IR : Forensics et eDiscovery 2023-11-10 PDF
Document Details
Uploaded by Deleted User
2023
Tags
Related
- Digital Forensic Spring 2024 CM 4041 PDF
- Cours Analyse Forensique P1 PDF
- Chapter 20 - 03 - Identify the Roles and Responsibilities Of a Forensic Investigator PDF
- King Fahd University Of Petroleum & Minerals Computer Forensics Lectures 05-07 PDF
- Forensics Final Notes PDF
- CySA+ Lessons 5-7 (Quiz 2) PDF
Summary
This presentation discusses digital forensics and incident response (DFIR) and its various tools and technologies. It covers topics such as SIEM, SOAR, EDR, XDR, and the importance of a digital investigation process. It also explains the phases of digital forensics investigation, including identification, collection, examination, analysis, and presentation.
Full Transcript
IR : Forensics et eDiscovery 2023-11-10 Become a Cyber Forensic Investigator (Beginners DFIR Roadmap 2024) https://www.youtube.com/watch?v=eekzaI0UFDA DFIR Digital forensics and incident response (DFIR) is an emerging cybersecurity discipline that integrates computer foren...
IR : Forensics et eDiscovery 2023-11-10 Become a Cyber Forensic Investigator (Beginners DFIR Roadmap 2024) https://www.youtube.com/watch?v=eekzaI0UFDA DFIR Digital forensics and incident response (DFIR) is an emerging cybersecurity discipline that integrates computer forensics and incident response activities to accelerate the remediation of cyber threats When digital forensics and incident response are conducted separately, they can interfere with one another. Incident responders can alter or destroy evidence while removing a threat from the network, and forensic investigators may delay threat resolution as they search for evidence. DFIR tools and technologies Security information and event managem ent (SIEM) : SIEM collects and correlates security event data from security tools and other devices on the network. Security orchestration, automation, and r esponse (SOAR) : SOAR enables DFIR teams to collect and analyze security data, define incident response workflows and automate repetitive or low-level security tasks. Endpoint detection and response (EDR) Extended detection and response (XDR): unifies security operations across all security layers—users, endpoints, email, applications, networks, cloud workloads and data. Pourquoi avons-nous besoin d’un processus d’investigation numérique ? Les cybercriminels conduisent aujourd'hui des attaques sophistiquées qui exploitent de vastes réseaux numériques et de multiples points de terminaison. L'application du processus forensics garantira qu'une enquête est valable d’un point de vue forensics. Le processus peut être considéré comme fiable sur le plan forensics s’il adhère légalement aux principes et normes forensics. Le processus forensics définit une enquête structurée sur les preuves numériques à partir de n’importe quel appareil capable de stocker ou de traiter des données. The National Institute of Standards and Technology (NIST 800-86) (outlines four steps for digital forensic investigations: https://www.youtube.com/watch?v=NmuhGa4Qe kU Le processus d'investigation numérique La phase d'identification - La phase d'identifi cation est la tâche de détecter, reconnaître et déterminer l’incident ou le crime sur lequel enquêter. - Les incidents peuvent être identifiés sur la base de plaintes, alertes ou autres indications. - Une équipe d’enquêteurs formés est crucial pour déterminer ce qui s’est passé, sur la base des objets numériques disponibles. - Lorsqu'un incident est reconnu, une confi rmation est nécessaire pour autoriser et lancer une enquête forensics. La phase d'identification L'équipement physique contenant des preuves numériques potentielles est identifié comme étant sous tension (allumé) ou mort (éteint, sans alimentation) : Systèmes sous tension : systèmes qui fonctionnent. Systèmes morts : systèmes ne fonctionnent pas. Toutes les données dans les zones de stockage temporaire, telles que le cache, la mémoire principale, les processus en cours d'exécution ou les dialogues d'application actifs sur un ordinateur seront perdues lorsque le système est mis hors tension. La phase