دوره آموزشی SEC504 – بخش پنجم

در این بخش از دوره SEC504 از موسسه SANS به آشنایی با Jump Bag و محتویاتی که در آن باید وجود داشته باشید می پرازیم.

GRR Rapid Respose

یکی از ابزارهای فوق العاده برای پاسخگویی به حادثه در سطح گسترده، ابزار GRR می‌باشد. در حال حاضر این پروژه توسط گوگل ایجاد شده و رایگان است. همچنین یکی از قابلیت‌های مناسب این ابزار، اجرا بر روی سیستم عامل‌های مختلف مانند ویندوز، لینوکس و مک می‌باشد.

GRR یک ابزار پایتونی است که کلاینت آن بر روی سیستم کلاینت‌ها نصب می‌شود و می توان از طریق نسخه سرور با کلاینت‌ها ارتباط برقرار نموده و آن‌ها را مدیریت نمود.

یکی از قابلیت‌های مهم این ابزار جمع آوری اطلاعات از حافظه از راه دور با استفاده از ابزار Rekall است.

این ابزار همچنین دارای توانایی جمع آوری اطلاعات فارنزیکی از تعداد زیادی از کلاینت‌ها به صورت غیرهمزمان است. بدین معنی که اگر یک سیستم هنگامی که اطلاعاتی از آن درخواست شده، در شبکه متصل نباشد، برنامه منتظر خواهد ماند تا سیستم به شبکه متصل شود و پس از اتصال، داده‌های مدنظر را جمع آوری می‌نماید.

برای دانلود این برنامه می‌توانید به آدرس زیر مراجعه نمایید:

https://github.com/google/grr

Jump Bag

برای انجام فرآیند Incident Handling شما به ابزارهای مختلفی نیاز دارید که پیشنهاد می‌کنیم این ابزارها را در یک کیف قرار داده و آن را همراه داشته باشید. به این کیف Jump bag گفته می‌شود که در واقع مشابه جعبه کمک‌های اولیه می‌باشد.

اگر شما این کیف را به همراه محتویات داخل آن همراه نداشته باشید، مدت زمان رسیدگی به حادثه و انجام فرآیند پاسخگویی، زمان زیادی از شما خواهد گرفت که بیشتر آن صرف جستجو برای ابزار مناسب و نحوه استفاده از آن خواهد‌شد.

این را هم به خاطر داشته باشید که نباید چیزی از این کیف کم شود و نباید آن را در اختیار افراد دیگر قرار دهید (قرض دادن ابزار) این کار شما را در هنگام بروز حادثه، دچار مشکل خواهد نمود. بنابراین همواره از کیف مراقبت نموده و ابزار داخل آن را بروز نگه دارید. البته به همراه داشتن یک حافظه جانبی با ظرفیت بالا برای ذحیره سازی اطلاعات و شواهد نیز ایده مناسبی می‌باشد.

در ادامه به محتویات مورد نیاز در این کیف خواهیم پرداخت.

Jump Bag – Software

نرم افزارهایی که شما برای تهیه ایمیج به آن‌ها نیاز دارید عبارتند از:

dd ، Netcat و Ncat برای انتقال داده‌ها از طریق شبکه، ابزار Safeback و ابزارهای مشابه آن‌ها
ابزارهای فارنزیکی که به آن‌ها نیاز دارید عبارتند از:

Sleuth Kit and Autopsy (free at www.sleuthkit.org)
EnCase(commercial software from Guidance Software)
Forensics Toolkit(commercial software from AccessData)
X-Ways Forensics software(commercial)

Jump Bag – Additional Software

هنگامی که در صحنه حادثه حاضر می شوید، به نرم افزارهای قابل اعتماد نیاز خواهید داشت. بسته‌های نرم افزاری که قابل بوت هستند یا Bootable CD-ROM packages بسیار ارزشمند هستند زیرا اجرای ابزارها از طریق سی دی رام در طی عملیات تحقیق بسیار قابل اطمینان تر هستند. چراکه نفوذگران قادر به تغییر CD نخواهند بود.

