Analyse forensique d'un système informatique Windows avec Autopsy, modules ingest
But : analyser les données de la data source dans le projet case
Les modules ingest
Les fichiers à regarder en priorité
Les filtres ingest
Que sont les modules ingest ?
Plug-ins qui permettent d’analyser les données du disque.
-hashs
-recherches par mots cléfs
-activités web
-analyse du registre
-Identification des foramts de fichiers…
-Comparaison des extensions…
Une question? Posez-la ici
Besoin d'aide sur Autopsy?
Analyse forensique d'un système informatique Windows avec Autopsy, 2 types de modules ingest
Les vues
Organisé par type de données : images, documents, executables
Organisation possible par signature MIME type
Pratique si on ne cherche que les videos par exemple, ou les images.
Par taille : on voit de suite les plus gros volumes.
Les résultats
Résultats des requêtes des modules ingest
Pratique pour voir d’un coup d’œil les programmes sinstallés, les cookies, les téléchargements, l’historique web, les recherches web.
2 types d’ingest modules : agissant sur les fichiers, ou agissant sur le data source
Sur les fichiers :
-calcul des hashs
-rescherche des hashs
-extraction des données EXIF
-ajout de texte à l’index…
Sont généralement lancés sur tous les fichiers
Sur la data source :
Ne fonctionnent pas sur les fichiers classiques, mais sur des fichiers très spécifiques
Module « Analyse du navigateur internet »
Module « Analyse du registre »
Analyse forensique d'un système informatique Windows avec Autopsy, fichiers prioritaires
Le manager Ingest fonctionne en arrière plan et choisit quels fichiers sont à analyser en premier
La priorité est donnée aux :
-répertoires utilisateurs
-Program files et dossiers racine windows
-Dossier windows
-Espace non alloué
Si une 2eme image est intégrée, les 2 images seront traitées en parallèle
La 2eme image pourrait être analysée en priorité, car plus fraiche
Le scan des fichiers trie ceux qui sont importants et ceux qui le sont moins.
Les. modules ingest niveau data source sont lancés sur la data source entiere
Requetes sur la base de donnée ou une série de fichiers
Analyse d’un ensemble de fichiers
Affichage des resultats sur le tableau backlog
Analyse forensique d'un système informatique Windows avec Autopsy, lancement des modules Ingest
Depuis l’assistant, + vert, add data sources
Ensuite, quand on a une data source, bouton droit sur la data source, et « Run ingest Modules »
Une question? Posez-la ici
Besoin d'aide sur Autopsy?
Configuration des modules ingest
Chaque module ingest permet d’etre configuré par son panneau
Tools/options
Espace non alloué
On peut choisir d’analyser l’espace non alloué ou pas, au choix :
-all files, directories, and unallocated space
-all files, directories
Filtres sur les modules ingests
On peut choisir d’analyser que les .jpg et .png par exemple, ou les fichiers dans le repertoire Bureau…
Les modules ingest « officiels »
Autopsy est libré avec des modules de base :
-recherche de hashs
-recherche de mots clé
-extraction de fichiers
-activité récente
-emails
Artifact Blackboard / tableau des données acquises
Les ingest modules vont sauvegarder leurs résultats sur le « Blackboard artifacts » , tableau des donnéest acquises/indices/preuves
Par exemple :
-Les bookmarks favoris web
-Le hashs trouvés
-Si un chiffrement est detecté
Autopsy est livré avec des modules de bases, mais on peut étendre les fonctionnalités.
Un artefact est une donnée acquise par l’utilisation d’outils
Attributs des artifact Blackboard / attributs des données sur le tableau
Chaque donnée articadt (indice/preuves) apparait sur le tableau, avec des attributs.
Blackboard artifact = type,value
Par exemple, la donnée Web bookmark (favoris) a comme attributs une url, une date
On ajoute comme favoris une URL, à une certaine date
ARTICACT=TYPEA (EATTRIBUT1+ATTRIBUT2+…+AttributN) + TYPE2(EATTRIBUT1+ATTRIBUT2+…+AttributN)…
FAVORIS=URL+DATE
Les modules ingest choisissent quels attributs ils ajoutent à l’artefact donnée.
Visualiser les données (Artefacts) trouvées
Dans résultats, « extracted content » ou dans le « content viewer » ou dans les reports
Module de recherche de hashs
On va configurer le module recherche de hashs
Que fait-il ?
Calcul des hashs MD5 des fichiers
Enregistre le hash dans la base de donnée du projet cas
Recherche de ce hash dans d’autres endroits
Marque les hashs :
-connus (NSRL) bon ou mauvais
-connus mauvais ou à noter
Pourquoi utiliser ce module ?
Gain sur l’analyse de 50%, de 18 minutes à 9 minutes
Pour inclure les modules hashs dans les reports
Pour rendre les modules ingests plus rapides et economiser l’analyse sur les fichiers déjà connus grace aux requetes NSRL (gain sur l’analyse de 50% , on peut passer de 18 minutes à 9 minutes)
NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download
Pour masquer les fichiers connus et qui ne nous interessent pas, de l’interface
Pour catégoriser les « mauvais » fichiers sans interet
Pour garder un repertoire centralisé et mis à jour avec les anciens/nouveaux projets cases
Comment calculer un hash ?