d'identification Il est crucial de préserver la chaîne de possession et l’intégrité des preuves depuis le tout début. Ceci comprend les activités pour isoler, sécuriser et documenter les appareils physiques et numériques. Chaîne de traçabilité : Dans certaines juridictions, les preuves peuvent être exclues si les éléments répertoriés ici ne sont pas documentés : - La personne qui gère les preuves. - Processus et procédures effectués. - L'heure et la date de l'acquisition des preuves. - Localisation originale des preuves recueillies. - Méthode de collecte, d'examen et d'analyse. - La raison de la collecte des preuves. La phase d'identification Diverses sortes de données et de documents justificatifs peuvent être utilisés pour soutenir la chaîne de traçabilité : - Photographies. - Rapports. - Systèmes de gestion des informations de laboratoire. - Des cahiers. - Listes de contrôle. - Fichiers -journaux Vidéos. et captures d'écran. 26 La phase de collecte La phase de collecte fait référence à l'acquisition ou la copie des données. C'est la collecte de données à partir d'appareils numériques pour faire une copie numérique en utilisant des méthodes et techniques forensics. Un enquêteur forensics a accès à des appareils contenant des données brutes identifiées comme pertinentes pour le cas spécifique. La phase de collecte Les données étudiées doivent toujours être copié sur un support distinct L'examen et l'analyse forensics doivent toujours travailler sur une copie. Un bloqueur d'écriture (que ce soit au niveau matériel ou logiciel) est généralement utilisé pour garantir qu'aucune donnée n'est écrite sur le support de stockage d'origine. Une signature numérique (un hachage cryptographique) est calculée à la fois pour le support original et pour la copie. La phase de collecte Métadonnées : le nom du dossier, le numéro du dossier, l'examinateur (le ou les enquêteurs en forensics numérique), les horodatages, le lieu du dossier et de la saisie et le fuseau horaire. Les outils forensics ajoutent généralement des métadonnées à chaque objet numérique, ajoutant notamment des références à des bases de données avec des hachages et des mots clés connus. 30 La phase de collecte Afin de vérifier que l'intégrité est préservée, une empreinte digitale est appliqué (fonction de hachage cryptographique). Une fonction de hachage cryptographique est une fonction mathématique irréversible qui prend une quantité arbitraire de données en entrée et renvoie une chaîne de taille fixe en sortie. La phase de collecte Ordre de volatilité : Priorisation de la source potentielle de preuves à collecter en fonction de la volatilité des données. Rassemblez d’abord les données les plus volatiles, car elles seront probablement modifiées ou détruites en premier. La phase de collecte 35 La phase d'examen Préparation et extraction de preuves numériques potentielles provenant des sources de données collectées. Plus la phase d'examen peut structurer et organiser les données pour les enquêteurs, meilleure sera l’analyse du contenu réel des objets de données. Le triage est le processus qui vise à identifi er le plus rapidement possible les données les plus pertinentes, par exemple en extrayant d'un ordinateur les fichiers les plus récemment modifiés. La phase d'examen De nombreux fichiers d'un ordinateur appartiennent au système d'exploitation, aux logiciels et à d'autres applications. Ces fichiers sont généralement ne contiennent aucune preuve utile , et ils peuvent être ignorés en toute sécurité lors de l’examen/analyse. L'utilisation de bases de données de fichiers connues, en combinaison avec des outils d'investigation numérique, permet de repérer de tels fichiers. La phase d'examen Un système interne d'horloge doit toujours être notée,tout comme tout écart dans les fuseaux horaires ou tout soupçon d’un horloge incorrect. Les fichiers compressés doivent être décompressés et les fichiers cryptés doivent être déchiffrés si possible. De nombreux outils prennent en charge la correspondance d'extension de type de fichier pour détecter si un fichier correspond à ce que son extension prétend être. 39 La phase d'analyse Le traitement des informations