Editions ENI Livres | Vidéos | e-Formations
Boîte à outils
Introduction
Nous allons présenter dans ce chapitre de nombreux outils qui trouvent leur place dans la boîte à outils d’un analyste. Cette liste est subjective et de facto incomplète, mais nous tâcherons d’être précis dans nos choix afin de répondre aux attentes d’une investigation numérique. La catégorisation proposée est celle issue de la méthodologie retenue lors du chapitre Méthodologie et référentiels (collecte, examen, analyse, rapport). Nous compléterons en présentant quelques éléments de réflexion sur la création de machines virtuelles personnalisées afin de répondre aux attentes des analystes.
Dans le but de simplifier la lecture, nous vous proposons de vous référer aux raccourcis suivants : Système d’exploitation (OS), Microsoft Windows (W), GNU/Linux (L), les deux (W/L) et Docker (D).
Collecte
Cette section concerne les outils nécessaires à la réalisation des prélèvements sur la mémoire de masse, la mémoire vive pour un traitement de type post mortem et live forensic.
1. Live forensic
a. Cybertriage
|
Prix/Licence |
OS |
Lien |
|
Payant |
W |
Cybertriage est une suite d’outils dédiés à la réponse à incident et à l’investigation numérique. Elle propose une classification des artefacts extraits des prélèvements issus de postes Microsoft Windows (compatible avec plusieurs formats tels que RAW ou bien EnCase) afin de rapidement orienter l’analyste grâce à des indicateurs tels que des scores ou l’utilisation de nombreux moteurs d’analyse de logiciels malveillants. Le site officiel propose de nombreuses vidéos sur les fonctionnalités accompagnant l’outil.
b. CyLR
Il s’agit d’une suite d’outils proposant l’acquisition d’artefacts aussi bien pour Microsoft Windows 32/64 bits que GNU/Linux et macOS. La liste des éléments prélevés est précisée sur le dépôt GitHub.
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
W/L |
c. DFIR Linux Collector
|
Prix/Licence |
OS |
Lien |
Réf |
|
Gratuit |
L |
- |
DFIR Linux Collector est un outil fait pour être exécuté depuis une clé USB (https://github.com/xophidia/DFIR_Linux_Collector). Il propose d’exécuter de nombreuses commandes et d’exporter les résultats au format JSON. L’un des avantages mis en avant est le très faible impact sur le système hôte puisque les binaires sont inclus dans l’exécutable, garantissant de ne pas utiliser ceux présents sur le système hôte. Le prélèvement de la mémoire vive s’appuie sur AVML.
git clone https://github.com/xophidia/DFIR_Linux_Collector.git
cd DFIR_Linux_Collector
./setup.sh
./DFIR_linux_collector Dump generic artifacts
+ passwd ...................[success]
+ auth .....................[success]
+ syslog ...................[success] ...Examen
Les outils suivants ont pour vocation d’orienter rapidement l’analyste. Il s’agit principalement d’outils permettant une recherche par signature complétée par une base de connaissance sous forme de lien selon le type de donnée.
1. Chkrootkit
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
L |
Tout comme le programme rkhunter, chkrootkit recherche la présence de rootkits.
2. ClamAV
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
W/L |
ClamAV est un moteur d’antivirus multiplateforme. Compatible avec les règles YARA, il s’appuie sur plusieurs types de signatures numériques pour effectuer ses analyses.
3. Hfind
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
L |
Hfind est un outil présent dans la suite The Sleuth kit. Il permet de parcourir une base de données d’empreintes numériques afin d’identifier un élément passé en paramètre. Il peut s’avérer utile par exemple lors de la recherche d’empreintes numériques au sein de la base NSRL. Cette dernière est d’ailleurs disponible sur le site du NIST : https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds
4. Loki et Thor
Nextron Systems propose trois scanners, Loki, Thor Lite et Thor 10. Un comparatif est disponible sur le site officiel pour identifier celui qui répond le mieux aux besoins : https://www.nextron-systems.com/compare-our-scanners/)
|
Produit |
Prix/Licence |
OS |
Lien |
|
Loki |
Gratuit |
W/L |
|
|
Thor Lite |
Gratuit |
W/L |
|
|
Thor 10 |
Payant |
W/L |
Lors de sa première exécution, Loki met à jour sa base de données de règles YARA provenant de ces dépôts :
Cette société propose également la solution Valhalla qui contient plus de 17 000 règles YARA. Ces scanners ne se limitent pas aux règles YARA puisque les IoC et les règles SIGMA font également partie des sources de connaissance exploitables.
