در این بخش از دوره SEC504 از موسسه SANS به آشنایی با Jump Bag و محتویاتی که در آن باید وجود داشته باشید می پرازیم.
GRR Rapid Respose
یکی از ابزارهای فوق العاده برای پاسخگویی به حادثه در سطح گسترده، ابزار GRR میباشد. در حال حاضر این پروژه توسط گوگل ایجاد شده و رایگان است. همچنین یکی از قابلیتهای مناسب این ابزار، اجرا بر روی سیستم عاملهای مختلف مانند ویندوز، لینوکس و مک میباشد.
GRR یک ابزار پایتونی است که کلاینت آن بر روی سیستم کلاینتها نصب میشود و می توان از طریق نسخه سرور با کلاینتها ارتباط برقرار نموده و آنها را مدیریت نمود.
یکی از قابلیتهای مهم این ابزار جمع آوری اطلاعات از حافظه از راه دور با استفاده از ابزار Rekall است.
این ابزار همچنین دارای توانایی جمع آوری اطلاعات فارنزیکی از تعداد زیادی از کلاینتها به صورت غیرهمزمان است. بدین معنی که اگر یک سیستم هنگامی که اطلاعاتی از آن درخواست شده، در شبکه متصل نباشد، برنامه منتظر خواهد ماند تا سیستم به شبکه متصل شود و پس از اتصال، دادههای مدنظر را جمع آوری مینماید.
برای دانلود این برنامه میتوانید به آدرس زیر مراجعه نمایید:
Jump Bag
برای انجام فرآیند Incident Handling شما به ابزارهای مختلفی نیاز دارید که پیشنهاد میکنیم این ابزارها را در یک کیف قرار داده و آن را همراه داشته باشید. به این کیف Jump bag گفته میشود که در واقع مشابه جعبه کمکهای اولیه میباشد.
اگر شما این کیف را به همراه محتویات داخل آن همراه نداشته باشید، مدت زمان رسیدگی به حادثه و انجام فرآیند پاسخگویی، زمان زیادی از شما خواهد گرفت که بیشتر آن صرف جستجو برای ابزار مناسب و نحوه استفاده از آن خواهدشد.
این را هم به خاطر داشته باشید که نباید چیزی از این کیف کم شود و نباید آن را در اختیار افراد دیگر قرار دهید (قرض دادن ابزار) این کار شما را در هنگام بروز حادثه، دچار مشکل خواهد نمود. بنابراین همواره از کیف مراقبت نموده و ابزار داخل آن را بروز نگه دارید. البته به همراه داشتن یک حافظه جانبی با ظرفیت بالا برای ذحیره سازی اطلاعات و شواهد نیز ایده مناسبی میباشد.
در ادامه به محتویات مورد نیاز در این کیف خواهیم پرداخت.
Jump Bag – Software
نرم افزارهایی که شما برای تهیه ایمیج به آنها نیاز دارید عبارتند از:
dd ، Netcat و Ncat برای انتقال دادهها از طریق شبکه، ابزار Safeback و ابزارهای مشابه آنها
ابزارهای فارنزیکی که به آنها نیاز دارید عبارتند از:
Sleuth Kit and Autopsy (free at www.sleuthkit.org)
EnCase(commercial software from Guidance Software)
Forensics Toolkit(commercial software from AccessData)
X-Ways Forensics software(commercial)
Jump Bag – Additional Software
هنگامی که در صحنه حادثه حاضر می شوید، به نرم افزارهای قابل اعتماد نیاز خواهید داشت. بستههای نرم افزاری که قابل بوت هستند یا Bootable CD-ROM packages بسیار ارزشمند هستند زیرا اجرای ابزارها از طریق سی دی رام در طی عملیات تحقیق بسیار قابل اطمینان تر هستند. چراکه نفوذگران قادر به تغییر CD نخواهند بود.
