Sadržaj

Pregled alata Redline (FireEye)

Sažetak

Alat Redline je jedan od forenzičkih alata koje je napravila tvrtka FireEye kako bi pomogla svim korisnicima u borbi protiv malicioznih računalnih radnji. Alat je najprilagođeniji Windows platformi, ali donekle podržava i ostale (Linux i Mac). Alat nudi korisnicima razne načine prikupljanja i obrade informacija o stanju računala i o prošlim malicioznim aktivnostima.

Keywords: Redline; FireEye; forenzička analiza; forenzički tragovi; besplatan alat; Windows; Linux; Mac

Uvod

Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:

Pokazatelji kompromitiranosti

Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema postojećem standardu. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:

Kod korištenja IOC-a, alat Redline će stvoriti IOC izvješće u kojem prikazuje:

Redline Istraga

Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:

Prikupljanje informacija

Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću “Redline Collector-a” kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.

Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima:

“Redline Collector” kojeg generira alat Redline koji služi za prikupljanje željenih informacija trenutno je podržan na ovim operacijskim sustavima:

Faze prikupljanja informacija su:

  1. Stvaranje Redline Collector-a iz alata Redline
  2. Prenošenje Redline Collector-a na krajnje računalo koje se želi analizirati.
  3. Pokretanje skripte Redline Collector-a.
  4. Prenošenje rezultata Redline Collector-a na računalo na kojem je instaliran alat Redline koji će analizirati prezentirati rezultate.

Kod stvaranja Redline Collector-a sve što je potrebno napraviti je označiti koje informacije se žele prikupiti. Postoji već zadani tipovi koji se mogu odabrati:

Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima.

 Primjer odabiranja podataka o trajnoj memoriji.

Mogućnosti prikupljanja informacija

Redline Collector nudi mogućnost prikupljanja ovih informacija (ovdje su izdvojene najzanimljivije):

Informacije sustava:

Mrežni priključci:

Procesi - informacije o aktivnim procesima u trenutcima prikupljanja:

Datoteke i atributi:

Registar (Windows):

Servisi (Windows, OS X) - samo oni poznati računalu:

Korisnici (Windows, OS X):

Redovni zadaci i atributi:

Dnevnici događaja:

Internetski protokoli:

Povijest Internet pretraživača (Windows, OS X):

U alatu Redline kroz ove informacije se može filtrirati po:

Povijest „kolačića“ (engl. Cookie):

U alatu Redline kolačiće se može filtrirati po:

Povijest formi za unos:

Alat Redline razlikuje “login” i “normalne” forme.

Povijest preuzimanja:

Alat Redline preuzimanja može filtrirati:

Povijest najpopularnijih ljuski (Linux) - povijest ljuski, npr. 'bash', 'zsh', alat pregledava standardna mjesta gdje se datoteke s povijesti nalaze.

Povijest prijava na računalo

Korištenje

Redline nudi razne mogućnosti različitog korištenja prilagođenog različitim situacijama. Ovdje ćemo prikazati dva najčešća.

Prvi slučaj ispituje i provodi istragu nad jednim odredišnim računalom prikazano na slici ispod. Provodi se u nekoliko koraka:

  1. Stvaranje Redline Collector-a iz alata Redline
  2. Prijenos Redline Collector-a na odredišno računalo
  3. Pokretanje Redline Collector-a na odredišnom računalu
  4. Prijenos Redline Collector-a na računalo za analizu (s alatom Redline)
  5. Uvoz prikupljenih podataka u alat Redline i analiza

Drugi slučaj ispituje više računala u organizaciji za koje se sumnja da su bili meta jednog ili više poznatih malicioznih napada. Provodi se u nekoliko koraka:

  1. Pronalazak postojećih IOC-a za tu vrstu napada ili stvaranje vlastitog IOC-a
  2. Stvaranje Redline IOC Collector-a iz alata Redline s odabranim IOC-ima
  3. Prijenos Redline IOC Collector-a na odredišno računalo (za svako odredišno računalo)
  4. Pokretanje Redline IOC Collector-a na odredišnom računalu (za svako odredišno računalo)
  5. Prijenos svih generiranih revizija Redline IOC Collector-a (sa svakog računala zajedno) na računalo za analizu (s alatom Redline)

Zaključak

Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.

Literatura

[1] Redline

[2] Redline User Guide