Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/7785| Title: | Віртуальний полігон для дослідження розслідування кіберінцедентів |
| Authors: | Кунченко-Харченко , Валентина Іванівна Свєтличний, Валерій Геннадійович |
| Keywords: | комп’ютерна криміналістика;розслідування кіберінцидентів;віртуальний полігон;аналіз цифрових доказів;технології віртуалізації;інструменти цифрової криміналістики |
| Issue Date: | 2022 |
| Abstract: | Проведення аналізу цифрових артефактів, дампів пам’яті, файлових систем та мережевого трафіку із застосуванням спеціалізованих інструментів цифрової криміналістики |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/7785 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Свєтличний_Кунченко-Харченко.pdf Restricted Access | 5.63 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2022 року
Пояснювальна записка
до дипломного проекту (роботи)
магістра
(освітньо-кваліфікаційний рівень)
на тему «Віртуальний полігон для дослідження розслідування
кіберінцедентів»
Виконав: студент 2 курсу, групи БІ-011
Спеціальності 125 – «Кібербезпека» ,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних і
комунікаційних систем»
(назва освітньої програми)
Свєтличний В.Г.
(прізвище та ініціали)
Керівник Кунченко-Харченко В.І.
(прізвище та ініціали)
Рецензент
(прізвище та ініціали)
Черкаси – 2022 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
Освітньо-кваліфікаційний рівень магістр
Спеціальність 125 – Кібербезпека
Освітня програма – Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри В.В. Палагін
“_____” ___________________ 2022 року
ЗАВДАННЯ
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ
Свєтличного Валерія Геннадійовича _________________
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) Віртуальний полігон для дослідження розслідування
кіберінцедентів
керівник проекту (роботи) Кунченко-Харченко Валентина Іванівна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом вищого навчального закладу від «___» __________2022 року № ____
2. Термін здачі студентом закінченої роботи “ 10 ” грудня 2022 року _________
3. Вихідні дані до роботи: Наукові публікації, методичні матеріали та навчальні джерела
з комп’ютерної криміналістики та розслідування кіберінцидентів; спеціалізовані
операційні системи та програмні засоби цифрової криміналістики, зокрема Kali Linux,
CAINE Linux та DEFT Linux; програмні засоби віртуалізації для створення дослідного
середовища, зокрема VMware Workstation; інструменти аналізу цифрових доказів, пам’яті
та файлових систем (Active@ Disk Editor, LiME, Windows-Prefetch-Parser та ін.); методи
та підходи до проведення мережевої та комп’ютерної криміналістики в інформаційних
системах.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Аналіз існуючих програмних засобів та рішень для розслідування кіберінцидентів і
проведення комп’ютерної криміналістики; дослідження можливостей використання
технологій віртуалізації для створення віртуального полігону з метою моделювання
кіберінцидентів; розгортання та налаштування віртуального полігону для проведення
досліджень процесів розслідування кіберінцидентів; проведення аналізу цифрових
артефактів, дампів пам’яті, файлових систем та мережевого трафіку із застосуванням
спеціалізованих інструментів цифрової криміналістики.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)
1. Структурна схема віртуального полігону для дослідження розслідування
кіберінцидентів; 2. Схема архітектури віртуального середовища та взаємодії
віртуальних машин; 3. Схема процесу проведення комп’ютерно-криміналістичного
аналізу цифрових даних та мережевого трафіку.
.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Прізвище, ініціали та посада
Розділ завдання завдання
консультанта
видав прийняв
7. Дата видачі завдання
КАЛЕНДАРНИЙ ПЛАН
Термін
№ Назва етапів дипломного проекту
виконання етапів Примітка
з/п (роботи)
проекту (роботи)
1. Аналіз технічного завдання та пошук
18.09.22 – 09.10.22
літератури
2. Аналіз існуючих програмних засобів та рішень
для розслідування кіберінцидентів і проведення 10.10.22 – 24.10.22
комп’ютерної криміналістики
3. Дослідження можливостей використання
технологій віртуалізації для створення
25.10.22 – 10.11.22
віртуального полігону з метою моделювання
кіберінцидентів
4. Розгортання та налаштування віртуального
полігону для проведення досліджень процесів 11.11.22 – 25.11.22
розслідування кіберінцидентів
5. Проведення аналізу цифрових артефактів,
дампів пам’яті, файлових систем та
мережевого трафіку із застосуванням 11.11.22 – 25.11.22
спеціалізованих інструментів цифрової
криміналістики
8. Оформлення пояснювальної записки 27.11.22 – 01.12.22
9. Оформлення презентації 02.12.22 – 09.12.22
Студент Свєтличний В.Г.
( підпис ) (прізвище та ініціали)
Керівник проекту (роботи) ________________________Кунченко-Харченко В.І.
( підпис ) (прізвище та ініціали)
ЗМІСТ
ВСТУП ...................................................................................................................... 6
1. АНАЛІЗ ВІДОМИХ РІШЕНЬ ............................................................................. 7
1.1. Kali Linux ........................................................................................................ 7
1.1.1. Основна інформація .............................................................................. 7
1.1.2. Системні вимоги Kali Linux ................................................................. 8
1.1.3. Інструменти ........................................................................................... 9
1.2. CAINE Linux ................................................................................................... 9
1.2.1. Основна інформація .............................................................................. 9
1.2.2. Системні вимоги CAINE Linux..........................................................10
1.2.3. Призначення ........................................................................................11
1.2.4. Інструменти .........................................................................................12
1.3. DEFT Linux ...................................................................................................13
1.3.1. Основна інформація ............................................................................13
1.3.2. Системні вимоги DEFT Linux ............................................................14
1.4. Додаткове програмне забезпечення ...........................................................15
1.4.1. VMware Workstation Player 17 ...........................................................15
1.4.2. Active@ Disk Editor .............................................................................16
1.4.3. LiME (Linux Memory Extractor) .........................................................17
1.4.4. Windows-Prefetch-Parser .....................................................................18
2. РОЗГОРТАННЯ ВІТУАЛЬНОГО ПОЛІГОНА ..............................................19
2.1. Налаштування віртуальних машин VMware Workstation 17 ...................19
2.2. Встановлення та налаштування CAINE Linux ..........................................21
2.3. Встановлення та налаштування DEFT Linux ............................................28
2.4. Встановлення та налаштування Kali Linux ...............................................35
3. ІНСТРУМЕНТИ ТА МЕТОДИ ДОСЛІДЖЕННЯ КІБЕРІНЕЦЕДЕНТІВ ...45
3.1 Аналіз файлової системи Linux ...................................................................45
3.1.1. Аналіз структури даних Linux за допомогою iNodes ......................45
3.1.2. Аналіз даних Linux за допомогою Active@ Disk Editor .................47
3.2 Отримання та аналіз дампу пам'яті .............................................................49
3.2.1. Отримання дампу пам’яті .................................................................49
3.2.2. Створення dcfldd образу .....................................................................50
3.3 Криміналістика артефактів ОС Windows ...................................................54
3.3.1. Аналіз файлів попередньої вибірки ..................................................54
3.3.2. Монтування та вивчення тіньових копій ..........................................56
3.4 Мережева криміналістика ............................................................................66
3.4.1. Захоплення та аналіз трафіку за допомогою Tcpdump ...................66
3.4.2. Аналіз трафіку за допомогою Wireshark ..........................................69
ВИСНОВКИ ...........................................................................................................79
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..............................................................80
5
ВСТУП
В сучасному світі проблематика безпеки даних в інформаційних
системах є однією з найнагальніших проблем, адже в сучасних інформаційних
системах курсує багато конфіденціальної інформації та інформації з
обмеженим доступом, яка може зацікавити потенційного зловмисника як
елемент шантажу, корпоративного шпіонажу тощо. Тому основною
проблематикою сучасності є проектування і впровадження максимально
захищених систем для захисту інформації від витоків, несанкціонованого
доступу, але філософія буття така, що не можливо створити щось абсолютне
ідеальне, і навіть найнадійніша система на сьогоднішній день, може стати
неактуальною вже наступного дня, адже зловмисники так само не сидять на
місці і вишукують нові можливості для отримання несанкціонованого доступу
і заволодіти тією інформацією що може їх зацікавити, і якби хто не намагався
створити абсолютно захищену систему, завжди знайдеться той хто зможе
знайти можливість обійти її. Тому якщо не можливо створити абсолютну
систему захисту то одним з най ефективніших варіантів мінімізації збитків, це
своєчасне виявлення загрози, її локалізація, вивчення і прийняття рішень по
унеможливленню подальшого використання цієї вразливості. Тому
розслідування і виявлення вразливостей, що були використані для обходу
системи безпеки дають можливість в найкоротші терміни реалізувати засоби
протидії цій вразливості, запобігши подальшому використанню вразливості,
тим самим запобігти збиткам в інших користувачів даної системи безпеки. І
тому створення тренувального полігону для виявлення та розслідування
кіберінцедентів, є актуальною для навчання та підвищення кваліфікації
експертів в сфері кібербезпеки.