نکته: باینریهای متصل شده به صورت استاتیک به هیچ یک از کتابخانههای داخل سیستم قربانی متصل نیستند و از آن جا که مهاجمان ممکن است این کتابخانهها را تغییر داده باشند، ما می خواهیم از ابزارهایی استفاده نماییم که همه کتابخانههای آن ساخته شده باشند.
ما به شما هشدار می دهیم که از سی دیهای قابل بوت ویندوز مانند Windows PE برای Incident Handling و اهداف فارنزیکی استفاده نکنید. اگر چه این ابزارها برای ریکاوری مناسب هستند و اگر شما قصد جمع آوری شواهد را نداشته باشید میتوانند به شما کمک کنند ولی این ابزارها برای انجام فرآیندهای فارنزیکی توصیه نمیشود، زیرا اکثر آنها موجب تغییر در هارددیسک میشوند که در صورت استفاده از آنها برخی از فاکتورهای مهم در جمع آوری اطلاعات از بین می روند.
به جای این ابزارها میتوانید از ابزارهای قابل بوت لینوکسی مانند SIFT استفاده نمایید.
Jump Bag – Investigative Tools
کیف شما باید دارای یک ایمیج از سیستم عاملی باشد که از آن بتوان برای جمع آوری و آنالیز شواهد استفاده نمود. یکی از بهترین محیطهای لینوکسی برای تحقیق، اداره حادثه و انجام فرآیندهای فارنزیکی، ابزار SIFT میباشد که مخفف SANS Investigative Forensics Toolkit بوده و به صورت رایگان از شرکت SNAS در دسترس شما میباشد.
این ابزار که در قالب یک VMware appliance ارائه شده است و شامل صدها ابزار مختلف است که از آن می توان برای تجزیه و تحلیل شواهد استفاده نمود.
برخی از ابزارهای این مجموعه عبارتند از:
Sleuth Kit
Log2timeline
Wireshark
Volatility
ssdeep and md5deep
این ابزار از لینک زیر قابل دانلود میباشد:
https://digital-forensics.sans.org/community/downloads
Jump Bag – Hardware
پیشنهاد میکنیم تا موارد زیر را در کیف داشته باشید:
یک دستگاه USB Token RAM که برای ذخیره دادهها به صورت موقت از آن استفاده میشود تا آنها را در ادامه به یک دستگاه برای تجزیه و تحلیل دادهها منتقل نمایید. ظرفیت 8 گیگابایت برای این دستگاه کفایت میکند.
یک دستگاه هارددیسک داخلی که از آن برای کپی ایمیجهای تهیه شده از دادهها استفاده میشود. همچنین پیشنهاد میکنیم که رابط USB2، USB3 و Firewire را هم در کنار آن به همراه داشته باشید.
یک دستگاه Ethernet TAP کوچک نیز برای اتصال به شبکه مورد نیاز خواهد بود. شما به یک سوییچ نیاز ندارید به این دلیل که نمی توان از طریق سوییچ Sniff را به راحتی انجام داد. شما تنها به یک شبکه کوچک نیاز دارید که به راحتی ایجاد شود و نمیخواهید از یک سوییچ استفاده کنید تا بخواهید یک پورت Span تعریف کنید و یا در ورودیهای ARP تغییر ایجاد کنید تا بتوانید اطلاعات را دریافت نمایید. به همین دلیل شما تنها به یک Ethernet TAP کوچک نیاز خواهید داشت.
یک Ethernet TAP چهار یا هشت پورت برای انجام فرآیند Incident Handling کفایت میکند. این دستگاهها طراحی شدهاند تا در یک شبکه قرار داده شوند و تمام دادهها را بدون امکان بروز Collision که در شبکههای مبتنی بر Hub اتفاق میافتد، دریافت نمایند. همچنین این دستگاهها را می توان با پورتهای Read-Only پیکربندی نمود که تنها بتوانند دادهها را قبول کنند تا مانع از این شوند که نفوذگران بتوانند سیستم Incident Handler را از طریق ارسال بستههای خارجی شناسایی نمایند.
