S obzirom na sve veće izazove u području računalne forenzike, postoji potreba za alatima koji omogućuju brzu i učinkovitu analizu velikih količina podataka. KAPE (Kroll Artifact Parser and Extractor), kao besplatan alat razvijen za digitalne forenzičke i incidentne odgovore (DFIR), pruža istražiteljima mogućnost da brzo prikupe i analiziraju ključne artefakte. Njegova upotreba obuhvaća ciljano prikupljanje podataka i obradu pomoću predefiniranih modula i ciljeva, omogućujući korisnicima svih razina stručnosti da brzo i precizno identificiraju ključne dokaze.

Osnovni cilj ovog rada je analizirati kako KAPE funkcionira, koje su njegove tehničke značajke, kako se uspoređuje s drugim forenzičkim alatima te kako se koristi u praksi.

KAPE je alat koji se koristi za brzo prikupljanje i analizu digitalnih dokaza na računalima ili drugim uređajima. Radi tako da:

1. Prikuplja datoteke koje su važne za istragu, poput povijesti preglednika, sistemskih logova i mrežnih podataka.
2. Obrađuje te datoteke pomoću dodatnih alata kako bi se dobili korisni rezultati (poput izvještaja ili vremenskih linija).

KAPE čita konfiguracijske datoteke “u hodu” (bez prethodne pripreme), a na temelju njihovog sadržaja prikuplja i obrađuje relevantne datoteke. Ova fleksibilnost omogućava da se funkcionalnost KAPE-a proširuje bez potrebe za intervencijom samog autora programa. Na primjer, korisnici mogu dodavati nove funkcije ili proširiti postojeće.

KAPE djeluje kroz dvije glavne faze: prikupljanje ciljeva i izvršavanje modula. Ova struktura omogućuje brzo prikupljanje relevantnih podataka i njihovu analizu na intuitivan i fleksibilan način. U nastavku se detaljno obrađuju tehničke značajke KAPE-a i opisuje kako alat funkcionira u praksi.

KAPE je alat dizajniran za brzinu i preciznost. Omogućuje istražiteljima prikupljanje ključnih digitalnih dokaza u samo nekoliko minuta. Njegova modularna arhitektura temelji se na YAML konfiguracijama, koje omogućuju definiranje ciljeva i modula na jednostavan način. YAML format omogućuje lako čitanje i pisanje pravila koja definiraju što će se prikupljati i kako će se analizirati prikupljeni podaci.

Jedna od najvažnijih prednosti KAPE-a je njegova fleksibilnost. KAPE omogućuje istražiteljima da koriste alat putem grafičkog korisničkog sučelja (GUI) ili naredbenog retka (CMD), čime se prilagođava preferencijama korisnika. Osim toga, alat podržava prilagodbu ciljeva i modula prema specifičnim potrebama istrage, omogućujući istražiteljima da efikasno prikupe i analiziraju relevantne dokaze.

Svi podaci prikupljeni KAPE-om čuvaju izvorne vremenske oznake i metapodatke, čime se osigurava integritet dokaza. Ovo je posebno važno u digitalnoj forenzici, gdje je očuvanje izvornog stanja dokaza ključno za njihovu pravnu valjanost. Dodatno, prikupljeni podaci organiziraju se u mape prema kategorijama, poput EvidenceOfExecution, BrowserHistory ili AccountUsage, čime se olakšava njihova analiza i pretraživanje.

Na visokoj razini, KAPE funkcionira dodavanjem maski datoteka u red. Taj red se zatim koristi za pronalazak i kopiranje datoteka s izvorne lokacije. Za datoteke koje su zaključane od strane operativnog sustava, drugi pokušaj zaobilazi zaključavanje. Na kraju procesa, KAPE izrađuje kopiju i čuva metapodatke svih dostupnih datoteka s izvorne lokacije u određenom direktoriju. Druga (neobavezna) faza obrade uključuje pokretanje jednog ili više programa nad prikupljenim podacima. I ova faza cilja specifične nazive datoteka ili direktorije. Različiti programi obrađuju datoteke, a izlazi tih programa spremaju se u direktorije organizirane prema kategorijama, poput EvidenceOfExecution, BrowserHistory ili AccountUsage.

Grupiranjem dokaza prema kategorijama, istražitelji svih razina stručnosti imaju mogućnost otkriti relevantne informacije, bez obzira na izvor pojedinačnog artefakta. Drugim riječima, istražitelj više ne mora znati kako obraditi datoteke poput prefetch, shimcache, amcache ili userassist, koje se odnose na dokaze o izvršenju aplikacija. Na kraju, širi raspon artefakata može se koristiti za bilo koju specifičnu potrebu.

Na kraju, cijeli proces izgleda ovako:

Slika 1: Cijeli proces rada KAPE alata

Prva faza rada KAPE-a uključuje prikupljanje podataka prema unaprijed definiranim ciljevima. Ciljevi određuju što će se prikupljati i gdje će KAPE tražiti te datoteke. Primjerice, ciljevi mogu biti postavljeni za pretragu povijesti pregledavanja, logova događaja ili određenih korisničkih datoteka.