6
1. АНАЛІЗ ВІДОМИХ РІШЕНЬ
1.1. Kali Linux
1.1.1. Основна інформація
Kali Linux — це дистрибутив Linux, що базується на Debian,
призначений для цифрової криміналістики та тестування на проникнення.
Його підтримує та фінансує Offensive Security.
Kali Linux має близько 600 інструментів тестування на проникнення,
включаючи Armitage (графічний інструмент керування кібератаками), Nmap
(сканер портів), Wireshark (аналізатор пакетів), metasploit (платформа
тестування на проникнення), John the Ripper (зломщик паролів), sqlmap
(автоматичне впровадження SQL і інструмент захоплення бази даних),
Aircrack-ng (набір програм для тестування бездротових локальних мереж на
проникнення), набір Burp і сканери безпеки веб-додатків OWASP ZAP, тощо.
Даний дистрибутив був розроблений Маті Ахароні та Девоном Кернсом
з Offensive Security шляхом перепису BackTrack, їхнього попереднього
дистрибутива Linux для тестування інформаційної безпеки на основі Knoppix.
Kali Linux базується на гілці Debian Testing. Більшість пакунків, які
використовує Halo Linux, імпортовано зі сховищ Debian.
7
Рисунок 1.1 – Зовнішній вигляд Kali Linux
1.1.2. Системні вимоги Kali Linux
Мінімальні вимоги:
• 25 ГБ місця на жорсткому диску для встановлення, залежно від
версії, версія 2022.4 вимагає принаймні 25 ГБ.
• 2 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i3 – 4000 Series, або AMD E1.
• Монітор з роздільною здатністю 1024 х 768.
Рекомендовані вимоги:
• 50 ГБ вільного місця на жорсткому диску, бажано SSD
• 8 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i5 - 6000 Series, або AMD Ryzen 3 - 1 Gen або
краще.
• Монітор з роздільною здатністю 1920 x 1080, або більше.
8
1.1.3. Інструменти
Kali Linux включає інструменти безпеки, такі як:
• Aircrack-ng • Lynis • WPScan
• Autopsy • Maltego • Nessus
• Armitage • Metasploit • Zenmap
• Burp suite framework • Hydra
• BeEF • Nmap • Reverse
• Cisco Global • Nikto engineering toolkit
Exploiter • OWASP ZAP • Foremost
• Ettercap • Social engineering • Volatility
• Hashcat tools • VulnHub
• John the Ripper • Sqlmap
• Kismet • Wireshark
Ці інструменти можна використовувати для багатьох цілей, більшість із
яких передбачає використання мережі чи програми-жертви, виявлення мережі
або сканування цільової IP-адреси. Багато інструментів із попередньої версії
(BackTrack) було видалено, щоб зосередитися на найпопулярніших і
ефективних програмах для тестування на проникнення.
1.2. CAINE Linux
1.2.1. Основна інформація
CAINE Linux (Computer Aided INvestigative Environment) — це
італійський живий дистрибутив Linux, яким керує Джованні «Нанні» Бассетті.
Проект розпочався у 2008 році як середовище для сприяння цифровій
9
криміналістиці та реагування на випадки (DFIR), із попередньо встановленими
кількома відповідними інструментами.
Рисунок 1.2 – Зовнішній вигляд CAINE Linux
1.2.2. Системні вимоги CAINE Linux
Мінімальні вимоги:
• 25 ГБ місця на жорсткому диску для встановлення, залежно від
версії, версія 2022.4 вимагає принаймні 25 ГБ.
• 2 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i3 – 2000 Series, або AMD E1.
• Монітор з роздільною здатністю 1024 х 768.
10
Рекомендовані вимоги:
• 50 ГБ вільного місця на жорсткому диску, бажано SSD.
• 4 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i5 - 4000 Series, або AMD Ryzen 3 - 1 Gen або
краще.
• Монітор з роздільною здатністю 1920 x 1080, або більше.
1.2.3. Призначення
CAINE — це професійна криміналістична платформа з відкритим
вихідним кодом, яка об’єднує програмні засоби як модулі разом із потужними
сценаріями в середовищі графічного інтерфейсу. Його робоче середовище
було розроблено з наміром надати експертам-криміналістам усі інструменти,
необхідні для виконання процесу цифрового криміналістичного розслідування
(збереження, збір, дослідження та аналіз). CAINE — це живий дистрибутив
Linux, тому його можна завантажувати зі знімного носія (флешки) або
оптичного диска та запускати в пам’яті. Його також можна встановити на
фізичну або віртуальну систему. У режимі реального часу CAINE може
працювати з об’єктами зберігання даних без необхідності завантажувати
підтримувальну операційну систему. Остання версія 11.0 може
завантажуватися з UEFI/UEFI+Secure і Legacy BIOS, що дозволяє
використовувати CAINE в інформаційних системах, які завантажують старі
операційні системи (наприклад, Windows NT) і новіші платформи (Linux,
Windows 10).
11
1.2.4. Інструменти
CAINE надає програмні інструменти, для роботи з базами даних,
пам’яттю, криміналістичний і мережевий аналізом. Аналіз образу файлової
системи NTFS, FAT/ExFAT, Ext2, Ext3, HFS і ISO 9660 можливий через
командний рядок і через графічний робочий стіл. Вбудована перевірка Linux,
Microsoft Windows і деяких платформ Unix. CAINE може імпортувати образи
дисків у необробленому (dd) і експертному/розширеному форматі файлів. Їх
можна отримати за допомогою інструментів, які включені в CAINE, або з
іншої платформи, такої як EnCase або Forensic Tool Kit.
Деякі інструменти, включені в дистрибутив CAINE Linux, включають:
• Sleuth Kit – інструменти командного рядка з відкритим кодом, які
підтримують криміналістичну перевірку томів диска та аналіз
файлової системи.
• Autopsy – цифрова криміналістична платформа з відкритим кодом,
яка підтримує криміналістичний аналіз файлів, хеш-фільтрацію,
пошук за ключовими словами, електронну пошту та веб-
артефакти. Autopsy — це графічний інтерфейс до The Sleuth Kit.
• RegRipper – інструмент із відкритим кодом, написаний на Perl,
витягує/розбирає інформацію (ключі, значення, дані) з бази даних
реєстру для аналізу даних.
• Tinfoleak – інструмент із відкритим кодом для збору детального
аналізу розвідувальних даних Twitter.
• Wireshark – підтримує інтерактивний збір мережевого трафіку та
аналіз захоплених пакетів даних (*.pcap) не в реальному часі.
12
• PhotoRec – підтримує відновлення втрачених файлів із жорсткого
диска, цифрової камери та оптичних носіїв.
• Fsstat – відображає статистичну інформацію файлової системи про
зображення або об’єкт зберігання.
1.3. DEFT Linux
1.3.1. Основна інформація
DEFT Linux – інструмент для професійних криміналістичних
досліджень, що давно зарекомендував собі і досить відомий у вузькому колі,
для розслідування комп'ютерних інцидентів. Начинка дистрибутива
призначена для проведення аналізу наслідків взломів, визначення закритих
або втрачених даних в системі, а також для збирання доказів у розслідуваннях
комп'ютерних порушень.
Актуальний реліз Linux-дистрибутиву DEFT 8, призначений для
проведення аналізу останніх взломів, визначення прихованих або втрачених
даних у системі, а також для збирання доказів у розслідуванні комп'ютерних
порушень. Дистрибутив побудований на базі Lubuntu та забезпечений зручним
графічним інтерфейсом, що використовує компоненти десктоп-оточення
LXDE та оптимізований для спрощення виконання типових операцій, що
виконуються під час проведення розслідування.
До складу дистрибутива входить досить повна підбірка профільних
утиліт, від антивірусів, систем пошуку інформації в кеші браузра, мережевих
сканерів та утиліт для виявлення руткитів, до аналізаторів вмісту диска та
програм для виявлення закритих даних. Наприклад, комплект входять такі
інструменти, як Guymager, Sleuthkit, Autopsy, dcfldd, ddrescue і linen.
13
Основне призначення – аналіз наслідків злому комп'ютерних систем,
визначення втрачених та скомпрометованих даних, а також для збору т.зв.
цифрових доказів досконалості кіберзлочинів.
Рисунок 1.3 - Зовнішній вигляд DEFT Linux
1.3.2. Системні вимоги DEFT Linux
Мінімальні вимоги:
• 25 ГБ місця на жорсткому диску для встановлення, залежно від
версії, версія 2022.4 вимагає принаймні 25 ГБ.
• 2 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i3 – 2000 Series, або AMD E1.
• Монітор з роздільною здатністю 1024 х 768.
14
Рекомендовані вимоги:
• 50 ГБ вільного місця на жорсткому диску, бажано SSD
• 4 ГБ ОЗП для архітектур i386 і AMD64.
• Завантажувальний дисковод CD-DVD або USB-накопичувач.
• Процесор Intel Core i5 - 4000 Series, або AMD Ryzen 3 - 1 Gen,
• Монітор з роздільною здатністю 1920 x 1080, або більше.
1.4. Додаткове програмне забезпечення
1.4.1. VMware Workstation Player 17
VMware Workstation Player — це пакет програмного забезпечення
віртуалізації для комп’ютерів x64 під керуванням Microsoft Windows або
Linux, який безкоштовно надається VMware, Inc., компанією, яка раніше була
підрозділом і основним акціонером якої залишається, Dell EMC. VMware
Player може запускати існуючі віртуальні пристрої та створювати власні
віртуальні машини (для роботи яких потрібна інсталяція операційної системи).
Рисунок 1.4 – Зовнішній вигляд VMware Workstation Player 17
15
1.4.2. Active@ Disk Editor
Редактор Active@ Disk Editor - це простий низькорівневий засіб
перегляду дисків, який відображає інформацію в двійковому та текстовому
режимах одночасно. Ви можете використовувати це подання для аналізу
вмісту елементів структури зберігання даних, таких як:
• Жорсткі диски
• SSD та USB диски
• Розділи та томи
• Файли
• Інші об'єкти
Рисунок 1.5 – Зовнішній вигляд Active@ Disk Editor
16
Особливості
1. Покращений вигляд шаблону 7. Заповнення виділення візерунком
2. Детальна інформація про 8. Підтримка Unicode
запис MFT 9. Швидка інформація про диск
3. Паралельне порівняння та 10. Закладки
редагування 11. Інспектор даних
4. Забарвлення полів з даними у 12. Пошук
підказках 13. Робота з зображеннями
5. Розширена підтримка exFAT 14. Гіперпосилання в шаблонах
6. Точки швидкої навігації
1.4.3. LiME (Linux Memory Extractor)
LiME - Завантажуваний модуль ядра (LKM), який дозволяє отримувати
енергонезалежну пам’ять від пристроїв на базі Linux, таких як Android. Це
робить LiME унікальним, оскільки це перший інструмент, який дозволяє
повністю захоплювати пам’ять на пристроях Android. Він також мінімізує
свою взаємодію між користувачами та процесами ядра під час отримання
даних, що дозволяє створювати захоплення пам’яті, які є більш
обґрунтованими, ніж ті, які використовують інші інструменти, призначені для
отримання даних пам’яті Linux.
Особливості
• Повне отримання пам'яті Android
• Перехоплення через мережевий інтерфейс
• Мінімальний слід процесу роботи в системі
• Створення хешу скинутої пам'яті
17
1.4.4. Windows-Prefetch-Parser
Windows-Prefetch-Parser – це сценарій Python, створений для аналізу
файлів попередньої вибірки Windows. Підтримуються файли попередньої
вибірки починаючі від Windows XP і закінчуючи Windows 10.
Опис
Механізм попередньої вибірки додатків Windows було запроваджено,
щоб підвищити продуктивність під час запуску додатків. Так сталося, що це
також один із найкорисніших криміналістичних артефактів щодо доказів
виконання аплікації. Утиліта prefetch.py забезпечує функціональність для
аналізу файлів попередньої вибірки для всіх поточних версій файлів
попередньої вибірки: 17, 23, 26 і 30.
Особливості
• Можливість роботи як з один файлом попередньої вибірки так і з
каталогом файлів попередньої вибірки
• Підтримка виводу CSV
• (Обмежено) Підтримка файли попередньої вибірки Windows 10
потрібно аналізувати з робочої станції Windows 8+.
