===== Forenzički alat KAPE ===== ==== Sažetak ==== U ovom radu predstavljena je funkcionalnost i praktična primjena alata KAPE, jednog od najbržih i najučinkovitijih forenzičkih alata za inicijalno prikupljanje i analizu digitalnih tragova. Prikazana je njegova modularna struktura temeljena na targets i modules, čime se olakšava brza prilagodba prema specifičnim potrebama istrage. Posebno su istaknute njegove glavne prednosti, poput fleksibilnosti i brzine, kao i potencijalna ograničenja, poput primarne orijentacije na Windows okruženje i potrebe za tehničkim znanjem. Usporedba s alatima kao što su Autopsy, EnCase i X-Ways Forensics pokazala je da je KAPE optimalan u ranim fazama istrage i “triage” zadacima, dok su drugi alati prikladniji za dublju i sveobuhvatniju analizu. Kroz konkretne scenarije korištenja, naglašena je važnost očuvanja integriteta dokaza i brzine reakcije u slučajevima kao što su ransomware napadi, krađa intelektualnog vlasništva i druge forenzičke istrage. ==== Video prezentacija ==== Link na video prezentaciju: https://ferhr-my.sharepoint.com/:v:/g/personal/pp53564_fer_hr/EWH4TzoDP71DiWsCHHMX3KEBGz2kCwuEbjjC8OtZ7ZZuKA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=MOPj8R ==== Uvod ==== S obzirom na sve veće izazove u području računalne forenzike, postoji potreba za alatima koji omogućuju brzu i učinkovitu analizu velikih količina podataka. **KAPE** (Kroll Artifact Parser and Extractor), kao besplatan alat razvijen za digitalne forenzičke i incidentne odgovore (DFIR), pruža istražiteljima mogućnost da brzo prikupe i analiziraju ključne artefakte. Njegova upotreba obuhvaća ciljano prikupljanje podataka i obradu pomoću predefiniranih modula i ciljeva, omogućujući korisnicima svih razina stručnosti da brzo i precizno identificiraju ključne dokaze. KAPE se prvenstveno odnosi na stručnjake u području digitalne forenzike i incident response timove. Međutim, mogu ga koristiti i sigurnosni analitičari, sistem administratori ili bilo tko tko želi brzo i učinkovito prikupiti ključne digitalne dokaze. Osnovni cilj ovog rada je analizirati kako KAPE funkcionira, koje su njegove tehničke značajke, kako se uspoređuje s drugim forenzičkim alatima te kako se koristi u praksi. ==== Što je KAPE? ==== KAPE je alat koji se koristi za brzo prikupljanje i analizu digitalnih dokaza na računalima ili drugim uređajima. Radi tako da: - Prikuplja datoteke koje su važne za istragu, poput povijesti preglednika, sistemskih logova i mrežnih podataka. - Obrađuje te datoteke pomoću dodatnih alata kako bi se dobili korisni rezultati (poput izvještaja ili vremenskih linija). KAPE čita konfiguracijske datoteke "u hodu" (bez prethodne pripreme), a na temelju njihovog sadržaja prikuplja i obrađuje relevantne datoteke. Ova fleksibilnost omogućava da se funkcionalnost KAPE-a proširuje bez potrebe za intervencijom samog autora programa. Na primjer, korisnici mogu dodavati nove funkcije ili proširiti postojeće. ==== Kako KAPE funkcionira? ==== KAPE djeluje kroz dvije glavne faze: prikupljanje ciljeva i izvršavanje modula. Ova struktura omogućuje brzo prikupljanje relevantnih podataka i njihovu analizu na intuitivan i fleksibilan način. U nastavku se detaljno obrađuju tehničke značajke KAPE-a i opisuje kako alat funkcionira u praksi. ---- === Tehničke značajke === KAPE je alat dizajniran za brzinu i preciznost. Omogućuje istražiteljima prikupljanje