Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:forenzicki_alat_kape [2024/12/28 12:02]
Petrović Petra [Prednosti i ograničenja KAPE-a] 		racfor_wiki:seminari2024:forenzicki_alat_kape [2025/01/18 13:56] (trenutno)
Petrović Petra [Video prezentacija]
Redak 3: Redak 3:
 ==== Sažetak ==== ==== Sažetak ====
  
 +U ovom radu predstavljena je funkcionalnost i praktična primjena alata KAPE, jednog od najbržih i najučinkovitijih forenzičkih alata za inicijalno prikupljanje i analizu digitalnih tragova. Prikazana je njegova modularna struktura temeljena na targets i modules, čime se olakšava brza prilagodba prema specifičnim potrebama istrage. Posebno su istaknute njegove glavne prednosti, poput fleksibilnosti i brzine, kao i potencijalna ograničenja, poput primarne orijentacije na Windows okruženje i potrebe za tehničkim znanjem. Usporedba s alatima kao što su Autopsy, EnCase i X-Ways Forensics pokazala je da je KAPE optimalan u ranim fazama istrage i “triage” zadacima, dok su drugi alati prikladniji za dublju i sveobuhvatniju analizu. Kroz konkretne scenarije korištenja, naglašena je važnost očuvanja integriteta dokaza i brzine reakcije u slučajevima kao što su ransomware napadi, krađa intelektualnog vlasništva i druge forenzičke istrage.
  
  
Redak 8: Redak 9:
  
  
 +==== Video prezentacija ==== 
 +Link na video prezentaciju: https://ferhr-my.sharepoint.com/:v:/g/personal/pp53564_fer_hr/EWH4TzoDP71DiWsCHHMX3KEBGz2kCwuEbjjC8OtZ7ZZuKA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=MOPj8R
  
  
Redak 14: Redak 16:
  
 S obzirom na sve veće izazove u području računalne forenzike, postoji potreba za alatima koji omogućuju brzu i učinkovitu analizu velikih količina podataka. **KAPE** (Kroll Artifact Parser and Extractor), kao besplatan alat razvijen za digitalne forenzičke i incidentne odgovore (DFIR), pruža istražiteljima mogućnost da brzo prikupe i analiziraju ključne artefakte. Njegova upotreba obuhvaća ciljano prikupljanje podataka i obradu pomoću predefiniranih modula i ciljeva, omogućujući korisnicima svih razina stručnosti da brzo i precizno identificiraju ključne dokaze. S obzirom na sve veće izazove u području računalne forenzike, postoji potreba za alatima koji omogućuju brzu i učinkovitu analizu velikih količina podataka. **KAPE** (Kroll Artifact Parser and Extractor), kao besplatan alat razvijen za digitalne forenzičke i incidentne odgovore (DFIR), pruža istražiteljima mogućnost da brzo prikupe i analiziraju ključne artefakte. Njegova upotreba obuhvaća ciljano prikupljanje podataka i obradu pomoću predefiniranih modula i ciljeva, omogućujući korisnicima svih razina stručnosti da brzo i precizno identificiraju ključne dokaze.
 +
 +KAPE se prvenstveno odnosi na stručnjake u području digitalne forenzike i incident response timove. Međutim, mogu ga koristiti i sigurnosni analitičari, sistem administratori ili bilo tko tko želi brzo i učinkovito prikupiti ključne digitalne dokaze.
  
 Osnovni cilj ovog rada je analizirati kako KAPE funkcionira, koje su njegove tehničke značajke, kako se uspoređuje s drugim forenzičkim alatima te kako se koristi u praksi. Osnovni cilj ovog rada je analizirati kako KAPE funkcionira, koje su njegove tehničke značajke, kako se uspoređuje s drugim forenzičkim alatima te kako se koristi u praksi.
Redak 51: Redak 55:
  