18
2. РОЗГОРТАННЯ ВІТУАЛЬНОГО ПОЛІГОНА
2.1. Налаштування віртуальних машин VMware Workstation 17
Для створення віртуального полігону для дослідження розслідування
кіберінцедентів було використано програмний додаток VMware Workstation
Player 17, за рахунок її функціональної складової вона є ідеальним варіантом
для реалізації подібних задач. Для розгортання полігону для дослідження
розслідування кіберінцедентів необхідно створити та налаштувати три
віртуальні машини на які буде в подальшому встановлено операційні системи,
а саме Kali Linux, DEFT Linux, CAINE Linux (Рисунок 2.1). Для коректної
роботи всіх трьох систем було створено віртуальні машини з відповідними
характеристиками, а саме:
• Оперативна пам’ять – 4 ГБ;
• Кількість виділених потоків процесора – 3 потоки;
• Простір на SSD накопичувачі – 30 ГБ;
• Мережевий адаптер – налаштований в режимі NAT;
• Монітор – автоматичне налаштування від VMware.
Віртуальних машин з даними характеристиками має вистачити для коректної
роботи усіх функцій даних операційних систем (Рисунок 2.2 – 2.3).
Для запуску та роботи даних віртуальних машин було використано
робочу станцію з такими системними характеристиками:
• Процесор – AMD Ryzen 5 3600 6/12 3.6GHz/4.2GHz;
• ОЗП – 32GB Kingston Fury Beast 3200MHz;
• Накопичувач – AMD Radeon R5 240GB NVMe;
• Мережевий адаптер – Intel I211AT 10/100/1000;
19
• Графічна карта – Gigabyte GTX 1650 OC 4GB;
• Монітор – MSI Optix G241VC – 1920 x 1080;
• Операційна система – Windows 11 Pro;
Рисунок 2.1 – Мережева топологія полігону
Рисунок 2.2 – Характеристики віртуальних машин
20
Рисунок 2.3 – Меню запуску віртуальних машин
2.2. Встановлення та налаштування CAINE Linux
Для встановлення CAINE Linux необхідно завантажиться в режимі Live
Boot, та дочекатись завантаження операційної системи, після чого натискаємо
на піктограму «Systemback (installer)» (Рисунок 2.4), щоб перейти до режиму
встановлення операційної системи.
21
Рисунок 2.4 – Піктограма програми встановлення CAINE Linux
Після відкриття вікна обираємо назву диска з меню на який хочемо
встановити операційну систему, після чого натискаємо на кнопку «System
install» для переходу на наступний етап встановлення операційної системи
(Рисунок 2.5).
Рисунок 2.5 – Вікно підготовки запуску процесу встановлення CAINE Linux
22
На наступному етапі заповнюємо поля створення користувача
відповідними даними в нашому випадку це користувач «Caine» з паролем
«password», окрім цього створимо пароль для базового коріневого користувача
«Root», з паролем «root» (Рисунок 2.6), після чого натискаємо на кнопку
«Next» для переходу на наступний етап установки.
Рисунок 2.6 – Створення нового користувача
На наступному етапі необхідно провести розмітку наявного дискового
простору, для цього створимо з наявного пустого розділу новий, в розділі
«Filesystem» обираємо в меню «ext4» це файлова система була розроблена
спеціально для ядра Linux, і є найбільш функціональною, та має найбільшу
швидкодію при використанні Linux подібних систем, а також ставимо галочку
в пункту «Format». Після цього в розділі «Mount point» обираємо параметр «/»,
після чого натискаємо на стрілку для прийняття внесених змін в розмітку
23
дисків (Рисунок 2.7), після чого натискаємо на клавішу «Next», для переходу
на наступний етап установки.
Рисунок 2.7 – Розмітка дисків для встановлення ОС
В вікні, що з’явилося натискаємо на клавішу старт (Рисунок 2.8), після
чого почнеться процедура встановлення операційної системи CAINE Linux,
після завершення встановлення з’явиться вікно з зеленою піктограмою та
повідомленням про успішне встановлення операційної системи CAINE
(Рисунок 2.9), після чого тиснемо кнопку «ОК», та перезавантажуємо
віртуальну машину для завершення встановлення операційної системи.
24
Рисунок 2.8 – Запуск встановлення CAINE Linux
Рисунок 2.9 – Завершення встановлення CAINE Linux
25
Після перезавантаження віртуальної машини ми потрапляємо в графічну
оболонку операційної системи CAINE (Рисунок 2.10).
Рисунок 2.10 – Графічна оболонка CAINE Linux
Після чого використовуючи меню програмних додатків переходимо за
шляхом «System – Preferences – Internet and Network – Network Connection»,
створюємо нове підключення, після чого в новому вікні переходимо в розділ
«IPv4 Settings», обираємо режим «Manual» та прописуємо данні що
відповідають нашій мережі для тестування (Address – 10.0.1.2, Netmask – 24,
Gateway – 10.0.1.0), після чого натискаємо кнопку «Save» (Рисунок 2.11).
26
Рисунок 2.11 – Налаштування мережевого адаптера CAINE Linux
Після цього на панелі задач натискаємо на піктограму інтернет
з’єднання і натискаємо на мережі що була нами створена (Рисунок 2.12).
Рисунок 2.12 – Підключення до новоствореної мережі
27
2.3. Встановлення та налаштування DEFT Linux
Для встановлення операційної системи DEFT Linux, необхідно
завантажити віртуальну машину після чого та з меню що з’явилося пуск
обрати пункт «Install DEFT Linux 8» (Рисунок 2.13), після чого ми переходимо
до процедури встановлення операційної системи.
Рисунок 2.13 – Програма установки DEFT Linux
На першому етапі встановлення з меню обираємо мову з якою буде
працювати майбутня операційна система (Рисунок 2.14), після чого
натискаємо на кнопку «Continue», після чого переходимо на наступний етап
встановлення.
28
Рисунок 2.14 – Вікно обрання мови інтерфейсу DEFT Linux
На цьому етапі нам пропонується обрати чи встановлювати останні
оновлення системних додатків, та чи необхідно встановлювати програмне
забезпечення сторонніх виробників такі як проприєтарні драйвери для
апаратного забезпечення (Рисунок 2.15), в нашому випадку обираємо обидва
пункти і натискаємо кнопку «Continue» для переходу до наступного етапу
інсталяції.
29
Рисунок 2.15 – Обрання додаткового програмного забезпечення для DEFT
Linux
На даному етапі необхідно зробити розмітку дисків, так як ми
використовуємо віртуальну і в нас віртуальний диск тому можна використати
режим автоматичної розмітки дисків (Рисунок 2.16), після чого натискаємо
кнопку «Install Now», для запуску інсталяції операційної системи.
30
Рисунок 2.16 – Розмітка диску для встановлення DEFT Linux
Під час процесу встановлення необхідно налаштуавти часовий пояс, у
списку обираємо Регіон - «Europe», Часова зона – «Ukraine Time (Kiev)», після
чого натискаємо кнопку «Continue» для переходу на наступний етап (Рисунок
2.17).
31
Рисунок 2.17 – Обрання часової зони для DEFT Linux
Далі необхідно створити обліковий запис користувача, в нашому
випадку це користувач «DEFT» з паролем «password», після заповнення полів
натискаємо кнопку «Continue» (Рисунок 2.18).
Рисунок 2.18 – Створення стандартного користувача DEFT Linux
32
Після додавання нового користувача, процес налаштування інсталяції
завершується і залишається лише дочекатися коли процес встановлення
завершиться і система перезавантажиться у робочу середу (Рисунок 2.19).