ključnih digitalnih dokaza u samo nekoliko minuta. Njegova modularna arhitektura temelji se na YAML konfiguracijama, koje omogućuju definiranje ciljeva i modula na jednostavan način. YAML format omogućuje lako čitanje i pisanje pravila koja definiraju što će se prikupljati i kako će se analizirati prikupljeni podaci. Jedna od najvažnijih prednosti KAPE-a je njegova fleksibilnost. KAPE omogućuje istražiteljima da koriste alat putem grafičkog korisničkog sučelja (GUI) ili naredbenog retka (CMD), čime se prilagođava preferencijama korisnika. Osim toga, alat podržava prilagodbu ciljeva i modula prema specifičnim potrebama istrage, omogućujući istražiteljima da efikasno prikupe i analiziraju relevantne dokaze. Svi podaci prikupljeni KAPE-om čuvaju izvorne vremenske oznake i metapodatke, čime se osigurava integritet dokaza. Ovo je posebno važno u digitalnoj forenzici, gdje je očuvanje izvornog stanja dokaza ključno za njihovu pravnu valjanost. Dodatno, prikupljeni podaci organiziraju se u mape prema kategorijama, poput EvidenceOfExecution, BrowserHistory ili AccountUsage, čime se olakšava njihova analiza i pretraživanje. ---- === Faze rada KAPE-a === Na visokoj razini, KAPE funkcionira dodavanjem maski datoteka u red. Taj red se zatim koristi za pronalazak i kopiranje datoteka s izvorne lokacije. Za datoteke koje su zaključane od strane operativnog sustava, drugi pokušaj zaobilazi zaključavanje. Na kraju procesa, KAPE izrađuje kopiju i čuva metapodatke svih dostupnih datoteka s izvorne lokacije u određenom direktoriju. Druga (neobavezna) faza obrade uključuje pokretanje jednog ili više programa nad prikupljenim podacima. I ova faza cilja specifične nazive datoteka ili direktorije. Različiti programi obrađuju datoteke, a izlazi tih programa spremaju se u direktorije organizirane prema kategorijama, poput EvidenceOfExecution, BrowserHistory ili AccountUsage. Grupiranjem dokaza prema kategorijama, istražitelji svih razina stručnosti imaju mogućnost otkriti relevantne informacije, bez obzira na izvor pojedinačnog artefakta. Drugim riječima, istražitelj više ne mora znati kako obraditi datoteke poput prefetch, shimcache, amcache ili userassist, koje se odnose na dokaze o izvršenju aplikacija. Na kraju, širi raspon artefakata može se koristiti za bilo koju specifičnu potrebu. Proces započinje identifikacijom izvora podataka, kao što su aktivni sustavi, montirane slike diska ili mrežni resursi (F-Response). Cilj je prikupiti ključne artefakte bez utjecaja na originalne podatke. Kroz postavke ciljeva (targets), alat određuje što će se prikupljati. To uključuje logove događaja, registry zapise, povijest pregledavanja i druge relevantne podatke. Prikupljeni artefakti spremaju se na sigurno odredište, poput vanjskog diska ili mrežne lokacije, uz očuvanje izvornih vremenskih oznaka i metapodataka. Nakon prikupljanja, moduli se koriste za daljnju obradu podataka, poput analize povijesti pregledavanja ili događaja vezanih uz sigurnost. Rezultati obrade organizirani su u strukturirane kategorije, poput EvidenceOfExecution, BrowserHistory i AccountUsage, omogućujući brzu analizu. Na kraju, cijeli proces izgleda ovako: > {{:racfor_wiki:seminari2024:kape_workflow.png?600|}} > Slika 1: Cijeli proces rada KAPE alata Prva faza rada KAPE-a uključuje prikupljanje podataka prema unaprijed definiranim ciljevima. Ciljevi određuju što će se prikupljati i gdje