Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Sadržaj

Pregled alata Redline (FireEye)

Sažetak

Alat Redline je jedan od forenzičkih alata koje je napravila tvrtka FireEye kako bi pomogla svim korisnicima u borbi protiv malicioznih računalnih radnji. Alat je najprilagođeniji Windows platformi, ali donekle podržava i ostale (Linux i Mac). Alat nudi korisnicima razne načine prikupljanja i obrade informacija o stanju računala i o prošlim malicioznim aktivnostima.

Keywords: Redline; FireEye; forenzička analiza; forenzički tragovi; besplatan alat; Windows; Linux; Mac

Uvod

Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:

  • Analizu memorije i datoteka
  • Stvaranje profila za procjenu prijetnji
  • Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
  • Analiza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima.
  • Analiza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.

Pokazatelji kompromitiranosti

Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema postojećem standardu. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:

  • Identificiraju samo napadačevu aktivnost.
  • Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
  • Element obične liste„Skupi“ su za napadača da ih izbjegne ili promjeni, napadač bi treba značajno promijeniti taktiku, alate ili pristup.

Kod korištenja IOC-a, alat Redline će stvoriti IOC izvješće u kojem prikazuje:

  • Detalje o definiciji i autoru
  • Sva pronađena podudaranja
  • Detaljne informacije o svakom rezultatu
  • Broj pokazatelja koji su generirali podudaranja
  • Lokaciju izvješća

Redline Istraga

Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:

  • Pregled u tablici s detaljima
  • Korištenje oznaka i komentara
  • Pretraživanje
  • Filtriranje znanog normalnog materijala pomoću prilagodljive liste
  • Filtriranje po vremenu
  • Dohvaćanje procesa
  • Direktno pretraživanje interneta za više informacija
  • Izvoz informacija u CSV datoteku

Prikupljanje informacija

Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću “Redline Collector-a” kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.

Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima:

  • Windows 10 (32/64 bit)
  • Windows 8x (32/64 bit)
  • Windows 7 (32/64 bit)
  • Microsoft Vista (32 bit)
  • Windows XP SP2 (32 bit)
  • Windows Server 2008 R2 (64 bit)
  • Windows Server 2003 R2 (32/64 bit)

“Redline Collector” kojeg generira alat Redline koji služi za prikupljanje željenih informacija trenutno je podržan na ovim operacijskim sustavima:

  • Windows 10 (32/64 bit)
  • Windows 8.1, Update 1 (32/64 bit)
  • Windows 8
  • (Windows) Server 2019 (64 bit)
  • (Windows) Server 2016 (64 bit)
  • (Windows) Server 2012 R2 (64 bit)
  • (Windows) Server 2012 (32/64 bit)
  • (Windows) Server 2008 R2 (32/64 bit)
  • (OS X) Mavericks 10.9 (64 bit)
  • (OS X) Yosemite 10.10 (64 bit)
  • (OS X) El Captain 10.11 (64 bit)
  • (OS X) Sierra 10.12 (64 bit)
  • (OS X) High Sierra 10.13 (64 bit)
  • (OS X) Mojave 10.14 (64 bit)
  • (Linux) RHEL 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)
  • (Linux) CentOs 6.8, 6.9, 6.10, 7.2, 7.3, 7.4, 7.5, 7.6 (64 bit)

Faze prikupljanja informacija su:

  1. Stvaranje Redline Collector-a iz alata Redline
  2. Prenošenje Redline Collector-a na krajnje računalo koje se želi analizirati.
  3. Pokretanje skripte Redline Collector-a.
  4. Prenošenje rezultata Redline Collector-a na računalo na kojem je instaliran alat Redline koji će analizirati prezentirati rezultate.

Kod stvaranja Redline Collector-a sve što je potrebno napraviti je označiti koje informacije se žele prikupiti. Postoji već zadani tipovi koji se mogu odabrati:

  • Standardan – Collector za prikupljanje minimalne količine podataka za završetak jedne analize.
  • Sveobuhvatan – Collector za prikupljanje većine informacija koje Redline može prikupiti i analizirati. Korisno ako se vrši potpuna analiza ili ako postoji samo jedna šansa za prikupljanje podataka s krajnjeg računala.
  • Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.

Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima.

Primjer odabiranja podataka o trajnoj memoriji.

Mogućnosti prikupljanja informacija

Redline Collector nudi mogućnost prikupljanja ovih informacija (ovdje su izdvojene najzanimljivije):

Informacije sustava:

  • BIOS (Windows)
  • Operacijski sustav
  • O korisničkom računu koji je pokrenuo skriptu za prikupljanje

Mrežni priključci:

  • Naziv
  • DHCP
  • MAC adresa
  • IP informacije
  • IP pristupne točke

Procesi - informacije o aktivnim procesima u trenutcima prikupljanja:

  • Naziv
  • Roditelj
  • Korisničko ime
  • Putanja
  • Vrijeme pokretanja
  • Proteklo vrijeme
  • Svojstvene informacije procesa (Windows, OS X)
  • Memorijski odlomci (Windows)
  • Tekstualni nizovi (Windows)
  • Povezani mrežni priključci (Windows)
  • Reference na interne objekte (Windows)

Datoteke i atributi:

  • Metapodaci
  • Sažetci
  • Vremenske oznake
  • Informacije o korisniku
  • Putanja
  • Digitalni potpisi

