Security Toolbox Forensics & Analysis Resources 22 - itnett/FTD02H-N GitHub Wiki

Her er en veiledning for å effektivt bruke ulike verktøy og ressurser i en digital forensics-sak. Vi vil gå gjennom en fiktiv case, der en mistenkt malware-infeksjon har påvirket en organisasjons systemer. Guiden viser hvordan du kan velge passende verktøy i forskjellige faser av undersøkelsen, hva du kan forvente å få fra verktøyene, og hvordan du går videre til neste trinn.

🎯 Case: Malware-infeksjon i organisasjonens nettverk

Scenario:

En organisasjon har oppdaget at flere av deres systemer har opplevd unormal aktivitet, inkludert tilkoblinger til mistenkelige eksterne IP-adresser og nedlasting av ukjent programvare. Du er tilkalt som digital forensics-ekspert for å undersøke hva som har skjedd, analysere omfanget av skaden, og identifisere kilden til infeksjonen.

🔍 Trinn 1: Identifisere og samle bevis

I denne fasen ønsker du å samle så mye informasjon som mulig fra de berørte systemene. Dette inkluderer både disk- og minnebevis, nettverksdata, og loggfiler.

Verktøyvalg:

  • Forensics Acquisition:
    • Magnet RAM Capture (for å ta RAM-dumper fra infiserte maskiner).
    • Guymager (for å lage diskavbildninger av berørte systemer).

Handling:

  1. RAM Capture: Bruk Magnet RAM Capture til å ta minnedumper fra de mistenkte maskinene. Dette er viktig for å analysere kjørende prosesser, nettverkstilkoblinger og mulige rootkits som kan skjule seg i minnet.

    • Forventet output: Du får en rå minnedump-fil som kan analyseres videre med memory forensics-verktøy som Volatility eller Rekall.

  2. Disk Imaging: Bruk Guymager for å ta et nøyaktig bilde av harddiskene uten å endre innholdet. Sørg for at du har riktig oppsett for å opprettholde bevisintegriteten.

    • Forventet output: Du får en E01-diskavbildning, som kan analyseres for å hente ut filer, slettede data, eller skjulte partisjoner.

Neste steg: Etter at du har samlet inn RAM og diskavbildninger, kan du begynne å analysere dem for skadelig programvare og se etter sårbarheter.

🔬 Trinn 2: Analyzing Memory (RAM)

Nå skal du analysere minnedumpene for å finne skadelig aktivitet, som kjørende prosesser, nettverkstilkoblinger, og mulig malware i minnet.

Verktøyvalg:

  • Volatility (for minneanalyse).
  • Rekall (alternativt til Volatility for dyp minneanalyse).

Handling:

  1. Process Listing: Kjør Volatility-pluginene pslist og pstree for å identifisere alle prosesser som kjører eller har kjørt på systemet. Se spesielt etter ukjente prosesser eller prosesser som ikke burde kjøre.

    • Forventet output: En prosessliste som kan inneholde skadelig programvare. Hvis en mistenkelig prosess kjører, kan du dykke dypere inn i dens detaljer.

  2. Network Connections: Bruk netscan-pluginen i Volatility for å finne aktive og avsluttede nettverkstilkoblinger. Dette kan hjelpe deg med å identifisere eksterne IP-adresser som systemet har kommunisert med.

    • Forventet output: Liste over IP-adresser og porter som maskinen har kommunisert med, både aktive og lukkede tilkoblinger.

  3. Dumping Malicious Executables: Hvis du finner en mistenkelig prosess, kan du bruke procdump-pluginen til å trekke ut den kjørende binærfilen for videre analyse.

    • Forventet output: Dumpede kjørbare filer som kan analyseres med malware-analyseverktøy.

Neste steg: Etter at du har identifisert mistenkelige prosesser og nettverkstilkoblinger, kan du gå videre til diskanalyse for å finne ut mer om infeksjonsvektorer og vedvarende trusler.

💽 Trinn 3: Diskanalyse

Her ønsker du å undersøke harddiskinnholdet for å finne infeksjonsvektorer, skjulte filer, eller persisterende trusler (som oppstartsskript).

Verktøyvalg:

  • Autopsy (for GUI-basert diskforensics).
  • Sleuth Kit (CLI-basert diskforensics).
  • FTK Imager (for rask filanalyse).

Handling:

  1. Analyze File System: Bruk Autopsy eller Sleuth Kit for å inspisere filsystemet på diskbildet. Se etter modifiserte systemfiler, nylig opprettede filer, eller kjente malware-signaturer.

    • Forventet output: Detaljer om filer og kataloger på systemet. Du kan finne skjulte malware-filer, slettede filer eller tegn på at noen har lastet ned ondsinnede skript.