 Grupiranjem dokaza prema kategorijama, istražitelji svih razina stručnosti imaju mogućnost otkriti relevantne informacije, bez obzira na izvor pojedinačnog artefakta. Drugim riječima, istražitelj više ne mora znati kako obraditi datoteke poput prefetch, shimcache, amcache ili userassist, koje se odnose na dokaze o izvršenju aplikacija. Na kraju, širi raspon artefakata može se koristiti za bilo koju specifičnu potrebu. Grupiranjem dokaza prema kategorijama, istražitelji svih razina stručnosti imaju mogućnost otkriti relevantne informacije, bez obzira na izvor pojedinačnog artefakta. Drugim riječima, istražitelj više ne mora znati kako obraditi datoteke poput prefetch, shimcache, amcache ili userassist, koje se odnose na dokaze o izvršenju aplikacija. Na kraju, širi raspon artefakata može se koristiti za bilo koju specifičnu potrebu.
 +
 +Proces započinje identifikacijom izvora podataka, kao što su aktivni sustavi, montirane slike diska ili mrežni resursi (F-Response). Cilj je prikupiti ključne artefakte bez utjecaja na originalne podatke. Kroz postavke ciljeva (targets), alat određuje što će se prikupljati. To uključuje logove događaja, registry zapise, povijest pregledavanja i druge relevantne podatke. Prikupljeni artefakti spremaju se na sigurno odredište, poput vanjskog diska ili mrežne lokacije, uz očuvanje izvornih vremenskih oznaka i metapodataka.
 +Nakon prikupljanja, moduli se koriste za daljnju obradu podataka, poput analize povijesti pregledavanja ili događaja vezanih uz sigurnost. Rezultati obrade organizirani su u strukturirane kategorije, poput EvidenceOfExecution, BrowserHistory i AccountUsage, omogućujući brzu analizu.
  
 Na kraju, cijeli proces izgleda ovako: Na kraju, cijeli proces izgleda ovako:
Redak 108: Redak 115:
 ==== Prednosti i ograničenja KAPE-a ==== ==== Prednosti i ograničenja KAPE-a ====
  
-**Prednosti KAPE alata**+**Prednosti KAPE alata**\\
 Jedna od glavnih prednosti KAPE-a je njegova sposobnost brzog prikupljanja i analize ključnih digitalnih dokaza. Osim brzine, KAPE se ističe i svojom fleksibilnošću i modularnošću. Alat koristi targets i modules  koji su prilagodljivi prema specifičnim potrebama istrage. Ovo omogućava istražiteljima veliku razinu prilagodbe. KAPE je također vrlo učinkovit u situacijama koje zahtijevaju brzu reakciju, poput ransomware napada ili drugih hitnih istraga. U takvim slučajevima omogućuje brz uvid u ključne tragove, čime se značajno sužava područje istrage. Dodatno, alat ima snažnu podršku aktivne zajednice i autora Erica Zimmermana. Na njegovom GitHub repozitoriju dostupne su redovite nadogradnje alata, uz nove ciljeve i module koji su kreirani na temelju povratnih informacija korisnika. Jedna od glavnih prednosti KAPE-a je njegova sposobnost brzog prikupljanja i analize ključnih digitalnih dokaza. Osim brzine, KAPE se ističe i svojom fleksibilnošću i modularnošću. Alat koristi targets i modules  koji su prilagodljivi prema specifičnim potrebama istrage. Ovo omogućava istražiteljima veliku razinu prilagodbe. KAPE je također vrlo učinkovit u situacijama koje zahtijevaju brzu reakciju, poput ransomware napada ili drugih hitnih istraga. U takvim slučajevima omogućuje brz uvid u ključne tragove, čime se značajno sužava područje istrage. Dodatno, alat ima snažnu podršku aktivne zajednice i autora Erica Zimmermana. Na njegovom GitHub repozitoriju dostupne su redovite nadogradnje alata, uz nove ciljeve i module koji su kreirani na temelju povratnih informacija korisnika.
  
-**Nedostaci KAPE alata**+**Nedostaci KAPE alata**\\
 Unatoč svojim prednostima, KAPE ima i nekoliko ograničenja. Jedno od glavnih ograničenja je činjenica da je primarno fokusiran na Windows okruženja. Iako alat ima određene mogućnosti za rad s drugim sustavima poput Linuxa i macOS-a, njegova glavna funkcionalnost dizajnirana je za Windows digitalnu forenziku. Unatoč svojim prednostima, KAPE ima i nekoliko ograničenja. Jedno od glavnih ograničenja je činjenica da je primarno fokusiran na Windows okruženja. Iako alat ima određene mogućnosti za rad s drugim sustavima poput Linuxa i macOS-a, njegova glavna funkcionalnost dizajnirana je za Windows digitalnu forenziku.
 Još jedno ograničenje je potreba za tehničkim znanjem kako bi se alat optimalno koristio. Iako KAPE nudi preddefinirane ciljeve i module, iskusniji korisnici koji znaju prilagoditi YAML konfiguracije mogu izvući maksimalnu korist. Za početnike, ovo može biti izazovno. Još jedno ograničenje je potreba za tehničkim znanjem kako bi se alat optimalno koristio. Iako KAPE nudi preddefinirane ciljeve i module, iskusniji korisnici koji znaju prilagoditi YAML konfiguracije mogu izvući maksimalnu korist. Za početnike, ovo može biti izazovno.
Redak 120: Redak 127:
  