علاوه بر دستگاههای مذکور باید کابلهای اتصال را نیز به همراه داشت. پیشنهاد میشود که یک کابل Sright و یک کابل Cros over همراه داشته و از سالم بودن آنها اطمینان حاصل کنید.
وجود کابلهای USB، کابل سریال و چندین آداپتور که شامل پورت USB باشد که بتوان از آنها برای اتصال به روترها، سوییچها و دیگر تجهیزات شبکه استفاده نمود نیز بسیار کاربردی خواهد بود.
Jump Bag – More Hardware
علاوه بر سخت افزارهایی که در بخش پیشین به آنها اشاره شد، وجود یک لپ تاپ با سیستم عاملهای مختلف که بر روی آن نصب شده است نیز بسیار مفید خواهد بود. شما میتوانید حداقل دو سیستم عامل که بیشترین کارایی را در اکثر سازمانها دارد بر روی این لپ تاپ نصب نمایید.
یکی دیگر از گزینههای خوب این است که از Vmware استفاده کنید و ماشینهای مجازی مانند انواع سیستم عاملهای ویندوز مانند ویندوز xp، 7، 8، ویندوز سرور 2012 و همچنین نسخههایی از لینوکس مانند BSD را هم بر روی آن داشته باشید. همچنین شما میتوانید نسخه 32 بیتی سولاریس را هم بر روی Vmware نصب نماید و آن را به لیست داراییهای خود اضافه نمایید.
با این کار شما در واقع لپ تاپ خود را به یک آزمایشگاه مجازی نیز تبدیل کرده اید.
همچنین پیشنهاد دیگر این است که برای این لپ تاپ از هاردهای SSD استفاده کنید تا سرعت نقل و انتقال اطلاعات بر روی آن سریعتر صورت پذیرد. اینهاردها میتوانند دو تا سه برابر سریعتر از هاردهای سنتی اطلاعات را انتقال دهند.
Jump Bag – Additional Helpful Items
اقلام زیر هم ممکن است در حادثه ضروری باشد، بنابراین آنها را در کیف خود قرار دهید:
• لیست تماسها و دفترچه تلفن که شماره افراد خاص، مدیران فنی و اجرایی سازمان و حتی شماره مدیران اجرایی کشوری نیز در آن وجود دارد.
• یک تلفن همراه با باتری اضافی که برای برقراری ارتباط طولانی مدت مفید است.
• کیسههای پلاستیکی مخصوص قرار دادن شواهد داخل آن که قابلیت بسته شدن داشته باشد. البته اگر این کیسهها دارای نوار سفیدی برای نوشتن مشخصات شواهد هم باشند، بسیار مفیدتر خواهند بود.
• یک رطوبت گیر که برای جلوگیری از جذب رطوبت از آن استفاده میشود. (Desiccants)
• یک دفترچه یادداشت و فرمهای مختلفی که برای جمعآوری شواهد از آنها استفاده میشود.
نکته: به هیچ عنوان مایعات را در این کیف با خود حمل نکنید زیرا امکان نشت آن و تخریب محتویات کیف وجود خواهد داشت.
Jump Bag – Final Items
وجود موارد زیر در کیف علاوه بر مواردی که تا کنون ارائه شده است، میتواند مفید واقع شود.
• یک چراغ قوه برای زمانی که شما مجبور باشید در بخشهای تاریک به دنبال اطلاعات خاصی بگردید.
• پیچ گوشتی برای باز کردن پیچهای مختلف
• کانکتورهای RJ45 و RJ11 و دستگاه اتصال آنها
• قلم و خودکار اضافی
• آینه، قلمو، و دستههای تلسکوپی برای گرفتن اقلام کوچک
• کارت ویزیت برای ارائه به افراد
لازم به ذکر است شاید برخی از موارد مذکور که در کیف شما حمل میشود، اجازه ورود به برخی از سازمانها را نداشته باشد ولی باید در کیف شما موجود باشد.