Автор: Камиль Камалетдинов, младший эксперт по реагированию на инциденты, отдел реагирования и цифровой криминалистики Центра киберустойчивости Angara SOC (Angara Security)"
Forensic Triage (форензик триаж) - это процесс первичной оценки и классификации цифровых данных в рамках цифрового расследования инцидента безопасности. Основная цель - Forensic Triage – определить, какие данные могут быть наиболее важными и релевантными для дальнейшего анализа и расследования, и сосредоточить усилия на них.
Forensic Triage обычно применяется в случаях, когда у инцидента есть большой объем данных, и эксперты по цифровой безопасности или следователи хотят быстро определить, какие артефакты могут быть связаны с инцидентом. В результате этого процесса данные могут быть классифицированы как "важные", "потенциально важные" или "менее важные".
Именно для этого разработаны инструменты класса Forensic Triage Tool, которые позволяют снять полную копию устройства значительно быстрее – от 5 до 30 мин. в зависимости от типа и объема данных, − и содержит в себе достаточное количество данных для расследования инцидента.
При выборе инструментов для Forensic Triage использовались такие критерии:
По этим критериям были выбраны инструменты: Cedarpelta [1], Velociraptor [2], UAC [3], Cat-scale [4]. Работа каждого инструмента из этого списка проверялась в Windows, Linux и macOS.
Инструмент Cedarpelta от BRIMOR Labs широко известен в среде специалистов по компьютерной криминалистике и реагированию на инциденты. Он запускается на всех наиболее известных ОС (Windows, Linux, macOS), работает стабильно (в редких случаях может возникнуть ошибка в процессе запуска или работы), имеет понятный графический интерфейс.
Cedarpelta из коробки собирает самое необходимое. При желании инструмент можно модифицировать, он работает на основе .bat и отдельных утилит.
Cedarpelta часто фигурирует в книгах и пособиях по реагированию на инциденты. Найти инструкции и видео уроки по его использованию не сложно, впрочем и сам по себе инструмент интуитивно понятен.
Стоит отметить, вне зависимости от системы, с которой Cedarpelta собирался, результатом является интуитивно понятная файловая структура: все собранные артефакты имеют информативное наименование, что ускоряет анализ собранных данных.
Из минусов:
Velociraptor не так широко известен в сообществе ИБ-специалистов, как Cedarpelta, но совершенно незаслуженно! Это очень гибкое в использовании решение, работает как в виде клиент-серверной модели, так и как Offline Collector, но об этом чуть позже.
Velociraptor - это кроссплатформенный инструмент с возможностью конфигурирования как встроенной функциональности, так и возможностью создавать свои инструменты на базе Velociraptor. К примеру вытащить из системы определенный файл, проверить его на VirusTotal, или посчитать хэши для определенных файлов, – это лишь малые возможности данной утилиты.
Velocidex создали целое комьюнити для специалистов, в котором можно получить помощь по любым вопросам, связанным с модернизацией и эксплуатацией.
Суть самого Velociraptor в созданном для него языке VQL (Velociraptor Query Language), при помощи которого можно создавать свои запросы и кастомные инструменты.
Общая структура Triage схожа для всех ОС и в целом копирует данные, придерживаясь правил их расположения в системе в удобном виде для загрузки их в Velociraptor для последующего анализа.
К сожалению, должным образом не получится настроить свою собственную структуру собираемых данных, так задумано разработчиком для корректной работы утилиты.
Минусы:
Более простая утилита для снятия Triage, в частности, с систем Linux и macOS, но тем не менее достаточно полезная и удобная в применении. UAC поддерживается разработчиком, и может исполняться на любой UNIX-подобной операционной системой.
UAC можно модифицировать, добавлять в него свои инструменты. Разработчик поддерживает wiki по инструменту со всеми возможными инструкциями:.
Минусы:
Следующий инструмент, который мы рассмотрим, — это Cat-scale. Эта утилита очень удобна в применении и работает на всех основных UNIX-подобных системах.
В целом об этом инструменте известно следующее:
В целом, структура собранного в Linux и в masOS практически не отличается. Единственные минусы данной утилиты – это отсутствие версии для ОС Windows и относительно небольшой выбор собираемых артефактов.
В целом, выбор утилит для сбора криминалистических данных довольно широк и не ограничивается инструментами, описанными в настоящей статье. Но возможности Cedarpelta, Velociraptor, UAC и Cat-scale закрывают большинство базовых задач в нашей практике расследования киберинцидентов.