ANALYSE FORENSICS

SANS DFIR Summit 2019 - Récapitulatif

By AfricaCyberMag , 29 septembre, 2019
Par AfricaCyberMag , 29 septembre 2019

Tenu à Austin, au Texas, chaque été, le sommet SANS Digital Forensics and Incident Response (DFIR) est réputé pour ses recherches en criminalistique numérique approfondies mais accessibles - et pour son atmosphère décontractée et amusante.

Le sommet de cette année, qui s’est tenu du jeudi 25 juillet au vendredi 26 juillet, a présenté un menu équilibré de discussions de type «comment faire» axées sur les outils, de discussions sur les artefacts et de quelques informations spécifiques sur la réaction aux incidents. La plupart des personnes présentes dans la salle le premier jour ont déclaré qu’elles participaient pour la première fois, bien que nous ayons rencontré plusieurs visages récurrents.

Une nouveauté captivante du sommet de cette année: un enregistreur graphique, Ashton Rodenhiser de Mind’s Eye Creative, basé au Canada, qui a pris des «croquis» pour représenter visuellement les discussions. Phil Hagen, instructeur principal du SANS et membre du conseil consultatif du Sommet, a déclaré qu'il avait fait appel à Ashton parce que les organisateurs de la conférence souhaitaient un point de contact visuel autour duquel les gens se réuniraient pour discuter des pourparlers après coup - et c'est exactement ce qu'ils ont fait!

De plus, David Elcock, directeur exécutif du Consortium international des cyber-professionnels de minorités (ICMCP), était sur place pour parler du travail de l'organisation visant à rendre DFIR et la sécurité de l'information plus inclusifs pour les femmes, les personnes de couleur, les personnes handicapées et les membres du groupe. Communauté LGBTQ +.

Elcock a décrit les trois processus centraux de l’ICMCP: bourses d’études, réseautage et mentorat, et cheminement de carrière à partir du lycée. L’une des tâches de l’organisation consiste à trouver des bourses d’études souscrites par des sponsors tels que des compagnies aériennes et des banques; et de travailler avec des organisations telles que SANS, partenaire de l'ICMCP, afin de proposer une cyber-académie sur la diversité.

L’implication de Rodenhiser et d’Elcock a renforcé le thème général de la construction de la communauté, présenté dans les remarques liminaires de Rob Lee et Phil Hagen.

Tool Talks


Les discussions sur l’outil du Sommet SANS DFIR ne constituent pas un ensemble typique de fonctionnalités marketing. Tels qu’ils le font, comme les webinaires ou les conférences sur les outils commerciaux, se concentrent sur la résolution d’un problème spécifique, ils reposent sur des heures de recherche et de développement laborieuses. Ils sont comme un modèle que d’autres praticiens peuvent utiliser comme base de leurs propres recherches.

 

Au Sommet de cette année, l’automatisation était le thème principal de l’outil - réduire la charge de travail en permettant à des processus informatiques de traiter de grandes quantités de données pour «trouver le mal». Les discussions ont débuté avec une allocution prononcée par Troy Larson, enquêteur principal en criminalistique chez Microsoft, et Eric Zimmerman, directeur principal chez Kroll Cybersecurity et auteur-instructeur certifié SANS.

Leur exposé, intitulé «Troying to Forensic Processing EZer», portait sur l’implémentation de l’écriture d’outil et sur la façon de la passer à l’aide de la méthode de tri et d’extracteur d’artifacts Kroll de Zimmerman, et la méthode de triage EZ dépendant de KAPE de Larson.

La partie de la discussion de Zimmerman s’appuie sur son expérience de développement de KAPE, qui a été publiée en février pour automatiser les étapes clés du processus médico-légal. C’est conçu comme une chaîne d’outils extensible et personnalisable: selon la définition de Zimmerman, un ensemble de cibles et de modules (processus d’exécution) regroupés pour réduire les données et le traitement à un objectif avec lequel un analyste humain peut travailler de manière complète, reproductible, évolutive et auditable.

Larson a ensuite expliqué en quoi KAPE était utile pour automatiser à grande échelle les enquêtes de compromis. La méthode de triage qu'il a développée permet de capturer une image disque complète sous forme d'instantané à un moment donné. À son tour, l'instantané peut être analysé et ses résultats fournis sous forme de données structurées pour la télémétrie, la détection et la recherche de menaces à grande échelle.

Conçu pour les personnes pouvant utiliser KAPE dans un environnement SOC, le discours de Larson incluait des idées sur la manière de se déployer dans leur propre environnement, ainsi que le «lit d'histoires riches» de l'analyse de triage et des moyens d'organiser des centaines d'événements de sécurité, y compris une analyse graphique de tout ce qu'un fichier ou un compte a touché.

Joe T. Sylve, Directeur de la recherche et du développement chez BlackBag Technologies, a présenté un autre «entretien d’outil aux implications plus larges». Sylve a commencé par souligner l’importance d’une recherche éclairée par les praticiens, car lorsque les vendeurs d’outils et les praticiens ne sont pas au courant des recherches, elles sont inutiles pour la communauté.

Dans le même temps, cependant, des idées fausses sur la recherche persistent: c’est difficile, il vous manque les qualifications académiques requises, ou les compétences et les outils sont trop disparates. En fait, a déclaré Sylve à la salle, la recherche n’est pas plus ardue que la criminalistique numérique conventionnelle, les qualifications académiques ne sont pas un gros problème, et il existe de nombreux chevauchements entre les compétences et les outils.

Parmi ses principaux travaux de recherche sur les instantanés APFS, Sylve a notamment abordé les points suivants:

  • Les meilleurs candidats à la recherche sont ceux dans lesquels vous êtes personnellement investi, soit à cause d’une affaire, soit simplement parce que cela pique votre curiosité.
  • En matière de recherche appliquée, le mieux est de limiter sa portée en fixant des objectifs réalisables. Même une petite quantité de nouvelles connaissances est utile; il n’est pas nécessaire de «résoudre la criminalistique».
  • Quelque chose qui ne vous semble pas intéressant ne signifie pas nécessairement que la recherche n’est pas pour vous; juste que vos compétences pourraient soutenir un domaine de recherche différent.
  • Les impasses arriveront! Ils peuvent ne pas répondre à votre question, mais ils vous aident à la réduire. Cela est particulièrement vrai pour les tâches volumineuses et complexes qui permettraient sinon de se perdre facilement dans les mauvaises herbes.
  • Développez votre recherche lorsque des impasses se produisent ou qu’une méthode ou une autre ne donne pas de réponse; soyez flexible lorsque vous apprenez de nouvelles choses.
  • Parfois, la recherche soulève plus de questions que de réponses. Appelant cela «une bonne sécurité d’emploi», Sylve a parlé de l’importance d’identifier les choses que vous n’avez pas couvertes - puis de dire aux autres ce qui les attend. Cette responsabilité vous aide à atteindre vos objectifs de recherche ou à permettre à d’autres d’en tirer parti.
  • Sylve a souligné que le simple fait de savoir que quelque chose n’est pas utile; il est important de partager avec les autres si rien d'autre que la validation. Même dans ce cas, la publication d’un document de 20 pages n’est pas nécessaire; vous pouvez poster sur Twitter, sur un blog (le vôtre ou en tant qu'invité), sur DFIR Review, sur des présentations de conférences ou même sur un podcast, comme Forensic Lunch, pour obtenir des réactions avant de les présenter de manière plus officielle. Chaque chemin a des obstacles à accéder et à atteindre, alors trouvez celui qui vous convient le mieux.

Brian Olson, responsable de la gestion technique chez Verizon Media, a expliqué que même s’il ne s’agissait pas d’un «outil de sécurité», la plate-forme open source Ansible s’avérait utile lors d’une intervention directe en raison de son adaptabilité. Cela était particulièrement important lors d'une intervention en direct sur les systèmes d'une société nouvellement acquise, qui présentaient un certain nombre de vulnérabilités.

Conçu pour automatiser des tâches informatiques répétitives telles que la gestion de la configuration, le déploiement d’applications et l’orchestration intra-service, les fonctions évolutives auto-documentées, personnalisables et personnalisables ont permis à l’équipe d’Olson de créer un livre de triage reproductible, d’obtenir des données volatiles, de télécharger et d’étiqueter des fichiers et de les collecter de manière uniforme. artefacts, entre autres tâches.

Ils pourraient ensuite effectuer une analyse de la pile des processus et des fichiers webdir et identifier les connexions réseau intéressantes. En deux phases, l'équipe a été en mesure de corriger les hôtes pour «arrêter le saignement» et supprimer les logiciels malveillants connus - et finalement faire mûrir leur programme de réponse aux incidents.

La collecte et l'analyse de preuves distribuées ont fait l'objet d'une présentation donnée par Nick Klein, directeur de Klein & Co. et instructeur certifié SANS, et Mike Cohen, développeur de Velocidex Innovations. Ils ont fourni une vue d'ensemble de Velociraptor, qui répond à un besoin de visibilité approfondie des paramètres - en examinant chirurgicalement les paramètres non seulement pour l'activité actuelle, mais aussi le contexte historique dans les enquêtes médico-légales numériques, la recherche de menaces et la réponse aux violations.

Peu d'outils, disaient-ils, offrent une analyse judiciaire approfondie et évolutive à l'échelle du réseau, et Velociraptor, un seul exécutable spécifique au système d'exploitation, peut fonctionner à la fois sur le client et sur le serveur. Conçu de manière à ce que les utilisateurs n’aient pas besoin d’être des experts, Velociraptor ne dispose pas de base de données, de bibliothèques ou de dépendances externes et est hautement personnalisable.

Klein et Cohen sont passés des artefacts que Velociraptor pourrait collecter sur un seul système et expliquer comment cette fonctionnalité pourrait aider à rechercher les mêmes artefacts - par exemple, les journaux des événements, des ruches d’utilisateurs NT sélectionnées ou des preuves médico-légales spécifiques telles que l’utilisation d’outils sysinternals ou clés - sur un réseau. À partir de là, vous pouvez rechercher de manière proactive, y compris sur le système DNS (auquel de nombreuses entreprises ne se connectent pas), chaque périphérique USB branché sur une machine ou même des macros Office.

Klein et Cohen ont souligné que Velociraptor était un travail en cours et qu'ils cherchaient à obtenir l'avis de ceux qui l'utilisaient dans des cas réels. En savoir plus sur www.velocidex.com!

Elyse Rinne, ingénieur logiciel, et Andy Wick, architecte principal, tous deux membres de l’équipe de sécurité des informations «Paranoïdes» de Verizon Media, ont prononcé le discours final sur l’outil. Leur conversation a porté sur l'utilisation du système de capture de paquets complets Open Source, Moloch, pour «trouver le mal».

Les capacités de Moloch complètent ce que vous avez déjà. En l'insérant entre le réseau et Internet, vous pouvez ensuite stocker les données sur des machines disposant d'un espace disque suffisant pour pouvoir les utiliser ultérieurement pour la recherche et la révision d'incidents. En outre, Rinne et Wick ont ​​parlé de la recherche de paquets ou de la recherche d'éléments dans les paquets eux-mêmes.

Les travaux futurs des paranoïaques incluront des visualisations de données, des protocoles, un cloud, etc. Pendant ce temps, Moloch a une communauté d'utilisateurs importante et soutenue, comprenant un canal Slack actif et des rencontres en personne. En outre, molochON se tiendra le 1er octobre à Sunnyvale, en Californie. En savoir plus sur Molo.ch.

Artéfacts Forensics

Les discussions sur les artefacts du sommet couvraient de nombreuses plateformes: Windows, Mac, iOS, Android et même la messagerie électronique. Ces entretiens ont eu pour thème de répondre aux questions susceptibles de se poser lors de la gestion des dossiers.

