Top 20 Trending Computer Forensics Tools of 2018
- Introduzione
- Che cosa sono gli strumenti di computer forensics?
- Qual è il lavoro di un investigatore forense?
- Classificazione degli strumenti forensi
- Volatilità
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- Autopsy
- Wireshark
- USB Write Blocker
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- In che modo beneficia un’organizzazione e un esperto di sicurezza IT?
- Conclusione
Introduzione
La parola “Forensics” si riferisce alle tecniche utilizzate dagli investigatori per risolvere un crimine. Ogni invenzione ha i suoi pro e contro. Computer e dispositivi elettronici si sono evoluti molto più velocemente e vengono utilizzati nei crimini moderni. L’arte di indagare su un crimine, condotto con o coinvolgendo i computer, si chiama computer forensics. Per essere precisi, è la tecnica utilizzata per estrarre e conservare le prove dai dispositivi e successivamente presentarle in tribunale. I computer sono sia un bersaglio che un’arma. Gli aggressori si sono evoluti, stanno usando sofisticati sistemi informatici per commettere tali crimini di phishing atroci (Ecco una risorsa che vi navigare attraverso attacchi di sicurezza informatica). L’obiettivo può essere un sistema domestico, una rete aziendale o anche tutti i computer che possono connettersi ad esso. Con questo crescente tasso di criminalità che coinvolge i computer, la raccolta di prove è diventata una parte vitale. Ciò richiede professionisti esperti di computer forense.
Che cosa sono gli strumenti di computer forensics?
Questi sono gli strumenti che sono stati sviluppati dai programmatori per aiutare la raccolta di prove digitali. Questi strumenti si sono evoluti e possono svolgere tutti i tipi di attività, dal livello base a quello avanzato. Gli strumenti forensi possono essere classificati in base al compito che svolgono.
-
Rete di strumenti per l’analisi Forense
-
Database strumenti di analisi
-
File strumenti di analisi
-
del Registro di sistema di strumenti di analisi
-
Posta elettronica strumenti di analisi
-
OS strumenti di analisi
-
Disco e l’acquisizione di dati
discuteremo di circa 20 strumenti per l’analisi forense in dettaglio più avanti in questo articolo.
Qual è il lavoro di un investigatore forense?
Il compito principale di un investigatore forense è quello di trovare e conservare le prove dei dati. Dovrebbe essere esperto delle procedure e dei protocolli da seguire:
Sulla scena del crimine,
-
Raccolta e trattamento delle prove
Raccolgono e conservano prove fisiche e documentano le loro attività.
In laboratorio,
-
Analisi delle prove
Esaminano ciò che hanno raccolto.
Cercano di ricostruire cosa è successo.
In tribunale
-
Presentazione e rendicontazione delle prove
Seguire standard rigorosi in modo che il loro lavoro è accettabile per la corte. Possono essere chiamati a testimoniare sui loro risultati e metodi.
Classificazione degli strumenti forensi
Volatilità
Volatilità è un framework open source utilizzato per eseguire la memoria forense volatile. È scritto in Python e supporta quasi tutte le macchine a 32 e 64 bit. L’elenco completo dei sistemi supportati da volatility può essere trovato in http://www.volatilityfoundation.org/faq
Può eseguire ricognizioni su elenchi di processi, porte, connessioni di rete, file di registro, DLL, crash dump e settori memorizzati nella cache. Può anche analizzare i file di ibernazione del sistema e può verificare anche la presenza del kit di root. È possibile scaricare il framework di volatilità dahttps://code.google.com/archive/p/volatility/downloads
È già presente in Linux kali sotto la sezione forensic. Di seguito è riportata un’istantanea della volatilità.
.jpg)
EnCase
Encase è uno strumento di indagine forense multiuso. Può aiutare gli investigatori forensi in tutto il ciclo di vita delle indagini:
-
Triage forense: priorità dei file per la volatilità della base investigativa e pochi altri parametri.
-
Collect: Raccolta di dati digitali senza comprometterne l’integrità.
-
Decrypt: Capacità di analizzare i file di dati crittografati decifrandoli. Questo viene fatto utilizzando i meccanismi di recupero della password.
-
Processo: aiuta nell’indicizzazione delle prove e nell’automazione delle attività comuni in modo che il tempo possa essere speso per le indagini piuttosto che per il processo.
-
Investigare: può eseguire indagini per quasi tutti i sistemi operativi Windows e mobile.
