Halil ÖZTÜRKCİ Microsoft MVP CISSP, CISA, CEH, CHFI, CCNP ADEO Bilişim Danışmanlık Hizmetleri halil.ozturkci@adeo.com.tr
ADEO Kurucu Ortak & Güvenlik Birimi Yöneticisi Güvenlik TV Yapımcı ve Sunucusu IstSec ve AnkaSec Organizatörü Bahçeşehir Üniversitesi ve Bilgi Üniversitesi Öğretim Görevlisi Adli Bilişim Derneği Başkan Yardımcısı Microsoft MVP, Enterprise Security Adli Bilişim Uzmanı / Profesyonel Penetration Tester SANS Mentor (www.sans.org) CISSP, GPEN, GCFA, CHFI, CEH... www.halilozturkci.com www.twitter.com/halilozturkci
Bu sunumda bir adli bilişim labaratuarında ihtiyaç duyulabilecek ve adli analizi sürecinde uzmanlara yardımcı olabilecel açık kaynak kodlu veya ücretsiz yazılımlardan bir kısmı yer almaktadır. Bu sunumda yer almayan bir çok uygulama daha mevcuttur. Bir adli bilişim labaratuarının donanımsal olarak da bir takım ihtiyaçları vardır ve sunumda bu ihtiyaçlardan bahsedilmemiştir. Sunumda yer alan uygulamalar adli analiz sırasında izlenen adımların sıralamasıyla parallellik gösterecek şekilde ele alınmıştır.
Müdahale edilen bilişim sistemi çalışır durumdayken bu sistem üzerindeki sayısal delilleri elde etmek önemlidir. Daha sonrada nelde edilmesi imkansız ya da çok zor olan sayısal delilleri, bu delillerin yer aldığı sistem çalışır durumdayken elde etmek çok daha kolaydır. Olay müdahalesi sırasında kullanılacak araç setlerinin önceden hazırlanması ve farklı işletim sistemleri için önceden test edilmesi tavsiye edilir. Hafızanın imajının alınmasıda bu aşamada gerçekleştirilir. Araç seti seçilirken mümkün mertebe delil toplanacak sistemde en az değişikliğe sebep olacak araçlar seçilmeli ve bu araçların ne tür değişiklikler yapabileceği konusunda bilgi sahibi olunması tavsiye edilir.
Tr3Secure Data Collection Script, Corey Harrell tarafından geliştirilen ve bir Windows işletim sistemi üzerinde gerçekleştirilecek olay müdahalesi sırasında kullanılması tavsiye edilen araçların belirli bir sırayla ve belirli bir formatta çıktı üretecek şekilde çalıştırılmasını sağlayan bir betiktir. Son sürümüne http://code.google.com/p/jiir- resources/downloads/list adresinden erişilebilir. Kullanım şekli özetle aşağıdaki gibidir; tr3- collect.bat [vakıa numarası] [toplanacak verilerin kaydedileceği sürücü] [menu seçimi#] [vakıa numarası] = Vakıayı tekil olarak ifade edebilecek bir numara [Toplanacak verilerin kaydedileceği sürücü] = Toplanacak verilerin kaydedileceği sürücü harfi [menu seçimi] = Aşağıdaki listede yer alan seçeneklerden birisi: 1 = Acquire Memory Forensic Image 2 = Acquire Volatile Data 3 = Acquire Non- Volatile Data 4 = Acquire Volatile and Non- Volatile Data (default) 5 = Acquire Memory Forensic Image, Volatile, and Non- Volatile Data
@ADEO Security Labs, 2011 www.adeosecurity.com
MoonSols Windows Memory Toolkit içindeki win32dd ve win64dd, Windows işletim sistemleri üzerinde hafızanın imajını almak için kullanılabilecek araçlardır. http://moonsols.com/wp- content/plugins/download- monitor/download.php?id=1 adresinden bu kitin Community Edition versiyonu ücretsiz olarak indirilebilir. Hafıza imajı alınacak bilgisayar üzerinde Administrator haklarına sahip olunması gerekiyor. Hafıza imajının şüphelinin bilgisayarının yerel disklerine değil, network üzerinden ulaşılabilen yazılabilir bir paylaşılmış dizine ya da taşınabilir bir medyaya alınması tavsiye edilir.
Volatility, hafıza (RAM) imajı üzerinde analiz gerçekleştirip, olası sayısal delilleri çıkartmak için kullanılabilecek bir framework dür. Desteklediği işletim sistemlerinin listesi aşağıda yer almaktadır. https://code.google.com/p/volatility/ adresinden son sürümüne ulaşılabilir. Python ile yazılan framework, açık kaynak kodu esasına göre dağıtılıyor. Volatiliy ile bir hafıza imajından öğrenilebilen bilgilerden bazıları şunlardır; İmajın alındığı tarih ve saat bilgisi Çalışan uygulamalar/prosesler Açık network soketleri Açık network bağlantıları Her bir uygulama/proses tarafından yüklenen DLL dosyaları Her bir uygulama/proses tarafından açılan dosyalar Her bir uygulama/proses tarafından açılan registry anahtarları İşletim sistemindeki kernel modülleri
Halihazırda yazılmış bir çok eklenti ile daha esnek bir şekilde çalışılabiliyor. Eklentilerden bazıları (Eklentilerin tamamı için http://www.forensicswiki.org/wiki/ List_of_Volatility_Plugins adresine bakılabilir.) cachedump: Registry'de tutulan domain hash değerlerini getirir. cryptoscan: Hafıza imajı içerisinde TrueCrypt passphrass'larını arar. hasdump: Registry'de tutulan LM ve NT hash değerlerini getirir. hivedump: Registry hive'lerini CSV formatında dışarı almaya yarar. lsadump: LSA keylerini registry'den çıkartır. malfind: Hafıza imajı içindeki çalıştırılabilir dosyaları bulup rebulild edebiliyor. Desteklenen işletim sistemlerinin listesi aşağıdaki tabloda yer alıyor. 32- bit Windows XP Service Pack 2 and 3 32- bit Windows 2003 Server Service Pack 0, 1, 2 32- bit Windows Vista Service Pack 0, 1, 2 32- bit Windows 2008 Server Service Pack 1, 2 32- bit Windows 7 Service Pack 0, 1 64- bit Windows XP Service Pack 1 and 2 64- bit Windows 2003 Server Service Pack 1 and 2 64- bit Windows Vista Service Pack 0, 1, 2 64- bit Windows 2008 Server Service Pack 1 and 2 64- bit Windows 2008 R2 Server Service Pack 0 and 1 64- bit Windows 7 Service Pack 0 and 1 (new) 32- bit Linux kernels 2.6.11 to 3.5 (new) 64- bit Linux kernels 2.6.11 to 3.5
Canlı İnceleme ve Olay Müdahalesinde kullanılabilecek bir araç kitidir. http://www.deftlinux.net/2013/05/14/dart- 2- beta- ready- for- download/ adresinden indirilebilir. Bu kitin içinde 200 den fazla araç yer alır.
Windows ortamında canlı inceleme yapmak için kullanılabilecek araçların bir araya getirildiği bir CD imajıdır. Bu CD/DVD imajı içinde yer alan uygulamaların çalışması sunucunda oluşturulan raporun bir USB diske yazılması sağlanır. http://www.win- ufo.org/ adresinden son sürümüne ulaşılabilir. Çalıştırılan her bir uygulama ait çıktılar ayrı bir rapor dosyası halinde saklanır.
@ADEO Security Labs, 2011 www.adeosecurity.com
Mac OS X işletim sistemleri üzerinde olay müdahalesi sırasında kullanılabilecek bir uygulamadır. USB üzerinden çalışacak şekilde dizayn edilmiştir. http://sud0man.blogspot.fr/2013/09/pac4mac- forensics- framework- for- mac- os.html adresinden son sürümüne ulaşılabilir.
Canlı inceleme sırasında disk şifrelemenin kullanıldığı bir sabit diske rastlanabilir. Disk şifrelenemin kullanıldığı bir diskin imajını sistem canlı iken almak süreci hızlandırır. ( Sistem kapandıktan sonra alınacak disk imajını okumak için şifrelmede kullanılan şifreye ihtiyaç duyulur.) Encrypted Disk Detector (EDD) ile inceleme yapılan bilgisayarda TrueCrypt, PGP veya Bitlocker ile şifrelenmiş lokal disklerin olup olmadığı öğrenilebilir. http://info.magnetforensics.com/ encrypted- disk- detector adresinden indirilebilir.