Artéfacts Windows


La première discussion sur les artefacts a approfondi l'enquête AmCache. Blanche Lagny, enquêteuse en criminalistique numérique de l’ANSSI, a expliqué comment AmCache - une fonctionnalité Windows depuis v7 - stocke des métadonnées.

Bien que des outils tels que AmCacheParser et RegRipper analysent AmCache, la documentation est insuffisante et l’interprétation n’est pas aussi simple qu’elle pourrait paraître. Le rapport technique publié de Lagny offre ce type de référence.

Couvrant trois scénarios différents, Lagny a décrit le comportement différent d’AmCache sous Windows 8, Redstone 1 et 10 Redstone 3, et comment, comme les artefacts ne cessent de changer, il est impératif d’examiner tous les fichiers afin de ne pas manquer d’informations importantes. Globalement, AmCache peut être considéré comme un «atout précieux» dans les enquêtes, car il stocke des données sur les fichiers binaires exécutés, les pilotes, les exécutables, les versions d'Office, le système d'exploitation, etc.

La mémoire compressée de Windows 10 a fait l'objet d'une présentation par deux ingénieurs du reverse engineering FLARE (Advanced Reverse Engineering) de FireEye Labs, Omar Sardar et Blaine Stancill. Ils ont décrit la manière dont les systèmes d'exploitation modernes compressent la mémoire pour qu'elle s'adapte le plus possible à la mémoire vive, et pourquoi: le système peut utiliser plusieurs cœurs et effectuer un travail simultané, ce qui permet un déploiement flexible du noyau.

Cependant, les outils d’investigation judiciaire sur la mémoire Volatility et Rekall ne pouvaient pas lire les pages compressées. Sardar et Stancill ont expliqué comment leurs recherches avaient été intégrées aux deux outils, créant ainsi une nouvelle couche de volatilité et un nouvel espace d'adressage dans Rekall. Ils ont complété leur présentation par un exemple de la manière dont leur plug-in avait trouvé des informations essentielles - un nouveau mutex, des pseudonymes, des codes de shell, des signes de charge utile MZ et des chaînes de charge utile - sur un malware, un fichier orphelin avec sa propre DLL.

Sardar et Stancill ont organisé le défi Flare-on.com chez Blackhat et ont rendu leurs recherches disponibles sur Github - recherchez les scripts Win10_volatility, win10_rekall, flare-vm et commando-vm. Trouvez également une vidéo avec une description supplémentaire d’Andrea Fortuna.

Artefacts Apple


Nicole Ibrahim, associée principale de Cyber ​​Response chez KPMG, a axé son discours sur MacOS DS_Stores sur «MacOS DS_Stores», «comme des sacs à coque, mais pour les Mac».

Ibrahim s'est concentré sur la façon dont l'existence de cet artefact indique qu'un dossier donné a été accédé, ainsi que sur la façon dont l'accès s'est déroulé, car il nécessite une interaction avec l'interface graphique du Finder. Bien entendu, le Finder utilise .DS_Stores pour restaurer une vue de dossier, mais sa pertinence pour une enquête est d'indiquer comment un utilisateur a interagi avec un dossier - créé, développé, ouvert dans un nouvel onglet, etc.

Ibrahim est également passé par des corrélations et mises en garde intéressantes, notamment:

  • Limites de la fenêtre (point à point de chaque coin de la fenêtre) - Bwsp: paramètres de la fenêtre du navigateur si l'utilisateur déplace la fenêtre du Finder - traitez-le comme un demi-hachage pour mettre en corrélation différents accès à des dossiers.
  • Positions de défilement: verticale ou horizontale - permet au Finder de savoir à quel endroit vous avez visionné pour la dernière fois: quelle section du dossier regardait l'utilisateur? Axes X et Y
  • Corbeille: Si vous envoyez un fichier à la corbeille, nom et emplacement (originaux) du fichier envoyé à la corbeille - afin que le Finder sache où placer le fichier restauré; même s'ils sont déplacés, les enregistrements originaux le suivront
  • Absence de chemins complets ou d’horodatages stockés; au mieux, ils ne fournissent qu'une plage de temps
  • Données d'enregistrement volatiles, de sorte que vous devez graver des fichiers .DS_Store, vérifier les instantanés locaux et les sauvegardes Time Machine, puis effectuer une corrélation avec d'autres fichiers .DS_Store sur le disque.

DSStoreParser d’Ibrahim est disponible dans son référentiel GitHub.

L’autre conférence sur les artefacts Apple, animée par le Dr Vico Marziale, chercheur principal en criminalistique numérique chez BlackBag Technologies, a mis en lumière le service de recherche macOS Spotlight Desktop. La recherche sur le bureau sur OS X, macOS et iOS, Spotlight indexe le contenu et les métadonnées des fichiers. Il est activé par défaut, mais est largement non documenté par Apple. L’intervention de Marziale a été consacrée au magasin de métadonnées, qui rappelle d’une certaine manière le registre Windows.

Pourquoi c'est important: les données dans Spotlight, y compris le contenu des messages, le contenu des e-mails, les numéros de téléphone, l'activité d'impression, l'emplacement, les éléments de l'agenda, etc. Marziale a ensuite décrit les connaissances de la structure interne complexe de Spotlight, notamment le niveau de volume et le niveau d’utilisateur.

Pour obtenir des données à partir de Spotlight, vous pouvez utiliser des interfaces de ligne de commande, notamment mdutil, mdimport, mdfind et mdls. Vous pouvez également utiliser Spotlight_parser et la toute nouvelle version bêta Illuminate, un outil de recherche CLI gratuit pour analyser les éléments Spotlight.

Artifacts de courriels
Arman Gungor, PDG de Metaspike, a parlé de l'enquête médico-légale sur les courriels modifiés sur le serveur. Partageant un scénario réel, Gungor a expliqué à quel point il est facile de supposer que les courriers électroniques sont immuables sur un serveur alors qu'en réalité, les services Web et les API facilitent la modification du contenu et des en-têtes du message.

Gungor a plaidé pour la collecte de métadonnées non seulement à partir de messages, mais également à partir des serveurs sur lesquels elles sont stockées. Les métadonnées de serveur ne sont généralement pas acquises parallèlement aux messages, mais peuvent contenir des indices importants permettant de savoir si un message a été modifié. Lorsque les e-mails sont stockés dans Gmail, il est également judicieux de valider les métadonnées du message à l'aide de signatures DomainKeys Identified Mail (DKIM).

De même, les voisins des messages - si possible, le dossier entier - qui sont importants pour le contexte. Par exemple, les messages manipulés peuvent présenter des écarts plus importants entre les identificateurs uniques de message (UID) et la différence de date interne par rapport à une chronologie attendue.

Artefacts mobiles
La criminalistique relative aux véhicules est un sujet de discussion de la DFIR depuis un certain temps, mais principalement en ce qui concerne les systèmes intégrés tels que les enregistreurs de données d'événements du véhicule (EDR, «black box») et la criminalistique relative aux appareils mobiles permettant de déterminer si une personne conduit au volant avec distraction. .

Cependant, iOS CarPlay et Android Auto combinent les deux de manière sans précédent, en intégrant la messagerie, la navigation, les contacts, les calendriers et d'autres données pour augmenter les déplacements. Cette intégration a fait l’objet d’une présentation donnée par les instructeurs SANS et auteurs, Sarah Edwards, spécialiste de la criminalistique à Parsons, et Heather Mahalik, directrice principale de l’intelligence numérique à Cellebrite.

“Ils nous voient Rollin’; They Hatin ’” a décrit la convergence - et les corrélations potentielles - entre les plates-formes mobile et automobile via des recherches sur un iPhone X jailbreaké et un Samsung enraciné.