qui répondent à l'objectif de l'enquête dans le but de déterminer les faits concernant un événement, l'importance de la preuve et la ou les personnes responsables. Méthodes statistiques, analyse manuelle, data mining , etc. sont quelques-unes des techniques utilisées pour l’analyse. La phase d'analyse Les comptes bancaires, les numéros de carte de crédit, les adresses IP et les URL peuvent être recherchés en utilisant les expressions régulières: -Les numéros de téléphone. -Numéros de sécurité sociale (SSN). -Adresses (IP, e-mail et domicile ou travail physique, ainsi que les URL des sites Web). -Propriétés du fichier telles que le nom, le type, la taille, la date de création et le moment de l'accès. -Langue et caractères spéciaux. -Relations et caractéristiques religieuses, culturelles ou sociales. La phase d'analyse Les outils d'investigation numérique sont introduits avec plus de capacités d'analyse forensics pour réduire les efforts manuels d’analyse de gros volumes de données. De nombreux outils forensics peuvent automatiquement structurer les fichiers et données en fonction de l’heure à laquelle ils ont été consultés, modifiés pour la dernière fois ou supprimés. L'analyse des journaux du système et des applications peut fournir une chaîne d'événements structurée dans le temps. De nombreuses applications et outils existent pour présenter les données de manière visuelle. 43 La phase de présentation - Le processus par lequel l'examinateur partage les résultats de la phase d'analyse sous la forme de rapports à la ou aux parties intéressées. - La présentation est basée sur des résultats objectifs avec un niveau de certitude suffi sant, basés sur l'analyse de preuves numériques. - Il est important que les conclusions soient résumées et que toutes les actions réalisées au cours de l'enquête soient comptabilisées. La phase de présentation Les informations typiques requises dans un rapport final sont: Rôles et tâches assignés à l'enquête. Résumé analytique de toutes les sources d’information et preuves. L'acquisition et l'analyse forensics, qui reflètent la chaîne de possession et l'intégrité des preuves. Visualisations et diagrammes. Images et captures d'écran. Informations qui soutiennent la répétabilité ou la reproductibilité de l'analyse. Les outils utilisés. Résultats. La phase de présentation Free Introduction to Digital Forensic Using data from OS NIST Guide to integrating forensic technique into Incident response https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci alpublication800-86.pdf Using data from : -data files -OS -applications -network Réseaux de télécommunications Un appareil mobile se connecte à un réseau mobile, et laisse forcément des traces dans l'infrastructure réseau. Le réseau GSM se compose de trois parties, à savoir le sous-système radio (RSS), le sous-système réseau et commutation (NSS) et le sous-système d'exploitation (OSS). 34 Réseaux de télécommunications Le RSS comprend les parties du système qui envoient et reçoivent les signaux radio. La Station Mobile (MS) est un équipement mobile comme un téléphone mobile. Cela envoie les signaux à la station d'émetteur-récepteur de base (BTS). Un contrôleur de station de base (BSC) contrôle plusieurs BTS. Alors que le BTS gère la communication directe avec la MS, le BSC attribue les bandes de fréquences, gère le transfert entre les cellules et gère le BTS. Réseaux de télécommunications Le NSS est l'endroit où se déroulent la configuration et le routage des appels et des données. Le Mobile Devices Switching Center (MSC) gère l’établissement des appels. La Gateway MSC (GMSC) connecte le réseau mobile à un réseau RNIS ou PSTN (réseau téléphonique « fixe »). Le Home Location Register (HLR) stocke les informations utilisateur sur un abonné. Ce registre contient le numéro RNIS de l'abonné mobile (MSISDN), l'identité internationale de l'abonné mobile (IMSI), la zone de localisation (LA) de la MS, le registre de localisation des visiteurs (VLR), etc. Les informations de localisation sont importantes pour pouvoir acheminer les appels vers la MS. 36 Réseaux de télécommunications L'OSS s'occupe de la maintenance et de l'exploitation du réseau. Ce sous-système se compose d'un centre d'exploitation et de maintenance (OMC), d'un centre d'authentification (AuC) et d'un équipement Registre d'identité (EIR). L'OMC prend en charge la gestion du réseau de haut niveau, telle que l'administration du réseau, l'administration des utilisateurs, les informations de facturation, la gestion de la sécurité et la journalisation. L'EIR est un registre de toutes les identités internationales d'équipement mobile (IMEI). 