Proces prikupljanja podataka započinje izradom reda datoteka koje odgovaraju zadanom pravilu. Datoteke koje nisu dostupne zbog zaključavanja od strane operativnog sustava premještaju se u sekundarni red. Za te datoteke koristi se napredna tehnika čitanja sirovih podataka s diska, čime se osigurava pristup i kopiranje zaključanih datoteka.

Prikupljeni podaci pohranjuju se u zadanu mapu na sigurnoj lokaciji, zajedno s log datotekama koje dokumentiraju proces prikupljanja. Na taj način istražitelji mogu pratiti sve korake koji su poduzeti tijekom prikupljanja dokaza. Struktura sirovih podataka prikupljenih pomoću KAPE-a, organiziranih prema mapama i metapodacima prikazana je na slici ispod:

Slika 2: Struktura sirovih podataka prikupljenih pomoću KAPE-a

Nakon što su podaci prikupljeni, KAPE pokreće drugu fazu svog rada, koja uključuje izvršavanje modula. Moduli su programski alati koji obrađuju prikupljene dokaze. Cilj ove faze je analizirati i strukturirati podatke kako bi se generirali korisni izvještaji.

Na primjer, modul BrowserHistoryParser može analizirati povijest pregledavanja i generirati CSV datoteke koje sadrže informacije o posjećenim stranicama, vremenskim oznakama i korisničkim aktivnostima. Drugi moduli, poput EvtxECmd, analiziraju logove događaja kako bi identificirali neovlaštene prijave ili sumnjive aktivnosti unutar sustava.

Rezultati modula organiziraju se prema kategorijama, omogućujući istražiteljima brzo pretraživanje i identifikaciju ključnih informacija. Prikaz CSV datoteka i drugih tekstualnih izvještaja generiranih modulima KAPE-a, organiziranih prema vrsti podataka na sljedećoj slici:

Slika 3: Prikaz datoteka generiranih modulima

Cilj je prikupljanje datotečnih dokaza s računala žrtve.

1. Izvor podataka: Parametar –tsource predstavlja C: pogon računala žrtve, s kojeg se prikupljaju dokazi
2. Cilj prikupljanja: Parametar –target definira vrstu dokaza koji se traže, u ovom slučaju datotečne sustave (Filesystem evidence)
3. Odredište za pohranu dokaza: Parametar –tdest predstavlja USB uređaj koji je povezan s računalom žrtve za prikupljanje i spremanje dokaza

kape.exe --tsource C:\ --target Filesystem --tdest E:\

Nakon izvršavanja naredbe, KAPE prikuplja tražene datoteke i njihove metapodatke s C: pogona računala žrtve te ih pohranjuje na povezani USB uređaj (E:). Ova metoda omogućuje brzo i efikasno prikupljanje relevantnih dokaza bez promjene originalnih podataka na računalu žrtve. Na sljedećoj slici je prikazan rezultat prethodne naredbe.

Slika 4: Rezultat naredbe

Razvoj alata KAPE rezultat je rastuće potrebe za učinkovitim i brzim pristupom digitalnim dokazima u području digitalne forenzike i odgovora na incidente (DFIR). KAPE je osmišljen kako bi pomogao istražiteljima da na najbrži i najprecizniji način prikupe i analiziraju ključne podatke s digitalnih uređaja.

KAPE je kreirao Eric Zimmerman. Ugledni stručnjak u području digitalne forenzike i kibernetičke sigurnosti, poznat po razvoju inovativnih alata koji istražiteljima olakšavaju analizu digitalnih dokaza. Sa svojom stručnošću i praktičnim iskustvom, Zimmerman je postao jedan od ključnih autoriteta u zajednici za digitalnu forenziku i odgovor na incidente (DFIR). Njegova karijera obuhvaća više od deset godina rada u FBI-ju, gdje je bio ključna figura u analizi digitalnih dokaza u slučajevima vezanim za kibernetički kriminal. Tijekom tog razdoblja, Zimmerman je razvio niz prilagođenih alata kako bi poboljšao učinkovitost istraga. Zimmerman je prepoznao potrebu za alatom koji bi mogao:

• Prikupiti relevantne digitalne artefakte u samo nekoliko minuta.
• Obraditi te artefakte na strukturiran način.
• Omogućiti istražiteljima da brzo identificiraju ključne informacije bez dugotrajnog pretraživanja.

Prednosti KAPE alata
Jedna od glavnih prednosti KAPE-a je njegova sposobnost brzog prikupljanja i analize ključnih digitalnih dokaza. Osim brzine, KAPE se ističe i svojom fleksibilnošću i modularnošću. Alat koristi targets i modules koji su prilagodljivi prema specifičnim potrebama istrage. Ovo omogućava istražiteljima veliku razinu prilagodbe. KAPE je također vrlo učinkovit u situacijama koje zahtijevaju brzu reakciju, poput ransomware napada ili drugih hitnih istraga. U takvim slučajevima omogućuje brz uvid u ključne tragove, čime se značajno sužava područje istrage. Dodatno, alat ima snažnu podršku aktivne zajednice i autora Erica Zimmermana. Na njegovom GitHub repozitoriju dostupne su redovite nadogradnje alata, uz nove ciljeve i module koji su kreirani na temelju povratnih informacija korisnika.