نکته: باینری‌های متصل شده به صورت استاتیک به هیچ یک از کتابخانه‌های داخل سیستم قربانی متصل نیستند و از آن جا که مهاجمان ممکن است این کتابخانه‌ها را تغییر داده باشند، ما می خواهیم از ابزارهایی استفاده نماییم که همه کتابخانه‌های آن ساخته شده باشند.

ما به شما هشدار می دهیم که از سی دی‌های قابل بوت ویندوز مانند Windows PE برای Incident Handling و اهداف فارنزیکی استفاده نکنید. اگر چه این ابزارها برای ریکاوری مناسب هستند و اگر شما قصد جمع آوری شواهد را نداشته باشید ‌می‌توانند به شما کمک کنند ولی این ابزارها برای انجام فرآیند‌های فارنزیکی توصیه نمی‌شود، زیرا اکثر آن‌ها موجب تغییر در ‌هارد‌دیسک می‌شوند که در صورت استفاده از آن‌ها برخی از فاکتورهای مهم در جمع آوری اطلاعات از بین می روند.

به جای این ابزارها می‌توانید از ابزارهای قابل بوت لینوکسی مانند SIFT استفاده نمایید.

Jump Bag – Investigative Tools

کیف شما باید دارای یک ایمیج از سیستم عاملی باشد که از آن بتوان برای جمع آوری و آنالیز شواهد استفاده نمود. یکی از بهترین محیط‌های لینوکسی برای تحقیق، اداره حادثه و انجام فرآیند‌های فارنزیکی، ابزار SIFT می‌باشد که مخفف SANS Investigative Forensics Toolkit بوده و به صورت رایگان از شرکت SNAS در دسترس شما می‌باشد.

این ابزار که در قالب یک VMware appliance ارائه شده است و شامل صدها ابزار مختلف است که از آن می توان برای تجزیه و تحلیل شواهد استفاده نمود.

برخی از ابزارهای این مجموعه عبارتند از:

Sleuth Kit
Log2timeline
Wireshark
Volatility
ssdeep and md5deep

این ابزار از لینک زیر قابل دانلود می‌باشد:

https://digital-forensics.sans.org/community/downloads

Jump Bag – Hardware

پیشنهاد می‌کنیم تا موارد زیر را در کیف داشته باشید:

یک دستگاه USB Token RAM که برای ذخیره داده‌ها به صورت موقت از آن استفاده می‌شود تا آن‌ها را در ادامه به یک دستگاه برای تجزیه و تحلیل داده‌ها منتقل نمایید. ظرفیت 8 گیگابایت برای این دستگاه کفایت می‌کند.

یک دستگاه‌ هارد‌دیسک داخلی که از آن برای کپی ایمیج‌های تهیه شده از داده‌ها استفاده می‌شود. همچنین پیشنهاد می‌کنیم که رابط USB2، USB3 و Firewire را هم در کنار آن به همراه داشته باشید.

یک دستگاه Ethernet TAP کوچک نیز برای اتصال به شبکه مورد نیاز خواهد بود. شما به یک سوییچ نیاز ندارید به این دلیل که نمی توان از طریق سوییچ Sniff را به راحتی انجام داد. شما تنها به یک شبکه کوچک نیاز دارید که به راحتی ایجاد شود و نمی‌خواهید از یک سوییچ استفاده کنید تا بخواهید یک پورت Span تعریف کنید و یا در ورودی‌های ARP تغییر ایجاد کنید تا بتوانید اطلاعات را دریافت نمایید. به همین دلیل شما تنها به یک Ethernet TAP کوچک نیاز خواهید داشت.

یک Ethernet TAP چهار یا هشت پورت برای انجام فرآیند Incident Handling کفایت می‌کند. این دستگاه‌ها طراحی شده‌اند تا در یک شبکه قرار داده شوند و تمام داده‌ها را بدون امکان بروز Collision که در شبکه‌های مبتنی بر Hub اتفاق می‌افتد، دریافت نمایند. همچنین این دستگاه‌ها را می توان با پورت‌های Read-Only پیکربندی نمود که تنها بتوانند داده‌ها را قبول کنند تا مانع از این شوند که نفوذگران بتوانند سیستم Incident Handler را از طریق ارسال بسته‌های خارجی شناسایی نمایند.