37 Réseaux de télécommunications - Les types de preuves les plus courants sont les enregistrements de données d’appels et les journaux de trafi c de données. - Il s'agit de journaux qui montrent quels appels ont été passés par ou vers un abonné, ainsi que leur durée, quand les SMS ont été envoyés, et quand et combien de données ont été envoyées et reçues. - Il existe également des informations sur l'identité de l'équipement qui a été utilisé avec une carte SIM pour la connexion au réseau. Lire le contenu de la Lepuce programmateur universel est un équipement conçu pour programmer (ou écrire) sur des puces telles que la mémoire flash, la mémoire morte programmable effaçable électriquement (EEPROM) et le réseau de portes programmables sur site (FPGA). Ces programmeurs ont également la capacité de lire le contenu de la puce. Nous pouvons utiliser des équipements conçus exclusivement pour un usage forensics, comme le Memory Toolkit du Nederland Forensic Institute. Cet outil lit le contenu de la puce de la même manière qu'un programmeur universel, mais lit en outre les blocs défectueux et permet aux utilisateurs de modifi er les algorithmes existants ou d'écrire les leurs pour des appareils inconnus. 39 Lire le contenu de la puce 40 carte SIM L'UICC contient des applications SIM et USIM qui gèrent des fonctions spécifiques à la téléphonie. Chaque UICC contiendra un ICCID (Integrated Circuit Card ID). Ce numéro identifie la carte physique et est parfois appelé numéro de carte SIM. C'est le numéro qui est imprimé physiquement sur l'UICC. La SIM et l'USIM contiennent également un IMSI. C'est le numéro qui permettra d'identifier l'abonné sur le réseau mobile. Outre ces deux numéros d'identification, l'UICC contient une liste de réseaux auxquels elle n'est pas autorisée à adhérer. Cette liste est mise à jour lorsque le téléphone détecte un réseau avec lequel le fournisseur de réseau mobile de l'abonné n'a pas d'off re d'itinérance. Cette liste pourrait donc nous indiquer dans quels pays l'UICC a été utilisé. De plus, l'UICC contient également le stockage d'un 64 nombre limité de SMS, de contacts et d'un journal d'appels. Présentation de l’investigation des réseaux Analyse forensics des réseaux – Suivi systématique du trafic entrant et sortant Pour savoir comment une attaque a été menée ou comment un événement s'est produit sur un réseau Les intrus laissent des traces derrière eux Déterminer la cause du trafic anormal – Bogue interne – Attaquants 42 Réseaux informatiques La transmission des informations, ou données, est gérée par un ensemble de périphériques appelés routeurs et commutateurs. Ces appareils sont connectés à un certain nombre de câbles réseau, appelés pattes. Lorsque certaines données arrivent à un routeur, celui-ci examine l'adresse du destinataire pour déterminer quelle étape est la mieux adaptée pour les transporter plus loin. 43 Réseaux informatiques Pour qu'un ordinateur puisse recevoir des données d'un autre ordinateur, il doit disposer d'un port ouvert à partir duquel il écoute les données. Ce port est une valeur numérique comprise entre 0 et 65 535. Certains ports sont plus courants que d'autres (par exemple, les ports 80 et 443 pour accéder aux pages Web). Ainsi, le numéro de port peut aider à identifier le type de ressource à laquelle on accède. Preuves forensics du réseau Traces Internet Lorsque vous accédez à Internet via un navigateur Web comme Chrome ou Firefox, le navigateur laisse normalement des traces de cette activité sur votre disque dur. Cependant, si vous utilisez votre navigateur en mode privé (également appelé mode incognito), pris en charge par la plupart des navigateurs modernes, ces traces ne seront pas écrites sur votre disque dur. Vous pouvez également, à tout moment, choisir de supprimer ces informations de votre disque dur. Il existe trois types de traces : historique, cache et cookies. 