  2. Search for Known Malware Artifacts: Bruk verktøy som hashlookup til å sammenligne filer med kjente malware-hasher eller bruke YARA-regler for å oppdage ondsinnede filer basert på deres innhold.

    • Forventet output: Liste over filer som matcher kjente malware-signaturer, eller nye ondsinnede filer som må analyseres videre.

Neste steg: Nå som du har kartlagt hva slags malware som er involvert, går du videre til å analysere hvordan den kom inn, og omfanget av skaden.

🌐 Trinn 4: Nettverksanalyse

Nå må du undersøke nettverkstrafikken for å forstå hvordan infeksjonen har spredd seg og om det fortsatt pågår kommunikasjon med en C2-server (Command and Control).

Verktøyvalg:

  • Wireshark (for nettverksprotokollanalyse).
  • Arkime (Moloch) (for full-pakkeanalyse).
  • TShark (CLI-basert nettverksanalyse).

Handling:

  1. Analyze Packet Captures: Bruk Wireshark eller Arkime for å inspisere trafikkdata. Se etter mistenkelige tilkoblinger til IP-adresser, unormal trafikk eller eksfiltrering av data.

    • Forventet output: Du kan finne tegn på kommunikasjon med en C2-server, f.eks. via HTTP, DNS-tunneling eller kryptiserte tilkoblinger.

  2. Reconstruct Sessions: Hvis du mistenker eksfiltrering, rekonstruer nettverkssesjoner for å se hvilken type informasjon som har blitt overført.

    • Forventet output: Fullstendige datastrømmer som kan indikere stjålne filer eller legitimasjon som er sendt ut av nettverket.

Neste steg: Nå som du vet hvordan infeksjonen sprer seg over nettverket, kan du undersøke om noen kontoer er kompromittert.

🔐 Trinn 5: Brukerkontoer og autentisering

Mange malware-infeksjoner innebærer at angripere prøver å kompromittere brukerkontoer for å få videre tilgang. Du må sjekke autentiseringsloggene og eventuelt kompromitterte kontoer.

Verktøyvalg:

  • LogonTracer (for visualisering og analyse av Windows logon-hendelser).
  • LastActivityView (for å se brukerens aktivitetshistorikk på Windows).
  • RegRipper (for å trekke ut data fra Windows-registeret).

Handling:

  1. Investigate Logon Events: Bruk LogonTracer til å visualisere brukerpålogginger, og sjekk om det er ukjente eller mistenkelige pålogginger.

    • Forventet output: Liste over legitime og mistenkelige brukerpålogginger som kan indikere at legitimasjon har blitt stjålet.

  2. Review Registry Data: Bruk RegRipper for å hente ut brukersesjonsdata fra Windows-registeret. Dette kan gi deg innsikt i hva som har skjedd på systemet før, under, og etter infeksjonen.

    • Forventet output: Liste over nylige kjøringer, nettverksinnstillinger og andre data som kan peke mot infeksjonsvektorer.

Neste steg: Etter å ha kartlagt eventuelle kompromitterte kontoer, kan du utarbeide en responsplan for å stoppe infeksjonen.

🛡️ Trinn 6: Incident Response og Oppfølging (fortsatt)

Nå som du har identifisert skadelig programvare, infeksjonsvektorer, og mulig stjålet data, er det på tide å implementere responsplanen og sikre systemene mot videre angrep.

Verktøyvalg:

  • TheHive (for hendelseshåndtering og koordinering av respons).
  • MISP (for deling av malware- og trusselinformasjon).
  • Cortex (for å automatisere og integrere trusselrespons).
  • Velociraptor (for live-overvåking og ytterligere undersøkelse av infiserte enheter).
  • Atomic Red Team (for å simulere trusler og verifisere forsvar).

Handling:

  1. Coordinate Incident Response: Bruk TheHive til å administrere og koordinere hele hendelseshåndteringsprosessen. Dette gir en oversikt over hvilke systemer som er berørt, hvilke tiltak som er implementert, og hvem som er ansvarlig for hvilke oppgaver.

    • Forventet output: Et sentralisert dashboard for hendelser, som kan dele informasjon mellom sikkerhetsteam, ledelse og andre interessenter.

  2. Threat Intelligence Sharing: Bruk MISP til å dele informasjon om det spesifikke malware-tilfellet med relevante sikkerhetspartnere eller andre virksomheter, spesielt hvis det er en bredere trussel mot andre i samme bransje.

    • Forventet output: Deling av IoCs (Indicators of Compromise) som kan hjelpe andre med å detektere eller stoppe liknende angrep.

  3. Automated Response: Bruk Cortex til å automatisere noen av responsprosessene. For eksempel, hvis malware er identifisert på flere maskiner, kan Cortex automatisk isolere dem fra nettverket og kjøre antivirus-skanninger eller andre verktøy for å fjerne truslene.

    • Forventet output: Automatiserte aksjoner som hjelper med å begrense angrepet og forhindre ytterligere infeksjon.

  4. Verify Security Posture: Etter å ha sikret systemene, bruk Atomic Red Team til å simulere trusselscenarier som ligner på det opprinnelige angrepet. Dette lar deg teste om forsvarsmekanismer nå er på plass for å oppdage og stoppe slike angrep i fremtiden.

    • Forventet output: Rapport som verifiserer at organisasjonen nå er bedre rustet til å håndtere slike angrep, og at de nødvendige forsvarsmekanismene fungerer som forventet.

  5. Live Endpoint Monitoring: Implementer Velociraptor for å samle inn data i sanntid fra kritiske endepunkter for å overvåke aktivitet etter at angrepet er stoppet. Dette kan hjelpe med å sikre at ingen vedvarende trusler forblir på systemene.

    • Forventet output: Kontinuerlig overvåking og varsling hvis det oppstår mistenkelig aktivitet, noe som hjelper med tidlig deteksjon av fremtidige trusler.

Neste steg: Etter at hendelsen er håndtert, må du dokumentere den grundig, evaluere hvor godt organisasjonen responderte, og implementere forbedringer i sikkerhetspolitikk og prosedyrer.

📝 Trinn 7: Dokumentasjon og Rapportering

Etter at hendelsen er løst, er det viktig å lage en fullstendig rapport som dokumenterer hele hendelsesforløpet, de tiltakene som ble implementert, og en vurdering av skadeomfanget. Rapporten kan også inneholde forslag til hvordan organisasjonen kan styrke sine sikkerhetsprotokoller fremover.

Verktøyvalg:

  • IRIS (for å samle alle funn og aktiviteter i en hendelseslogg).
  • Incidents (for å lage en trær-struktur av hendelser og trinnvis følge opp etterforskningen).
  • DFIRTrack (for å dokumentere hendelser og lagre historiske data for fremtidige referanser).

Handling:

  1. Create a Full Incident Report: Bruk IRIS til å generere en detaljert rapport som inkluderer alle trinnene som ble tatt under etterforskningen, verktøyene som ble brukt, og de funnene som ble gjort.

    • Forventet output: En ferdig rapport som beskriver angrepet, responsen, og konklusjonene på en slik måte at både tekniske og ikke-tekniske interessenter kan forstå hendelsesforløpet.

  2. Post-Incident Review: Hold et møte med teamet ved hjelp av hendelsesloggen fra Incidents for å gå gjennom hvordan hendelsen ble håndtert og identifisere forbedringsområder.

    • Forventet output: En oppsummering av suksesser og mangler i responsen, med forslag til forbedringer for fremtidige hendelser.

  3. Store and Track Incident Data: Bruk DFIRTrack for å dokumentere alle detaljene om hendelsen, fra infeksjonstidspunkt til avsluttet hendelse. Dette gir organisasjonen et referansepunkt for fremtidige hendelser og gjør det enklere å gjenbruke erfaringene fra denne saken.

    • Forventet output: En detaljert historisk database med hendelser som kan brukes til å analysere mønstre i angrep, se på langsiktige trender, og forbedre sikkerheten.

💡 Konklusjon: Fullføringsprosess og Forbedringer

Ved å følge denne guiden har vi gått gjennom en full hendelsesresponsprosess, fra innsamling av bevis til analyse, identifikasjon av malware, og fjerning av trusselen, samt sikring av systemene for fremtiden. Her er noen viktige lærdommer:

  • Valg av verktøy: Valg av riktig verktøy avhenger av hvilken fase av hendelseshåndteringen du er i, samt hvilken type bevis du trenger. RAM-analyse kan avdekke prosesser og nettverksaktivitet, mens diskforensics kan vise vedvarende trusler.
  • Samarbeid og automatisering: Bruk av plattformer som TheHive og Cortex kan effektivisere og automatisere responser, spesielt i større organisasjoner hvor hendelser må håndteres på tvers av team.
  • Kontinuerlig overvåking: Etter hendelsen er løst, må systemer overvåkes kontinuerlig for å sikre at ingen vedvarende trusler blir værende, og at fremtidige trusler kan oppdages tidlig.

Dette trinn-for-trinn-rammeverket hjelper deg med å håndtere en mistenkt malware-infeksjon effektivt ved å kombinere forskjellige verktøy som dekker alle aspekter av digital forensics og incident response.