Şüpheli sisteme ait disklerin imajının alınması sırasında bu disklere herhangi bir şekilde yazma işlemi gerçekleştirilmesin diye donanımsal veya yazılımsal olarak bir yazma koruması kullanılmalıdır. USB Write Blocker uygulaması Windows sistemlerdeki Registry anahtarları üzerinde yaptığı değişikliklerle ilgili sisteme USB portları üzerinden bağlanan disklere yazma işlemi gerçekleştirilmesini engeller. Donanımsal bir yazma koruması çözümü her zaman tercih edilmeli, yazılımsal yazma koruması en son alternatif olarak düşünülmelidir. USB Write Blocker uygulamasını http://dsicovery.com/dsicovery- software/usb- write- blocker/ adresinden indirebilirsiniz.
dd nin geliştirilmiş ve yeni özellikler eklenmiş versiyonudur. [Seçenekler] progress=on (İlerleme çubuğunu göster) hash=<type> (hashtürü = md5, sha, sha1,sha256 ) hashlog=filename (İmaj alma sırasında ve log dosyasına yazma sırasında bütünlük doğruluma yap) hashwindow=num (Her num ile belirtilen miktarda byte işleminden sonra MD5 hash hesaplaması yap) #./dc3dd if=/dev/sda of=/mnt/davalar/sda.img hash=md5 progress=on hashlog=/mnt/davalar/sda.log
FTK Imager, AccessData firması tarafından ücretsiz olarak sunulan bir uygulamadır. http://www.accessdata.com/support/product- downloads adresinden indirilebilir. İmaj almanın yanında temel manada analiz işlemi yapılmasına da imkan tanır. Silme yapıldıktan sonra üzerine herhangi bir şekilde yazma işlemi gerçekleştirilmemiş dosyaların kurtarılmasını da sağlar. Image mounting özelliği sayesinde sabit disk imajlarını Windows ortamında sadece- okunabilir formatta bir sürücü olarak gösterebilirsiniz.
EnCase Forensics Imager http://www1.guidancesoftware.com/order- Forensic- Imager.aspx adresinden indirilebilir. Yereldeki sabit disk, hafıza kartı ve hafızanın anlık görüntüsünü sunar ve bunların imajının alınmasına imkan tanır. Desteklediği delil formatları aşağıdadır.. Legacy EnCase evidence files (.E01) Legacy logical evidence files (.L01) Current EnCase evidence files (.Ex01) Current logical evidence files (.Lx01) DD images VMware files (.vmdk) Virtual PC files (.vhd) LinEn ile birlikte kullanıldığında network üzerinden imaj alınmasına imkan tanır.(özellikle RAID yapıların imajını almada tercih edilir.)
Guymager, Linux altında çalışan bir imaj alma yazılımıdır. http://guymager.sourceforge.net/ adresinden son sürümüne ulaşılabilir. (dd), EWF (E01) ve AFF formatında imajlar oluşturabilir.
Dd formatında imajı alınmış diskleri Windows ortamında mount etmek için kullanılabilecek bir yazılımdır. http://www.osforensics.com/tools/mount- disk- images.html adresinden indirilebilir. Desteklediği formatlar;
Disk imajları içindeki volume ve dosya sistemleri üzerinde analiz gerçekleştirmek için kullanılabilecek komut satırı uygulamalarından oluşmuş bir settir. http://www.sleuthkit.org/sleuthkit/ adresinden indirilebilir. Girdi olarak raw (dd), Expert Witness (EnCase) ve AFF dosya türlerini destekler. Analiz yapabildiği dosya sistemleri ise şunlardır; NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, YAFFS2 Bu kit içinde yer alan uygulamalar beş farklı ana kategoride toplanmışlardır. Bunlar; File Sistem Araçları Volume Sistem Araçları İmaj Dosyası Araçları Disk Araçları Diğer Araçlar
Autopsy komut satırı uygulamalarını çalıştırmak için geliştirilen bir grafik arayüzdür. Arka planda TSK (The Sleuth Kit) araçlarını ve bazı standart Unix uygulamalarını kullanır. Son sürümüne www.sleuthkit.org/autopsy/ adresinen ulaşılabilir. Temel özellikleri: Timeline Analysis Keyword Search Web Artifacts Registry Analysis LNK File Analysis Email Analysis EXIF File Type Sortin Media Playback Thumbnail viewer Hash Set FilteringTags Unicode Strings Extraction
foremost, Amerika Hava Kuvvetlerinden Agents Jesse Kornblum ve Kris Kendall tarafından yazılmıştır. Bir ikili dosya içindeki verileri kurtarmak için kullanılır. dd, Safeback, Encase gibi uygulamalar tarafından oluşturulmuş imaj dosyaları üzerinde çalışabileceği gibi direkt olarak sabit disk sürücüsü üzerinde de çalışabilir. Bu ikili dosya; İmaj dosyası Swap alanı Unallocated alanların çıkartılmasıyla oluşan dosya olabilir. foremost veri kurtarma işlemi sırasında konfigurasyon dosyasında yer alan ve farklı dosya tipleri için ön tanımlı olarak gelen dosya header, footer bilgilerini baz alır. Dosya türlerine ilişkin header ve footer bilgilerine http://www.garykessler.net/library/file_sigs.html adresinden ulaşılabilir. Son sürümüne http://foremost.sourceforge.net/ adresinden ulaşılabilir.