Ne pas tenir compte de l’espace non alloué
Calculer le hash MD5 du contenu du fichier
Enregistrer le hash dans la bases de donnée du project case
Si un fichier a déjà un hash, il ne sera pas recalculé.
Comment chercher un hash ?
Recherche dans toutes les bases de hashs configurés
Recherche dans la base NIST NSRL (qui sont flagués « connus » )
NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download
Dans le format SQLite de Sleuth kit (fichiers .kdb)
Dans les md5sum
Les entrepots de hashs … Hashkeeper
Le status d’un fichier
Chaque fichier a un status
-remarquable, connu mauvais
-concu
-non connu (par defaut)
Comment configurer la recherche des hashs ?
Dans la partie hashs lookup
Si l’on a téléchargé la base NSRL,
NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download
on peut cocher l’option.
Le hash set peut être sauvegardé localement sur le PC Autopsy, ou à distance, dans le cas d’une installation partagée.
Les fichiers connus peuvent être ignorés des modules ingest, tout dépend de la configuration.
Par exemple, on peut utiliser la recherche le mot « Windows », avec ou sans NRSL
On passe de 6330 fichiers sans NSRL à 2311 fichiers avec NSRL
Analyse des raccourcis
Il est possible d’ouvrir l’explorateur à partir d’un fichier sourcefile :
Une question? Posez-la ici
Besoin d'aide sur Autopsy ?
Base importante de hashs : les index
Si on importe une grande base de hashet, autopsy construira un index pour rendre la recherche plus rapide
Il est de la forme –md5.idx à la fin
Importer une base de données de hashs
« import hash set »
Une fois la base de hashs importée, il est possible de l’indexer en pressant le bouton « index ». Ceci peut etre particulierement long.
Reindexer une base hash importée permet d’avoir les mises à jour des hashs.
Création d’une base de hashs
On peut la créer localement, dans une base SQLite
On peut la créer à distance, dans un repertoire partagé
Tools/options/Hash sets/New hash set
« create hash set » dans le menu
Ajouter un hash spécifique à une collection de hashs
Dans l’observer, cliquer bouton droit sur un des fichiers et faire « ajouter au hash set » / hasetperso
Partager des collection de hashs
A la fin des projets, on peut se partager sa base de hashs entre analystes, comme si on se partageait ses recherches et ses trouvailles.
Nous allons maintenant commencer à analyser l'ordinateur portable. Nous commençons le cas avec quelques indices. Plus particulièrement, nous avons des photos qui ont été envoyées avec les e-mails de rançon à Basis Technology
Gardez le même projet ouvert du CTF précédent ou rouvrez le projet ("case1").
Faites un clic droit sur l'image device1_laptop.e01 dans l'arborescence et choisissez «Exécuter les modules d'ingestion»
Désactivez tous les modules sauf les suivants (nous en pré-chargerons certains pour le prochain tour):
Recherche de hachage
Identification du type de fichier
Détecteur de disparité d'extension
Extracteur de fichiers intégré
Exif Parser
Analyseur de messagerie
Moteur de corrélation
Configurez le module Hash Lookup avec deux ensembles de hachage:
Importez le fichier NSRL (NSRLComplete.txt-md5.idx) que vous avez précédemment téléchargé dans la section 1.
NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download
Vous devrez peut-être décompresser le fichier que vous avez téléchargé.
Exemple :
NSRLFile-266m-computer.txt-md5.idx
Vous pouvez utiliser les valeurs par défaut (c'est-à-dire Type: Connu).
Créez un nouvel ensemble de hachage:
Destination: locale
Nom: Ransom Case
Hash Set Path: [Tout dossier sur votre ordinateur]
Type: notable
Utilisez le bouton "Ajouter des hachages au jeu de hachage" pour copier et coller la valeur MD5 suivante dans le jeu de hachage "Ransom Case". Ceci est le hachage de la note de rançon.
07c94320f4e41291f855d450f68c8c5b
Démarrez les modules d'ingestion.
Ca va durer un certain temps plutôt long…
Observer:
Utilisez Ingest Inbox comme indicateur lorsque des hits de hachage «Known Bad» sont trouvés.
Utilisez «Aller au résultat» pour accéder à la zone d'arborescence des résultats de hachage.
Afficher le hit de hachage.
Question: Laissez l'ingestion progresser d’au moins 15%. Combien de hits au total sont trouvés sous les résultats "Hashset Hits" après avoir exécuté le module Hash Lookup Ingest? 6
Question: Quels sont les noms de fichiers des hits de hachage? “RN.jpg” and “f_000239”
L'un des résultats se trouve dans un dossier nommé «Images». Faites un clic droit sur le fichier pour y «Afficher».
Question: Combien de fichiers ".jpg" au total se trouvent dans le dossier "Images" où le hachage notable a été trouvé? 7
Lors de l'examen des images dans ce dossier, il est remarqué que «IMG_20191024_155744.jpg» montre des violations de la santé en amenant le chien dans un restaurant. Nous voulons marquer ceci comme Notable:
Faites un clic droit dessus
Sélectionnez «Ajouter une étiquette de fichier» et choisissez «Élément notable»
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:
Recherche de mots avec SOLR et TIKA
Vos commentaires/remarques sont les bienvenus: