Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:pregled_alata_redline [2020/12/30 13:20]
msego [Pokazatelji kompromitiranosti] 		racfor_wiki:pregled_alata_redline [2023/06/19 18:17] (trenutno)
Redak 9: Redak 9:
 ===== Uvod ===== ===== Uvod =====
 Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava: Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:
-  * Element obične listeElement obične listeAnalizu memorije i datoteka +  * Analizu memorije i datoteka 
-  * Element obične listeStvaranje profila za procjenu prijetnji+  * Stvaranje profila za procjenu prijetnji
   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
-  * Element obične listeAnaliza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. +  * Analiza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. 
-  * Element obične listeAnaliza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.+  * Analiza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.
  
 ===== Pokazatelji kompromitiranosti ===== ===== Pokazatelji kompromitiranosti =====
  
-Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisutstvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:+Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:
   * Identificiraju samo napadačevu aktivnost.   * Identificiraju samo napadačevu aktivnost.
   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
Redak 29: Redak 29:
   * Lokaciju izvješća   * Lokaciju izvješća
  
-===== Poglavlje 2 =====+==== Redline Istraga ====
  
-===== Poglavlje 3 =====+Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje: 
 +  * Pregled u tablici s detaljima 
 +  * Korištenje oznaka i komentara 
 +  * Pretraživanje 
 +  * Filtriranje znanog normalnog materijala pomoću prilagodljive liste 
 +  * Filtriranje po vremenu 
 +  * Dohvaćanje procesa 
 +  * Direktno pretraživanje interneta za više informacija 
 +  * Izvoz informacija u CSV datoteku
  
-===== Poglavlje ... =====+ 
 +===== Prikupljanje informacija ===== 
 + 
 +Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacijePrikupljanje informacija se ostvaruje pomoću "Redline Collector-a" kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti. 
 + 
 +Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima: 
 +  * Windows 10 (32/64 bit) 
 +  * Windows 8x (32/64 bit) 
 +  * Windows 7 (32/64 bit) 
 +  * Microsoft Vista (32 bit) 
 +  * Windows XP SP2 (32 bit) 
 +  * Windows Server 2008 R2 (64 bit) 
 +  * Windows Server 2003 R2 (32/64 bit) 
 + 
 +"Redline Collector" kojeg generira alat Redline koji služi za prikupljanje željenih informacija trenutno je podržan na ovim operacijskim sustavima: 
 +  * Windows 10 (32/64 bit) 
 +  * Windows 8.1, Update 1 (32/64 bit) 
 +  * Windows 8 
 +  * (Windows) Server 2019 (64 bit) 
 +  * (Windows) Server 2016 (64 bit) 
 +  * (Windows) Server 2012 R2 (64 bit) 
 +  * (Windows) Server 2012 (32/64 bit) 
 +  * (Windows) Server 2008 R2 (32/64 bit) 
 +  * (OS X) Mavericks 10.9 (64 bit) 
 +  * (OS X) Yosemite 10.10 (64 bit) 
 +  * (OS X) El Captain 10.11 (64 bit) 
 +  * (OS X) Sierra 10.12 (64 bit) 
 +  * (OS X) High Sierra 10.13 (64 bit) 
 +  * (OS X) Mojave  10.14 (64 bit) 
 +  * (Linux) RHEL 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit) 
 +  * (Linux) CentOs 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit) 
 + 
 +Faze prikupljanja informacija su: 
 +  - Stvaranje Redline Collector-a iz alata Redline 
 +  - Prenošenje Redline Collector-a na krajnje računalo koje se želi analizirati. 
 +  - Pokretanje skripte Redline Collector-a. 
 +  - Prenošenje rezultata Redline Collector-a na računalo na kojem je instaliran alat Redline koji će analizirati prezentirati rezultate. 
 + 
 +Kod stvaranja Redline Collector-a sve što je potrebno napraviti je označiti koje informacije se žele prikupiti. Postoji već zadani tipovi koji se mogu odabrati: 
 +  * Standardan – Collector za prikupljanje minimalne količine podataka za završetak jedne analize. 
 +  * Sveobuhvatan – Collector za prikupljanje većine informacija koje Redline može prikupiti i analizirati. Korisno ako se vrši potpuna analiza ili ako postoji samo jedna šansa za prikupljanje podataka s krajnjeg računala. 
 +  * Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a. 
 + 
 +Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima. 
 + 
 +{{ :racfor_wiki:capture.png?400 | Primjer odabiranja podataka o trajnoj memoriji.}} 
 + 
 +==== Mogućnosti prikupljanja informacija ==== 
 + 
 +Redline Collector nudi mogućnost prikupljanja ovih informacija (ovdje su izdvojene najzanimljivije): 
 + 
 +Informacije sustava: 
 +  * BIOS (Windows) 
 +  * Operacijski sustav 
 +  * O korisničkom računu koji je pokrenuo skriptu za prikupljanje 
 + 
 +Mrežni priključci: 
 +  * Naziv 
 +  * DHCP 
 +  * MAC adresa 
 +  * IP informacije 
 +  * IP pristupne točke 
 + 
 +Procesi - informacije o aktivnim procesima u trenutcima prikupljanja: 
 +  * Naziv 
 +  * Roditelj 
 +  * Korisničko ime 
 +  * Putanja 
 +  * Vrijeme pokretanja 
 +  * Proteklo vrijeme 
 +  * Svojstvene informacije procesa (Windows, OS X) 
 +  * Memorijski odlomci (Windows) 
 +  * Tekstualni nizovi (Windows) 
 +  * Povezani mrežni priključci (Windows) 
 +  * Reference na interne objekte (Windows) 
 + 
 +Datoteke i atributi: 
 +  * Metapodaci 
 +  * Sažetci 
 +  * Vremenske oznake 
 +  * Informacije o korisniku 
 +  * Putanja 
 +  * Digitalni potpisi 
 + 
 +Registar (Windows): 
 +  * Informacije o korisniku 
 +  * Vrijednosti ključeva 
 + 
 +Servisi (Windows, OS X) - samo oni poznati računalu: 
 +  * Status 
 +  * Digitalni potpisi 
 +  * Sažetci 
 + 
 +Korisnici (Windows, OS X): 
 +  * Korisničko ime 
 +  * Vrijeme zadnjeg pristupa 
 +  * Pripadajuće grupe 
 +  * Početni direktorij 
 + 
 +Redovni zadaci i atributi: 
 +  * Informacije o zadatku 
 +  * Sažetci datoteka 
 +  * Digitalni potpisi 
 +  * Aplikacije 
 +  * Vremenske informacije 
 +  * Okidači i akcije po zadatku 
 + 
 +Dnevnici događaja: 
 +  * Izvorna aplikacija 
 +  * Poruka 
 +  * Korisnik 
 +  * Vremenska oznaka 
 +  * Tip dnevnika 
 + 
 +Internetski protokoli: 
 +  * DNS 
 +  * ARP 
 +  * Informacije o rutama 
 + 
 +Povijest Internet pretraživača (Windows, OS X): 
 +  * Identifikator poslužitelja 
 +  * URL 
 +  * Naslov stranice 
 +  * Naziv i verzija pretraživača 
 +  * Broj posjeta 
 +  * Prethodna stranica 
 +  * Trenutak prvog i posljednjeg posjeta (Windows) 
 +  * Trenutak obilježavanja stranice 
 + 
 +U alatu Redline kroz ove informacije se može filtrirati po: 
 +  * Preusmjerenim pretraživanjima 
 +  * Prethodnoj stranici 
 +  * Posjećene samo jednom 
 +  * Obilježene i posjećene stranice 
 +  * Ručno upisane adrese 
 +  * Skrivene posjete (posjete koje nisu prikazane korisniku) 
 +  * Formama (sve stranice gdje je korisnik unio podatke) 
 + 
 +Povijest „kolačića“ (engl. Cookie): 
 +  * Naziv kolačića 
 +  * Putanja kolačića 
 +  * Zastavice 
 +  * Naziv računala 
 +  * Verzija pretraživača 
 +  * Profil 
 +  * Korisničko ime 
 +  * Trenutak stvaranja 
 +  * Trenutak isteknuća 
 +  * Zadnji pristup 
 +  * Zadnja promjena 
 +  * Naziv i putanja datoteke 
 + 
 +U alatu Redline kolačiće se može filtrirati po: 
 +  * HTTPS oznaka 
 +  * HTTP oznak 
 +  * Zastavicama 
 + 
 +Povijest formi za unos: 
 +  * Naziv pretraživača 
 +  * Verzija 
 +  * Korisničko ime 
 +  * Profil 
 +  * Vrijednost i naziv polja za unos 
 +  * Tip forme za unos 
 +  * Trenutak stvaranja 
 +  * Trenutak posljednjeg korištenja 
 +  * Tip i enkripcija lozinke 
 +  * Lozinka 
 +  * Broj korištenja 
 + 
 +Alat Redline razlikuje "login" i "normalne" forme. 
 + 
 +Povijest preuzimanja: 
 +  * Izvorni URL 
 +  * Odredišni direktorij 
 +  * Naziv i verzija pretraživača 
 +  * Preuzeti byte-ovi 
 +  * Početni i završni trenutak 
 +  * Tip preuzimanja (Windows) 
 +  * Naziv datoteke 
 +  * Korisničko ime 
 +  * Profil 
 +  * Cache zastavice i broj „pogađanja“ (Windows) 
 +  * Posljednji trenutak pristupanja, provjeravanja i mijenjanja 
 + 
 +Alat Redline preuzimanja može filtrirati: 
 +  * Običan tekst, npr. 'txt' datoteke 
 +  * Slike, npr. '.jpeg', '.png' 
 +  * Audio i video datoteke, npr. '.mp3', '.mp4', '.avi', '.mov' 
 +  * PDF 
 +  * Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik 
 +  * Spremanja na nestandardne lokacije (Windows) 
 +  * Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuvano je kompletno HTTP zaglavlje 
 +  * Veće od 20 kb 
 +  * Nezavršeno 
 + 
 +Povijest najpopularnijih ljuski (Linux) - povijest ljuski, npr. 'bash', 'zsh', alat pregledava standardna mjesta gdje se datoteke s povijesti nalaze. 
 + 
 +Povijest prijava na računalo 
 +  * Trenutno aktivne 
 +  * U prošlosti 
 +  * Neuspjele prijave 
 + 
 + 
 +===== Korištenje ===== 
 + 
 +Redline nudi razne mogućnosti različitog korištenja prilagođenog različitim situacijama. Ovdje ćemo prikazati dva najčešća. 
 + 
 +Prvi slučaj ispituje i provodi istragu nad jednim odredišnim računalom prikazano na slici ispod. Provodi se u nekoliko koraka: 
 +  - Stvaranje Redline Collector-a iz alata Redline 
 +  - Prijenos Redline Collector-a na odredišno računalo 
 +  - Pokretanje Redline Collector-a na odredišnom računalu 
 +  - Prijenos Redline Collector-a na računalo za analizu (s alatom Redline) 
 +  - Uvoz prikupljenih podataka u alat Redline i analiza 
 + 
 +{{ :racfor_wiki:redline_usage1.png?400 |}} 
 + 
 +Drugi slučaj ispituje više računala u organizaciji za koje se sumnja da su bili meta jednog ili više poznatih malicioznih napada. Provodi se u nekoliko koraka: 
 +  - Pronalazak postojećih IOC-a za tu vrstu napada ili stvaranje vlastitog IOC-a 
 +  - Stvaranje Redline IOC Collector-a iz alata Redline s odabranim IOC-ima 
 +  - Prijenos Redline IOC Collector-a na odredišno računalo (za svako odredišno računalo) 
 +  - Pokretanje Redline IOC Collector-a na odredišnom računalu (za svako odredišno računalo) 
 +  - Prijenos svih generiranih revizija Redline IOC Collector-a (sa svakog računala zajedno) na računalo za analizu (s alatom Redline) 
 + 
 +{{ :racfor_wiki:redline_usage2.png?400 |}}
  
 ===== Zaključak ===== ===== Zaključak =====
  
 +Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]] +[1] [[https://www.fireeye.com/services/freeware/redline.html|Redline]]
- +
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]+
  
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]+[2] [[https://www.fireeye.com/content/dam/fireeye-www/services/freeware/ug-redline.pdf|Redline User Guide]]
  
  
racfor_wiki/pregled_alata_redline.1609330827.txt.gz · Zadnja izmjena: 2023/06/19 18:14 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0