5. MISP
|
Prix/Licence |
Lien |
|
Gratuit |
Analyse
La phase d’analyse requiert des outils permettant à l’analyste d’investiguer les prélèvements avec précision et efficacité. Les hypothèses formulées lors de la phase d’examen sont vérifiées via les outils proposés ici.
1. Autopsy
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
W/L |
Autopsy est une solution d’investigation numérique, open source et disponible pour Windows et Linux. Il s’agit d’une interface graphique qui permet une analyse des prélèvements de mémoire de masse et de mémoire vive. Il regroupe les éléments par thème facilitant le travail de l’analyste et s’appuie sur la suite The Sleuth Kit afin d’analyser les images disques.
La figure 7 suivante est un exemple des catégories d’artefacts exploitables : https://openclassrooms.com/fr/courses/1750151-menez-une-investigation-d-incident-numerique-forensic/6474302-identifiez-les-artefacts-windows-dinteret-pour-linvestigation
Figure 7 : exemple des catégories d’artefacts exploitables
À noter qu’Autopsy propose également un module pour exploiter les données provenant du projet VIC qui se charge d’offrir des éléments/services concourant à la protection des enfants (https://www.projectvic.org/).
2. DFTimewolf
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
L |
DFTimewolf est un orchestrateur pensé pour la réponse à incident et l’investigation numérique. Il assure la récolte, le traitement et l’export des données. Il s’appuie sur des connecteurs « modules » et sur des recettes (recipes) afin d’automatiser les traitements. Il s’intègre à des solutions telles que Plaso, Timesketch, GRR, GCP (Google Cloud Platform), AWS.
Ci-dessous l’exemple d’une recette permettant de télécharger sur le site VirusTotal un fichier PCAP associé à une empreinte numérique.
{
"name": "vt_pcap",
"short_description": "Downloads the PCAP from VirusTotal
for a specific hash.",
"description": "Downloads the PCAP files generated from
VirusTotal sandbox's...Carving
Le carving consiste à récupérer des fichiers complets, corrompus ou supprimés depuis un prélèvement, une partition ou un disque. Nous avions présenté dans le chapitre Les concepts fondamentaux de GNU/Linux le concept d’inode : il s’agit d’une structure qui contient les métadonnées propres à chaque fichier, mais ne contient ni le nom ni les données.
Complétons ce qui a été présenté. L’inode pointe vers un fichier, ce lien est de deux natures :
-
Physique : l’inode est directement attaché à un fichier. Si la référence est nulle, le fichier est supprimé. Il peut y avoir plusieurs liens physiques qui posséderont le même inode. La commande ci-dessous affiche l’inode du fichier test et recherche sur le disque tous les liens physiques pointant vers ce numéro.
ls -li
1125206 -rw-rw-r-- 2 analyst analyst 0 Oct 31 01:40 test
find / -xdev -inum 1125206
/home/analyst/Documents/test
/tmp/test2 -
Symbolique : ce lien est dans ce cas un pointeur vers le fichier d’origine.
Nous allons présenter quelques outils spécialisés dans cette tâche.
1. Bulk_extractor
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
W/L |
Il s’agit d’un outil dédié à l’extraction de fichiers et de répertoires depuis un prélèvement monté ou non. Compatible avec Microsoft Windows et GNU/Linux. Il possède de nombreuses options que vous retrouverez dans ce manuel : https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf. Il ne s’appuie pas sur les en-têtes des fichiers contrairement à Scalpel, mais sur le contenu qu’il soit alloué ou non, fragmenté ou bien compressé.
Bulk-extractor /mnt/analyste/tsk.dd -o /tmp/out/ De nombreux scanners sont disponibles afin de cibler au mieux votre recherche. L’option -e active un scanner alors que -E désactive tous les scanner hormis celui précisé. Par exemple, nous désactivons tous les scanners hormis JSON et autorisons en plus ELF. Ce seront ces deux formats qui seront récupérés.
Bulk-extractor -E json -e elf /mnt/analyste/tsk.dd...Rapport
1. DFIR-IRIS
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
D |
Framework open source de gestion d’une réponse à incident, DFIR-IRIS permet de gérer les analystes, les artefacts, les IoC et propose des timelines intéressantes.