علاوه بر دستگاه‌های مذکور باید کابل‌های اتصال را نیز به همراه داشت. پیشنهاد می‌شود که یک کابل Sright و یک کابل Cros over همراه داشته و از سالم بودن آن‌ها اطمینان حاصل کنید.

وجود کابل‌های USB، کابل سریال و چندین آداپتور که شامل پورت USB باشد که بتوان از آن‌ها برای اتصال به روترها، سوییچ‌ها و دیگر تجهیزات شبکه استفاده نمود نیز بسیار کاربردی خواهد بود.

Jump Bag – More Hardware

علاوه بر سخت افزارهایی که در بخش پیشین به آن‌ها اشاره شد، وجود یک لپ تاپ با سیستم عامل‌های مختلف که بر روی آن نصب شده است نیز بسیار مفید خواهد بود. شما می‌توانید حداقل دو سیستم عامل که بیشترین کارایی را در اکثر ‌سازمان‌ها دارد بر روی این لپ تاپ نصب نمایید.

یکی دیگر از گزینه‌های خوب این است که از Vmware استفاده کنید و ماشین‌های مجازی مانند انواع سیستم عامل‌های ویندوز مانند ویندوز xp، 7، 8، ویندوز سرور 2012 و همچنین نسخه‌هایی از لینوکس مانند BSD را هم بر روی آن داشته باشید. همچنین شما می‌توانید نسخه 32 بیتی سولاریس را هم بر روی Vmware نصب نماید و آن را به لیست دارایی‌های خود اضافه نمایید.

با این کار شما در واقع لپ تاپ خود را به یک آزمایشگاه مجازی نیز تبدیل کرده اید.

همچنین پیشنهاد دیگر این است که برای این لپ تاپ از ‌هارد‌های SSD استفاده کنید تا سرعت نقل و انتقال اطلاعات بر روی آن سریعتر صورت پذیرد. این‌هاردها ‌می‌توانند دو تا سه برابر سریعتر از‌ هاردهای سنتی اطلاعات را انتقال دهند.

Jump Bag – Additional Helpful Items

اقلام زیر هم ممکن است در حادثه ضروری باشد، بنابراین آن‌ها را در کیف خود قرار دهید:

• لیست تماس‌ها و دفترچه تلفن که شماره افراد خاص، مدیران فنی و اجرایی سازمان و حتی شماره مدیران اجرایی کشوری نیز در آن وجود دارد.
• یک تلفن همراه با باتری اضافی که برای برقراری ارتباط طولانی مدت مفید است.
• کیسه‌های پلاستیکی مخصوص قرار دادن شواهد داخل آن که قابلیت بسته شدن داشته باشد. البته اگر این کیسه‌ها دارای نوار سفیدی برای نوشتن مشخصات شواهد هم باشند، بسیار مفیدتر خواهند بود.
• یک رطوبت گیر که برای جلوگیری از جذب رطوبت از آن استفاده می‌شود. (Desiccants)
• یک دفترچه یادداشت و فرم‌های مختلفی که برای جمع‌آوری شواهد از آن‌ها استفاده می‌شود.

نکته: به هیچ عنوان مایعات را در این کیف با خود حمل نکنید زیرا امکان نشت آن و تخریب محتویات کیف وجود خواهد داشت.

Jump Bag – Final Items

وجود موارد زیر در کیف علاوه بر مواردی که تا کنون ارائه شده است، ‌می‌تواند مفید واقع شود.

• یک چراغ قوه برای زمانی که شما مجبور باشید در بخش‌های تاریک به دنبال اطلاعات خاصی بگردید.
• پیچ گوشتی برای باز کردن پیچ‌های مختلف
• کانکتورهای RJ45 و RJ11 و دستگاه اتصال آن‌ها
• قلم و خودکار اضافی
• آینه، قلمو، و دسته‌های تلسکوپی برای گرفتن اقلام کوچک
• کارت ویزیت برای ارائه به افراد

لازم به ذکر است شاید برخی از موارد مذکور که در کیف شما حمل می‌شود، اجازه ورود به برخی از ‌سازمان‌ها را نداشته باشد ولی باید در کیف شما موجود باشد.