  • Sur iOS, les GUID peuvent être utilisés pour corréler quelle voiture fait quoi pour chaque appareil; tandis que les connexions de périphériques nécessitent un accès physique au périphérique pour pouvoir effectuer une corrélation entre ces bases de données.
  • Les messages d'un système Apple peuvent être dictés via Siri et, par conséquent, mis en corrélation via la base de données KnowledgeC. InteractionsC.db et sms.db sont également situés dans iOS. Pour Android, Google Voice, MMSSMS.db ou toute autre preuve provenant d'applications tierces et / ou de logs.db, cela peut aider.
  • Les connexions Bluetooth ou les instructions Android Auto Voice ne signifient pas que le pilote était mains libres. à l'inverse, il peut être difficile de prouver la distraction du conducteur, en particulier lorsqu'un passager aurait pu envoyer des SMS.
  • De plus, il n’est pas nécessaire de brancher un appareil pour montrer qu’il était en mouvement; L’utilisation de l’application reflétera son propre mouvement, qu’il s’agisse d’une voiture, d’un vélo ou d’un autre mode de transport en commun.
  • Les appareils peuvent être connectés à plusieurs véhicules. Il est donc important de mettre en corrélation les événements d’un véhicule à l’autre.

Une autre présentation de la criminalistique mobile intitulée «Suivi des traces d’applications supprimées» a expliqué comment, parfois, ce qui ne se trouve pas sur un appareil peut vous en dire plus que de l’utilisation de l’appareil. Christopher Vance, responsable du développement du curriculum chez Magnet Forensics, et Alexis Brignoni, expert en criminalistique et chercheur, ont expliqué comment obtenir des données d'applications supprimées pouvant aider les enquêteurs et les examinateurs à sélectionner les appareils sur lesquels se concentrer.

À l'instar de l'observation faite par Mahalik dans sa présentation concernant les données Android «éparpillées partout», Vance et Brignoni ont évoqué les différents fichiers et bases de données pouvant rester à différents endroits, y compris dans le nuage, après la suppression apparente d'une application.

Les historiques d’achat, les applications désinstallées, l’utilisation des données et du réseau et d’autres emplacements peuvent tous contenir des éléments; parce que chacun contient une donnée spécifique, leur corrélation peut être importante. Certains conservent des données plus longtemps que d'autres et les données conservées pour chaque application supprimée varient. (C’est là que la méthodologie de recherche est essentielle: savoir comment et où les applications stockent leurs données peut varier considérablement d’une application à l’autre, ainsi que les données qui restent disponibles.)

Ainsi, alors que vos chances d'obtenir plus de données sont plus élevées tôt, avoir plusieurs endroits pour regarder améliore vos chances, même après un certain temps. Ils peuvent être particulièrement importants lorsqu'il s'agit de définir des délais autour des achats d'applications, des installations potentielles, des temps d'utilisation / de connexion et des temps de suppression. Des outils tels que l’analyseur Python de Brignoni, disponible dans son référentiel GitHub, peuvent aider.

Perspectives sur la réponse à un incident


Terry Freestone, spécialiste principal de la cybersécurité chez Gibson Energy, a donné une conférence intéressante qui ne faisait pas partie des autres catégories. Freestone a parlé de la réponse aux incidents du système de contrôle industriel (ICS). Dans la suite de notre article intitulé «L’opportunité dans la crise: la criminalistique numérique d’ICS Malware et la réponse aux incidents», les idées de Freestone ont fourni un excellent aperçu à quiconque souhaitait poursuivre une carrière DFIR et d’infosec dans ICS.

Freestone a commencé par rapprocher d'autres secteurs de l'ICS basés sur leurs similitudes, y compris un nombre limité de scénarios d'infraction, la nécessité de respecter les normes et la notion selon laquelle le temps, c'est de l'argent. Cependant, il existe certaines différences critiques, dues en grande partie au fait que les systèmes de sécurité et de disponibilité d’ICS affectent le monde réel. Ainsi, lorsque les choses tournent mal, elles peuvent VRAIMENT se détériorer.

La sécurité physique de base est la première priorité du répondant lors de son arrivée dans un établissement ICS et elle imprègne tout ce que vous pourriez faire. Freestone a souligné à quel point la communication avec les travailleurs des installations, y compris leurs conseils sur l’utilisation des équipements de protection individuelle et sur la manière de se déplacer dans les installations, était impérative.

