Top 20 des Outils de Criminalistique Informatique les plus Tendances de 2018
- Introduction
- Que sont les outils de criminalistique informatique?
- Quel est le travail d’un enquêteur médico-légal?
- Classification des outils forensiques
- Volatility
- EnCase
- MailXaminer
- FTK
- REGA
- Extracteur en vrac
- Oxygen Forensics
- FireEye RedLine
- Autopsie
- Wireshark
- Bloqueur d’écriture USB
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- En quoi cela profite-t-il à une organisation et à un expert en sécurité informatique ?
- Conclusion
Introduction
Le mot “criminalistique” fait référence aux techniques utilisées par les enquêteurs pour résoudre un crime. Chaque invention a ses avantages et ses inconvénients. Les ordinateurs et les appareils électroniques ont évolué beaucoup plus rapidement et sont utilisés dans les crimes modernes. L’art d’enquêter sur un crime, mené avec ou impliquant des ordinateurs, est appelé criminalistique informatique. Pour être précis, il s’agit de la technique utilisée pour extraire et conserver des preuves des appareils et les présenter ensuite au tribunal. Les ordinateurs sont à la fois une cible et une arme. Les attaquants ont évolué, ils utilisent des systèmes informatiques sophistiqués pour commettre de tels crimes de phishing odieux (Voici une ressource qui vous guidera à travers les attaques de cybersécurité). La cible peut être un système domestique, un réseau d’entreprise ou même tous les ordinateurs auxquels ils peuvent s’y connecter. Avec ce taux croissant de criminalité impliquant des ordinateurs, la collecte de preuves est devenue un élément vital. Cela fait appel à des experts en informatique légale.
Que sont les outils de criminalistique informatique?
Ce sont les outils qui ont été développés par les programmeurs pour faciliter la collecte de preuves numériques. Ces outils ont évolué et peuvent effectuer toutes sortes d’activités – du niveau de base au niveau avancé. Les outils médico-légaux peuvent être classés en fonction de la tâche qu’ils effectuent.
-
Outils de criminalistique en réseau
-
Outils d’analyse de base de données
-
Outils d’analyse de fichiers
-
Outils d’analyse de registre
-
Outils d’analyse des e-mails
-
Outils d’analyse du système d’exploitation
-
Capture de disque et de données
Nous discuterons plus en détail des outils médico-légaux 20 plus loin dans cet article.
Quel est le travail d’un enquêteur médico-légal?
La tâche principale d’un enquêteur médico-légal est de trouver et de préserver les données probantes. Il doit bien connaître les procédures et protocoles à suivre:
Sur les lieux du crime,
-
Collecte et traitement des preuves
Ils recueillent et conservent des preuves matérielles et documentent leurs activités.
En laboratoire,
-
Analyse des preuves
Ils examinent ce qu’ils ont recueilli.
Ils essaient de reconstruire ce qui s’est passé.
Devant les tribunaux
-
Présentation des preuves et rapports
Suivez des normes strictes afin que leur travail soit acceptable pour le tribunal. Ils peuvent être appelés à témoigner de leurs découvertes et de leurs méthodes.
Classification des outils forensiques
Volatility
La volatilité est un framework open source utilisé pour effectuer des analyses forensiques de la mémoire volatile. Il est écrit en Python et prend en charge presque toutes les machines 32 et 64 bits. La liste complète des systèmes pris en charge par volatility se trouve à http://www.volatilityfoundation.org/faq
Il peut effectuer une reconnaissance sur les listes de processus, les ports, les connexions réseau, les fichiers de registre, les DLL, les vidages sur incident et les secteurs mis en cache. Il peut également analyser les fichiers d’hibernation du système et peut également vérifier la présence du kit racine. Vous pouvez télécharger le framework de volatilité à partir de https://code.google.com/archive/p/volatility/downloads
Il est déjà présent dans Linux kali sous la section forensic. Vous trouverez ci-dessous un aperçu de la volatilité.
EnCase
Encase est un outil d’investigation médico-légale polyvalent. Il peut aider les enquêteurs médico-légaux tout au long du cycle de vie de l’enquête:
-
Tri judiciaire : Hiérarchiser les dossiers en fonction de la volatilité de la base de l’enquête et de quelques autres paramètres.
-
Collecte : Collecte de données numériques sans compromettre l’intégrité.
-
Décrypter: Possibilité d’analyser des fichiers de données cryptés en les déchiffrant. Cela se fait en utilisant des mécanismes de récupération de mot de passe.