 === Razlog odabira === === Razlog odabira ===
 +
 +KAPE istražitelji biraju zbog njegove izuzetne brzine u prikupljanju ključnih dokaza, što je ključno u hitnim situacijama poput ransomware napada ili analiza uživo. Njegova modularna struktura omogućuje prilagodbu specifičnim potrebama istrage, dok unaprijed definirani ciljevi i moduli olakšavaju rad i manje iskusnim korisnicima. Uz to, alat je podržan aktivnom zajednicom i kontinuirano se ažurira, što ga čini pouzdanim i relevantnim izborom za forenzičke istrage.
 +
 +Istražitelji digitalne forenzike koji poznaju KAPE mogu brže i preciznije analizirati sustave, što im daje prednost u istrazi i reagiranju na incidente.
 +Organizacije koje ne poznaju ili ignoriraju ovakve alate riskiraju sporiju detekciju i slabiji odgovor na sigurnosne incidente, što može rezultirati gubitkom podataka, novčanom štetom ili lošom reputacijom.
  
 ==== Rezultati usporedbe s drugim alatima ==== ==== Rezultati usporedbe s drugim alatima ====
  
 +U nastavku je prikazana usporedba KAPE alata s drugim često korištenim forenzičkim alatima, poput Autopsy, EnCase i X-Ways Forensics. KAPE se u praksi najčešće koristi za inicijalno prikupljanje (triage) i analizu ključnih artefakata, dok se ostali alati koriste za dublju analizu i detaljno ispitivanje sadržaja diskova, memorije i mrežnih tragova.
 +U tablici su prikazane osnovne usporedne značajke KAPE-a s ostalim alatima:
 +
 +^ Alat              ^ Namjena / Fokus                                                ^ Brzina prikupljanja          ^ Podržane platforme                  ^ Model licenciranja              ^ Posebne prednosti                                                                 ^
 +| KAPE              | Brzo “triage” prikupljanje i inicijalna analiza ključnih Windows artefakata | Vrlo brza                  | Windows (djelomično Mac/Linux) | Besplatan (open-distribution)  | Modularnost, jednostavno prilagođavanje targets i modules, fokus na Incident Response |
 +| Autopsy           | Sveobuhvatna analiza datotečnog sustava, pogotovo za open-source korisnike | Srednja                    | Windows, Linux, Mac                    | Besplatan (open-source)        | Integrirana GUI okolina, dodatni plug-inovi                                            |
 +| EnCase (Guidance) | Kompletno forenzičko rješenje za dubinsku analizu (komercijalni standard)  | Ovisno o konfiguraciji     | Windows                               | Komercijalna licenca           | Vrlo detaljna analiza, robusno sučelje, širok spektar mogućnosti                       |
 +| X-Ways Forensics  | Detaljna analitika i low-level pristup disku                                | Brza, ali zahtijeva teh. znanje | Windows                          | Komercijalna licenca           | Visoka preciznost u analizi, manji resursni zahtjevi nego EnCase                       |
  
 ==== Scenariji korištenja ==== ==== Scenariji korištenja ====
Redak 151: Redak 171:
 KAPE omogućuje istražiteljima da identificiraju ilegalne slike pohranjene u mapi "Downloads", uz povijest preuzimanja koja ukazuje na povezane web stranice. KAPE omogućuje istražiteljima da identificiraju ilegalne slike pohranjene u mapi "Downloads", uz povijest preuzimanja koja ukazuje na povezane web stranice.
 Povijest preglednika otkriva posjete skrivenim servisima na mreži (dark web). Povijest preglednika otkriva posjete skrivenim servisima na mreži (dark web).
 +
 +----
 +
  
 === Krađa intelektualnog vlasništva === === Krađa intelektualnog vlasništva ===
 +
 Senior inženjer napušta tvrtku i pokreće vlastiti posao s konkurentskim proizvodom. Sumnja se da je prije odlaska ukrao povjerljive podatke. Senior inženjer napušta tvrtku i pokreće vlastiti posao s konkurentskim proizvodom. Sumnja se da je prije odlaska ukrao povjerljive podatke.
  