Рисунок 2.19 – Процес встановлення DEFT Linux
Після завершення встановлення всіх елементів операційної системи,
програма інсталяції проводить перезавантаження віртуальної машини та
завантажує користувача в графічну оболонку операційної системи DEFT Linux
(Рисунок 2.20).
33
Рисунок 2.20 – Графічна оболонка DEFT Linux
Переходимо в меню програмних додатків та переходимо за шляхом
«System – Preferences – Internet and Network – Network Connection», створюємо
нове підключення, після чого в новому вікні переходимо в розділ «IPv4
Settings», обираємо режим «Manual» та прописуємо данні що відповідають
нашій мережі для тестування (Address – 10.0.1.1, Netmask – 24, Gateway –
10.0.1.0), після чого натискаємо кнопку «Save» (Рисунок 2.21). Після цього на
панелі задач натискаємо на піктограму інтернет з’єднання і натискаємо на
мережі що була нами створена.
34
Рисунок 2.21 – Налаштування мережі в DEFT Linux
2.4. Встановлення та налаштування Kali Linux
Для встановлення операційної системи Kali Linux, необхідно
завантажити віртуальну машину після чого та з меню що з’явилося пуск
обрати пункт «Graphical install» (Рисунок 2.22), після чого ми переходимо до
процедури встановлення операційної системи.
35
Рисунок 2.22 – Програма встановлення Kali Linux
На першому етапі встановлення операційної системи обираємо мову
інтерфейсу яка буде використовуватись при роботі з нею (Рисунок 2.23), після
чого натискаємо кнопку «Continue», для переходу далі.
Рисунок 2.23 – Обрання мови інтерфейсу Kali Linux
36
Далі переходимо до етапу створення нового користувача, а нашому
випадку це бцде користувач «kali», з паролем «password» (Рисунок 2.24 – 2.26),
на кожному з етапів натискаємо кнопку «Continue», для підтвердження дій.
Рисунок 2.24 – Сторінка введення ідентифікатор нового стандартного
користувача Kali Linux
Рисунок 2.25 - Сторінка введення ім’я нового стандартного користувача Kali
Linux
37
Рисунок 2.26 – Розділ додавання паролю новому користувачу
На наступному етапі обераємо часову зону в нашому випадку це буде
«Eastern», після чого натискаємо кнопку «Continue» (Рисунок 2.27).
Рисунок 2.27 – Обрання часової зони
38
На наступному етапі розмічаємо диски, так як ми використовуємо
віртуальний диск тому можемо використати автоматичну розмітку дискового
простору, обираємо пункт меню «Guided – use entire disk» (Рисунок 2.28), після
чого натискаємо кнопку «Continue».
Рисунок 2.28 – Розмітка дисків для встановлення Kali Linux
Далі обираємо стандартну систему розбиття дисків що пропонується з
використанням присету від VMware (Рисунок 2.29) та натискаємо кнопку
«Continue»
39
Рисунок 2.29 - Обрання присету розмітки дисків
В наступному вікні обираємо режим «All file in one partition», що по
замовчуванню записує усі файли системи та користувачів в стандартний
розділ (Рисунок 2.30), після чого натискаємо кнопку «Continue»/
Рисунок 2.30 - Обрання типу розмітки дисків
40
Після налашутвання всіх параметрів розсітки дисків в новому вікні
натискаємо на розділ «Finish partition and write changes to disk», який примітить
всі наші налаштування до обраного диску (Рисунок 2.31), після чого
натискаємо кнопку «Continue».
Рисунок 2.31 – Завершення розмітки дисків
Після того чк диски були розмічені програма встановлення приступить
до процесу встановлення операційної системи на нашу віртуальну машину
(Рисунок 2.32).
41
Рисунок 2.32 – Початок встановлення Kali Linux
В процесі встановлення програма установки пропонує обрати який вид
оболонки користувацького інтерфейсу буде використовувати (Рисунок 2.33),
з функціональної точки зору вони не мають суттєвих відмінностей, тому
вибір конкретної графічної оболонки не грає критичної ролі.
42
Рисунок 2.33 – Обрання графічної оболонки для kali Linux
Після завершення процесу встановлення програма перезавантажить
віртуальну машину, та завантажиться в інтерфейс операційної системи Kali
Linux (Рисунок 2.34).
Рисунок 2.34 – Графічна оболонка KDE для Kali Linux
43
Для завершення налаштування необхідно використовуючи меню
програмних додатків переходимо за шляхом «Preferences – Network
Connection», створюємо нове підключення, після чого в новому вікні
переходимо в розділ «IPv4 Settings», обираємо режим «Manual» та прописуємо
данні що відповідають нашій мережі для тестування (Address – 10.0.1.3,
Netmask – 24, Gateway – 10.0.1.0), після чого натискаємо кнопку «Save»
(Рисунок 2.35). Після цього на панелі задач натискаємо на піктограму інтернет
з’єднання і натискаємо на мережі що була нами створена.
Рисунок 2.35 – Налаштування мережі в Kali Linux
44
3. ІНСТРУМЕНТИ ТА МЕТОДИ ДОСЛІДЖЕННЯ
КІБЕРІНЕЦЕДЕНТІВ
Для підтвердження працездатності полігону для дослідження
розслідування кіберінцедентів використаємо декілька прикладів, які
демонструють певні аспекти розслідування кіберінцедентів, а саме:
• Аналіз файлової системи Linux
• Отримання та аналіз дампу пам’яті
• Криміналістика артефактів ОС Windows
• Мережева криміналістика
3.1 Аналіз файлової системи Linux
3.1.1. Аналіз структури даних Linux за допомогою iNodes
Використовуючи термінал, проведемо аналіз файлової системи за
допомогою inode, вводимо команду ls -ia та натискаємо Enter (Рисунок 3.1).
Inode містить метадані про вказані файли.
Рисунок 3.1 – Метадані файлів в директорії
45
За допомогою терміналу проаналізуйте метадані для прихованого файлу
.bashrc, використавши команду stat .bashrc (Рисунок 3.2).
Рисунок 3.2 – Метадані файлу .bashrc
Далі використаємо утиліту Tune2fs. Tune2fs — це утиліта, яка дозволяє
системному адміністратору змінювати різні настроюванні параметри у
визначеній файловій системі. Вводимо команду sudo tune2fs -l /dev/sda1
| more, щоб переглянути загальну файлову систему системи Linux (Рисунок
3.3). Використовуємо клавішу «Space», або стрілку вниз, щоб переходити на
новий рядок для подальшого аналізувати інформацію. Промотуємо сторінку
до самого низу щоб повернутися в режим терміналу.
Рисунок 3.3 – Файлова система Linux
46
Вводимо команду df -i , щоб отримати вибірку загальної інформацію
про файлову систему (Рисунок 3.4).
Рисунок 3.4 – Загальна інформація про файлову систему
Отже утиліта INODE досить зручний спосіб для збору та аналізу базової
інформації про файлову систему на Linux подібних операційних системах.
3.1.2. Аналіз даних Linux за допомогою Active@ Disk Editor
Для більшої зручного при роботі з аналізом файлової системи
використаємо програму Active@ Disk Editor. Для запуску програми Active@
Disk Editor переходимо по шляху /home/caine/Downloads для цього в терміналі
вводимо команду cd Downloads/, після чого вводимо команду ./DiskEditor для
запуску програми, після чого відкриється вікно програми Active@ Disk Editor.
В розділі «Gatting Started» натискаємо піктограму «Open Disk» (Рисунок 3.5).
Рисунок 3.5 – Головне вікно програми Active@ Disk Editor
47
У вікні, що відкрилося відображається інформація стосовно всіх наявних
в системі дисків, на даному етапі ця інформація нам не потрібна тому
натискаємо на кнопку «Cancel» (Рисунок 3.6).
Рисунок 3.6 – Список дисків в Active@ Disk Editor
В новому вікні клацаємо на запис кількості Inodes на панелі ліворуч під
стовпцем «Name». Ми бачимо, що у порівнянні з кількістю inode, яку
повідомляла нам утиліта tune2fs, кількість inode в програмі Active@ Disk Editor
є аналогічною. Головними перевагами використання Active@ Disk Editor по
зрівнянню з консольними аналогами полягають в тому, що тепер можна легко
переглядати файлову систему та візуально бачити, звідки беруться різні
розміри та кількість (Рисунок 3.7).
Рисунок 3.7 – Вікно статистики файлової системи в Active@ Disk Editor
48
3.2 Отримання та аналіз дампу пам'яті
3.2.1. Отримання дампу пам’яті
Для того щоб отримати дамп пам’яті Linux, застосуємо утиліту LiME,
для цього за допомогою терміналу переходимо до директорії /home/caine/
Downloads/LiME-master/src, ввівши команду: cd /home/caine/Downloads/
LiME-master/src.
Вводимо команду sudo insmod ./lime-3.13.0-86-generic.ko
“path=/home/caine/Ubuntu format=lime” , щоб інсталювати LiME в ядро
операційної системи, щоб вона була готова до захоплення дампу пам’яті
(Рисунок 3.8).
Рисунок 3.8 – Створення дампу пам’яті
Переходимо до директорії користувача по замовчуванню для цього
виконуємо команду cd , після чого виводимо в термінал інформацію про всі
наявні файли та директорії за допомогою команди ls , після чого бачимо що в
директорії з’явився файл дампу з назвою «Ubuntu» (Рисунок 3.9).
Рисунок 3.9 – Файл дампу в директорії користувача
Тепер необхідно видалити LiMe модуль з ядра системи, для цього
виконаєм команду sudo rmmod lime (Рисунок 3.10).
Рисунок 3.10 – Видалення LiMe з ядра ОС
49
3.2.2. Створення dcfldd образу
Для створення dcfldd образу використаємо програму Volatility, для її
запуску перейдемо до меню «Start» – «Forensic Tools» – «Memory Forensics» –
«Volatility» (Рисунку 3.11).
Рисунок 3.10 – Запуск Volatility
Після запуску програми Volatility з’являється нове вікно терміналу.
Коротко переглядаємо параметри команди Volatility і кілька разів натискаємо
клавішу пробілу, доки не з’явиться підказка. Підказка має показати поточний
каталог: /usr/share/caine/pacchetti/volatility$. Після чого ініціюємо
просту перевірку версії Linux із дампа пам’яті за допомогою команди:
./vol.py -f /home/caine/Ubuntu --profile=LinuxUbuntu14044x64
linux_banner (Рисунок 3.11).
50
Рисунок 3.11 – Проста перевірка дампа пам’яті
Опираючись на данні з дампу пам’яті ми дізнаємося що пам’ять, яка
аналізується, належить загальному ядру Ubuntu 3.13-0.86. Для перегляду всіх
модулів Linux проаналізувати образ за допомогою команди ./vol.py --info
| grep -i linux_ (Рисунок 3.12). Ми бачимо кілька модулів, які можна
застосувати до образу для аналізу.
Рисунок 3.12 – Список модулів Linux
Переглянемо історію bash із отриманого образу дампа пам’яті, для цього
використаємо команду ./vol.py -f /home/caine/Ubuntu --profile=Linux
Ubuntu14044x64 linux_bash (Рисунок 3.13). В данному випадку ми бачимо
пусті поля, адже під час захоплення дампу пам’яті в bash не була використана
жодна команда
51
Рисунок 3.13 – Історія bash з образу дампа пам’яті
Переглянимо на основі аналізу образа дампа пам’яті, що було
змонтовано в системі під час захоплення дампу, для цього використаємо
команду: ./vol.py -f /home/caine/Ubuntu --profile=LinuxUbuntu
14044x64 linux_mount (Рисунок 3.14).
Рисунок 3.14 – Список змонтованого в дампі пам’яті
Переглянемо мережеві підключення, що були активні під час захоплення
дампа пам’яті для цього виконаєм команду: ./vol.py -f
/home/caine/Ubuntu --profile=LinuxUbuntu14044x64 linux_netstat
(Рисунок 3.15).
52
Рисунок 3.15 – Список мережевих підключень в дампі пам’яті
Переглянемо процеси, які запускалися системою під час захоплення
пам’яті, для цього виконаємо команду ./vol.py -f /home/caine/Ubuntu -
-profile=LinuxUbuntu14044x64 linux_pstree (Рисунок 3.16).
Рисунок 3.16 – Список запущених процесів в дампі пам’яті
Отже утиліта LiMe дуже ефективний для захоплення дампу пам’яті
операційної системи для подальшого розслідування подій що відбувалися в
системі під час її роботи, і могли привести до збоїв в роботі ОС.
53
3.3 Криміналістика артефактів ОС Windows
3.3.1. Аналіз файлів попередньої вибірки
Для роботи нам знадобиться утиліта Windows Prefetch Parser, для її
запуску за допомогою терміналу переходимо до директорії /home/caine/
Downloads/ ввівши команду: cd /home/caine/Downloads/ (Рисунок 3.17). Та
відобразимо увесь список елементів в поточній директорії виконавши команду
ls (Рисунок 3.19).
Рисунок 3.18 – Коренева директорія завантаження
Рисунок 3.19 – Вміст директорії Download
Тепер переходимо в директорію Windows-Prefetch-Parsers-
master/windowsprefetch для цього виконуємо команду: cd Windows-
Prefetch-Parsers-master/windowsprefetch (Рисунок 3.20).
Рисунок 3.20 – Директорія запуску Windows Prefetch Parse
54
Тепер відобразимо список наявних елементів в поточній директорії
виконавши команду ls (Рисунок 3.21).
Рисунок 3.21 – Вміст директорії «windowsprefetch»
Звернемо увагу на файл prefetch.py. Файли попередньої вибірки
створюються операційною системою Windows після запуску програми. Він
відстежує, скільки разів запускається програма, і використовується для
прискорення завантаження програми. Використаємо команду: /prefetch.py
-f /home/caine/Desktop/Prefetch_Files/SOLITAIRE.EXE-906D7E29.pf,
щоб перевірити зразок файлу попередньої вибірки (Рисунок 3.22).
Рисунок 3.22 – Вміст фалу попередньої вибірки SOLITAIRE.EXE
Вводимо команду: prefetch.py -f /home/caine/Desktop/Prefetch
_Files/Win7/CMD.EXE-4A81B364.pf, щоб проаналізувати інший файл
55
попередньої вибірки, але цього разу файл CMD.exe з системи Windows 7
(Рисунок 3.23).
Рисунок 3.23 – Вміст фалу попередньої вибірки CMD.EXE
3.3.2. Монтування та вивчення тіньових копій
Операційні системи можна налаштувати для створення тіньових копій
томів, які є знімками томів, які можна використовувати для відновлення
попередніх версій файлів.
Переходимо до меню «Start» – «Forensic Tools» – «FMount», щоб
скористатися інструментом «FMount», щоб підключити образи та знайти, де
вони зберігаються (Рисунок 3.24).
56
Рисунок 3.24 – Запуск FMount
У новому вікні створеному програмою FMount клацаємо по значку HDD
(Рисунок 3.25). Та двічі клацаємо на директорію «media» (Рисунок 3.25).
57
Рисунок 3.25 – Головне вікно FMount
Рисунок 3.26 – Директорія «media»
58
Тепер двічі клацаємо на директорію «sdd1» (Рисунок 3.27).
Рисунок 3.27 – Директорія «sdd1»
Тепер обираємо усі чотири файли, які починаються на «cfreds_2015»,
після чого натисніть «ОК» (Рисунок 3.28).
Рисунок 3.28 – Файли «cfreds_2015_...»
59
Після цих дій повинно з’явитися повідомлення «Operation succeeded!
Your disk is mounted». Натискаємо «OK», щоб закрити діалогове вікно
(Рисунок 3.29).
Рисунок 3.29 – Повідомлення про успішне монтування
Після цього переходимо на робочий стіл і юачимо на дві нові піктограми.
Двічі клацаємо піктограму «21 GB Volume» (Рисунок 3.30).
Рисунок 3.30 – Нові змонтовані тома
«21 GB Volume», це один із підключених розділів образу «cfreds_2015».
Знаходимо і двічі клацніть директорію під назвою «System Volume
Information» (Рисунок 3.31).
60
Рисунок 3.31 – Директорія «System Volume Information»
Файли, представлені в папці «System Volume Information», це тіньові
копії, які можна експортувати на комп’ютер Windows і шукати докази
(Рисунок 3.31).
Рисунок 3.31 – Вміст директорії «System Volume Information»
61
За допомогою диспетчера файлів переходимо до каталогу:
/media/cfreds_2015_data_leakage_pc_vol03/Users/informant/AppData
/Roaming/Microsoft/Windows/Recent (Рисунок 3.32).
Рисунок 3.32 – Директорія Recent
Переглянимо файли «lnk» у поточному каталозі, клацаємо правою
кнопкою миші на «pricing decision.lnk» і обираємо «Scripts» – «View File
Contents» (Рисунок 3.33).
Рисунок 3.33 – Файл «pricing decision.lnk»
62
Передивляємся вміст файлу, особливо звертаємо увагу на розташування
та іншу інформацію про файл (Рисунок 3.34).
Рисунок 3.34 – Вміст файлу «pricing decision.lnk»
Переходимо до вікна терміналу. За допомогою терміналу переходимо до
/home/caine/Downloads/lifer-1.0.0, ввівши команду cd /home/caine/
Downloads/lifer-1.0.0. Використаємо інструмент «lifer», щоб витягти
більше інформації про файл ярлика «pricing decision.lnk», для цього введемо
команду: lifer -o csv /media/cfreds_2015_data_leakage_
pc_vol03/Users/informant/AppData/Roaming/Microsoft/Windows/Recen
t/pricing\ decision.lnk > /home/caine/pricing.csv (Рисунок 3.35).
Рисунок 3.35 – Використання утиліти «lifer»
Переходимо до програми «Диспетчер файлів». За допомогою
«Диспетчера файлів» переходимо до каталогу /home/caine (Рисунок 3.36).
63
Рисунок 3.36 – Диспетчер файлів з відкритою директорією «caine»
Знаходимо та двічі клацаємо на файл «pricing.csv» у поточному каталозі
(Рисунок 3.37).
Рисунок 3.37 – Файл «pricing.csv»
64
Звертаємо увагу на вікно текстового імпорту з LibreOffice. Залишаємо
стандартні параметри та натисніть «OK», щоб продовжити (Рисунок 3.38).
Рисунок 3.38 – Налаштування текстового імпорту
Звернемо увагу на додаткову інформацію у файлі «pricing.csv», вона
склажаються зі шляху, імені файлу, на який вказує «lnk», включаючи час
останньої зміни, останнього доступу та останньої зміни (MAC) (Рисунок 3.39).
Рисунок 3.39 – Файл «pricing.csv»
65
3.4 Мережева криміналістика
3.4.1. Захоплення та аналіз трафіку за допомогою Tcpdump
Переглянемо усі можливості для програми «tcpdump». Введемо
команду: man tcpdump, а потім натисніть клавішу «Enter». (Рисунок 3.40). Щоб
перейти до наступного рядка необхідно використати клавішу «Enter», або
використовуйте «Space», щоб перейти до наступної сторінки. Для виходу,
натискаємо символ «Q», щоб вийти.
Рисунок 3.40 – Список всіх параметрів команди «man tcpdump»
Tcpdump може виконувати захоплення мережі, а також фільтрувати
певний трафік. Вводимо команду: sudo tcpdump -i eth0 -s0 -v, щоб
запустити просте захоплення (Рисунок 3.41).
Рисунок 3.41 – Запуск простого захоплення мережі
66
Тепер перейдемо в Kali Linux, щоб відкрити, входимо в систему
використовуючи ім’я користувача «root» та пароль «toor». Запускаємо
термінал та вводимо команду ping 10.0.1.2, щоб постійно перевіряти доступ
до системи CAINE Linux (Рисунок 3.42).
Рисунок 3.42 – Пінгування системи CAINE
Повертаємся до CAINE Linux, у вікні терміналу, бачимо що «tcpdump»
перехоплює трафік ICMP із системи Kali. Натискаємо комбінацію клавіш
CTRL+C, щоб зупинити захоплення трафіку (Рисунок 3.43).
Рисунок 3.43 – Інформація про перехоплення трафіку
Вводимо команду sudo tcpdump -i eth0 –s0 –v > dump1.pcap, щоб
копіювати захоплені пакети у файл з розширенням «.pcap». Якщо буде
67
запропоновано ввести пароль, вводимо пароль і натискаємо клавішу «Enter».
Очікуємо приблизно 1-2 хвилини захоплення трафіку після чого натискаємо
комбінацію клавіш CTRL+C, щоб зупинити захоплення пакетів «tcpdump»
(Рисунок 3.45).
Рисунок 3.44 – Запис перехоплених пакетів в файл
Після збереження перехоплених пакетів відфільтруємо лише трафік
типу ICMP із файлу «dump1.pcap» за допомогою команди: cat dump1.pcap |
grep ICMP | less (Рисунок 3.45).
Рисунок 3.45 – Відфільтрований трафік ICMP
68
Тепер розпочнемо нове захоплення за допомогою «tcpdump», вводимо
команду: sudo tcpdump -i eth0 –s 65535 –w dump2.pcap (Рисунок 3.46).
Рисунок 3.46 – Захоплення пакетів з використанням «tcpdump»
Чекаємо приблизно 1-2 хвилини захоплення трафіку та натискаємо
комбінацію клавіш «CTRL+C», щоб зупинити захоплення «tcpdump» (Рисунок
3.47).
