Pregled alata Redline (FireEye)

Alat Redline je jedan od forenzičkih alata koje je napravila tvrtka FireEye kako bi pomogla svim korisnicima u borbi protiv malicioznih računalnih radnji. Alat je najprilagođeniji Windows platformi, ali donekle podržava i ostale (Linux i Mac). Alat nudi korisnicima razne načine prikupljanja i obrade informacija o stanju računala i o prošlim malicioznim aktivnostima.

Keywords: Redline; FireEye; forenzička analiza; forenzički tragovi; besplatan alat; Windows; Linux; Mac

Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:

• Element obične listeElement obične listeAnalizu memorije i datoteka
• Element obične listeStvaranje profila za procjenu prijetnji
• Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
• Element obične listeAnaliza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima.
• Element obične listeAnaliza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.

Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisutstvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema postojećem standardu. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:

• Identificiraju samo napadačevu aktivnost.
• Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
• Element obične liste„Skupi“ su za napadača da ih izbjegne ili promjeni, napadač bi treba značajno promijeniti taktiku, alate ili pristup.

Kod korištenja IOC-a, alat Redline će stvoriti IOC izvješće u kojem prikazuje:

• Detalje o definiciji i autoru
• Sva pronađena podudaranja
• Detaljne informacije o svakom rezultatu
• Broj pokazatelja koji su generirali podudaranja
• Lokaciju izvješća

Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću “Redline Collector-a” kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.

Sam alat Redline koji služi za analizu prikupljenih informacija treuntno je podržan na ovim operacijskim sustavima:

• Windows 10 (32/64 bit)
• Windows 8x (32/64 bit)
• Windows 7 (32/64 bit)
• Microsoft Vista (32 bit)
• Windows XP SP2 (32 bit)
• Windows Server 2008 R2 (64 bit)
• Windows Server 2003 R2 (32/64 bit)

“Redline Collector” kojeg generira alat Redline koji služi za prikupljanje željenih informacija trenutno je podržan na ovim operacijskim sustavima:

• Windows 10 (32/64 bit)
• Windows 8.1, Update 1 (32/64 bit)
• Windows 8
• (Windows) Server 2019 (64 bit)
• (Windows) Server 2016 (64 bit)
• (Windows) Server 2012 R2 (64 bit)
• (Windows) Server 2012 (32/64 bit)
• (Windows) Server 2008 R2 (32/64 bit)
• (OS X) Mavericks 10.9 (64 bit)
• (OS X) Yosemite 10.10 (64 bit)
• (OS X) El Captain 10.11 (64 bit)
• (OS X) Sierra 10.12 (64 bit)
• (OS X) High Sierra 10.13 (64 bit)
• (OS X) Mojave 10.14 (64 bit)
• (Linux) RHEL 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)
• (Linux) CentOs 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)

Faze prikupljanja informacija su:

1. Stvaranje Redline Collector-a iz alata Redline
2. Prenošenje Redline Collector-a na krajnje računalo koje se želi analizirati.
3. Pokretanje skripte Redline Collector-a.
4. Prenošenje rezultata Redline Collector-a na računalo na kojem je instaliran alat Redline koji će analizirati prezentirati rezultate.

Kod stvaranja Redline Collector-a sve što je potrebno napraviti je označiti koje informacije se žele prikupiti. Postoji već zadani tipovi koji se mogu odabrati:

• Standardan – Collector za prikupljanje minimalne količine podataka za završetak jedne analize.
• Sveobuhvatan – Collector za prikupljanje većine informacija koje Redline može prikupiti i analizirati. Korisno ako se vrši potpuna analiza ili ako postoji samo jedna šansa za prikupljanje podataka s krajnjeg računala.
• Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.

Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima ćak i danima.

[1] Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.

[2] Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.

[3] Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006