će KAPE tražiti te datoteke. Primjerice, ciljevi mogu biti postavljeni za pretragu povijesti pregledavanja, logova događaja ili određenih korisničkih datoteka. Proces prikupljanja podataka započinje izradom reda datoteka koje odgovaraju zadanom pravilu. Datoteke koje nisu dostupne zbog zaključavanja od strane operativnog sustava premještaju se u sekundarni red. Za te datoteke koristi se napredna tehnika čitanja sirovih podataka s diska, čime se osigurava pristup i kopiranje zaključanih datoteka. Prikupljeni podaci pohranjuju se u zadanu mapu na sigurnoj lokaciji, zajedno s log datotekama koje dokumentiraju proces prikupljanja. Na taj način istražitelji mogu pratiti sve korake koji su poduzeti tijekom prikupljanja dokaza. Struktura sirovih podataka prikupljenih pomoću KAPE-a, organiziranih prema mapama i metapodacima prikazana je na slici ispod: > {{:racfor_wiki:seminari2024:kape_targets.png?600|}} > Slika 2: Struktura sirovih podataka prikupljenih pomoću KAPE-a Nakon što su podaci prikupljeni, KAPE pokreće drugu fazu svog rada, koja uključuje izvršavanje modula. Moduli su programski alati koji obrađuju prikupljene dokaze. Cilj ove faze je analizirati i strukturirati podatke kako bi se generirali korisni izvještaji. Na primjer, modul BrowserHistoryParser može analizirati povijest pregledavanja i generirati CSV datoteke koje sadrže informacije o posjećenim stranicama, vremenskim oznakama i korisničkim aktivnostima. Drugi moduli, poput EvtxECmd, analiziraju logove događaja kako bi identificirali neovlaštene prijave ili sumnjive aktivnosti unutar sustava. Rezultati modula organiziraju se prema kategorijama, omogućujući istražiteljima brzo pretraživanje i identifikaciju ključnih informacija. Prikaz CSV datoteka i drugih tekstualnih izvještaja generiranih modulima KAPE-a, organiziranih prema vrsti podataka na sljedećoj slici: > {{:racfor_wiki:seminari2024:kape_modules.png?600|}} > Slika 3: Prikaz datoteka generiranih modulima ---- === Primjer korištenja === Cilj je prikupljanje datotečnih dokaza s računala žrtve. - Izvor podataka: Parametar --**tsource** predstavlja C: pogon računala žrtve, s kojeg se prikupljaju dokazi - Cilj prikupljanja: Parametar --**target** definira vrstu dokaza koji se traže, u ovom slučaju datotečne sustave (Filesystem evidence) - Odredište za pohranu dokaza: Parametar --**tdest** predstavlja USB uređaj koji je povezan s računalom žrtve za prikupljanje i spremanje dokaza kape.exe --tsource C:\ --target Filesystem --tdest E:\ Nakon izvršavanja naredbe, KAPE prikuplja tražene datoteke i njihove metapodatke s C: pogona računala žrtve te ih pohranjuje na povezani USB uređaj (E:). Ova metoda omogućuje brzo i efikasno prikupljanje relevantnih dokaza bez promjene originalnih podataka na računalu žrtve. Na sljedećoj slici je prikazan rezultat prethodne naredbe. > {{:racfor_wiki:seminari2024:kape_example.jpg?400|}} > Slika 4: Rezultat naredbe ==== Nastanak ==== Razvoj alata KAPE rezultat je rastuće potrebe za učinkovitim i brzim pristupom digitalnim dokazima u području digitalne forenzike i odgovora na incidente (DFIR). KAPE je osmišljen kako bi pomogao istražiteljima da na najbrži i najprecizniji način prikupe i analiziraju ključne podatke s digitalnih uređaja. KAPE je kreirao Eric Zimmerman. Ugledni stručnjak u području digitalne forenzike i kibernetičke sigurnosti, poznat po razvoju inovativnih alata koji istražiteljima olakšavaju analizu digitalnih dokaza. Sa svojom stručnošću i praktičnim iskustvom, Zimmerman je postao jedan od ključnih autoriteta u zajednici za digitalnu forenziku i odgovor na incidente (DFIR). Njegova karijera obuhvaća više od deset godina rada u FBI-ju, gdje je bio ključna figura u analizi digitalnih dokaza u slučajevima vezanim za kibernetički kriminal. Tijekom tog razdoblja, Zimmerman je razvio niz prilagođenih alata kako bi poboljšao učinkovitost istraga. Zimmerman je prepoznao potrebu za alatom koji bi mogao: * Prikupiti relevantne digitalne artefakte u samo nekoliko minuta. * Obraditi te artefakte na strukturiran način. * Omogućiti istražiteljima da brzo identificiraju ključne informacije bez dugotrajnog pretraživanja. ==== Prednosti i ograničenja KAPE-a ==== **Prednosti KAPE alata**\\ Jedna od glavnih prednosti KAPE-a je njegova sposobnost brzog prikupljanja i analize ključnih digitalnih dokaza. Osim brzine, KAPE se ističe i svojom fleksibilnošću i modularnošću. Alat koristi targets i modules koji su prilagodljivi prema specifičnim potrebama istrage. Ovo omogućava istražiteljima veliku razinu prilagodbe. KAPE je također vrlo učinkovit u situacijama koje zahtijevaju brzu reakciju, poput ransomware napada ili drugih hitnih istraga. U takvim slučajevima omogućuje brz uvid u ključne tragove, čime se značajno sužava područje istrage. Dodatno, alat ima snažnu podršku aktivne zajednice i autora Erica Zimmermana. Na njegovom GitHub repozitoriju dostupne su redovite nadogradnje alata, uz nove ciljeve i module koji su kreirani na temelju povratnih informacija korisnika. **Nedostaci KAPE alata**\\ Unatoč svojim prednostima, KAPE ima i nekoliko ograničenja. Jedno od glavnih ograničenja je činjenica da je primarno fokusiran na Windows okruženja. Iako alat ima određene mogućnosti za rad s drugim sustavima poput Linuxa i macOS-a, njegova glavna funkcionalnost dizajnirana je za Windows digitalnu forenziku. Još jedno ograničenje je potreba za tehničkim znanjem kako bi se alat optimalno koristio. Iako KAPE nudi preddefinirane ciljeve i module, iskusniji korisnici koji znaju prilagoditi YAML konfiguracije mogu izvući maksimalnu korist. Za početnike, ovo može biti izazovno. Osim toga, KAPE nije dizajniran kao sveobuhvatan alat za analizu. Njegova glavna svrha je brzo prikupljanje dokaza u početnim fazama istrage. Za dublju i detaljniju analizu potrebni su dodatni alati poput EnCase, X-Ways Forensics ili Autopsy. ---- === Razlog odabira === KAPE istražitelji biraju zbog njegove izuzetne brzine u prikupljanju ključnih dokaza, što je ključno u hitnim situacijama poput ransomware napada ili analiza uživo. Njegova modularna struktura omogućuje prilagodbu specifičnim potrebama istrage, dok unaprijed definirani ciljevi i moduli olakšavaju rad i manje iskusnim korisnicima. Uz to, alat je podržan aktivnom zajednicom i kontinuirano se ažurira, što ga čini pouzdanim i relevantnim izborom za forenzičke istrage. Istražitelji digitalne forenzike koji poznaju KAPE mogu brže i preciznije analizirati sustave, što im daje prednost u istrazi i reagiranju na incidente. Organizacije koje ne poznaju ili ignoriraju ovakve alate riskiraju sporiju detekciju i slabiji odgovor na sigurnosne incidente, što može rezultirati gubitkom podataka, novčanom štetom ili lošom reputacijom. ==== Rezultati usporedbe s drugim alatima ==== U nastavku je prikazana usporedba KAPE