Registar (Windows):

  • Informacije o korisniku
  • Vrijednosti ključeva

Servisi (Windows, OS X) - samo oni poznati računalu:

  • Status
  • Digitalni potpisi
  • Sažetci

Korisnici (Windows, OS X):

  • Korisničko ime
  • Vrijeme zadnjeg pristupa
  • Pripadajuće grupe
  • Početni direktorij

Redovni zadaci i atributi:

  • Informacije o zadatku
  • Sažetci datoteka
  • Digitalni potpisi
  • Aplikacije
  • Vremenske informacije
  • Okidači i akcije po zadatku

Dnevnici događaja:

  • Izvorna aplikacija
  • Poruka
  • Korisnik
  • Vremenska oznaka
  • Tip dnevnika

Internetski protokoli:

  • DNS
  • ARP
  • Informacije o rutama

Povijest Internet pretraživača (Windows, OS X):

  • Identifikator poslužitelja
  • URL
  • Naslov stranice
  • Naziv i verzija pretraživača
  • Broj posjeta
  • Prethodna stranica
  • Trenutak prvog i posljednjeg posjeta (Windows)
  • Trenutak obilježavanja stranice

U alatu Redline kroz ove informacije se može filtrirati po:

  • Preusmjerenim pretraživanjima
  • Prethodnoj stranici
  • Posjećene samo jednom
  • Obilježene i posjećene stranice
  • Ručno upisane adrese
  • Skrivene posjete (posjete koje nisu prikazane korisniku)
  • Formama (sve stranice gdje je korisnik unio podatke)

Povijest „kolačića“ (engl. Cookie):

  • Naziv kolačića
  • Putanja kolačića
  • Zastavice
  • Naziv računala
  • Verzija pretraživača
  • Profil
  • Korisničko ime
  • Trenutak stvaranja
  • Trenutak isteknuća
  • Zadnji pristup
  • Zadnja promjena
  • Naziv i putanja datoteke

U alatu Redline kolačiće se može filtrirati po:

  • HTTPS oznaka
  • HTTP oznak
  • Zastavicama

Povijest formi za unos:

  • Naziv pretraživača
  • Verzija
  • Korisničko ime
  • Profil
  • Vrijednost i naziv polja za unos
  • Tip forme za unos
  • Trenutak stvaranja
  • Trenutak posljednjeg korištenja
  • Tip i enkripcija lozinke
  • Lozinka
  • Broj korištenja

Alat Redline razlikuje “login” i “normalne” forme.

Povijest preuzimanja:

  • Izvorni URL
  • Odredišni direktorij
  • Naziv i verzija pretraživača
  • Preuzeti byte-ovi
  • Početni i završni trenutak
  • Tip preuzimanja (Windows)
  • Naziv datoteke
  • Korisničko ime
  • Profil
  • Cache zastavice i broj „pogađanja“ (Windows)
  • Posljednji trenutak pristupanja, provjeravanja i mijenjanja

Alat Redline preuzimanja može filtrirati:

  • Običan tekst, npr. 'txt' datoteke
  • Slike, npr. '.jpeg', '.png'
  • Audio i video datoteke, npr. '.mp3', '.mp4', '.avi', '.mov'
  • PDF
  • Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik
  • Spremanja na nestandardne lokacije (Windows)
  • Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuvano je kompletno HTTP zaglavlje
  • Veće od 20 kb
  • Nezavršeno

Povijest najpopularnijih ljuski (Linux) - povijest ljuski, npr. 'bash', 'zsh', alat pregledava standardna mjesta gdje se datoteke s povijesti nalaze.

Povijest prijava na računalo

  • Trenutno aktivne
  • U prošlosti
  • Neuspjele prijave

Korištenje

Redline nudi razne mogućnosti različitog korištenja prilagođenog različitim situacijama. Ovdje ćemo prikazati dva najčešća.

Prvi slučaj ispituje i provodi istragu nad jednim odredišnim računalom prikazano na slici ispod. Provodi se u nekoliko koraka:

  1. Stvaranje Redline Collector-a iz alata Redline
  2. Prijenos Redline Collector-a na odredišno računalo
  3. Pokretanje Redline Collector-a na odredišnom računalu
  4. Prijenos Redline Collector-a na računalo za analizu (s alatom Redline)
  5. Uvoz prikupljenih podataka u alat Redline i analiza

Drugi slučaj ispituje više računala u organizaciji za koje se sumnja da su bili meta jednog ili više poznatih malicioznih napada. Provodi se u nekoliko koraka:

  1. Pronalazak postojećih IOC-a za tu vrstu napada ili stvaranje vlastitog IOC-a
  2. Stvaranje Redline IOC Collector-a iz alata Redline s odabranim IOC-ima
  3. Prijenos Redline IOC Collector-a na odredišno računalo (za svako odredišno računalo)
  4. Pokretanje Redline IOC Collector-a na odredišnom računalu (za svako odredišno računalo)
  5. Prijenos svih generiranih revizija Redline IOC Collector-a (sa svakog računala zajedno) na računalo za analizu (s alatom Redline)

Zaključak

Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.

Literatura

[1] Redline

[2] Redline User Guide

racfor_wiki/pregled_alata_redline.txt · Zadnja izmjena: 2023/06/19 18:17 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0