Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25.

Link na video prezentaciju.

Zui je napredni alat za mrežnu analizu i kibernetičku sigurnost, osmišljen za učinkovito istraživanje složenih struktura podataka i mrežnog prometa. Razvio ga je Brim Data, a 2023. godine preimenovan je iz Brima u Zui kako bi se naglasila povezanost s tehnologijom Zed. Zui podržava širok spektar formata podataka i integraciju s alatima poput Zeeka, Suricate i Wiresharka. Njegove ključne značajke uključuju analizu PCAP datoteka, vizualizaciju mrežnih aktivnosti, napredno filtriranje podataka pomoću Zed jezika i integraciju s vanjskim servisima poput VirusTotala.

Prednosti alata uključuju intuitivno sučelje, mogućnost analize velikih skupova podataka i vizualizaciju mrežnih obrazaca, dok se nedostaci odnose na krivulju učenja za napredne značajke, potrebu za snažnim računalnim resursima i ograničenu podršku zajednice. Zui predstavlja ključan alat za analitičare u borbi protiv sve složenijih prijetnji kibernetičkoj sigurnosti.

S obzirom na sve veće izazove u području računalne forenzike i kibernetičke sigurnosti, potreba za naprednim alatima koji omogućuju brzu i preciznu analizu podataka neprestano raste. Alati koji mogu obraditi velike količine podataka i pružiti ključne uvide u realnom vremenu postaju ključni za prepoznavanje prijetnji i zaštitu mreža. Jedan od takvih alata je Zui. On se ističe svojom inovativnošću i mogućnostima integracije s drugim analitičkim sustavima, pružajući značajne prednosti u mrežnoj forenzici i istraživanju podataka.

Zui (Slika 1) je napredni alat za analizu mreža koji je postao značajan u području kibernetičke sigurnosti i istraživanja podataka. Osmišljen je kako bi olakšao istraživanje složenih struktura podataka, posebice u analizi mrežnog prometa. Podržava razne formate podataka te nudi značajke poput unosa podataka metodom povuci-i-ispusti (drag-and-drop), automatskog prepoznavanja shema i mogućnosti upita pomoću jezika Zed. Ove značajke čine ga iznimno učinkovitim za analizu sigurnosnih zapisa koje generiraju alati poput Zeeka (prije poznatog kao Bro) i Suricate, ključnih za prepoznavanje prijetnji u mrežnom prometu.

Slika 1: Zui logo

Godinama je bio poznat pod nazivom Brim, prema tvrtki Brim Data koja je razvila software. 2023. godine aplikacija je preimenovana u Zui (kratica od “Zed User Interface”) kako bi bolje odražavala povezanost s tehnologijom Zed koja je pokreće.

Zui je zadržao sigurnosno specifične značajke koje su Brim učinile popularnim, dok istovremeno širi svoju primjenu na sve koji rade s podacima. Na primjer, prilagođeni prikazi, histogrami i korelacije relevantni za područje sigurnosti i dalje su prisutni u Zui-u putem njegovog začetnog sustava dodataka. U budućnosti će razvojni programeri moći izrađivati prilagođene dodatke koji će Zui učiniti još učinkovitijim za njihove specifične potrebe.

Iako Zui podržava razne oblike podataka, aplikacija nudi posebne funkcionalnosti za PCAP datoteke (packet capture). Kada se PCAP datoteka uveze u Zui, podaci se automatski obrađuju pomoću Zeeka i Suricata alata kako bi se generirali detaljni zapisi događaja. Zeek se fokusira na događaje na razini veza i aplikacija, pružajući uvid u mrežne tokove zabilježene u podacima paketa. S druge strane, Suricata primjenjuje skup unaprijed definiranih pravila za prepoznavanje potencijalnih prijetnji i anomalija u prometu, generirajući upozorenja kada se otkriju sumnjive aktivnosti.

Nakon što Zui pošalje PCAP datoteku na analizu, dobiveni događaji pohranjuju se u strukturiranom formatu unutar Zed Lake-a. To korisnicima omogućuje korištenje Zed jezika za pretraživanje sažetih zapisa generiranih analizom. Analitičari lako mogu filtrirati velike količine podataka kako bi identificirali specifične događaje od interesa, poput neuobičajenih uzoraka konekcija ili upozorenja koja je generirala Suricata (Slika 2).