cat /foremost- outtput/audit.txt less 5071 FILES EXTRACTED gif:= 35 gif:= 31 jpg:= 10 jpg:= 3680 png:= 1288 bmp:= 27
OSForensics, Windows ortamında adli bilişim incelemesi gerçekleştirebileceğiniz ve profesyonel sürümüne oranla belirli özellikleri kırpılmış fakat buna rağmen yine de oldukça başarılı ve gelişmiş özelliklere sahip bir analiz yazılımıdır. http://www.osforensics.com/osforensics.html adresinden son sürümüne ulaşılabilir. İndex oluşturma ve index üzerinden arama yapılmasına imkan tanıma, silinmiş dosyaları kurtarma, kullanıcının aktivitelerini hızlıca ortaya çıkarma, Volume Shadow kopyaları üzerinde çalışma gibi bir çok özelliğe sahiptir. Dahili olarak registry görüntüleme, dosya görüntüleme ve e- posta görüntüleme özelliğine sahiptir.
Windows sistemlerdeki kullanıcıların aktivitelerini ortaya çıkarmak adına registry anahtarları üzerinde analiz gerçekleştirmeye imkan tanıyan bir yazılımdır. Eklenti bazlı çalışır.(plug- in) Sadece kullanıcılar hakkında değil, analiz edilen sistem hakkında da bir çok bilgiye registry anahtarları üzerinden erişilmesine imkan tanır. Son sürümüne https://code.google.com/p/regripper/ adresinden ulaşılabilir. Harlan Carvey tarafından yazılmıştır. Eklentilerin tamamı RegRipper ın plugins klasöründe yer alır. Her bir eklenti dosyasında RegRipper ın hangi hive üzerinde hangi anahtar ve değerler bakacağı ve bu anahtar ve değerleri bulduğunda ne yapması gerektiği bilgisi yer alır.
Alınan dd formatındaki imajlar bir sanal makinaya bağlanarak disk üzerindeki işletim sistemi çalıştırılabilir ve ekstra analiz gerçekleştirilebilir. Bunun için Live View uygulaması kullanılabilir. Live View ile imajı alınan bilgisayarın interaktif modda analizi yapılırken arka plandaki disklerin üzerinde herhangi bir değişiklik yapılmaz. http://www.sei.cmu.edu/digitalintelligence/tools/ liveview/index.cfm adresinden indirilebilir.
SANS tarafından hazırlanan ve içeriğinde bir çok açık kaynak kodlu adli bilişim yazılımını barındıran sanal makinedir. 2.14 sürümünü http://computer- forensics.sans.org/community/downloads adresinden indirebilirsiniz. File system support Windows (MSDOS, FAT, VFAT, NTFS) MAC (HFS+) Solaris (UFS) Linux (EXT2/3/4) Evidence Image Support Expert Witness (E01) RAW (dd) Advanced Forensic Format (AFF) Software Includes The Sleuth Kit (File system Analysis Tools) log2timeline (Timeline Generation Tool) ssdeep & md5deep (Hashing Tools) Foremost/Scalpel (File Carving) WireShark (Network Forensics) Vinetto (thumbs.db examination) Pasco (IE Web History examination) Rifiuti (Recycle Bin examination) Volatility Framework (Memory Analysis) DFLabs PTK (GUI Front- End for Sleuthkit) Autopsy (GUI Front- End for Sleuthkit) PyFLAG (GUI Log/Disk Examination) DFF (Digital Forensic Framework)
İçerisinde yüzlerde adli bilişim yazılımının yer aldığı bir Linux dağıtımıdır. Bu dağıtım sık güncellenir ve son sürümüne http://www.deftlinux.net/download/ adresinden erişilebilir. Yaklaşık 100 sayfalık kullanım dokümanında bir çok aracın kullanımı örnekleriyle anlatılmış durumda.
Windows ortamında çalışan bir Network Forensic Analysis uygulamasıdır. Free ve Professional olmak üzere iki versiyonu vardır. Ücretsiz versiyonu http://sourceforge.net/projects/networkminer/files/latest adresinden indirilebilir. Hem canlı ağ trafiği üzerinde hemde pcap dosyaları üzerinde analiz gerçekleştirilebilir. Professional versiyonu bir USB flash üzerinde gelir ve direkt olarak olay müdahalesinin yapılacağı bilgisayarda çalıştırılabilir.
Virtual Box formatında hazırlanmış sanal makina hali http://sourceforge.net/projects/xplico/files/virtualbox %20images/ adresinden indirilebilir. DEFT in son versiyonu içinde de yüklü gelir. Diğer adli bilişim yazılımlarında olduğu gibi Xplico da da Case mantığı vardır. Xplico ya login olurken kullanılabilecek admin yetkisine sahip kullanıcının adı şifre ikilisi şöyledir; admin/xplico Admin olarak oturum açıldıktan sonra işlem yapmak üzere sistem üzerinde bir kullanıcı oluşturulması tavsiye edilir.
İnternet üzerinden gerçekleştirilen sohbetlere ilişkin elde edilebilen detaylar bu kısımda toplanmış durumda. Facebook üzerinden gerçekleştirilen sohbet detayları
Oturum tabanlı (Session- Based) bir network forensics yazılımıdır. Ücretsiz sürümü http://www.netwitness.com/products- services/ investigator- freeware adresinden indirilebilir. Ücretsiz sürümünde boyutu 1 GB a kadar olan capture dosyaları analiz edilebiliyor. Çok gelişmiş bir filtreleme imkanı sunuyor. Kablolu yada kablosuz ağlar üzerinden akan Raw paketleri yakalayabilme yeteneğine sahip olduğu gibi, başka araçlar kullanılarak yakalanmış pcap dosyalarını import edebiliyor. Patentli port- agnostic teknolojisi sayesinde varsayılan portlarından farklı portları kullansalar bile protokolleri doğru tespit edebiliyor. Aşağıdaki üç farklı kategoriyi çok iyi anlamak gerekiyor; Packet Collectors Protocol Analyzers Network Forensics Tools
1 2 3 4
Splunk, cihazlar veya uygulamalar (websiteleri, uygulamalar, sunucular, ağ cihazları mobil cihazlar vb) tarafından üretilen log kayıtları üzerinde analiz, izleme ve arama yapma imkanı sunan ve uygulamadır. http://www.splunk.com/download adresinden indirilebilir. Kullanıcı bütün işlemlerini web tabanlı arayüzden gerçekleştirir. Free ve Enterprise versiyon olmak üzere iki versiyonu vardır. Ücretsiz versiyonu günlük 500 MB log işleyebilir. Desteklediği işletim sistemlerinin listesi; Gereksinimler için http://docs.splunk.com/documentation/splunk/4.3.3/installation/ Systemrequirements adresine bakılabilir.
Arama yapılacak ifadeleri Search kısmına yazıyoruz. Alt tarafta toplam event sayısı ve ilk ve son event zamanları gösterilmiştir. Ön tanımlı zaman aralıklarını seçerek sorguların zaman aralıkları ile oynayabiliyoruz. Splunk kullanarak Directory Traversal saldırı girişimlerini görüntülüyoruz. Eklenen veri kaynaklarının listesi Splunk kullanarak XSS saldırı girişimlerini görüntülüyoruz.
ADEL, Android cihazlarda yer alan ve adli bilişim açısından önemli verilerin tutulduğu SQLite formatındaki veritabanlarına ulaşıp bu veritabanları içindeki verileri extract eden bir uygulamadır. http://forensics.spreitzenbarth.de/adel/ adresinden son sürümüne ulaşılabilir. Mevcut sürümü aşağıdaki bilgileri elde etmenize imkan tanır. Telefon ve SIM kartı bilgileri (örneğin IMSI ve seri numarası) Telefon defteri ve arama listeleri Takvim kayıtları SMS mesajları Telefonda yer alan GPS kayıtları
Android cihazlar üzerinden logical extraction yöntemi ile Çağrı detaylarını, SMS mesajlarını ve Kontak listesini elde etmenize imkan tanıyan ücretsiz bir yazılım. http://www.signalsec.com/saft/ adresinden indirilebilir.
İncilenen bilgisayarda yer alan ios yedekleri üzerinde işlem yapmanıza imkan tanır. http://www.iphonebackupextractor.com adresinden ücretsiz olarak indirilebilir. iphone, ipod Touch, ipad, iphone 3G, iphone 3GS, iphone 4, iphone 4S, iphone 5 yedeklerini destekler. Yedek dosyaları içinden aşağıdaki kategorilerde yer alan verilerin elde edilmesini sağlar. Fotoğraflar Kontaklar Videolar Takvim Notlar SMS ler Arama Geçmişi Ses Kayıtları Lokasyon Bilgileri
Şifreli yedek http://www.iphonebackupextractor.com