72 Historique du navigateur L'historique du navigateur contient toutes les URL que vous avez saisies dans la barre d'adresse ou vers lesquelles vous avez suivi des hyperliens. Les navigateurs stockent ces URL pour plus de commodité pour l'utilisateur. Ce type d'informations peut être très utile pour déterminer si une personne a accédé ou non à certains types de services ou d'informations. L'historique du navigateur comprend également des informations sur la date du premier et du dernier accès à l'URL, ainsi que le nombre de fois où elle a été consultée. La plupart des navigateurs stockent l'historique du navigateur dans une base de données SQLite et sont donc facilement analysables. Des outils open source existent pour faciliter ce travail, comme Plaso (log2timeline) et Autopsy. En plus de l'historique du navigateur, les navigateurs laissent également d'autres types d'artefacts, tels que les signets, les pages favorites et l'historique des téléchargements. Cache du navigateur La plupart des informations que nous recevons pour chaque requête HTTP restent inchangées d'une requête à l'autre (par exemple, le logo d'un site Web). Les données envoyées depuis le serveur se voient attribuer des informations de mise en cache sur la durée pendant laquelle elles resteront valides. Le navigateur lira ces informations d'en-tête et enregistrera l'objet sur le disque avec sa durée de vie, en utilisant l'URL de l'objet comme clé de référence. La prochaine fois qu'une requête pour l'URL donnée sera générée, le navigateur regardera dans son cache si elle contient déjà un objet valide. Étant donné que le cache est souvent stocké dans des formats de données personnalisés, il est plus simple d'y accéder à l'aide d'outils tels que Plaso. 48 Cookies du navigateur Les courtiers en publicité doivent être en mesure d'identifier le visiteur auprès de plusieurs fournisseurs de contenu à l'aide de cookies. Les cookies sont des informations envoyées au serveur avec une requête HTTP ; ils sont spécifiques à un domaine ou une URL donnée. Ces cookies sont couramment utilisés pour mémoriser les états entre les demandes (par exemple, les connexions des utilisateurs ou les fournisseurs de contenu pour off rir aux visiteurs une meilleure expérience lors de l'utilisation de leur service). 49 E - mail En plus du contenu, les e-mails contiennent des en-têtes qui contienent des informations sur l'expéditeur et les destinataires divulgués des e-mails téléchargés. Les heures MAC des fichiers peuvent en outre indiquer quand les e-mails ont été téléchargés. Réseaux sociaux Différents comptes d'utilisateurs, tels que Facebook, Twitter, LinkedIn, adresses e-mail (encore une fois), divers forums et communautés Internet, peuvent être utiles pour identifier les comptes d'utilisateurs qu'une personne possède. Les listes de contacts (telles que les amis sur Facebook, les abonnés et les abonnés sur Twitter et les contacts sur LinkedIn) sont des informations sur d'autres personnes qui, d'une manière ou d'une autre, sont liées à une personne. 51 Collecte de données depuis les serveurs Lorsque nous avons affaire à des serveurs connectés à Internet qui ne sont pas physiquement disponibles pour nous, nous souhaiterons peut- être communiquer avec le serveur via le réseau. La manière la plus simple de procéder consiste à lui envoyer un paquet ICMP (Internet Control Message Protocol), appelé ping. La prise d’empreintes digitales du serveur Web est une tâche critique pour le testeur d’intrusion. Connaître la version et le type d'un serveur Web en cours d'exécution permet aux testeurs de déterminer les vulnérabilités connues et les exploits appropriés à utiliser pendant les tests. 