-
Report: crea un report che servirà tutto il pubblico. Il report deve disporre di modelli di reporting con varie opzioni di formato.
Lo strumento non è gratuito e il prezzo può essere richiesto qui: https://www.guidancesoftware.com/encase-forensic
MailXaminer
Come suggerisce il nome, MailXaminer viene utilizzato per eseguire l’analisi della posta elettronica. Può esaminare le e-mail da client di posta basati su Web e applicazioni. Aiuta l’investigatore a raccogliere prove e-mail, organizzare le prove, cercare le e-mail utilizzando varie opzioni avanzate come Regex. Ha la capacità di rilevare e segnalare allegati di immagini oscene utilizzando l’analisi skintone. Può supportare oltre 20 formati di posta elettronica e può generare il report con prove nel formato richiesto. Questo può aiutare a chiudere il caso in un tribunale.
Questo non è uno strumento gratuito, ma la versione di valutazione può essere scaricato da: https://www.mailxaminer.com/
Sorgente immagine: https://lscnetwork.blog
FTK
FTK o Forensic toolkit viene utilizzato per eseguire la scansione del disco rigido e cercare prove. FTK è sviluppato da AccessData e ha un modulo standalone chiamato FTK Imager. Può essere utilizzato per l’immagine del disco rigido, garantendo l’integrità dei dati utilizzando l’hashing. Si può immagine del disco rigido in un unico file per i file in più sezioni, che possono essere successivamente uniti per ottenere un’immagine ricostruita. Gli investigatori possono scegliere tra GUI o riga di comando secondo la convenienza.
Ulteriori informazioni su FTK sono accessibili ahttps://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA viene utilizzato per eseguire l’analisi del registro di Windows. La versione freeware può essere scaricata da http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
È un’applicazione basata su GUI. L’utente può creare un caso e caricare il registro. Il registro può essere cercato utilizzando filtri o manualmente utilizzando timestamp. Caratteristiche REGA:
– Raccolta dati: raccogliere i file di registro di destinazione per l’enumerazione e l’analisi.
– Recupero: Recuperare registro di sistema per le chiavi cancellate.
– Analisi:
-
Analisi di Windows: Proprietario, Dati di installazione, ecc.
-
Analisi di archiviazione: account presenti, comandi di esecuzione, analisi della cronologia del browser (URL).
-
Analisi della connessione di rete: connessioni dell’unità di rete, ecc.
-
Analisi delle applicazioni: elenco delle corse automatiche, cronologia di utilizzo delle applicazioni, ecc.
-
Gestione SW e HW: Installazioni software e hardware, connessioni dispositivi di storage.
– Reporting: creare report dei risultati in formati CSV.
Lo strumento è scritto in C/C++ ed è disponibile in inglese, coreano e giapponese.
Bulk Extractor
Bulk extractor può essere utilizzato per estrarre informazioni importanti da file e dischi rigidi. Lo strumento può eseguire una scansione indipendentemente dalla gerarchia dei file. Bulk Extractor viene installato in Kali Linux, può anche essere installato manualmente su altri sistemi operativi.
Collegamento a Git: https://github.com/simsong/bulk_extractor
Bulk extractor crea una directory di output che include informazioni su carta di credito, domini Internet, e-mail, indirizzi MAC, indirizzi IP, immagini e video, URL, numeri di telefono, ricerche eseguite, ecc.
Oxygen Forensics
Oxygen Forensic Suite viene utilizzato per raccogliere prove digitali da telefoni cellulari e servizi cloud utilizzati sui telefoni. La suite può bypassare il blocco dello schermo Android, ottenere la cronologia delle posizioni, estrarre i dati dagli archivi cloud, analizzare i record di chiamate e dati, cercare le parole chiave dei dati, recuperare i dati cancellati ed esportare i dati in vari formati di file. Supporta varie piattaforme mobili tra cui Android, Sony, Blackberry e iPhone.
Genera report di facile comprensione per una più facile correlazione.
Visita il sito ufficiale per maggiori informazioni: https://www.oxygen-forensic.com/en/
Fonte di immagine: http://www.dataforensics.org
FireEye RedLine
RedLine era originariamente il prodotto dell’organizzazione Mandiant, in seguito rilevata da FireEye. Questo è uno strumento freeware che può essere utilizzato per eseguire la memoria e l’analisi host per tracce di infezione, o qualsiasi attività dannosa.