Рисунок 3.47 – Завершення перехоплення трафіку
3.4.2. Аналіз трафіку за допомогою Wireshark
Використовуючи термінал запускаємо аналізатор мережі на основі
графічного інтерфейсу під назвою Wireshark, для цього виконуємо команду:
sudo wireshark (Рисунок 3.48).
Рисунок 3.48 – Запуск Wireshark
В вікні Wireshark, що з’явилось натискаємо «File» і обираємо «Open»
(Рисунок 3.49).
Рисунок 3.49 – Вікно відкриття файлу в Wireshark
69
У вікні « Open Capture File » переходимо до директорії /home/caine/ і
обираємо «dump2.pcap», післ чого натискаємо «Open» (Рисунок 3.50).
Рисунок 3.50 – Відкриття файлу з перехопленим трафіком
Повернемося до Kali Linux, тепер нам необхідно створити додатковий
трафік іншого типу. Спочатку зупиняємо термінал натискаємо «CTRL+C»,
щоб припинити появу пінгів. Використовуючи термінал, вводимо команду:
service apache2 start щоб запустити веб-службу Apache у системі Kali
(Рисунок 3.51).
Рисунок 3.51 – Запуск служби «apache2»
Тепер перевіримо статус служби Apache, ввівши команду service
apache2 status (Рисунок 3.52).
70
Рисунок 3.52 – Перевірка статуту служби Apache
Тепер запустимо службу FTP у системі Kali для цього введемо команду:
service vsftpd start (Рисунок 3.53).
Рисунок 3.53 – Запуск служби FTP
Перевіримо статус служби FTP, ввівши команду service vsftpd
status (Рисунок 3.54).
Рисунок 3.54 – Перевірка статусу служби FTP
Повернемося у середовища CAINE Linux. Закрийте програму Wireshark.
Використовуючи термінал, вводимо команду: sudo tcpdump -i eth0 –s
65535 –w dump3.pcap, щоб ініціювати нове захоплення «tcpdump» (Рисунок
3.55).
71
Рисунок 3.56 – Запуск захоплення мережі
У вікні терміналу відкриємо нову вкладку для цього натискаємо «Fail»
і виберіть «Open Tab» (Рисунок 3.57).
Рисунок 3.57 – Запуск нового терміналу
У новій вкладці вікна терміналу вводимо команду: ftp 10.0.1.3, щоб
ініціювати ftp-з’єднання зі службою Kali FTP (Рисунок 3.58).
Рисунок 3.58 – Запуск сесії FTP з Kali Linux
Коли система запропонує ввести ім’я, вводимо «caine» і натискаємо
клавішу «Enter» після чого коли буде запропоновано ввести пароль, вводимо
пароль «password» і натисніть «Enter» (Рисунок 3.59).
Рисунок 3.59 – Підтвердження даних користувача
72
Після появи підказки ftp> вводимо команду ls, щоб отримати список
файлів і каталогів (Рисунок 3.60).
Рисунок 3.60 – Перегляд вмісту директорій
Переходимо до каталогу Documents/, ввівши команду cd Documents
(Рисунок 3.61).
Рисунок 3.61 – Зміна поточної директорії
Знову перерахуйте файли та каталоги, використовуючи команду ls
(Рисунок 3.62).
Рисунок 3.62 – Перегляд вмісту директорії
Ми бачимо файл «secret.txt», завантажуємо цей файл локально, ввівши
команду get secret.txt (Рисунок 3.63).
73
Рисунок 3.63 – Завантаження файлу «secret.txt»
Запускаємо веб-браузер Firefox, перейшовши до «Start» – «Internet» –
«Firefox Web Browser» (Рисунок 3.64).
Рисунок 3.64 – Запуск Firefox
У Firefox вводимо 10.0.1.3 у поле адреси та натискаємо «Enter» (Рисунок
3.65).
74
Рисунок 3.65 – Перехід за адресою 10.0.1.3
В результаті попередніх дій на сторінці браузера з’явилася сторінка за
замовчуванням Apache2 Debian. Тепер повернемося до терміналу в оболонці
CAINE і переходимо на першу вкладку. Натисніть CTRL+C, щоб зупинити
захоплення «tcpdump» (Рисунок 3.66).
Рисунок 3.66 – Зупинка перехоплення пакетів
Використовуючи термінал, вводимо команду: sudo wireshark, щоб
запустити Wireshark. У програмі Wireshark натискаємо «File» і обираємо
«Open». У вікні «Open Capture File» переходимо до каталогу /home/caine/ і
обираємо «dump3.pcap» та натискаємо «Open» (Рисунок 3.67).
75
Рисунок 3.67 – Відкриття файлу «dump3.pcap» в Wireshark
Відфільтруйте трафік, щоб виводився лише трафік FTP, для цього
вводимо «ftp» у поле фільтра та натиснувши синю стрілку, щоб застосувати
фільтр (Рисунок 3.68).
Рисунок 3.68 – Відбірка тільки FTP рафіка
76
Тепер на середній панелі відображатися лише трафік із протоколом FTP.
Тепер проаналізуємо потік даних, що відбувся, клацнувши правою кнопкою
миші на першому фреймі FTP і вибравши «Follow» – «TCP Stream» (Рисунок
3.69).
Рисунок 3.69 – Запуск аналізу потоку даних
Звернемо увагу, що в новому вікні вся інформація FTP відображається
відкритим текстом. Можна побачити логін і пароль, а також який файл було
завантажено та відповідну назву файлу (Рисунок 3.70).
77
Рисунок 3.70 – Загальна інформація FTP потоків
78
ВИСНОВКИ
Отже потенціал використання реалізованого полігону є дуже широкою,
він дозволяє проводити повноцінні розслідування кіберінцедентів для
подальшого їх аналізу, систематизації та розробки методів захисту,
попередження та протидії загрозам, що є дуже нагальним питанням в
сучасному світі де кількість загроз для інформаційних систем збільшується з
кожним днем, і кожна нова стає ще більш складною для розпізнавання,
виявлення та усунення, при тому так само кількість конфіденційних даних, що
курсують в системах різних підприємств та компаній має тенденцію виключно
на зростання, що робить тему вчасної протидії загрозам, ще більш актуальною
і вагомою
Окрім цього даний полігон може бути використаний для навчання та
поглиблення знань майбутніх експертів в даній сфері, адже він забезпечує
можливість напрацьовувати навички в сфері криміналістики. А в реаліях
сучасного світу с кожним роком попит на експертів з безпеки буде тільки
збільшуватись, тож ефективне навчання і гарна підготовка в даній сфері стане
дуже вагомою в найближчому майбутньому.
79
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Kali Linux Blog [Електронний ресурс] — Режим доступу до ресурсу:
https://www.kali.org/blog/
2. Kali Linux Documentation [Електронний ресурс] — Режим доступу до
ресурсу: https://www.kali.org/docs/
3. Kali Linux Forum [Електронний ресурс] — Режим доступу до ресурсу:
https://forums.kali.org/
4. Kali Linux Revealed [Електронний ресурс] — Режим доступу до
ресурсу: https://www.ubuntushop.be/kalirevealed.pdf
5. CAINE Manual and Policies [Електронний ресурс] — Режим доступу
до ресурсу: https://www.caine-live.net/page8/page8.html
6. Forensic Focus [Електронний ресурс] — Режим доступу до ресурсу:
https://www.forensicfocus.com/forums/
80