Den fattige forensikern
Forensik i alla dess former börjar bli allt mer vanligt förekommande.
Problemet är att det ofta är dyrt med både den mjukvara och hårdvara som behövs för att genomföra en forensisk undersökning.
I den här artikeln undersöker vi vad vi kan åstadkomma med en begränsad budget och när vi enbart använder oss av freeware.
Scenario:
Här kommer vi titta närmare på ett scenario där vi har en suspekt dator varifrån vi tror att företagshemligheter har spridits.
Vi har tagit reda på följande information om datorn:
- Kör Windows 7 home edition
- Kontot som informationen stulits ifrån är lösenordskyddad
- Datorn är påslagen och användaren har tidigare loggat in och därefter låst kontot
- Har en firewire-port
Till att börja med måste vi först logga in och hämta ut så mycket som möjligt av den volatila informationen, lagrad i datorns RAM-minne, innan vi undersöker hårddisken. Lyckligtvis vet vi att datorn har en firewire-port samt att operativsystemet är Windows 7. Detta innebär att vi kan använda en side-channel attack (även kallad Firewire-attack) för att på sådant sätt ändra några värden i RAM-minnet och ta oss förbi hela inloggnings-processen. Vi använder oss här av en firewire till firewire sladd (kostnad: ca 60 kr på Webbhallen) för att koppla vår angreppsdator till måldatorn. Därefter kör vi programvaran Inception på vår angreppsdator som används för olika typer av side-channel angrepp som vi nu använder för att ändra parametrarna i RAM-minnet för att ta oss förbi inloggningsprocessen:
Efter att värderna ändrats kan du använda valfritt lösenord för att logga in
Väl inne på systemet monterar vi en USB-sticka som vi tidigare har förberett med verktyg som vi kan använda för att utvinna volatil information.
Vi kör alla kommandon från den kommandotolk som ligger på USB-minnet för att förminska kontaminering och undvika fällor som användaren kan ha lagt. Först upp kör vi netstat som är ett inbyggt program i Windows som listar alla öppna portar på datorn. Vi tar också en lista över körande processer med kommandot tasklist och hämtar nuvarande internet-inställningar med kommandot ipconfig.
När vi har hämtat ut den grundläggande informationen så är det dags att samla in lösenord.
Här kör vi programvaran Mimikatz som kan utvinna lösenord och annan känslig information från RAM-minnet.
I Mimikatz logfil ser vi lösenordet för användaren i klartext.
Nu har vi hämtat ut all volatil information vi behöver och även lösenord.
Lämpligtvis bör man som en forensisk utredare även ta en kopia av det volatila minnet på det undersökta systemet. Detta kan göras med hjälp av FTK Imager, men i detta fall anser utredaren att det är slöseri med tid och fortsätter utan att ta en avbild.
Vi kan nu stänga av datorn och gå vidare med att utvinna informationen ur hårddisken.
Vi monterar hårddisken på vår undersökningsdator med hjälp av en SATA till USB konverterare(kostnad: ca 190 kr på Webbhallen alternativt 50 dollar för en med writeblocker på Amazon) och kör därefter FTK imager för att ta en avbild på hårddisken. Vi har nu en avbild på hårddisken som vi kör alla operationer mot. Nästa steg är att manuellt undersöka hårddisken efter ledtrådar som kan hjälpa oss i vår utredning.
Efter flera timmar intensivt letande hittar vi tillslut en ledtråd som kan hjälpa oss med vår utredning.
ZIP-filen är krypterad. Lyckligtvis glömmer vi inte bort att användare gillar att återanvända lösenord. Vi prövar några olika varianter av lösenordet med gemener och versaler på olika platser i lösenordet och med specialtecken och siffror och till slut lyckas vi dekryptera filen.
Det bör även noteras att denna process kan automatiseras genom att använda Jumbo patchen för John the ripper som inkluderar zip2john, vilket är ett verktyg för att knäcka lösenord till zip-filer.
Bingo! Vi har nu bevis på att den misstänkta samlat hemlig information i en behållare, vilket är högst misstänksamt! Nästa steg är att ta reda på om filerna har skickats vidare till en annan part. Under den manuella undersökningen observerades en installation av Mozilla Thunderbird e-postklient. Med lite tur så är e-postklienten inställd på att spara meddelanden lokalt på hårddisken. För att undersöka detta använder vi programmet Mailviewer och navigerar därefter till Thunderbirds standardmapp för att spara e-postmeddelanden, vilket oftast är under C:\Users\”användarnamn”\AppData\Thunderbird på en Windows-installation.
Här hittar vi ett utgående mail som ger starka indikationer på att vår misstänkte har skickat de superhemliga filerna till en annan person. Utredaren anser nu att vi har tillräckligt med bevis för att påvisa ett brott och kan därmed börja skriva ihop vår rapport
Slutsats
Som slutsats kan vi konstatera att en forensisk undersökning med enbart freeware är fullt möjlig.
Det blir en del mer manuellt arbete och vi behöver använda en stor upplaga av olika verktyg för att täcka olika aspekter, vilket även sammanfaller med fördelen för kommersiella verktyg.
I exempelvis Encase eller FTK analyser så har vi alla verktyg på samma plats, de är mer lättanvända och tack vare indexeringsfunktioner blir större utredningar snabbare. Dock ska man inte utesluta freeware helt från en utredning bara för att man råkar sitta på en Encase/FTK-licens. Många av de program som nämndes ovan är anpassade för specialområden och har därmed ibland funktioner som försvinner i de större verktygslådorna.
Hårdvara
Firewire till firewire-sladd : Webhallen
SATA till USB adapter: Webhallen
SATA till USB adapter med writeblocker: Amazon