2. OSForensics
OSForensics est une solution complète. Tout comme FTK Forensic Toolkit, Autopsy ou Magnet AXIOM Cyber, OSForensics se charge de toutes les étapes d’analyse relatives à un incident de sécurité. Il propose également la création de rapports, de chaînes de contrôles et autres documents.
|
Prix/Licence |
OS |
Lien |
|
Payant |
L |
Distributions dédiées et personnalisées
De nombreuses distributions sont dédiées à la réponse à incident et à l’investigation numérique dans le sens où elles possèdent de nombreux outils, référentiels et documentations facilitant la mission des analystes.
1. Bitscout
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
L |
Bitscout est un script d’automatisation de création d’une image bootable. L’idée est de fournir un cadre optimal pour effectuer la phase de triage, la recherche des malwares et l’investigation numérique. Le système d’exploitation hôte est Ubuntu. Comptez quelques minutes pour la création de l’image.
L’installation vous propose trois modes selon la quantité d’outils éléments présents. La liste des outils est disponible sur le même dépôt GitHub et libre à vous d’en ajouter au besoin. La connexion à l’image se fera via un VPN ; trois solutions vous sont proposées (OpenVPN via TCP ou UDP et WireGuard). Le format de l’image disponible est ISO, RAW, Qcow2 et VMDK et comptez 800 MB pour une image de type compact.
git clone https://github.com/vitaly-kamluk/bitscout.git
sudo ./automake.sh
1. compact - minimal size, less tools and drivers.
2. normal - some forensic tools, all drivers, etc.
3. maximal - includes maximum forensic tools and frameworks. 2. CSI Linux
|
Prix/Licence |
OS |
Lien |
|
Gratuit |
L |
Il s’agit d’une distribution dédiée à l’investigation numérique. La liste des outils installés (https://csilinux.com/) permet de répondre aux besoins des différentes...
Création d’un laboratoire et de machines virtuelles personnalisées
La création d’un laboratoire est une démarche importante au sein d’une équipe de réponse à incident et d’investigation numérique, puisqu’un laboratoire permet de maîtriser toutes les étapes d’analyse et de s’assurer que les résultats respectent les problématiques d’intégrité et de conservation des preuves. Nous proposons, au travers des pages qui vont suivre, une réflexion sur la possibilité de déployer une solution d’automatisation du traitement de preuves. Il ne s’agit pas d’une vision absolue, mais bien d’un condensé de notre expérience sur ces outils. Nous allons présenter comment déployer un environnement propre à chaque investigation permettant aux analystes d’y déposer et de traiter leurs preuves.
Depuis quelques années, Amazon, Microsoft et bien d’autres acteurs travaillent sur des solutions cloud facilitant le déploiement d’infrastructures complexes sur le web. Ces solutions sont plus ou moins faciles à appréhender, mais offrent un réel gain sur le long terme. Elles permettent de construire, modifier des architectures basées sur des fichiers de configuration, offrant ainsi l’opportunité de les « versionner » très simplement, évitant ainsi de nombreuses erreurs humaines.
Les possibilités sont vastes, aussi nous tenterons dans ce chapitre de vous présenter ces concepts et de vous donner les clés de compréhension afin d’exploiter ces solutions pour élaborer et déployer un laboratoire d’investigation comportant toutes vos méthodologies et vos outils.
1. Solutions existantes
Avant de présenter quelques cas concrets, commençons par énumérer les solutions les plus connues pouvant être utilisées pour la construction et le déploiement d’un laboratoire d’analyse. Les solutions identifiées ci-dessous sont triées par ordre alphabétique.
Ansible
Ansible est une solution dédiée à la gestion de configuration ainsi qu’au déploiement de solutions logicielles sur un système...
Conclusion
Ce chapitre a présenté de nombreux outils. Il est important pour l’analyste de répondre aux problématiques inhérentes à ses analyses avec les outils adaptés. Le domaine est vaste et de nombreux outils sortent pendant que certains, plus anciens, ne sont plus maintenus. Il est donc important de se tenir à jour.
La seconde partie de ce chapitre tente d’apporter des éléments de réponse à la question « comment monter soi-même une plateforme d’investigation numérique ? ». L’approche ne se veut pas complète mais s’est centrée autour des outils permettant de monter un laboratoire rapidement via des approches comme l’IaC et le provisioning.