alata s drugim često korištenim forenzičkim alatima, poput Autopsy, EnCase i X-Ways Forensics. KAPE se u praksi najčešće koristi za inicijalno prikupljanje (triage) i analizu ključnih artefakata, dok se ostali alati koriste za dublju analizu i detaljno ispitivanje sadržaja diskova, memorije i mrežnih tragova. U tablici su prikazane osnovne usporedne značajke KAPE-a s ostalim alatima: ^ Alat ^ Namjena / Fokus ^ Brzina prikupljanja ^ Podržane platforme ^ Model licenciranja ^ Posebne prednosti ^ | KAPE | Brzo “triage” prikupljanje i inicijalna analiza ključnih Windows artefakata | Vrlo brza | Windows (djelomično Mac/Linux) | Besplatan (open-distribution) | Modularnost, jednostavno prilagođavanje targets i modules, fokus na Incident Response | | Autopsy | Sveobuhvatna analiza datotečnog sustava, pogotovo za open-source korisnike | Srednja | Windows, Linux, Mac | Besplatan (open-source) | Integrirana GUI okolina, dodatni plug-inovi | | EnCase (Guidance) | Kompletno forenzičko rješenje za dubinsku analizu (komercijalni standard) | Ovisno o konfiguraciji | Windows | Komercijalna licenca | Vrlo detaljna analiza, robusno sučelje, širok spektar mogućnosti | | X-Ways Forensics | Detaljna analitika i low-level pristup disku | Brza, ali zahtijeva teh. znanje | Windows | Komercijalna licenca | Visoka preciznost u analizi, manji resursni zahtjevi nego EnCase | ==== Scenariji korištenja ==== === Istraga dječje eksploatacije === U ovom slučaju, tim za digitalnu forenziku istražuje računalo osumnjičenog za distribuciju ilegalnih materijala putem interneta. Cilj je brzo identificirati dokaze koji potvrđuju ili opovrgavaju sumnju, dok se istovremeno minimizira vrijeme potrebno za analizu kako bi se što prije osigurala sigurnost žrtava. Istražitelji pripremaju KAPE na USB memoriji kako bi ga mogli pokrenuti na mjestu istrage ili na forenzičkoj slici diska u laboratorijskim uvjetima. Definiraju "targets" i "modules" prije pokretanja, prilagođene vrsti dokaza koje žele prikupiti. Primjeri ciljeva: * Povijest preglednika (Chrome, Firefox, Edge). * Preuzete datoteke i njihove metapodatke. * Korisničke aktivnosti (poput pristupa mapama ili aplikacijama). * Slike i videozapisi (filtrirano prema veličini i formatima poput .jpg, .png, .mp4). KAPE pokreće proces prikupljanja artefakata na temelju konfiguriranih ciljeva. Pretražuje direktorij "Downloads" i druge korisničke mape kako bi pronašao sumnjive datoteke. Analizira povijest pregledavanja radi otkrivanja pristupa ilegalnim web stranicama. Tijekom ovog procesa, KAPE kopira ključne artefakte na sigurno mjesto bez izmjene izvornih podataka. KAPE koristi "raw disk read" metodu za pristup datotekama koje su zaključane od strane operativnog sustava. Svi prikupljeni podaci, uključujući vremenske oznake i metapodatke, pohranjuju se na USB uređaj. Nakon prikupljanja, KAPE pokreće module za parsiranje podataka. Modul za pregled povijesti preglednika analizira .json i .db datoteke i generira CSV izvješća s popisom posjećenih stranica, vremena i pretraživanih pojmova. Modul za analizu slika automatski označava datoteke sa sumnjivim sadržajem (npr. pomoću hash baze poznatih ilegalnih datoteka). Prikupljeni dokazi sortiraju se prema kategorijama, kao što su "EvidenceOfExecution", "BrowserHistory" ili "DownloadedFiles". Tim pregledava generirane izvještaje, fokusirajući se na ključne tragove poput hashova datoteka, posjećenih