Værktøjskassen til Incident Response: FTK Imager, Autopsy og Volatility

Når en virksomhed rammes af et cyberangreb, er det altafgørende at have de rette værktøjer til at opsamle og analysere de digitale spor. Digital Forensik og Incident Response (DFIR) kræver præcision og omhu for ikke at ødelægge vigtige beviser (også kendt som princippet Order of Volatility).

I denne artikel vil vi gennemgå tre af de mest essentielle og anerkendte værktøjer i branchen: AccessData FTK Imager, Volatility Framework og Autopsy 4.21. Vi kigger på, hvad de hver især kan bidrage med, hvordan du bruger dem, og hvordan de i samspil udgør et solidt fundament for en effektiv incident response-undersøgelse.

1. AccessData FTK Imager: Den Sikre Dataopsamler

Hvad bidrager det med?
FTK Imager er branchestandarden for at lave retsgyldige (forensic) kopier af digitale medier. Værktøjets primære opgave er at tage et fuldt bit-for-bit image af en kompromitteret maskines harddisk (HDD/SSD) eller dens arbejdshukommelse (RAM), uden at ændre så meget som én enkelt byte på originalmediet.

I incident response er det afgørende aldrig at analysere direkte på den originale disk, da dette kan ændre filernes tidsstempler og derved ødelægge bevisførelsen. FTK Imager sikrer, at man har et uændret snapshot, som de andre værktøjer kan arbejde videre med.

Kort Guide til FTK Imager

  1. Memory Dump (RAM):
    • Åbn FTK Imager som administrator på den kompromitterede maskine (helst fra en USB-nøgle for at minimere dit eget aftryk på systemet).
    • Vælg File -> Capture Memory.
    • Vælg destination (f.eks. din eksterne harddisk) og giv filen et navn som memdump.mem.
    • Inkluder evt. pagefile.sys.
  2. Disk Image:
    • Vælg File -> Create Disk Image.
    • Vælg kilden (f.eks. Physical Drive).
    • Vælg formatet. Formatet E01 (EnCase) eller Raw/dd anbefales, da de understøtter komprimering og hashing (f.eks. MD5/SHA256), som bekræfter integriteten.
    • Start processen.

2. Volatility Framework: Hukommelsens Detektiv

Hvad bidrager det med?
Når FTK Imager har trukket et RAM-image (.mem fil), tager Volatility over. Volatility er et anerkendt open-source kommandolinjeværktøj, der er dedikeret til avanceret analyse af flygtig hukommelse (Memory Forensics).

Rigtig meget moderne malware, såsom fileless malware eller rootkits, eksisterer udelukkende i computerens RAM for at undgå at blive opdaget af antivirusprogrammer på harddisken. Volatility lader dig inspicere kørende processer, åbne netværksforbindelser, skjulte injektioner, og endda trække dekrypterede passwords direkte fra hukommelsen på det tidspunkt, hvor angrebet var aktivt.

Kort Guide til Volatility (v2.x / v3)

(Syntaks for Volatility 2, som stadig er meget udbredt i træningsmiljøer)

  1. Find profilen: Fortæl Volatility hvilket OS-image der analyseres. 
    vol.py -f memdump.mem imageinfo
  2. Kig på kørende processer: Se hvilke programmer der kørte (også skjulte). 
    vol.py -f memdump.mem --profile=Win10x64_19041 pslist
vol.py -f memdump.mem --profile=Win10x64_19041 psscan
  3. Netværksforbindelser: Hvem talte maskinen med? (For at finde C2-servere). 
    vol.py -f memdump.mem --profile=Win10x64_19041 netscan
  4. Dump ondsindet proces: Træk en mistænkelig fil ud fra RAM og gem den som .exe til reverse engineering i sandkassen. 
    vol.py -f memdump.mem --profile=Win10x64_19041 procdump -p <PID> -D ./output/

3. Autopsy 4.21: Den Grafiske Central

Hvad bidrager det med?
Når RAM-analysen er udført, er det tid til at grave ned i disk-imaget (f.eks. .E01 filen). Autopsy er et af de stærkeste open-source GUI-værktøjer til dybdegående filsystem-analyse.

