востребованное направление в расследовании инцидентов. Основа цифровой криминалистики – это работа с данными, полученными в результате их сбора с конечного устройства, на котором возникли те или иные события. В данных нужно разобраться, установить все возможные на момент инцидента обстоятельства, произошедшей кибератаки и последствия, к которым она привела. Рассмотрим, с помощью, каких инструментов работают компьютерные криминалисты.

Автор: Камиль Камалетдинов, младший эксперт по реагированию на инциденты, отдел реагирования и цифровой криминалистики Центра киберустойчивости Angara SOC (Angara Security)"

Что такое Forensic Triage?

Forensic Triage (форензик триаж) - это процесс первичной оценки и классификации цифровых данных в рамках цифрового расследования инцидента безопасности. Основная цель - Forensic Triage – определить, какие данные могут быть наиболее важными и релевантными для дальнейшего анализа и расследования, и сосредоточить усилия на них.

Forensic Triage обычно применяется в случаях, когда у инцидента есть большой объем данных, и эксперты по цифровой безопасности или следователи хотят быстро определить, какие артефакты могут быть связаны с инцидентом. В результате этого процесса данные могут быть классифицированы как "важные", "потенциально важные" или "менее важные".

Именно для этого разработаны инструменты класса Forensic Triage Tool, которые позволяют снять полную копию устройства значительно быстрее – от 5 до 30 мин. в зависимости от типа и объема данных, − и содержит в себе достаточное количество данных для расследования инцидента.

ris20)

При выборе инструментов для Forensic Triage использовались такие критерии:

  • инструмент должен работать на разных операционных системах (Windows, Linux, macOS);
  • инструмент не должен требовать полноценной установки на конечное устройство;
  • инструмент должен быть удобен для хранения и перемещения на конченые устройства и не занимать много памяти;
  • инструмент должен позволять конфигурирование и модификацию;
  • необходима поддержка со стороны разработчиков и популярность в среде специалистов.

По этим критериям были выбраны инструменты: Cedarpelta [1], Velociraptor [2], UAC [3], Cat-scale [4]. Работа каждого инструмента из этого списка проверялась в Windows, Linux и macOS.

Cedarpelta от BRIMOR Labs

Инструмент Cedarpelta от BRIMOR Labs широко известен в среде специалистов по компьютерной криминалистике и реагированию на инциденты. Он запускается на всех наиболее известных ОС (Windows, Linux, macOS), работает стабильно (в редких случаях может возникнуть ошибка в процессе запуска или работы), имеет понятный графический интерфейс.

Cedarpelta из коробки собирает самое необходимое. При желании инструмент можно модифицировать, он работает на основе .bat и отдельных утилит.

Cedarpelta часто фигурирует в книгах и пособиях по реагированию на инциденты. Найти инструкции и видео уроки по его использованию не сложно, впрочем и сам по себе инструмент интуитивно понятен.

Стоит отметить, вне зависимости от системы, с которой Cedarpelta собирался, результатом является интуитивно понятная файловая структура: все собранные артефакты имеют информативное наименование, что ускоряет анализ собранных данных.

Из минусов:

  1. Небольшое количество собираемых артефактов.
  2. Добавить новые инструменты в Cedarpelta возможно, но требует значительныз временных затрат.
  3. Отсутствует возможность выбора отдельных артефактов для сбора.
  4. Скорость работы чуть больше чем у остальных утилит (собирает много хэшей)

Velociraptor от Velocidex

Velociraptor не так широко известен в сообществе ИБ-специалистов, как Cedarpelta, но совершенно незаслуженно! Это очень гибкое в использовании решение, работает как в виде клиент-серверной модели, так и как Offline Collector, но об этом чуть позже.

Velociraptor - это кроссплатформенный инструмент с возможностью конфигурирования как встроенной функциональности, так и возможностью создавать свои инструменты на базе Velociraptor. К примеру вытащить из системы определенный файл, проверить его на VirusTotal, или посчитать хэши для определенных файлов, – это лишь малые возможности данной утилиты.

Velocidex создали целое комьюнити для специалистов, в котором можно получить помощь по любым вопросам, связанным с модернизацией и эксплуатацией.

Суть самого Velociraptor в созданном для него языке VQL (Velociraptor Query Language), при помощи которого можно создавать свои запросы и кастомные инструменты.

Общая структура Triage схожа для всех ОС и в целом копирует данные, придерживаясь правил их расположения в системе в удобном виде для загрузки их в Velociraptor для последующего анализа.

К сожалению, должным образом не получится настроить свою собственную структуру собираемых данных, так задумано разработчиком для корректной работы утилиты.

Минусы:

  1. Неудобная структура собираемых данных.
  2. Есть ограничения для более старых ОС, может не запуститься Offline Collector.
  3. Triage чаще всего имеет большой размер, требуется много места (в зависимости от того, как сделан Offline Collector.
  4. Если система работает некорректно, имеет поврежденный жесткий диск, то архив, в который создан Triage, может оказаться поврежденным при сборке (очень редко).

UAC (Linux и macOS)

Более простая утилита для снятия Triage, в частности, с систем Linux и macOS, но тем не менее достаточно полезная и удобная в применении. UAC поддерживается разработчиком, и может исполняться на любой UNIX-подобной операционной системой.

UAC можно модифицировать, добавлять в него свои инструменты. Разработчик поддерживает wiki по инструменту со всеми возможными инструкциями:.

Минусы:

  1. Нет инструмента для Windows.
  2. Небольшое количество собираемых артефактов из коробки.

Cat-scale от WithSecure Labs (Linux, macOS)

Следующий инструмент, который мы рассмотрим, — это Cat-scale. Эта утилита очень удобна в применении и работает на всех основных UNIX-подобных системах.

В целом об этом инструменте известно следующее:

  1. Он разработан на bash и использует внутренние системные инструменты, которые помогают собрать нужную нам информацию из системы.
  2. Поддерживается разработчиком и имеет возможность модификации.
  3. Очень прост в эксплуатации и чем-то схож с UAC.

В целом, структура собранного в Linux и в masOS практически не отличается. Единственные минусы данной утилиты – это отсутствие версии для ОС Windows и относительно небольшой выбор собираемых артефактов.

Заключение

В целом, выбор утилит для сбора криминалистических данных довольно широк и не ограничивается инструментами, описанными в настоящей статье. Но возможности Cedarpelta, Velociraptor, UAC и Cat-scale закрывают большинство базовых задач в нашей практике расследования киберинцидентов.

  1. https://www.brimorlabsblog.com/2019/04/live-response-collection-cedarpelta.html
  2. https://docs.velociraptor.app/
  3. https://tclahr.github.io/uac-docs/
  4. https://labs.withsecure.com/tools/cat-scale-linux-incident-response-collection
Темы:Компании

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Finternet: перезагрузка финансовой системы
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Мир современных финансов стремительно меняется под влиянием технологического прогресса. Одним из самых революционных явлений стало появление концепции Finternet, объединяющей финансовую сферу и цифровые технологии. Это не просто эволюция традиционных финансовых систем, а их полное преобразование, позволяющее осуществлять банковские операции, инвестировать, кредитовать и страховать риски в цифровой среде без посредников и территориальных границ.
  • Куда российским компаниям мигрировать с Active Directory?
    Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Security Vision TIP и Anomali: какая система контроля подойдет лучше
    Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон
    Рассмотрим подходы к реализации Threat Intelligence Platform от зарубежного вендора Anomali и отечественного Security Vision, чтобы сравнить набор функциональности, способы и подходы к реализации сбора и анализа угроз

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"