URL-ova ili vremena pristupa određenim aplikacijama. KAPE omogućuje istražiteljima da identificiraju ilegalne slike pohranjene u mapi "Downloads", uz povijest preuzimanja koja ukazuje na povezane web stranice. Povijest preglednika otkriva posjete skrivenim servisima na mreži (dark web). ---- === Krađa intelektualnog vlasništva === Senior inženjer napušta tvrtku i pokreće vlastiti posao s konkurentskim proizvodom. Sumnja se da je prije odlaska ukrao povjerljive podatke. **Ciljevi (Targets):** Analiza povezanih USB uređaja korištenih za prijenos podataka (modul Registry\RECmd). Analiza pristupa datotekama i mapama (modul Shellbags).\\ **Moduli:** Analiza evidencije izvršenih programa (modul Registry\UserAssist). Izvlačenje metapodataka o datotekama za praćenje vremenskog slijeda pristupa i kopiranja.\\ **Rezultati:** Utvrđeno je da je osumnjičenik koristio USB uređaje za kopiranje datoteka s osjetljivim informacijama. Podaci su potvrđeni kroz vremenske oznake i tragove pristupa. ==== Više o temi ==== Za više informacija o KAPE alatu: https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape ==== Zaključak ==== U današnjem digitalnom okruženju, brzina i preciznost forenzičkih istraga često znače razliku između uspješnog rješenja slučaja i eskalacije sigurnosnih incidenata. KAPE je pritom prepoznat kao koristan alat koji omogućava iznimno brzo prikupljanje i analizu ključnih dokaza. Svojom modularnom arhitekturom, fleksibilnošću te aktivnom korisničkom zajednicom i podrškom, KAPE se nametnuo kao nezaobilazan dio forenzičke “kutije s alatom” kad je riječ o inicijalnim fazama istrage ili brzim provjerama. Ipak, valja naglasiti da KAPE nije sveobuhvatno rješenje koje može u potpunosti zamijeniti ostale alate i metode digitalne forenzike. Najveću vrijednost pruža u prvim koracima istrage, gdje forenzičarima omogućuje efikasno sužavanje fokusa na one uređaje i podatke koji zaslužuju dublju analizu. Zbog svojih karakteristika i kontinuiranih nadogradnji, KAPE se sve više koristi u širokom spektru istraga, od prepoznavanja potencijalnih zlonamjernih aktivnosti pa sve do korporativnih istraga krađe intelektualnog vlasništva. Time opravdava svoj status ključnog alata za sve koji se bave digitalnom forenzikom i odgovorom na incidente. ==== Literatura ==== - Kroll. (n.d.). Kroll Artifact Parser Extractor (KAPE). Preuzeto s https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape - Kroll. (n.d.). KAPE Resources and Tools. Preuzeto s https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape/resources - Kroll. (2023). Webinar Replay: Insider Threat Investigations Using KAPE. Preuzeto s https://www.kroll.com/en/insights/webcasts-and-videos/webinar-replay-insider-threat-investigations-using-kape - CyberEngage. (2021). KAPE: A Detailed Exploration. Preuzeto s https://medium.com/@cyberengage.org/kape-a-detailed-exploration-c16af1113b91 - Costa, J. (2021). DFIR KAPE Evidence Collection. Preuzeto s https://www.jaacostan.com/2021/09/dfir-kape-evidence-collection.html - Zimmerman, E. (n.d.). KAPE GitHub Repository. Preuzeto s https://github.com/EricZimmerman/KapeFiles/issues - Autopsy. (n.d.). Autopsy: Open-Source Digital Forensics. Preuzeto s https://www.autopsy.com/ - OpenText. (n.d.). EnCase Forensics. Preuzeto s https://www.opentext.com/products/forensic - X-Ways. (n.d.). X-Ways Forensics. Preuzeto s https://www.x-ways.net/forensics/