Acquisition & Processing. SURFnet Forensics Track 6 oktober 2011

Acquisition & Processing

SURFnet Forensics Track

6 oktober 2011

Agenda Introductie About Me EDRM Static vs. Live Forensics Static Forensics FTK analyse opstarten Pauze Live Forensics Opdrachten Bespreking

6 oktober 2011

2

Introductie (1) 

About Me: Arnim Eijkhoudt  Docent @ HvA, Domein Media Creatie en Informatie  Minor Forensic Intelligence & Security:    



Computer Forensics met J. van Ginkel & R. Zwart

ICT-beheerder, eigen infrastructuur Informatica-opleidingen Kenniskring E-Discovery E-mail: [email protected], LinkedIn: zaanpenguin

Ik houd van actieve participatie...  We hanteren weer de "Chatham House Rule"  Stel vragen, geef commentaar, vertel anecdotes, etc.!  

"What happens in Forensics course, stays in Forensics course!"

6 oktober 2011

3

Introductie (2) Computer Forensics kan onderdeel zijn van het totale

Merk op dat de verschillende stappen binnen het model meerdere keren kunnen worden doorlopen...

6 oktober 2011

4

Introductie (3) De volgende EDRM delen komen aan bod:

6 oktober 2011

5

Static vs. Live Forensics Static Forensics De verzameling en verwerking van informatie die niet meer kan veranderen: ●

Image van een harde schijf

●

Flash-geheugen van bijvoorbeeld mobiele telefoons of PDAs

"Reproducability" van gevonden forensische informatie is essentieel

Live Forensics De verzameling en verwerking van informatie die aan verandering onderhevig is: ●

Netwerkverkeer en -verbindingen (Network Forensics)

●

RAM-geheugen in een draaiende computer (Memory Forensics)

Live Forensics kan cruciale forensische informatie opleveren die bij Static Forensics verdwenen zou zijn...

6 oktober 2011

6

Static Forensics (1) 



EDRM: “Preservation, Collection”  Het maken van een volledige of gedeeltelijke (bit-level) kopie van een informatie-drager, zoals een harddisk, USB-key, flashchip, E-mail archief, etc. Dit heet ook wel de acquisitie-stap. EDRM: "Processing, Review, Analysis"  Meestal een combinatie van automatisch en handmatig onderzoek van de verkregen bit-level kopie met behulp van forensische software

6 oktober 2011

7

Static Forensics (2) EDRM: “Preservation, Collection”: Acquisitiemethodes kunnen sterk verschillen per drager: ●

●

Voor harde schijven, USB-keys, floppies, etc. bestaat al lang standaard imaging software: FTK, Encase, rawrite, dd, etc. Voor b.v. mobiele telefoons en PDAs moet een image van het flash-geheugen worden gemaakt, maar deze apparaten of besturingssystemen laten niet altijd de benodigde 'low-level' toegang toe...

En wat als de drager zelf beschadigd is? ●

... een harde schijf?

●

... de flash-controller van de USB-key?

Soms specialistische kennis nodig (NFI) 6 oktober 2011

8

Static Forensics (3) De integriteit van het bewijsmateriaal mag niet worden aangetast. Onzorgvuldig handelen door de onderzoeker kan gemakkelijk data veranderen: 1. Opstarten van het besturingssysteem 2. Inpluggen van USB-key 3. Aanzetten mobiele telefoon Write-blockers 'Read-only mounts' Flash desoldering

6 oktober 2011

9

Static Forensics (4) 



Een volledig image van een drager kan de volgende informatie bevatten:  Master Boot Record(s)  Partitionering  Filesystem structures  File (meta)data  Swapfile(s)  Inter-partition gap data  ‘Deleted’ files!  ‘Verborgen data’ (hidden, encrypted, etc.) Bij een enkele moderne harde schijf is dit al een enorme hoeveelheid informatie: 2 terabyte is gangbaar bij PCs!

6 oktober 2011

10

Static Forensics (5) Forensische software als FTK en Encase probeert de verwerkingstijd van verkregen images beheersbaar te houden door de complexe, maar repetitieve taken te automatiseren: Hashing Filesystem structure analysis ●

File & directory listings, incl. 'hidden files' en encryptie

●

Filetypes

'Data carving' uit free space, swap space, inter-partition gaps, etc.

6 oktober 2011

11

Static Forensics (6) 







Benodigdheden: 

FTK:



Username: Surf# -- Password: Net#



De # is natuurlijk het teamnummer ;-)



VMWare image (.vmdk file):



Image staat op Windows share: \\sherlock.cursus.surfnet.nl\data



Maak een eigen kopie van het image en verwerk die kopie in FTK

Let op: kies een unieke casenaam in FTK: 'team#'

N.B.: de verwerking in FTK met de standaardinstellingen plus Data- & Metacarving duurt ongeveer 20-30 minuten Terwijl FTK bezig is, gaan wij verder met de handmatige acquisitie van koffie (10-15 minuten) en het onderwerp 'Live Forensics'

6 oktober 2011

12

Koffiepauze

6 oktober 2011

13

Live Forensics (1) 



EDRM: ‘Preservation, Collection’  Voor Live Forensics betekent dit: "Het onderzoeken van actieve/draaiende systemen, waarbij informatie vergaard kan worden die niet bij een Static Forensics beschikbaar is". Voorbeelden:  Huiszoeking door politie bij verdachte lid crimineel netwerk, waarbij een draaiende laptop wordt aangetroffen  Open chat-windows, verbindingen met verdachte websites, etc. 



