👣 Как пользоваться Autopsy (инструкция, обзор, мануал) – Information Security Squad
👣 Как пользоваться Autopsy (инструкция, обзор, мануал)

Сегодня рассмотрим анализ образа виртуальной машины с помощью инструмента Autopsy.

Для начала пару слов о программе:

Autopsy  позволяет исследовать жесткий диск или мобильное устройство и восстановить с него улики. Autopsy является цифровой платформой судебно-криминалистической экспертизы. Инструмент используется правоохранительными органами, военными и корпоративными экспертами для расследования того, что произошло на компьютере. Программное обеспечение является свободным в распространении, для установки на Windows используется установщик msi. Поддерживается Linux (входит в состав дистрибутива Kali Linux) и MAC OS. Autopsy  может использоваться как для банального восстановления данных, так и при проведении расследований инцидентов информационной безопасности, сбора доказательной базы, в ряде случаев, и благодаря гибкой настройки для поиска информации, будет полезен и коллегам из экономической безопасности. Рассмотрим его функционал и поговорим о том как им пользоваться.

Наша задача будет состоять в том, чтобы анализировать файловую систему образа виртуальной машины  VirtualBox, с отформатированным системным разделом. Загрузка через программы виртуализации не обеспечит нам запуск системы. Итак приступим.

Для начало нам необходимо конвертировать файл образа из формата vdi в формат vdmk. Autopsy  , к сожалению работает только с форматами vdmk и vhd. Для преобразования используем VirtualBox. Конвертер VirtualBox позволяет преобразовывать из  поддерживаемые программой форматов виртуальных жёстких дисков в другие (например VMware).  Для этого в меню VirtualBox перейдем в Файл -> Менеджер виртуальных носителей.

 

 

Выберем файл образа itsecforu.vdi (кнопка “Добавить”) и нажмем “Копировать”

Выбираем наш образ диска, жмем далее. Для нашего примера выбираем формат VMDK (Virtual Machine Disk), выбираем динамический или фиксированный образ диска, жмем далее, выбираем директорию для сохранения нового образа диска и нажимаем кнопку копировать. В итоге мы получили файл itsecforu.vmdk. Стоит отметить, что в качестве источника данных в Autopsy могут выступать:

1. Образы диска и файлы виртуальных машин: файл или набор файлов, содержащих копию жесткого диска, ssd карты или образа жесткого диска

2. Локальный диск или USB-накопитель

3. Локальные файлы и папки

4. Файлы неразмеченных областей

5. Результаты работы Autopsy Logical Image (компонент Autopsy)

6 .Экспорт текста XRY: результаты экспорта текстовых файлов из XRY. ( формат XRY с самого начала был разработан с учетом требований судебно-криминалистической защиты информации)

Рассмотрев форматы источников, вернемся к нашей задаче. Для начала запускаем Autopsy и в открывшемся окне выбираем new case

 

Вводим название дела, выбираем директорию хранения базы данных , однопользовательский режим (в нашем случае) и жмем “Далее”, пропускаем блок с доп. информацией и жмем “Готово”. После создания дела нам предлагается выбрать источник данных, в нашем случае выбираем Disk Image or VM File и жмем “Далее”

 

В разделе Select Data Source указываем путь хранения файла itsecforu.vmdk , временную зону и размер сектора, опционально можно указать значения хэша и жмем “Далее”. Теперь необходимо указать какие доступные модули будут использоваться при работе с образом виртуальной машины. Мы выберем все и кратко поясним, что делают основные модули

 

 

1. Recent Activity Module – модуль позволяет извлечь активность пользователя, веб запросы, загрузки, закладки браузера, файлы cookie и тд. Анализирует реестр – установленные и запускаемые программы, данные об подключенных USB устройствах, извлекает данные из корзины.

2. Hash Lookup -модуль вычисляет хэш-значения MD5 для и ищет хэш-значения в базе данных, чтобы определить, является ли файл известным. Для его работы необходимо добавить базу хэшей.  поддерживается огромная база NIST NSRL, которая содержит хэши известных файлов Windows/PC,Android, iOS. Отметим, что использование NIST NSRL ускоряет ваши исследования, поскольку вы можете игнорировать известные файлы.

