Fermer

octobre 2, 2022

Collectes de preuves DFIR ciblées – OpenText Blogs

Collectes de preuves DFIR ciblées – OpenText Blogs


Pendant ou après un incident, il peut être nécessaire d’effectuer une analyse médico-légale sur les terminaux impliqués dans une violation ou un compromis. Ce blog traite des collections de preuves ciblées de Digital Forensics and Incident Response (DFIR) en ce qui concerne l’analyse des points finaux à l’aide des dernières fonctionnalités de Enquêteur OpenText™ EnCase™ Endpoint.

L’objectif global de l’analyse des points finaux est d’identifier l’impact commercial réel de la compromission et de raconter l’histoire de ce qui s’est passé. Il est également important de s’assurer que tous les fichiers malveillants sont identifiés. Les conclusions de l’analyse médico-légale peuvent être des éléments essentiels de la planification de la remédiation, qui devrait idéalement être élaborée au cours de l’enquête globale.

À titre d’exemple, dans une analyse récente de la boîte morte d’un incident impliquant un Infection par emotet, Services de conseil en sécurité OpenText trouvé un application persistante qui a été manqué lorsque le service informatique du client a tenté de nettoyer un pilote infecté pour le réutiliser. Le réseau a de nouveau été compromis, permettant à l’attaquant de retrouver l’accès et annulant l’ensemble de l’effort de remédiation.

Application persistante associée à Emotet dans la clé d’exécution NTUSER.DAT des utilisateurs.

Dans ces types d’enquêtes, des réponses immédiates et précises sont nécessaires, afin d’éviter d’avoir à imager de manière médico-légale un lecteur entier – en personne ou par câble – puis de passer du temps à traiter l’image entière pour analyser les preuves en ce qui concerne les artefacts pertinents.

Idéalement, nous souhaitons nous connecter au point de terminaison actif une fois qu’il est identifié, puis utiliser une méthode pour extrapoler uniquement les artefacts présentant un intérêt médico-légal. Utilisant Enquêteur des points finaux avec une condition de collecte personnalisée, nous pouvons faire exactement cela.

Dans une campagne de logiciels malveillants ou un scénario de menace interne, quels sont ces artefacts ?

Pour commencer, nous voulons identifier toutes les applications malveillantes en jeu. Ensuite, nous voulons déterminer le vecteur d’infection initial, nous voulons suivre l’activité de l’utilisateur et nous voulons identifier tous les autres terminaux impliqués.

Voici quelques points de collecte DFIR de départ utilisés par les intervenants en cas d’incident de nos services de conseil en sécurité :

  • Pour l’utilisation des applications :
    • ActivitésCache
    • AmCache
    • ShimCacheName
    • SRUDB
    • Prélecture
  • Pour la persévérance :
  • Pour l’activité de l’utilisateur :
    • Journalisation médico-légale
    • ShellBags
    • Listes de sauts
    • Corbeille
    • journaux d’événements

En plus de cette liste, nous voulons toujours essayer d’obtenir un vidage de RAM, ainsi qu’une image du service de cliché instantané des volumes (VSS) de Microsoft. Sur un lecteur utilisateur de point final de 100 Go, la collecte doit être réduite jusqu’à 99 % en fonction de la taille du NTJournal, des fichiers de registre et d’autres artefacts.

Sans condition de collecte, nous devons exporter ces artefacts manuellement. Pour gagner du temps et nous assurer que nous exportons systématiquement les artefacts pertinents dans toutes les enquêtes, nous utilisons un outil personnalisé Collection EnCondition.

Exécution de Collection EnCondition sur une partition dans une image de disque physique.

Arriver au point où vous pouvez utiliser Encondition

Lors de l’acquisition de données sur un réseau, nous voudrons d’abord prévisualiser les preuves. Si nous travaillons à partir d’un fichier image, nous devons d’abord le charger dans le Enquêteur des points finaux interface. Quelle que soit la méthode de collecte, une fois que le lecteur de preuves est affiché, nous pouvons double-cliquer sur le EnCondition en bas à droite de l’interface pour l’exécuter.

Création d’un Lx01 des fichiers analysés par condition de collection.

Cela filtrera la vue des fichiers analysés. Nous sélectionnons, à l’aide de la coche bleue, tous les fichiers que nous voulons collecter, puis nous faisons un clic droit, et nous sélectionnons « Acquérir > Créer un fichier de preuve logique ». Enfin, nous complétons la boîte de dialogue comme nous le ferions pour une acquisition standard.

Le résultat de l’exécution de la collection EnCondition sur un disque de 4 To.

Nous voyons que nous avons pu réduire considérablement le temps de collecte, ainsi que la taille de l’ensemble de données. Dans cet exemple d’un disque de 4 To, nous avons un sous-ensemble de preuves pertinentes qui ne fait que 446 Mo. Nous pouvons maintenant traiter le sous-ensemble de données de notre image pour mener notre analyse.

Collecte des réponses aux incidents EnCondition

Services de conseil en sécurité OpenText fournit aux clients une copie modifiable du Collecte des réponses aux incidents EnConditioncontactez votre gestionnaire de clientèle ou Nous contacter pour en obtenir une copie.

Actuellement, le Collecte des réponses aux incidents EnCondition (version 09012022) contient le code permettant de collecter les artefacts suivants :

  • Tout fichier avec une extension .log
  • Tous les fichiers de registre, y compris les fichiers de registre NTUSER.DAT de l’utilisateur
  • Tous les fichiers de prélecture
  • Le fichier SRUDB.dat
  • Le $MFT
  • Le $UsnJrnl
  • Le $LogFile
  • Tout fichier avec une extension .lnk
  • Journaux d’événements Windows .evt et .evtx
  • Le fichier Amcache.hve
  • Le fichier SetupAPI.dev.log
  • Le $Recycle.bin
  • Tous les fichiers de cookies
  • Artefacts des navigateurs Chrome, IE, Edge, Firefox et Safari.
  • Le Activitycache.db
  • Les fichiers de type exécutable suivants ; exe, applications, hta, scr, bat, jar, jse, js, vbe, vb, vbs, pptm, docm, dotm, xlsm, dll.

Les collectes ciblées de preuves de criminalistique numérique et de réponse aux incidents à l’aide d’EnCase permettent aux organisations de collecter des artefacts pertinents lors d’une enquête de réponse à un incident, et cela peut être fait efficacement en utilisant EnCondition. Dans le prochain blog, nous expliquerons pourquoi ces artefacts sont pertinents. Nous verrons également comment analyser certains de ces fichiers avec EnCase et d’autres avec des outils open-source écrits spécifiquement pour ces artefacts.

La Services de sécurité OpenText utilise sa vaste expérience pour identifier les risques de sécurité d’une organisation et travailler avec elle pour protéger les systèmes, offrant de multiples services pour répondre aux objectifs de cybersécurité et de confidentialité.

If you are attending Enfuse 2022, consider attending the SC17 - Dissecting an Intrusion on October 6th 11:45 AM – 12:30 PM in Lando 4304 to further learn about conducting IR investigations using EnCase.

Se fiancer avec Services de conseil en sécurité OpenText pour obtenir de l’aide avec votre EnCase Endpoint Investigator ou pour obtenir de l’aide avec l’investigation numérique et les cas de réponse aux incidents, contactez votre gestionnaire de clientèle ou Nous contacter.

Auteur : John Minotti, consultant principal chez OpenText Security Consulting Services

Le meilleur outil 2023 pour ta croissance Instagram !



Source link