Pregled alata Redline (FireEye)
Sažetak
Alat Redline je jedan od forenzičkih alata koje je napravila tvrtka FireEye kako bi pomogla svim korisnicima u borbi protiv malicioznih računalnih radnji. Alat je najprilagođeniji Windows platformi, ali donekle podržava i ostale (Linux i Mac). Alat nudi korisnicima razne načine prikupljanja i obrade informacija o stanju računala i o prošlim malicioznim aktivnostima.
Keywords: Redline; FireEye; forenzička analiza; forenzički tragovi; besplatan alat; Windows; Linux; Mac
Uvod
Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:
Analizu memorije i datoteka
Stvaranje profila za procjenu prijetnji
Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
Analiza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima.
Analiza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.
Pokazatelji kompromitiranosti
Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema postojećem standardu. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:
Identificiraju samo napadačevu aktivnost.
Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
Element obične liste„Skupi“ su za napadača da ih izbjegne ili promjeni, napadač bi treba značajno promijeniti taktiku, alate ili pristup.
Kod korištenja IOC-a, alat Redline će stvoriti IOC izvješće u kojem prikazuje:
Detalje o definiciji i autoru
Sva pronađena podudaranja
Detaljne informacije o svakom rezultatu
Broj pokazatelja koji su generirali podudaranja
Lokaciju izvješća
Redline Istraga
Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:
Pregled u tablici s detaljima
Korištenje oznaka i komentara
Pretraživanje
Filtriranje znanog normalnog materijala pomoću prilagodljive liste
Filtriranje po vremenu
Dohvaćanje procesa
Direktno pretraživanje interneta za više informacija
Izvoz informacija u CSV datoteku
Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću “Redline Collector-a” kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.
Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima:
“Redline Collector” kojeg generira alat Redline koji služi za prikupljanje željenih informacija trenutno je podržan na ovim operacijskim sustavima:
Windows 10 (32/64 bit)
Windows 8.1, Update 1 (32/64 bit)
Windows 8
(Windows) Server 2019 (64 bit)
(Windows) Server 2016 (64 bit)
(Windows) Server 2012 R2 (64 bit)
(Windows) Server 2012 (32/64 bit)
(Windows) Server 2008 R2 (32/64 bit)
(
OS X) Mavericks 10.9 (64 bit)
(
OS X) Yosemite 10.10 (64 bit)
(
OS X) El Captain 10.11 (64 bit)
(
OS X) Sierra 10.12 (64 bit)
(
OS X) High Sierra 10.13 (64 bit)
(
OS X) Mojave 10.14 (64 bit)
(Linux) RHEL 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)
(Linux) CentOs 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)
Faze prikupljanja informacija su:
Stvaranje Redline Collector-a iz alata Redline
Prenošenje Redline Collector-a na krajnje računalo koje se želi analizirati.
Pokretanje skripte Redline Collector-a.
Prenošenje rezultata Redline Collector-a na računalo na kojem je instaliran alat Redline koji će analizirati prezentirati rezultate.
Kod stvaranja Redline Collector-a sve što je potrebno napraviti je označiti koje informacije se žele prikupiti. Postoji već zadani tipovi koji se mogu odabrati:
Standardan – Collector za prikupljanje minimalne količine podataka za završetak jedne analize.
Sveobuhvatan – Collector za prikupljanje većine informacija koje Redline može prikupiti i analizirati. Korisno ako se vrši potpuna analiza ili ako postoji samo jedna šansa za prikupljanje podataka s krajnjeg računala.
Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.
Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima.