 

Tap op internetverkeer PC, die geïnfecteerd is door botnetsoftware ('network live forensics') Chatnetwerken waarmee de botnets bestuurd worden Gesprek door verdachte met mobiele telefoon Opnemen van het gesprek, locatie-informatie (GPS)

6 oktober 2011

14

Live Forensics (2) 



EDRM: ‘Preservation, Collection’  Order-of-Volatility (OOV) speelt een grote rol:  Registers, Cache, RAM zeer 'volatile' 

Networking -



Processes



Disk contents



Floppies



CD/DVDminst 'volatile'

-

-

De OOV bepaalt daarom vaak de afweging tussen eerst Live of Static Forensics, d.w.z. de afweging tussen tijd en beschikbare informatie:  Soms trucjes: memory freezing, Firewire-RAM-copy, etc.  Vanmiddag meer Live Forensics ('Volatility')

6 oktober 2011

15

Live Forensics (3) N.B.: virtualisatie heeft OOV nog complexer gemaakt: RAM kan in een image-file staan Registers/cache : op welke CPU draaide mijn proces? Cloud-computing (bv. Amazon EC2) bemoeilijkt dit nog verder: "Where in the world...?" Moderne Forensics-pakketten ondersteunen al de bekende VM-image formaten: VMWare, Xen, VirtualBox RAM image kan worden onderzocht t.b.v. Live Forensics

6 oktober 2011

16

Live Forensics (4) 



EDRM: ‘Preservation, Collection’ 

Integriteit:



de informatie is niet altijd reproduceerbaar (bv. netwerkinfo)



belangrijker is: 'to catch someone in the act'



sommige Live Forensics kunnen latere Static Forensics bemoeilijken

Acquisitiemethoden: 



Tools als Microsoft’s COFEE (niet vrijelijk beschikbaar): Computer Online Forensic Evidence Extractor: ‘Automatische’ Live Forensics a.d.h.v. speciaal geprepareerde USB-key 'Seat-of-the-pants' bepaling van OOV en prioriteit door de onderzoeker op locatie:



versleuteling (cryptokeys in RAM, TrueCrypt volumes/containers)



'Boobytraps' (anti-forensics als DECAF)

6 oktober 2011

17

Live Forensics (5) EDRM: 'Processing, Review, Analysis' Moet ook (gedeeltelijk) 'live' worden gedaan Overvloed aan informatie-uitwisseling op de betrokken draaiende systemen: welke aangetroffen forensische informatie is relevant en moet worden bewaard? Mogelijkheid tot uitgebreide Static Forensics op een later tijdstip kan uitkomst bieden: ●

●

6 oktober 2011

Dump van het geheugen naar file op verschillende momenten: herhaaldelijke analyse mogelijk Volledige logging van al het netwerkverkeer (moeilijk): bijvoorbeeld een complete 'replay' van een aanval over het internet 18

Conclusies 





Handmatige en Automatische analyse (FTK)  Patroonherkenning  ‘Begrip’, context en relatie gevonden data  Snelheid  Nauwkeurigheid  Schaalbaarheid Encryptie blijft lastige kwestie  Inhoud RAM gelukkig(?) soms te kopiëren  Goedgekozen encryptie eigenlijk niet te kraken (bv. 256bit+ AES)  Juridische kwesties (bv. UK vs. NL: afgeven keys verplicht?) Het correlateren en interpreteren van gevonden forensische informatie blijft mensenwerk...

6 oktober 2011

19

Opdracht (Static Forensics) 



 

Het verwerkte ‘image’ is gemaakt van een WinXP PC; aangetroffen op locate bij de verdachte "S. Villerius". Deze (fictieve ;-)) persoon wordt verdacht van het versturen van bedreigingen. Je bent forensisch onderzoeker en hebt voor deze zaak uitgebreid tijd om het image te onderzoeken, dus verzamel zoveel mogelijk 'mogelijke bewijslast' met behulp van FTK:  EDRM stappen: "Processing, Review, Analysis" Beschikbare tijd: 45 minuten Hints:  Vind zoveel mogelijk vormen van forensische informatie:  E-mail en documenten: plaatjes, Office, etc. 

Alle vormen van 'historie'



Social media



Besturingssysteem-informatie als accounts



Probeer de gevonden informatie met elkaar te correleren: kun je een uitspraak doen over de schuldvraag? Is er iets te bewijzen?

6 oktober 2011

20

Opdracht (Live Forensics) 

Tijd over? 

 

 

Omdat het image een VMWare instance betreft, kun je deze opstarten in VMWare Player of de memory dump laten analyseren door FTK Suggesties voor Live Forensics: Probeer de forensische informatie van het Static Forensics gedeelte terug te vinden FTK ondersteunt ook 'Live' Forensics (tabblad 'Volatile'): Voeg de VMWare memory file (.vmem) toe als Evidence: 



Evidence --> Import Memory Dump --> (maak een agent) --> Memory Dump File --> Kies All Files (*.*) en selecteer de aangeleverde .vmem file. De FTK-processing duurt slechts kort!

Probeer het GoogleTalk wachtwoord te achterhalen (hint: usernames en passwords komen meestal samen voor...)

6 oktober 2011

21

Bespreking opdrachten Static Forensics

'Live' Forensics incl. demo: GoogleTalk password uit memory dump

6 oktober 2011

22

Einde Vragen: [email protected] 6 oktober 2011

23