-
Processus: Aide à indexer les preuves et à automatiser les tâches courantes afin que le temps puisse être consacré à l’enquête plutôt qu’au processus.
-
Enquêter: Il peut effectuer une enquête pour presque tous les systèmes d’exploitation Windows et mobiles.
-
Rapport: Créez un rapport qui servira tous les publics. Le rapport doit avoir des modèles de rapport avec diverses options de format.
L’outil n’est pas gratuit et le prix peut être demandé ici: https://www.guidancesoftware.com/encase-forensic
MailXaminer
Comme son nom l’indique, MailXaminer est utilisé pour effectuer une analyse des e-mails. Il peut examiner les e-mails provenant de clients de messagerie Web et d’applications. Il aide l’enquêteur à collecter des preuves par e-mail, à organiser les preuves, à rechercher les e-mails à l’aide de diverses options avancées telles que Regex. Il a la capacité de détecter et de signaler les pièces jointes d’images obscènes en utilisant l’analyse de la peau. Il peut prendre en charge plus de 20 formats d’e-mail et peut générer le rapport avec des preuves dans le format requis. Cela peut aider à classer l’affaire devant un tribunal.
Ce n’est pas un outil gratuit mais la version d’évaluation peut être téléchargée à partir de: https://www.mailxaminer.com/
Source de l’image: https://lscnetwork.blog
FTK
FTK ou Forensic toolkit est utilisé pour analyser le disque dur et rechercher des preuves. FTK est développé par AccessData et dispose d’un module autonome appelé FTK Imager. Il peut être utilisé pour imager le disque dur, garantissant l’intégrité des données à l’aide du hachage. Il peut imager le disque dur dans un seul fichier pour des fichiers dans plusieurs sections, qui peuvent être joints ultérieurement pour obtenir une image reconstruite. Les enquêteurs peuvent choisir entre l’interface graphique ou la ligne de commande selon la commodité.
Plus d’informations sur FTK sont accessibles à https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA est utilisé pour effectuer l’analyse du registre Windows. La version freeware peut être téléchargée à partir de http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
C’est une application basée sur une interface graphique. L’utilisateur peut créer un cas et charger le registre. Le registre peut être recherché à l’aide de filtres ou manuellement à l’aide d’horodatages. Caractéristiques REGA:
– Collecte de données: Collectez les fichiers de registre cibles pour l’énumération et l’analyse.
– Récupération: Récupérer le registre pour les clés supprimées.
– Analyse:
-
Analyse des fenêtres: Propriétaire, Données d’installation, etc.
-
Analyse du stockage : Comptes présents, commandes d’exécution, analyse de l’historique du navigateur (URL).
-
Analyse de connexion réseau : connexions de lecteur réseau, etc.
-
Analyse des applications : Liste des exécutions automatiques, historique d’utilisation des applications, etc.
-
Gestion SW et HW: Installations logicielles et matérielles, connexions de périphériques de stockage.
– Rapports : Créez des rapports de résultats au format CSV.
L’outil est écrit en C / C++ et est disponible en anglais, coréen et japonais.
Extracteur en vrac
L’extracteur en vrac peut être utilisé pour extraire des informations importantes à partir de fichiers et de disques durs. L’outil peut effectuer une analyse quelle que soit la hiérarchie des fichiers. Bulk Extractor est installé dans Kali Linux, il peut également être installé manuellement sur d’autres systèmes d’exploitation.
Lien vers Git: https://github.com/simsong/bulk_extractor
Bulk extractor crée un répertoire de sortie qui comprend des informations sur les cartes de crédit, les domaines Internet, les e-mails, les adresses MAC, les adresses IP, les images et vidéos, les URL, les numéros de téléphone, les recherches effectuées, etc.
Oxygen Forensics
La suite Oxygen Forensic est utilisée pour recueillir des preuves numériques à partir de téléphones mobiles et de services cloud utilisés sur les téléphones. La suite peut contourner le verrouillage de l’écran Android, obtenir l’historique des emplacements, extraire des données des stockages en nuage, analyser les enregistrements d’appels et de données, rechercher des mots-clés de données, récupérer des données supprimées et exporter des données vers différents formats de fichiers. Il prend en charge diverses plates-formes mobiles, notamment Android, Sony, Blackberry et iPhone.
Il génère des rapports faciles à comprendre pour faciliter la corrélation.
Visitez le site officiel pour plus d’informations: https://www.oxygen-forensic.com/en/
Source d’image: http://www.dataforensics.org
FireEye RedLine
RedLine était à l’origine le produit de Mandiant Organization, repris plus tard par FireEye. Il s’agit d’un outil gratuit qui peut être utilisé pour effectuer une analyse de la mémoire et de l’hôte pour détecter des traces d’infection ou toute activité malveillante.