Redline Collector nudi mogućnost prikupljanja ovih informacija (ovdje su izdvojene najzanimljivije):
Informacije sustava:
Mrežni priključci:
Naziv
DHCP
MAC adresa
IP informacije
IP pristupne točke
Procesi - informacije o aktivnim procesima u trenutcima prikupljanja:
Naziv
Roditelj
Korisničko ime
Putanja
Vrijeme pokretanja
Proteklo vrijeme
Svojstvene informacije procesa (Windows,
OS X)
Memorijski odlomci (Windows)
Tekstualni nizovi (Windows)
Povezani mrežni priključci (Windows)
Reference na interne objekte (Windows)
Datoteke i atributi:
Metapodaci
Sažetci
Vremenske oznake
Informacije o korisniku
Putanja
Digitalni potpisi
Registar (Windows):
Informacije o korisniku
Vrijednosti ključeva
Servisi (Windows, OS X) - samo oni poznati računalu:
Status
Digitalni potpisi
Sažetci
Korisnici (Windows, OS X):
Korisničko ime
Vrijeme zadnjeg pristupa
Pripadajuće grupe
Početni direktorij
Redovni zadaci i atributi:
Dnevnici događaja:
Izvorna aplikacija
Poruka
Korisnik
Vremenska oznaka
Tip dnevnika
Internetski protokoli:
Povijest Internet pretraživača (Windows, OS X):
Identifikator poslužitelja
-
Naslov stranice
Naziv i verzija pretraživača
Broj posjeta
Prethodna stranica
Trenutak prvog i posljednjeg posjeta (Windows)
Trenutak obilježavanja stranice
U alatu Redline kroz ove informacije se može filtrirati po:
Preusmjerenim pretraživanjima
Prethodnoj stranici
Posjećene samo jednom
Obilježene i posjećene stranice
Ručno upisane adrese
Skrivene posjete (posjete koje nisu prikazane korisniku)
Formama (sve stranice gdje je korisnik unio podatke)
Povijest „kolačića“ (engl. Cookie):
Naziv kolačića
Putanja kolačića
Zastavice
Naziv računala
Verzija pretraživača
Profil
Korisničko ime
Trenutak stvaranja
Trenutak isteknuća
Zadnji pristup
Zadnja promjena
Naziv i putanja datoteke
U alatu Redline kolačiće se može filtrirati po:
HTTPS oznaka
HTTP oznak
Zastavicama
Povijest formi za unos:
Alat Redline razlikuje “login” i “normalne” forme.
Povijest preuzimanja:
-
Odredišni direktorij
Naziv i verzija pretraživača
Preuzeti byte-ovi
Početni i završni trenutak
Tip preuzimanja (Windows)
Naziv datoteke
Korisničko ime
Profil
Cache zastavice i broj „pogađanja“ (Windows)
Posljednji trenutak pristupanja, provjeravanja i mijenjanja
Alat Redline preuzimanja može filtrirati:
Običan tekst, npr. 'txt' datoteke
Slike, npr. '.jpeg', '.png'
Audio i video datoteke, npr. '.mp3', '.mp4', '.avi', '.mov'
PDF
Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik
Spremanja na nestandardne lokacije (Windows)
Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuvano je kompletno HTTP zaglavlje
Veće od 20 kb
Nezavršeno
Povijest najpopularnijih ljuski (Linux) - povijest ljuski, npr. 'bash', 'zsh', alat pregledava standardna mjesta gdje se datoteke s povijesti nalaze.
Povijest prijava na računalo
Trenutno aktivne
U prošlosti
Neuspjele prijave
Korištenje
Redline nudi razne mogućnosti različitog korištenja prilagođenog različitim situacijama. Ovdje ćemo prikazati dva najčešća.
Prvi slučaj ispituje i provodi istragu nad jednim odredišnim računalom prikazano na slici ispod. Provodi se u nekoliko koraka:
Stvaranje Redline Collector-a iz alata Redline
Prijenos Redline Collector-a na odredišno računalo
Pokretanje Redline Collector-a na odredišnom računalu
Prijenos Redline Collector-a na računalo za analizu (s alatom Redline)
Uvoz prikupljenih podataka u alat Redline i analiza
Drugi slučaj ispituje više računala u organizaciji za koje se sumnja da su bili meta jednog ili više poznatih malicioznih napada. Provodi se u nekoliko koraka:
Pronalazak postojećih IOC-a za tu vrstu napada ili stvaranje vlastitog IOC-a
Stvaranje Redline IOC Collector-a iz alata Redline s odabranim IOC-ima
Prijenos Redline IOC Collector-a na odredišno računalo (za svako odredišno računalo)
Pokretanje Redline IOC Collector-a na odredišnom računalu (za svako odredišno računalo)
Prijenos svih generiranih revizija Redline IOC Collector-a (sa svakog računala zajedno) na računalo za analizu (s alatom Redline)
Zaključak
Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.
Literatura