En fait, cela peut aider à jeter les bases d’une intervention efficace en cas d’incident. Interroger le personnel de l’établissement pour obtenir sa version d’un incident peut être crucial, car il sait ce qu’il est “normal” de son établissement et ses observations pourraient en fait être liées aux aspects numériques d’une enquête.

La présentation de clôture du premier jour était un jeu de guerre en réponse à un incident en équipe conçu et modéré par quatre ingénieurs de Google: Matt Linton, spécialiste du chaos; Adam Nichols, ingénieur en sécurité; Francis Perron, responsable du programme de réponse aux incidents; et Heather Smith, expert principal en criminalistique numérique et réponse aux incidents à Crowdstrike.

Contrairement à l’exercice précédent, l’incident de cette année s’est déroulé presque entièrement dans le nuage. Smith nous a dit qu’elle avait été conçue de cette façon car il n’existait pas actuellement beaucoup de formation sur l’analyse des nuages ​​dans le monde des relations infrarouges - mais les intervenants doivent s’habituer à le voir. Elle a expliqué que le fait de jouer à un scénario plus difficile peut préparer les examinateurs à la direction que prend l'industrie et à ce qu'ils peuvent faire de manière proactive.

Lors des débriefings, les joueurs ont conclu que le cloud était une bête différente de ce à quoi ils sont habitués. Ils ont découvert qu'ils devaient se préparer différemment, avec des compétences et des outils différents - par exemple, rechercher des mécanismes de persistance plutôt que de «passer par la porte d'entrée».

Chaque équipe d'environ 10 personnes a eu plusieurs sessions de 15 minutes pour étudier différents aspects d'une attaque basée sur un nuage, avec plusieurs séries de questions à répondre. Les règles de base incluaient l’utilisation de la version modifiée de Google du système de commandement des incidents de la communauté incendie / secours.

Les équipes ont également été contraintes par la maturité de leur propre organisation, basée sur une matrice de fonctionnalités comprenant des outils tels que la liste blanche binaire, l’antivirus, la liste noire des extensions de travaux binaires, l’hôte IDS / IPS, etc.

Le résultat: il est impératif de planifier quoi faire avec autant de complexité, y compris ce qui se passe lorsqu'il peut y avoir des considérations relatives au RGPD. Se préparer à l'investigation dans le cloud implique potentiellement un accès aux API et aux outils, ainsi que des livres de lecture appropriés pour tout environnement cloud utilisé par votre entreprise.

Événements spéciaux


Les participants ont eu la possibilité de demander à Eric Zimmerman d’écrire un tout nouvel outil d’ici la fin du sommet. L’explorateur MFT était le résultat de ce défi, Zimmerman ayant publié l’outil de révision de la communauté le deuxième jour.

Également lors de la deuxième journée, Mari DeGrazia, directrice principale de la réponse aux incidents chez Kroll, a modéré les débats en direct, divisant neuf instructeurs SANS en trois équipes pour traiter de sujets d'actualité concernant l'investigation numérique, la réaction aux incidents et même un peu de culture pop. Les preuves basées sur le réseau et l'hôte, l'analyse Windows contre Mac, le tri des données sur les images de disque complètes, l'authentification multifactorielle, l'efficacité des outils d'Eric Zimmerman et la prononciation de «GIF» ont toutes été vivement débattues!

À la suite des débats, les prix annuels Forensic 4: cast ont été annoncés. Si vous n’êtes pas sur Twitter et / ou si vous vivez sous un rocher, vous pouvez trouver les résultats ici.

Avez-vous rencontré l'un de ces outils ou artefacts lors de vos enquêtes, avez-vous mené vos propres recherches ou souhaitez-vous en discuter? Assurez-vous de vous abonner à notre flux RSS pour obtenir des liens vers nos idées quotidiennes, inscrivez-vous pour recevoir notre lettre d'information mensuelle et participez aux discussions sur les forums.

 

Source : FORENSICS FOCUS