Il peut être utilisé pour collecter et corréler des informations sur les processus en cours d’exécution, les lecteurs de mémoire, le registre, les métadonnées du système de fichiers, les journaux d’événements, l’historique Web et l’activité du réseau. Il peut présélectionner les processus à l’aide du score de l’indice de risque des logiciels malveillants, puis les étudier plus avant.
En savoir plus ici: https://www.fireeye.com/services/freeware/redline.html
Autopsie
Autopsie est un logiciel médico-légal numérique open source, il est utilisé pour mener des enquêtes sur les disques durs. Il est utilisé par divers organismes d’application de la loi, des enquêteurs militaires et gouvernementaux et des entreprises pour mener des enquêtes numériques. La société propose également un développement et une formation personnalisés pour aider les utilisateurs à tirer pleinement parti de l’outil. Il est présent pour Windows et Linux, et est également préinstallé dans Kali Linux.
La version Windows peut être téléchargée à partir de: https://www.autopsy.com/download/
L’outil est conçu pour la facilité d’utilisation et pour fournir une extensibilité – l’utilisateur peut personnaliser l’outil et peut ajouter de nouvelles fonctionnalités en créant des plug-ins. L’autopsie a maintenant 3 versions et la version 2 s’appuie sur le kit de recherche pour effectuer l’analyse du disque.
De plus amples informations sur le kit de recherche sont disponibles à l’adresse suivante:: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark est utilisé pour capturer et analyser le trafic réseau. Ceci est fait en utilisant libPcap et winPcap qui capture les paquets réseau. Les paquets réseau peuvent ensuite être analysés pour détecter une activité malveillante. L’outil offre la possibilité de filtrer le trafic à l’aide de différents filtres, cela se fait en fonction des protocoles, de la présence de chaînes, etc.
L’outil peut être téléchargé sur: https://www.wireshark.org/download.html
Bloqueur d’écriture USB
Comme son nom l’indique, le bloqueur d’écriture USB est utilisé pour l’enquête médico-légale des lecteurs de stockage. Le maximum qu’il peut analyser est de 2 To. Il s’agit d’un périphérique matériel par opposition au reste des outils en discussion. Il est utilisé pour cloner et analyser le stockage, garantissant l’authenticité des données.
En savoir plus sur le bloqueur d’écriture USB sur: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways est un produit allemand et possède de nombreuses fonctionnalités, il peut être considéré comme un outil exhaustif. L’outil n’utilise pas beaucoup de ressources par rapport aux fonctionnalités qu’il offre. Il peut être utilisé pour l’imagerie et l’analyse de disques, l’analyse de divers formats de disques, la gestion des cas, la vue du registre, l’extraction de métadonnées, etc.
Pour un ensemble complet de fonctionnalités, reportez-vous à: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla est utilisé pour collecter et analyser les informations du navigateur, y compris l’historique du navigateur. L’outil est développé en Python 3.x et est disponible pour Windows et linux. La portée de l’enquête ne se limite pas à l’historique du navigateur, elle inclut également les cookies, les paramètres de proxy, les formulaires Web, les signets, le cache, les modules complémentaires, les mots de passe enregistrés, etc.
ExifTool
ExifTool est utilisé pour collecter et analyser des informations de métadonnées à partir de diverses images, fichiers audio et PDF. Il est disponible en ligne de commande et en version graphique. Exécutez simplement l’application pour Windows et faites glisser & déposer les fichiers à analyser. La liste des formats de fichiers pouvant être analysés avec cet outil est exhaustive. La liste complète est disponible à l’adresse suivante :: https://www.sno.phy.queensu.ca/~phil/exiftool/
L’outil est rapide et de petite taille par rapport aux fonctionnalités fournies.
Source d’image: https://hvdwolf.github.io
Binwalk
Binwalk est utilisé pour rechercher une image binaire de fichiers intégrés dans.code exe. L’outil est capable d’extraire tous les fichiers présents dans le firmware pour effectuer une recherche de chaînes. L’outil est assez puissant lorsqu’il est couplé à divers autres outils, et est un must dans une boîte à outils d’enquêteur médico-légal.
Hashdeep
Hashdeep est utilisé pour générer, faire correspondre et effectuer un audit de hachage. D’autres programmes signaleront si un hachage est apparié ou manqué, mais Hashdeep peut fournir une vue d’ensemble détaillée. Cela peut nous aider à identifier les fichiers correspondants, les fichiers manqués, à trouver les collisions de hachage et divers autres attributs des hachages. Gardez cela avec vous car l’intégrité des fichiers est de la plus haute importance dans ces cas.
Volafox
Volafox est utilisé pour l’analyse de la mémoire MAC OS X. Il peut aider à trouver des extensions de noyau, à collecter des informations sur le noyau, à répertorier les tâches, à détecter les hooks, à répertorier les réseaux, à vider un fichier de la mémoire, à présenter des informations de démarrage et de nombreux autres détails. C’est un must si la cible d’investigation est un MAC OS X.
Chkrootkit
Ce programme est utilisé pour déterminer la présence de rootkits sur un système. Le programme est capable d’identifier la présence de plus de 60 rootkits. Cela sera d’une grande aide pour analyser l’infection par des logiciels malveillants et les cas de compromission du réseau. Les nouveaux rootkits sont écrits pour contourner le mécanisme de détection, mais l’écriture de rootkits est un art difficile à maîtriser.
SIFT
SANS Investigation forensic toolkit est une machine virtuelle préchargée avec les outils nécessaires pour effectuer une analyse médico-légale. Il est parfait pour les débutants, car il économise du temps de recherche, de téléchargement et d’installation d’outils.
Source de l’image: https://www.andreafortuna.org/
CAINE
CAINE est une distribution Linux open source qui a été développée spécifiquement pour la criminalistique numérique. Il dispose d’une interface graphique et d’outils conviviaux. Reportez-vous à ce lien pour un aperçu plus approfondi de CAINE: https://www.caine-live.net/
Source de l’image: https://www.caine-live.net/
En quoi cela profite-t-il à une organisation et à un expert en sécurité informatique ?
Les activités malveillantes se produisent quotidiennement dans les organisations. Quelqu’un a cliqué sur un lien malveillant, installé un logiciel malveillant, visité des sites Web de phishing ou malveillants, etc. Il incombe aux enquêteurs de s’attaquer à la cause profonde du problème et de s’assurer que des contrôles sont en place afin que l’incident ne se reproduise plus. Un incident malveillant peut mettre le réseau d’une entreprise à genoux et une enquête est donc nécessaire. Que se passe-t-il si un employé démissionne d’une entreprise ou est accusé d’une affaire d’espionnage d’entreprise? Dans de tels cas, les organisations ont besoin d’enquêteurs pour effectuer les plongées profondes numériques, pour faire ressortir la vérité.
Il faut du temps et de l’expérience pour devenir un expert en médecine légale. L’enquêteur doit avoir des connaissances critiques sur l’objet à l’étude. Toute erreur dans la collecte ou l’analyse peut avoir un impact sérieux sur l’affaire. L’expert doit prendre un soin extrême pour identifier, préserver et rapporter les preuves. Par conséquent, devenir un expert en médecine légale n’est pas facile, mais beaucoup d’argent ne sont pas payés pour des choses faciles. Il s’agit d’une compétence de niche qui nécessite la compréhension de chaque bit du système et la façon de l’utiliser comme preuve. Il existe également des cours spécialisés dans le domaine, si l’on est intéressé. Certaines entreprises offrent des formations pour leurs produits utilisés dans le monde entier. L’un des produits est Encase. La société offre la certification pour l’enquêteur médico-légal certifié Encase (pensez également à consulter cette parcelle parfaite d’informations pour la certification cissp).
Conclusion
L’article contient certains des outils médico-légaux les plus populaires. Les outils ne sont pas organisés en fonction de la priorité, car ils servent des objectifs différents. Certains sont spécialement conçus pour l’analyse de disque dur, d’autres pour les enquêtes mobiles, etc. Si vous débutez en médecine légale, vous pouvez commencer avec des outils individuels, en plongeant profondément dans chacun d’eux. Vous pouvez également commencer avec la machine virtuelle préconstruite et des distributions comme CAINE afin de gagner du temps et d’en savoir plus. Assurez-vous de relier les informations identifiées à des scénarios réels; par exemple, une infection se propageant via un périphérique de stockage malveillant connecté ou une connexion CNC créée dans les réseaux. Vous pouvez également rechercher plus d’outils médico-légaux et expérimenter. Alors que les criminels progressent à chaque crime; les entreprises développent des outils plus sophistiqués qui peuvent accélérer l’enquête, s’ils sont utilisés par des experts. Le point à noter ici est que, quelle que soit l’avancée de l’outil, il nécessite un œil expert pour identifier la logique et corréler les faits.
Cliquez ici pour démarrer votre carrière en cybersécurité