Può essere utilizzato per raccogliere e correlare informazioni sui processi in esecuzione, unità di memoria, registro, metadati del file system, registri eventi, cronologia Web e attività di rete. Può selezionare i processi che utilizzano il punteggio dell’indice di rischio malware e quindi analizzarli ulteriormente.
Leggi di più qui: https://www.fireeye.com/services/freeware/redline.html
Autopsy
Autopsy è un software forense digitale open source, viene utilizzato per condurre indagini sul disco rigido. Viene utilizzato da varie forze dell’ordine, militari e governativi e investigatori aziendali per condurre indagini digitali. L’azienda fornisce anche sviluppo personalizzato e formazione per aiutare gli utenti a sfruttare appieno lo strumento. È presente sia per Windows che per Linux, ed è preinstallato anche in Kali Linux.
La versione di Windows può essere scaricata da: https://www.autopsy.com/download/
Lo strumento è costruito per la facilità d’uso e per fornire estensibilità – l’utente può personalizzare lo strumento, ed è in grado di aggiungere nuove funzionalità con la creazione di plug-in. Autopsy ha 3 versioni a partire da ora e la versione 2 si basa sul Kit Sleuth per eseguire l’analisi del disco.
Ulteriori informazioni sul kit Sleuth sono disponibili all’indirizzo: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark viene utilizzato per acquisire e analizzare il traffico di rete. Questo viene fatto usando libPcap e WinPcap che catturano i pacchetti di rete. I pacchetti di rete possono quindi essere analizzati per attività dannose. Lo strumento offre la possibilità di filtrare il traffico utilizzando vari filtri, è fatto in base a protocolli, presenza di stringhe, ecc.
Lo strumento può essere scaricato a: https://www.wireshark.org/download.html
USB Write Blocker
Come suggerisce il nome, USB write blocker viene utilizzato per l’indagine forense delle unità di archiviazione. Il massimo che può analizzare è 2TB. Si tratta di un dispositivo hardware in contrasto con il resto degli strumenti che vengono discussi. Viene utilizzato per clonare e analizzare lo storage, garantendo l’autenticità dei dati.
Per saperne di più su USB write blocker a: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways è un prodotto tedesco e ha molte caratteristiche, può essere considerato uno strumento esaustivo. Lo strumento non utilizza molte risorse rispetto alle caratteristiche che offre. Può essere utilizzato per-imaging e analisi del disco, analisi di vari formati di disco, gestione dei casi, visualizzazione del registro, estrazione dei metadati, ecc.
Per set completo di funzionalità fare riferimento: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla viene utilizzato per raccogliere e analizzare le informazioni del browser, compresa la cronologia del browser. Lo strumento è sviluppato in Python 3.x ed è disponibile sia per Windows e Linux. Lo scopo dell’indagine non è limitato alla cronologia del browser, ma include anche cookie, impostazioni proxy, moduli Web, segnalibri, cache, componenti aggiuntivi, password salvate, ecc.
ExifTool
ExifTool viene utilizzato per raccogliere e analizzare le informazioni sui metadati da varie immagini, file audio e PDF. È disponibile sia nella riga di comando che nelle versioni GUI. Basta eseguire l’applicazione per Windows e trascinare & rilasciare i file che devono essere analizzati. L’elenco dei formati di file che possono essere analizzati con questo strumento è esaustivo. L’elenco completo è disponibile all’indirizzo: https://www.sno.phy.queensu.ca/~phil/exiftool/
Lo strumento è veloce e di piccole dimensioni rispetto alla funzionalità fornita.
Sorgente immagine: https://hvdwolf.github.io
Binwalk
Binwalk viene utilizzato per la ricerca di un’immagine binaria di file incorporati in .codice exe. Lo strumento è in grado di estrarre tutti i file presenti nel firmware per eseguire una ricerca di stringhe. Lo strumento è abbastanza potente quando accoppiato con vari altri strumenti, ed è un must in un toolkit investigatore forense.
Hashdeep
Hashdeep viene utilizzato per generare, abbinare ed eseguire il controllo hash. Altri programmi segnaleranno se un hash è abbinato o perso, ma Hashdeep può fornire una visione dettagliata del quadro generale. Può aiutarci a identificare i file abbinati, i file persi, trovare collisioni hash e vari altri attributi degli hash. Tenere questo con voi come integrità dei file è della massima importanza in questi casi.
Volafox
Volafox viene utilizzato per l’analisi della memoria di MAC OS X. Può aiutare a trovare estensioni del kernel, raccogliere informazioni sul kernel, elenco delle attività, rilevare ganci, elenco di rete, scaricare un file dalla memoria, presentare informazioni di avvio e molti altri dettagli. Questo è un must se l’obiettivo di indagine è un MAC OS X.
Chkrootkit
Questo programma viene utilizzato per determinare la presenza di rootkit su un sistema. Il programma è in grado di identificare la presenza di più di 60 rootkit. Questo sarà di grande aiuto per analizzare l’infezione da malware e casi di compromissione della rete. Nuovi rootkit sono scritti per bypassare il meccanismo di rilevamento, ma la scrittura rootkit è un’arte che è difficile da padroneggiare.
SIFT
SANS Investigation forensic toolkit è una VM precaricata con gli strumenti necessari per eseguire analisi forensi. E ‘ perfetto per i principianti, in quanto consente di risparmiare – strumento di ricerca, il download e il tempo di installazione.
Sorgente immagine: https://www.andreafortuna.org/
CAINE
CAINE è una distribuzione Linux open source che è stata sviluppata specificamente per la digital forensics. Ha un’interfaccia grafica user-friendly e strumenti. Fare riferimento a questo link per una visione più approfondita di CAINE: https://www.caine-live.net/
Fonte immagine: https://www.caine-live.net/
In che modo beneficia un’organizzazione e un esperto di sicurezza IT?
Le attività dannose avvengono quotidianamente nelle organizzazioni. Qualcuno ha fatto clic su un link dannoso, ha installato un software dannoso, ha visitato siti Web di phishing o dannosi,ecc. È responsabilità degli investigatori arrivare alla causa principale del problema e garantire che i controlli siano in atto in modo che l’incidente non si ripeta. Un incidente di malware può mettere in ginocchio la rete di un’azienda e quindi è necessaria un’indagine. Che cosa succede se un dipendente si dimette da una società o è accusato di caso di spionaggio aziendale. In questi casi, le organizzazioni hanno bisogno di investigatori per eseguire le immersioni profonde digitali, per far emergere la verità.
Ci vuole tempo ed esperienza per diventare un esperto in medicina legale. L’investigatore dovrebbe avere conoscenze critiche sull’oggetto oggetto di indagine. Qualsiasi mancanza nella raccolta o nell’analisi può avere un impatto serio sul caso. L’esperto deve prestare estrema attenzione nell’identificare, conservare e riferire le prove. Quindi, diventare un esperto in medicina legale non è facile, ma un sacco di soldi non vengono pagati per cose facili. Questa è un’abilità di nicchia che richiede la comprensione di ogni bit del sistema e come usarlo come prova. Ci sono corsi specializzati nel campo pure, se uno è interessato. Alcune aziende stanno offrendo formazione per i loro prodotti utilizzati in tutto il mondo. Uno dei prodotti è Encase. L’azienda offre la certificazione per Encase certified Forensic Investigator (considerare anche il check-out questo pacchetto perfetto di informazioni per la certificazione cissp).
Conclusione
L’articolo contiene alcuni degli strumenti forensi popolari. Gli strumenti non sono disposti rispetto alla priorità, in quanto servono a scopi diversi. Alcuni sono specificamente progettati per l’analisi del disco rigido, alcuni per indagini mobili e così via. Nel caso in cui si è nuovi forensics si può iniziare con i singoli strumenti, prendendo un tuffo in profondità in ciascuno di essi. Si può anche iniziare con la VM pre-costruito e distribuzioni come CAINE in modo da poter risparmiare tempo e saperne di più. Assicurati di mettere in relazione le informazioni identificate con scenari del mondo reale; ad esempio, l’infezione si diffonde tramite un dispositivo di archiviazione dannoso collegato o una connessione CNC creata nelle reti. Si può anche cercare più strumenti forensi e sperimentare. Come criminali sono sempre avanzati con ogni crimine; le aziende stanno sviluppando strumenti più sofisticati che possono accelerare le indagini, se utilizzati da esperti. Il punto da notare qui è che, non importa quanto avanzato lo strumento diventa, richiede un occhio esperto per identificare la logica e correlare i fatti.
Clicca qui per avviare la tua carriera di CyberSecurity