3. File Type Identification – определяет файлы на основе их внутренних подписей и не полагается на расширение файлов. Autopsy использует библиотеку Tika, (обнаруживает и извлекает метаданные и текст из более чем тысячи различных типов файлов). Может быть гибко настроено  пользователем  правилами.

4. Embedded File Extraction -модуль открывает ZIP, RAR, другие форматы архивов, Doc, Docx, PPT, PPTX, XLS и XLSX и отправляет извлеченные файлы из этих файло для анализа. В случае зашифрованных архивов, при наличие пароля, позволяет расшифровать эти архивы.

4. EXIF Parser – модуль извлекает информацию EXIF (служебную информацию) из полученных изображений. Позволяет определить географические координаты места, где был сделан снимок, время, когда был сделан снимок, типа (модель) камеры, используемой для съемки изображения  и ее некоторые настройки .

5. Extension Mismatch Detector -модуль поиска несоответствий расширений. Этот модуль может выдавать множество ложных срабатываний, т.к. например многие файлы переименовываются в “.tmp.” или “bak”
Можно уменьшить количество ложных срабатываний, сосредоточившись на типах файлов. По умолчанию используются только мультимедиа и исполняемые файлы

4. Keyword Search Module – напоминает поиск по ключевым словам в DLP системах. Он извлекает текст из поддерживаемых форматов файлов, таких как текстовый формат  txt, документы MS Office, PDF-файлы, электронная почта и многие другие. Существует также параметр для включения оптического распознавания символов (OCR). C его помощью текст может быть извлечен из поддерживаемых типов изображений. При включение этой функции  поиск займет больше времени  и результаты не являются совершенными.

5. Email Parser Module – модуль идентифицирует файлы формата MBOX, EML и PST на основе подписей файлов. Добавляет вложения в качестве дочерних элементов сообщений, группирует сообщения  в потоки.

6. Encryption detection module – модуль помечает файлы и тома, которые являются зашифроваными или могут быть такими.

Модуль ищет следующие типы шифрования:

  • Любой файл, который имеет энтропию, равную или превышающее порог в настройках модуля
  • Защищенные паролем файлы Office, PDF-файлы и базы данных Access
  • Разделы BitLocker
  • SQLCipher
  • VeraCrypt

7. Interesting Files – модуль поиска файлов и каталогов, которые соответствуют набору заданных правил (например имя+ тип файла+ размер). Это может быть полезно, если вам всегда нужно проверить, находятся ли файлы с данным именем или способом в источнике данных, или если вы всегда заинтересованы в файлах с определенным типом.

8. Virtual Machine Extractor –модуль анализирует виртуальные машины, найденные в источнике данных.Обнаруживает файлы vmdk и vhd и делает локальную копию их, не требует конфигурации.

9. Plaso Module -модуль использует инструмент Placo с открытым исходным кодом для анализа различных журналов и типов файлов для извлечения временных меток, визуализирует данные в виде гистограммы.

10. Android Analyzer – модуль позволяет анализировать SQLite и другие файлы с устройства Android. Модуль должен быть способен извлекать следующие данные: Текстовые сообщения ( SMS / MMS), журнал вызовов, контакты, GPS из браузера и Google MapsGPS из кэша.Wi-Fi.

После выбора модулей запускается процесс работы Autopsy, осталось подождать результатов. После отработки модулей видим следующую картину: слева дерево подкаталогов -справа детальное отражение. Теперь можем приступать к анализу содержимого. Например, в Ветке Exracted Content и блоке  Operation System  видим данные домена, имя хоста, версии ОС и т.д.

 

В блоке USB Device, к примеру, видим что подключался ключевой носитель Jacarta, компании Alladin

 

В ветке Deleted Files мы видим удаленный пользователем установочный файл клиента Battle.net от компании Bllizzard (Warcraft).

 

 

Как Вы видите, много чего можем найти исследуя диск.

Сразу отметим, что для детального рассмотрения всего функционала уйдет не одна статья, здесь же мы лишь прикоснулись и слегка его пощупали. Однако мы постарались емко, доступно и на примерах рассмотреть функционал. Вопросы пишите в комментариях.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *