| Předně - děkuji všem za účast na HackerFestu. Byla to neuvěřitelná zábava!
Provedl jsem aktualizaci svého forensního nástroje na vyčítání volatile informací (prchavý stav) počítačů. Stáhnout se to dá zde ve formě ZIP. Detailní starší článek je možné najít tady.
V podstatě se jedná o skript (máte kompletní zdrojový kód), který se spustí na počítači, pokud z něho chcete vybrat co nejvíce prchajících informací. Například ještě dřív, než počítač vypnete a odvezete do labu na výzkum. Skript jsem obohatil - kromě několika detailů - o sbírání BitLocker souvisejících záležitostí a dešifrovacích klíčů a balíčků, ale i o volatile state Hyper-V virtuálních počítačů. Seznam zásadních věcí, které to dumpuje následuje:
- seznam BitLocker protektorů (key protector), to znamená například i ta 48 ciferná hesla (48 digit recovery password)
- vyexportuje všechny dostupné key package - to znamená kompletní info, které je potřebné k dešifrování disků a to i z části poškozených
- pokud se to podaří, připojí se do Active Directory a vyexportuje key package a 48 ciferná hesla i z AD
- všechny možné systémové WMI tabulku - seznam běžících procesů, konfigurace disků, konfiguraci paměti, výměnných médií a hardware obecně, TCP spojení, aktuální IP konfiguraci, načtené DLL knihovny, seznam shadow copy, firewallu, načtené registrové soubory, stavy Hyper-V virtuálních počítačů a switchů, a podobně
- provede dump paměti všech běžících procesů, včetně svého a LSASS, v jehož paměti jsou hesla uživatelů v plné formě
- dumpne autoruns
- pokud je na počítači IIS, provede dump nastavení, ale hlavně uživatelských účtů a jejich hesel pro jednotlivé app pool
Jedná se ve většině případů jen o věci, které nelze zjistit později, potom co počítač vypnete, nebo restartujete. Cílem bylo jeho provedení co nejrychleji. Snaží se posbírat co nejvíce informací, a to i v případě, že aktuálně přihlášený uživatel není členem skupiny Administrators. V takovém případě prostě posbírá co jde.
Jedná se o forensní program. Je digitálně podepsaný s korektními časovými razítky. Máte zdrojový kód. Nic to nemodifikuje, kromě výstupního podadresáře, který vznikne na místě, odkud program spouštíte. Dokonce i obecný TEMP adresář je pro běh skriptu přesunut do jeho podadresáře, aby se zásah minimalizoval.
Optimální použití je následující:
- vezmete prázdnou USB flashku (musíte to mít na zapisovatelném médiu)
- naformátujete (ideálně NTFS, které má lepší forensní informace) a vyčistíte ji pomocí SDELETE - je tam na to BAT, který prostě vyčistí volné místo na aktuálním médiu
- nakopírujete tam tento program
- do zkoumaného počítače tuto USB flash vložíte a spustíte volatile-forensics.bat
- odpovíte na několik dotazů. Například to chce po vás vědět vaše datum a čas - tedy to co máte na hodinkách - aby se to dalo porovnat s tím, co je na počítači
- skript provede sejmutí otisku systému a uloží všechno do svého podadresáře. Nic jiného nemodifikuje, pokud si to na začátku explicitně nepřejete
- až skript doběhne, žádá si po vás heslo, kterým podepíše celý výsledek, abyste měli jistotu, že se nic nezmění
- flash ponecháte zastrčenou v počítači, nic nevyndáváte, všechno vypnete a odvezete do labu, kde se ze všeho udělají image apod.
Modifikace
Jediné dvě modifikace, které je program ochoten udělat, jsou následující. Pokud nechcete měnit nic, na začátku se na to program zeptá a nic se měnit nebude. Na druhé straně, výměnné médium v počítači ponecháváte, takže všechny jím provedené změny jsou mezi důkazy spolu s časovými razítky a je možno je dohledat:
- vypnout mazání stránkovacího souboru (pagefile) při vypínání počítače. Je škoda o jeho obsah přijít. Program nejprve zazálohuje registrovou hodnotu ClearPageFileAtShutdown a pokud chcete, může ji změnit tak, aby se stráknovací soubor nemazal.
- pro každý zašifrovaný oddíl přidá nový BitLocker protector typu 48 digit recovery password - tedy možnost dešifrovat všechny BitLocker oddíly pomocí tohoto 48 ciferného hesla. Toto 48 ciferné heslo je přesně následující - 285681-285714-285505-127897-313874-274340-296956-285604, jedná se o zakódovaný text 'sevecek-volatile' - takže lze také později jednoduše identifikovat. To je pro případ, že by tam taková možnost dosud nebyla. Například někdo může mít pouze heslo (password), nebo jenom TPM, a to by byla škoda :-)
Ještě jednou link ke stažení ZIP i jednotlivých souborů. |