Redak 163: Redak 187:
 **Rezultati:** **Rezultati:**
 Utvrđeno je da je osumnjičenik koristio USB uređaje za kopiranje datoteka s osjetljivim informacijama. Podaci su potvrđeni kroz vremenske oznake i tragove pristupa. Utvrđeno je da je osumnjičenik koristio USB uređaje za kopiranje datoteka s osjetljivim informacijama. Podaci su potvrđeni kroz vremenske oznake i tragove pristupa.
 +
 +==== Više o temi ====
 +Za više informacija o KAPE alatu: https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape
  
 ==== Zaključak ==== ==== Zaključak ====
  
 +U današnjem digitalnom okruženju, brzina i preciznost forenzičkih istraga često znače razliku između uspješnog rješenja slučaja i eskalacije sigurnosnih incidenata. KAPE je pritom prepoznat kao koristan alat koji omogućava iznimno brzo prikupljanje i analizu ključnih dokaza. Svojom modularnom arhitekturom, fleksibilnošću te aktivnom korisničkom zajednicom i podrškom, KAPE se nametnuo kao nezaobilazan dio forenzičke “kutije s alatom” kad je riječ o inicijalnim fazama istrage ili brzim provjerama.
 +
 +Ipak, valja naglasiti da KAPE nije sveobuhvatno rješenje koje može u potpunosti zamijeniti ostale alate i metode digitalne forenzike. Najveću vrijednost pruža u prvim koracima istrage, gdje forenzičarima omogućuje efikasno sužavanje fokusa na one uređaje i podatke koji zaslužuju dublju analizu. Zbog svojih karakteristika i kontinuiranih nadogradnji, KAPE se sve više koristi u širokom spektru istraga, od prepoznavanja potencijalnih zlonamjernih aktivnosti pa sve do korporativnih istraga krađe intelektualnog vlasništva. Time opravdava svoj status ključnog alata za sve koji se bave digitalnom forenzikom i odgovorom na incidente.
  
 ==== Literatura ==== ==== Literatura ====
  
-  - https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape +  - Kroll. (n.d.). Kroll Artifact Parser Extractor (KAPE). Preuzeto s https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape 
-  - https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape/resources +  - Kroll. (n.d.). KAPE Resources and Tools. Preuzeto s https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape/resources 
-  - https://www.kroll.com/en/insights/webcasts-and-videos/webinar-replay-insider-threat-investigations-using-kape +  - Kroll. (2023). Webinar Replay: Insider Threat Investigations Using KAPE. Preuzeto s https://www.kroll.com/en/insights/webcasts-and-videos/webinar-replay-insider-threat-investigations-using-kape 
-  - https://medium.com/@cyberengage.org/kape-a-detailed-exploration-c16af1113b91 +  - CyberEngage. (2021). KAPE: A Detailed Exploration. Preuzeto s https://medium.com/@cyberengage.org/kape-a-detailed-exploration-c16af1113b91 
-  - https://www.jaacostan.com/2021/09/dfir-kape-evidence-collection.html +  - Costa, J. (2021). DFIR KAPE Evidence Collection. Preuzeto s https://www.jaacostan.com/2021/09/dfir-kape-evidence-collection.html 
-  - https://github.com/EricZimmerman/KapeFiles/issues+  - Zimmerman, E. (n.d.). KAPE GitHub Repository. Preuzeto s https://github.com/EricZimmerman/KapeFiles/issues 
 +  - Autopsy. (n.d.). Autopsy: Open-Source Digital Forensics. Preuzeto s https://www.autopsy.com/ 
 +  - OpenText. (n.d.). EnCase Forensics. Preuzeto s https://www.opentext.com/products/forensic 
 +  - X-Ways. (n.d.). X-Ways Forensics. Preuzeto s https://www.x-ways.net/forensics/
  
  
  
  
racfor_wiki/seminari2024/forenzicki_alat_kape.1735387370.txt.gz · Zadnja izmjena: 2024/12/28 12:02 od Petrović Petra
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0