Det fungerer som en central platform, der indeholder adskillige “ingest modules”. Disse moduler scanner automatisk disk-imaget for slettede filer, browserhistorik, email-databaser, USB-enhedshistorik og meget mere. Det er her, man for alvor samler beviserne og kortlægger præcis, hvilke filer angriberen har oprettet, stjålet eller slettet.

Kort Guide til Autopsy

  1. Opret ny sag: Start Autopsy og vælg Create New Case. Giv sagen et navn og tilføj dit investigator-navn.
  2. Tilføj Datakilde: Vælg Disk Image or VM file og peg på den fil, du lavede med FTK Imager.
  3. Konfigurer Ingest Modules: Her vælger du, hvad Autopsy skal lede efter. Slå f.eks. “Recent Activity”, “Keyword Search”, “Extension Mismatch” (hvis en .exe fil lader som om den er en .txt) og “File Type Identification” til.
  4. Analyser data:
    • Brug Timeline-funktionen til at se en visuel tidslinje over, hvornår filer er oprettet/ændret. Dette er essentielt for at finde “Patient Zero” og det præcise tidspunkt, angriberen kom ind.
    • Gennemse slettede filer under Deleted Files.
    • Generer en professionel HTML-rapport, når analysen er komplet.

Det Perfekte Samspil: DFIR Workflowet

Når man bruger værktøjerne sammen, følger man typisk den gyldne regel om Order of Volatility, hvilket betyder, at man opsamler de mest flygtige data først (RAM) og derefter de mere stationære data (Disk).

Et praktisk workflow i et hændelsesforløb ser således ud:

  1. Isolation & Opsamling (FTK Imager):
    • Den kompromitterede maskine isoleres fra netværket (f.eks. ved at pille netværkskablet ud, mens maskinen stadig er tændt).
    • Der tilsluttes en ekstern, ren harddisk.
    • FTK Imager køres direkte fra en USB-nøgle for at efterlade et minimalt “fodaftryk”.
    • Først tages et Memory Dump af RAM’en.
    • Derefter tages et Disk Image af harddisken.
  2. Analyse af RAM (Volatility):
    • RAM-imaget tages med til et isoleret, sikkert lab-miljø (Forensic Lab).
    • Volatility bruges til at finde ud af, om der kørte skjult malware, hvilke IP-adresser malwaren kommunikerede med, og om angriberen havde efterladt passwords, kommandoer eller krypteringsnøgler i hukommelsen.
  3. Analyse af Disk (Autopsy):
    • Disk-imaget indlæses i Autopsy.
    • Med viden fra Volatility (f.eks. en bestemt IP-adresse, malwarens filnavn eller proces-ID) kan man nu lave knivskarpe, målrettede Keyword Searches i Autopsy.
    • Autopsys Timeline-værktøj bruges til at kortlægge præcis, hvornår angriberen downloadede malwaren til disken, og hvilke filer der eventuelt blev stjålet (Data Exfiltration).

Ved at kombinere den sikre opsamling fra FTK Imager med dybdeanalysen fra både Volatility og Autopsy, opnår sikkerhedsteamet et 360-graders overblik over hændelsen. Det gør det muligt at forstå angrebets fulde omfang, lukke sikkerhedshullerne og returnere virksomheden sikkert til normal drift.

Kilder

  • AccessData FTK Imager: Officiel dokumentation og download via Extero.com.
  • Volatility Foundation: Volatility Framework dokumentation og guide. Tilgængelig på VolatilityFoundation.org.
  • Autopsy Digital Forensics: Officielle moduler og dokumentation for Autopsy. Tilgængelig på Autopsy.com.
  • NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response. National Institute of Standards and Technology.

> Quiz: Test din viden

1. Hvilket værktøj bruges primært til at tage et bit-for-bit image af en harddisk eller RAM?

2. Hvilket framework bruges til at analysere et dump af arbejdshukommelsen (RAM)?

3. Hvilket program fungerer som en grafisk platform til at analysere disk-images og generere timelines?

4. Hvad bør man altid analysere først i et DFIR-workflow for at undgå at miste flygtige data?