Nedostaci KAPE alata
Unatoč svojim prednostima, KAPE ima i nekoliko ograničenja. Jedno od glavnih ograničenja je činjenica da je primarno fokusiran na Windows okruženja. Iako alat ima određene mogućnosti za rad s drugim sustavima poput Linuxa i macOS-a, njegova glavna funkcionalnost dizajnirana je za Windows digitalnu forenziku. Još jedno ograničenje je potreba za tehničkim znanjem kako bi se alat optimalno koristio. Iako KAPE nudi preddefinirane ciljeve i module, iskusniji korisnici koji znaju prilagoditi YAML konfiguracije mogu izvući maksimalnu korist. Za početnike, ovo može biti izazovno. Osim toga, KAPE nije dizajniran kao sveobuhvatan alat za analizu. Njegova glavna svrha je brzo prikupljanje dokaza u početnim fazama istrage. Za dublju i detaljniju analizu potrebni su dodatni alati poput EnCase, X-Ways Forensics ili Autopsy.

U ovom slučaju, tim za digitalnu forenziku istražuje računalo osumnjičenog za distribuciju ilegalnih materijala putem interneta. Cilj je brzo identificirati dokaze koji potvrđuju ili opovrgavaju sumnju, dok se istovremeno minimizira vrijeme potrebno za analizu kako bi se što prije osigurala sigurnost žrtava.

Istražitelji pripremaju KAPE na USB memoriji kako bi ga mogli pokrenuti na mjestu istrage ili na forenzičkoj slici diska u laboratorijskim uvjetima. Definiraju “targets” i “modules” prije pokretanja, prilagođene vrsti dokaza koje žele prikupiti. Primjeri ciljeva:

• Povijest preglednika (Chrome, Firefox, Edge).
• Preuzete datoteke i njihove metapodatke.
• Korisničke aktivnosti (poput pristupa mapama ili aplikacijama).
• Slike i videozapisi (filtrirano prema veličini i formatima poput .jpg, .png, .mp4).

KAPE pokreće proces prikupljanja artefakata na temelju konfiguriranih ciljeva. Pretražuje direktorij “Downloads” i druge korisničke mape kako bi pronašao sumnjive datoteke. Analizira povijest pregledavanja radi otkrivanja pristupa ilegalnim web stranicama. Tijekom ovog procesa, KAPE kopira ključne artefakte na sigurno mjesto bez izmjene izvornih podataka.

KAPE koristi “raw disk read” metodu za pristup datotekama koje su zaključane od strane operativnog sustava. Svi prikupljeni podaci, uključujući vremenske oznake i metapodatke, pohranjuju se na USB uređaj.

Nakon prikupljanja, KAPE pokreće module za parsiranje podataka. Modul za pregled povijesti preglednika analizira .json i .db datoteke i generira CSV izvješća s popisom posjećenih stranica, vremena i pretraživanih pojmova. Modul za analizu slika automatski označava datoteke sa sumnjivim sadržajem (npr. pomoću hash baze poznatih ilegalnih datoteka). Prikupljeni dokazi sortiraju se prema kategorijama, kao što su “EvidenceOfExecution”, “BrowserHistory” ili “DownloadedFiles”.

Tim pregledava generirane izvještaje, fokusirajući se na ključne tragove poput hashova datoteka, posjećenih URL-ova ili vremena pristupa određenim aplikacijama.

KAPE omogućuje istražiteljima da identificiraju ilegalne slike pohranjene u mapi “Downloads”, uz povijest preuzimanja koja ukazuje na povezane web stranice. Povijest preglednika otkriva posjete skrivenim servisima na mreži (dark web).

Senior inženjer napušta tvrtku i pokreće vlastiti posao s konkurentskim proizvodom. Sumnja se da je prije odlaska ukrao povjerljive podatke.

Ciljevi (Targets): Analiza povezanih USB uređaja korištenih za prijenos podataka (modul Registry\RECmd). Analiza pristupa datotekama i mapama (modul Shellbags).
Moduli: Analiza evidencije izvršenih programa (modul Registry\UserAssist). Izvlačenje metapodataka o datotekama za praćenje vremenskog slijeda pristupa i kopiranja.
Rezultati: Utvrđeno je da je osumnjičenik koristio USB uređaje za kopiranje datoteka s osjetljivim informacijama. Podaci su potvrđeni kroz vremenske oznake i tragove pristupa.

1. https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape
2. https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape/resources
3. https://www.kroll.com/en/insights/webcasts-and-videos/webinar-replay-insider-threat-investigations-using-kape
4. https://medium.com/@cyberengage.org/kape-a-detailed-exploration-c16af1113b91
5. https://www.jaacostan.com/2021/09/dfir-kape-evidence-collection.html
6. https://github.com/EricZimmerman/KapeFiles/issues