Slika 2: Upozorenja generirana Suricatom

Jedna od ključnih funkcionalnosti Zui-a je opcija „Download Packets“ (Slika 3). Kada analitičari pronađu događaj koji žele detaljnije istražiti, mogu izabrati ovu opciju kako bi izdvojili samo relevantne pakete povezane s tim specifičnim tokom iz originalne PCAP datoteke. Takvo ciljano izdvajanje posebno je korisno jer štedi vrijeme u usporedbi s ručnim pregledavanjem velikih PCAP datoteka u tradicionalnim alatima poput Wiresharka. Fokusiranjem samo na pakete povezane s identificiranim događajem, analitičari mogu na brz način prikupiti dokaze.

Slika 3: Preuzimanje paketa

Zui također unapređuje analizu paketa kroz korisnički prilagođeno sučelje i opcije u izborniku. Na primjer, analitičari mogu poslati vrijednosti polja izravno vanjskim servisima poput VirusTotala kako bi odmah dobili kontekst o potencijalnim prijetnjama, poput hash vrijednosti sumnjivih datoteka. Ova integracija pojednostavljuje proces istrage omogućujući analitičarima da lako povežu svoja otkrića s vanjskim izvorima informacija o prijetnjama.

Osim toga, Zui pruža vizualne prikaze mrežne aktivnosti, poput „ladder“ dijagrama (Slika 4) koji sažimaju životne cikluse konekcija i korelacije između različitih Zeek događaja i Suricata upozorenja. Ova vizualna pomagala pomažu analitičarima da bolje razumiju složene interakcije unutar mrežnog prometa i učinkovitije prepoznaju obrasce koji ukazuju na sigurnosne incidente.

Slika 4: Primjer ladder dijagrama

Jedna od istaknutih značajki Zui-a je njegova mogućnost rada s drugim alatima za analizu mreža. Na primjer, Zui se može koristiti uz Wireshark i Network Miner za analizu datoteka s presretnutim paketima (PCAP datoteke). U praksi Zui se koristi za brzo prepoznavanje anomalija ili zlonamjernih aktivnosti u mrežnom prometu snimljenom tijekom specifičnih incidenata, poput skeniranja portova ili pokušaja iskorištavanja ranjivosti. Ova integracija omogućuje sveobuhvatniju analizu povezivanjem podataka iz više izvora.

Pri radu sa Zui-jem, moeže se koristiti Network Miner za početnu ekstrakciju podataka prije nego što detaljnije istraže podatke unutar Zui-a. Nakon što se iz Network Minera izdvoje relevantne datoteke, njihove podatke se može unjeti u Zui radi daljnje analize korelacije s drugim mrežnim događajima zabilježenim od strane Zeeka ili Suricate. Ovaj radni proces ne samo da pojednostavljuje proces analize, već i poboljšava sposobnost identificiranja obrazaca i odnosa između različitih vrsta podataka.

Osim za analizu podataka, Zui ima i ključnu ulogu u otkrivanju prijetnji i odgovoru na incidente. Omogućujući vizualizaciju veza i transakcija na razini aplikacija putem jedinstvenih identifikatora koje generira Zeek, Zui pomaže u uspostavljanju korelacija među različitim događajima. Ovo pridonosi boljem razumijevanju ponašanja mreže kroz vrijeme i identificiranju obrazaca koji ukazuju na narušavanje sigurnosti.

Osim toga, sučelje Zui-a je korisnički orijentirano što pojednostavljuje navigaciju kroz složene skupove podataka. Analitičari mogu koristiti izbornike dostupne desnim klikom za brzi pristup opcijama filtriranja i pivotiranja, što olakšava usmjeravanje pažnje na relevantne točke podataka. Također, mogućnost slanja vrijednosti polja izravno na vanjske usluge poput VirusTotala dodatno poboljšava funkcionalnost alata, pružajući kontekst o potencijalnim prijetnjama u stvarnom vremenu.

Prednosti Zui alata
• Sučelje prilagođeno korisnicima: Zui je osmišljen s intuitivnim sučeljem koje pojednostavljuje istraživanje složenih skupova podataka. Funkcionalnost “povuci-i-ispusti” (drag-and-drop) omogućuje jednostavan unos podataka, čineći alat pristupačnim čak i korisnicima malog tehničkog znanja.

• Mogućnosti upita: Korištenjem Zed jezika, Zui omogućuje napredno pretraživanje mrežnih podataka. Mogu se učinkovito filtrirati i pretraživati veliki skupovi podataka, što omogućuje brzo prepoznavanje anomalija ili prijetnji u mrežnom prometu.

• Integracija s drugim alatima: Zui besprijekorno radi s alatima poput Zeeka, Suricate, Wiresharka i Network Minera. Ova integracija omogućuje sveobuhvatan analitički tijek rada, gdje korisnici mogu iskoristiti prednosti svakog alata, poput detaljne inspekcije paketa u Wiresharku ili ekstrakcije datoteka iz Network Minera, povećavajući ukupne istraživačke mogućnosti.

• Učinkovita analiza paketa: Zui-ova sposobnost izdvajanja relevantnih paketa iz PCAP datoteka pojednostavljuje proces analize. Korisnici se mogu usredotočiti na specifične događaje bez potrebe za pretraživanjem nebitnih podataka, što štedi vrijeme i povećava učinkovitost.

• Poboljšana vizualizacija: Zui nudi vizualne prikaze mrežnih aktivnosti, pripomažući lakšem razumijevanju složenihe interakcija unutar mrežnog prometa. Ova značajka olakšava prepoznavanje obrazaca koji ukazuju na sigurnosne incidente.

• Podrška za vanjske integracije: Zui omogućuje korisnicima slanje vrijednosti polja vanjskim uslugama poput VirusTotala za dobivanje konteksta o prijetnjama u stvarnom vremenu. Ova mogućnost poboljšava istraživački proces pružanjem dodatnih uvida o potencijalnim prijetnjama.

Nedostaci Zui alata
• Vrijeme učenja naprednih značajki: Iako je Zui prilagođen korisnicima, svladavanje njegovih naprednih značajki i Zed jezika može zahtijevati određeno vrijeme. Analitičarima naviknutima na druge alate može biti potrebno prilagođavanje Zui-ovim jedinstvenim funkcionalnostima.

• Ovisnost o vanjskim alatima: Iako se Zui dobro integrira s raznim analitičkim alatima, njegova ovisnost o tim vanjskim aplikacijama može se smatrati ograničenjem. Korisnici možda moraju prelaziti između više platformi kako bi proveli sveobuhvatne analize, što može narušiti učinkovitost tijeka rada.

• Potrebni resursi: Ovisno o veličini analiziranih skupova podataka, Zui može biti zahtjevan po pitanju računalne snage i memorije. Nedostatak resursa može uzrokovati izazove u učinkovitoj primjeni Zui-a.

• Ograničena podrška zajednice: Kao relativno nov alat u području kibernetičke sigurnosti, Zui još nema dobro razvijenu zajednicu i mrežu podrške u usporedbi s starijim alatima poput Wiresharka ili Snorta. Ovo bi korisnicima moglo otežati rješavanje problema.

• Potencijalna prevelika oslanjanja na automatizaciju: Automatizirane značajke u Zui-u mogu povećati učinkovitost, ali i dovesti do pretjeranog oslanjanja na automatizirane procese bez dovoljne ručne provjere. To može rezultirati propuštenim prijetnjama ako korisnici nisu dovoljno oprezni u radu s podacima.

Zui se ističe kao moćan alat za mrežnu analizu zahvaljujući svojim naprednim značajkama i sposobnosti integracije s drugim analitičkim alatima. Njegov dizajn omogućuje učinkovito istraživanje velikih skupova podataka uz pružanje ključnih uvida u ponašanje mreže i sigurnosne incidente. S obzirom na to da prijetnje kibernetičkoj sigurnosti postaju sve složenije, alati poput Zui-a bit će neophodni za analitičare koji nastoje učinkovito zaštititi mreže od zlonamjernih aktivnosti. Kombinirajući jednostavnost korištenja s naprednim analitičkim sposobnostima, Zui se pozicionira kao ključan resurs u području kibernetičke sigurnosti.

[1] The Zui Desktop Application, pristupljeno 23. siječnja 2025.https://zui.brimdata.io/docs

[2] Brim data, pristupljeno 23. siječnja 2025.https://github.com/brimdata/zui

[3] Pavol Kulka, “A quick guide to analysing malicious network traffic”, pristupljeno 24. siječnja 2025.https://medium.com/@pavol.kluka/a-quick-guide-to-analysing-malicious-network-traffic-7b2c3ba819d6

[4] Raivenx, “ZUI (formerly BRIM) for CTFs”, pristupljano 24.siječnja 2025.https://medium.com/@raivenx/zui-formerly-brim-for-ctfs-4b2d22f08e91

[5] Brim data, “Zui Feature Tour - Preview & Load”, pristupljneo 24.siječnja 2025.https://www.youtube.com/watch?v=kR-kcKx9iHw