Обзор утилит для создания Forensic Triage: особенности и возможности

Цифровая криминалистика, или форензика – это востребованное направление в расследовании инцидентов. Основа цифровой криминалистики – это работа с данными, полученными в результате их сбора с конечного устройства, на котором возникли те или иные события. В данных нужно разобраться, установить все возможные на момент инцидента обстоятельства, произошедшей кибератаки и последствия, к которым она привела. Рассмотрим, с помощью, каких инструментов работают компьютерные криминалисты.

Автор: Камиль Камалетдинов, младший эксперт по реагированию на инциденты, отдел реагирования и цифровой криминалистики Центра киберустойчивости Angara SOC (Angara Security)"

Что такое Forensic Triage?

Forensic Triage (форензик триаж) - это процесс первичной оценки и классификации цифровых данных в рамках цифрового расследования инцидента безопасности. Основная цель - Forensic Triage – определить, какие данные могут быть наиболее важными и релевантными для дальнейшего анализа и расследования, и сосредоточить усилия на них.

Forensic Triage обычно применяется в случаях, когда у инцидента есть большой объем данных, и эксперты по цифровой безопасности или следователи хотят быстро определить, какие артефакты могут быть связаны с инцидентом. В результате этого процесса данные могут быть классифицированы как "важные", "потенциально важные" или "менее важные".

Именно для этого разработаны инструменты класса Forensic Triage Tool, которые позволяют снять полную копию устройства значительно быстрее – от 5 до 30 мин. в зависимости от типа и объема данных, − и содержит в себе достаточное количество данных для расследования инцидента.

При выборе инструментов для Forensic Triage использовались такие критерии:

• инструмент должен работать на разных операционных системах (Windows, Linux, macOS);
• инструмент не должен требовать полноценной установки на конечное устройство;
• инструмент должен быть удобен для хранения и перемещения на конченые устройства и не занимать много памяти;
• инструмент должен позволять конфигурирование и модификацию;
• необходима поддержка со стороны разработчиков и популярность в среде специалистов.

По этим критериям были выбраны инструменты: Cedarpelta [1], Velociraptor [2], UAC [3], Cat-scale [4]. Работа каждого инструмента из этого списка проверялась в Windows, Linux и macOS.

Cedarpelta от BRIMOR Labs

Инструмент Cedarpelta от BRIMOR Labs широко известен в среде специалистов по компьютерной криминалистике и реагированию на инциденты. Он запускается на всех наиболее известных ОС (Windows, Linux, macOS), работает стабильно (в редких случаях может возникнуть ошибка в процессе запуска или работы), имеет понятный графический интерфейс.

Cedarpelta из коробки собирает самое необходимое. При желании инструмент можно модифицировать, он работает на основе .bat и отдельных утилит.

Cedarpelta часто фигурирует в книгах и пособиях по реагированию на инциденты. Найти инструкции и видео уроки по его использованию не сложно, впрочем и сам по себе инструмент интуитивно понятен.

Стоит отметить, вне зависимости от системы, с которой Cedarpelta собирался, результатом является интуитивно понятная файловая структура: все собранные артефакты имеют информативное наименование, что ускоряет анализ собранных данных.

Из минусов:

1. Небольшое количество собираемых артефактов.
2. Добавить новые инструменты в Cedarpelta возможно, но требует значительныз временных затрат.
3. Отсутствует возможность выбора отдельных артефактов для сбора.
4. Скорость работы чуть больше чем у остальных утилит (собирает много хэшей)

Velociraptor от Velocidex

Velociraptor не так широко известен в сообществе ИБ-специалистов, как Cedarpelta, но совершенно незаслуженно! Это очень гибкое в использовании решение, работает как в виде клиент-серверной модели, так и как Offline Collector, но об этом чуть позже.

Velociraptor - это кроссплатформенный инструмент с возможностью конфигурирования как встроенной функциональности, так и возможностью создавать свои инструменты на базе Velociraptor. К примеру вытащить из системы определенный файл, проверить его на VirusTotal, или посчитать хэши для определенных файлов, – это лишь малые возможности данной утилиты.

Velocidex создали целое комьюнити для специалистов, в котором можно получить помощь по любым вопросам, связанным с модернизацией и эксплуатацией.

Суть самого Velociraptor в созданном для него языке VQL (Velociraptor Query Language), при помощи которого можно создавать свои запросы и кастомные инструменты.

Общая структура Triage схожа для всех ОС и в целом копирует данные, придерживаясь правил их расположения в системе в удобном виде для загрузки их в Velociraptor для последующего анализа.

К сожалению, должным образом не получится настроить свою собственную структуру собираемых данных, так задумано разработчиком для корректной работы утилиты.

Минусы:

1. Неудобная структура собираемых данных.
2. Есть ограничения для более старых ОС, может не запуститься Offline Collector.
3. Triage чаще всего имеет большой размер, требуется много места (в зависимости от того, как сделан Offline Collector.
4. Если система работает некорректно, имеет поврежденный жесткий диск, то архив, в который создан Triage, может оказаться поврежденным при сборке (очень редко).

UAC (Linux и macOS)

Более простая утилита для снятия Triage, в частности, с систем Linux и macOS, но тем не менее достаточно полезная и удобная в применении. UAC поддерживается разработчиком, и может исполняться на любой UNIX-подобной операционной системой.

UAC можно модифицировать, добавлять в него свои инструменты. Разработчик поддерживает wiki по инструменту со всеми возможными инструкциями:.

Минусы:

1. Нет инструмента для Windows.
2. Небольшое количество собираемых артефактов из коробки.

Cat-scale от WithSecure Labs (Linux, macOS)

Следующий инструмент, который мы рассмотрим, — это Cat-scale. Эта утилита очень удобна в применении и работает на всех основных UNIX-подобных системах.

В целом об этом инструменте известно следующее:

1. Он разработан на bash и использует внутренние системные инструменты, которые помогают собрать нужную нам информацию из системы.
2. Поддерживается разработчиком и имеет возможность модификации.
3. Очень прост в эксплуатации и чем-то схож с UAC.

В целом, структура собранного в Linux и в masOS практически не отличается. Единственные минусы данной утилиты – это отсутствие версии для ОС Windows и относительно небольшой выбор собираемых артефактов.

Заключение

В целом, выбор утилит для сбора криминалистических данных довольно широк и не ограничивается инструментами, описанными в настоящей статье. Но возможности Cedarpelta, Velociraptor, UAC и Cat-scale закрывают большинство базовых задач в нашей практике расследования киберинцидентов.

1. https://www.brimorlabsblog.com/2019/04/live-response-collection-cedarpelta.html
2. https://docs.velociraptor.app/
3. https://tclahr.github.io/uac-docs/
4. https://labs.withsecure.com/tools/cat-scale-linux-incident-response-collection