52 whois Qui est le propriétaire enregistré d'un nom de domaine. Ces informations peuvent être recherchées à l'aide de la commande whois sur les systèmes UNIX : pcbje$ whois hig.no [...] Poignée NORID.............. : Nom de domaine HIG240D-NORID.............. : hig.no [...] Type................................. : Nom de l’organisation.................................. : Høgskolen et Gjøvik [...] Adresse postale..............: Teknologiveien 22 Adresse postale...............: Postboks 191 Code postal................: NO-2815 Zone postale................: Pays de Gjøvik...............: NON Adresse e-mail.............. : [email protected] Il est assez simple d’enregistrer un nom de domaine sous un faux 53 nom, les informations peuvent fournir des indices pour l’enquête. Coquilles Web Un fichier sur un serveur Web qui permet l'exécution de programmes sur ce serveur est souvent appelé shell Web. Si le serveur web à l'adresse IP 192.168.0.1 contient ce web shell à path/shell.php, un attaquant peut exécuter une commande en exécutant : curl -X OBTENIRhttp://192.168.0.1/shell.php?c=whoami La commande ci-dessus renverra l'identité de l'utilisateur sous lequel l'application du serveur Web s'exécute sur ce serveur. serveur Web Examen des journaux réseau Enregistrez le trafic entrant et sortant – Serveurs réseau – Routeurs – Pare-feu 56 Intégrité des artefacts distants Lorsque nous exécutons une commande (comme traceroute) pour tracer ou acquérir des informations sur Internet, plusieurs éléments doivent être enregistrés : la date et l'heure de lancement de la commande, la date et l'heure de fi n de la commande, sur quel ordinateur (adresse MAC) il a été exécuté, l'utilisateur exécutant la commande, le nom de la commande exécutée, et les arguments fournis à la commande. 57 Outils SysInternal s 59 Utilisation des outils UNIX/Linux Distribution des outils de sécurité Knoppix (STD) – CD Linux amorçable destiné à l'investigation informatique et réseau Outils Knoppix-STD – Dcfldd, la version dd du DoD américain – memfetch force un vidage de la – photorec récupère les fichiers d'un appareil photo mémoire numérique – snort, un système de détection d'intrusion – oinkmaster vous aide à gérer vos règles de sniff 60 Utilisation des outils UNIX/Linux (suite) Outils Knoppix-STD (suite) – John – chntpw réinitialise les mots de passe sur un PC Windows – tcpdump et ethereal sont des renifleurs de paquets Avec les outils Knoppix STD sur un CD portable – Vous pouvez examiner presque n'importe quel système réseau 61 Utilisation des outils UNIX/Linux (suite) RetourTrack – Contient plus de 300 outils pour l'analyse du réseau, les attaques par force brute, les réseaux Bluetooth et sans fil, et bien plus encore. –Comprend des outils forensics, tels que le kit d'autopsie et de détective – Facile à utiliser et fréquemment mis à jour 62 Utilisation des renifleurs de paquets Renifleurs de paquets – Appareils ou logiciels qui surveillent le trafic – réseau La plupart fonctionnent au niveau de la couche 2 ou 3 du modèle OSI La plupart des outils suivent le format PCAP Certains paquets peuvent être identifiés en examinant les indicateurs dans leurs en-têtes TCP 63 En-tête TCP 64 Outils Tcpdump (capture de paquets en ligne de commande) Tcpdump écoute les paquets arrivant sur une interface réseau et stocke les données dans un format appelé pcap. Vous trouverez ci-dessous un exemple de commande pour démarrer la collecte du trafic sur une interface donnée et stocker les données par minute : $ sudo tcpdump –i en0 –w %Y-%m-%d_%H-%M-%S%z.pcap –G 60 Tcpslice : extrait les informations d'un ou plusieurs fichiers tcpdump par période 65 Outils Tcpreplay (rejoue les paquets) Tcpdstat (statistiques de trafic en temps quasi réel) Ngrep (correspondance de modèles pour les captures pcap) Etherape (visualise graphiquement le trafic réseau) Netdude (outil GUI pour analyser les fichiers pcap) Argus (analyse les flux de paquets) 66 1.Codioo : Ultimate Digital Forensics Quiz - Un quiz avec plus de 78 questions à choix m ultiples pour tester tes compétences en1 cyber criminalité, récupération de données et analys e forensique. 2.Quizgecko : Digital Forensics Fundamentals - 2Un quiz pour tester les bases de la digital fo rensics, couvrant les principes scientifiques ap pliqués aux questions juridiques. 3.3Brainscape** : Digital Forensics Flashcards & Quizzes - Des cartes mémoire et d4es quiz pour chaqu e module de ton cours. 4.Quizlet :