Muhammed AYGÜN

12 Temmuz 2021 Pazartesi

Forensics Image (Adli İmaj)

Temmuz 12, 2021 Muhammed AYGÜN

Forensics Image (Adli İmaj)

Adli İmaj Nedir:

Adli imaj dijital bir kanıtın bire bir kopyasıdır. Harddisk, telefon, drone ve daha birçok cihazın imajı alınabilir. Bir harddiskin imajı, cihazda fiziksel olarak başlangıçtan sona kadar olan tüm veriyi içerir. İmaj almak bilişim suçlarında veri tutan her cihaz incelenmesinde ve suçun aydınlatılmasında olmazsa olmazlardandır. Adli bilişimde orijinal delil ile analiz yapılmaz tüm çalışmalar orijinalden bire-bir kopyalayarak oluşturulan adli imaj üzerinde gerçekleştirilir. Bu nedenle Adli Bilişimde delilin İmaj alınması ilk ve önemli adımdır. İmaj alma tamamlandıktan sonra elde edilen medyanın doğruluğunu belirlemek için hash değerleri hesaplanmalıdır. Hash değeri olarakta bilinen özet değeri disk sektörlerinde var olan 0 ların ve 1 lerin hepsinin incelenmesini içerir. Tek bir 0’ı 1’e değiştirmek elde edilen hash değerinin farklı olmasına neden olur. Hem orijinal medya hem de alınan imaj kopyasının hash değerleri bire bir aynı olmalıdır. İkisinin de eşleştiğini gördüğümüzde kopyalanan harddiskin veya diğer ortamların orijinalliğinden emin olabiliriz.

Hardisk imajından elde edilen bir MD5 değeri, orijinal hardisk değeri ile aynı olmalıdır. Sabit sürücüdeki en küçük değişiklikler bile örneğin MS Word belgesine virgül eklemek, sonuçta elde edilen MD5 karma değerini büyük ölçüde değiştirir.

İmaj özet değerinin hesaplanması için endüstri standardı şu anda MD5 algoritamsıdır.

Dijital kanıtlar son derece değişkenlerdir bu nedenle zorunlu olmadıkça orijinal kanıtlar üzerinde ilgili inceleme yapılmalıdır.

Harddisk İmaj Alma: genellikle bir sabit sürücüyü diğer bir sürücüye klonlarız. Şüphelinin diski kaynak sürücü olarak bilinir ve verileri taşıdığımız sürücüye hedef sürücü adı verilir. Imaj alırken genellikle karşımıza ile tüm birimlerin incelenmesinde, yani fiziksel imaj veya belirli bir bölümün ımajı alınması için mantıksal imaj ile karşılaşmaktayız.

Fiziksel imaj(Physical Driver/ Clone, bit-to-bit): Verilerin bire bir(bit bit) kopyasını alan imaj türüdür ve bu kısımda işlemi gerçekleştirebiliriz.

· MBR’den son sektöre kadar fiziksel diskin tamamını kopyalaması esasına dayanır.

· En iyi delil olarak sınıflandırılır.

· Disklerde RAID yapısı kullanılmamışsa ya da özel bir ımajı alınacak cihaz özel bir cihaz değilse fiziksel imaj alınmalı sonrasında mantıksal imajlara bölünmelidir.

Mantıksal imaj(Logical Driver): Belirli alandaki verilerin kopyasını aldığımız imaj türüdür ve işlemi sistem üzerinde gerçekleştirebiliriz.

· Bir elektronik depolama aygıtının tamamını değil sadece sistemi katmanı bazında bölümlerin (partition) ımajları alınacaksa tercih edilmelidir.

· RAID sürücüleri ya da şifrelenmiş sürücülerin ımajlarının alınması önerilmektedir.

İmaj alma ve dosya kopyalama farkı:

v İşletim sistemi üzerinden bir “kopyala ve yapıştır” işlemi yapmak, adli imaj almakla aynı değildir. Gerçek bir adli imaj hem aktif hem de dosya sistemi üzerinden ulaşılamayan verileri yakalar.

v İlk olarak kopyalamak ve yapıştırmak sadece aktif verileri yani kullanıcının erişebildiği veriler alır. Bunlar kullanıcıların microsft Word belgesi gibi etkileşime girdiği dosya ve klasörlerdir. Silinmiş ve kısmen üzerine yazılmış dosyalar dahil tüm diski görüntüleyebilmek için imaj almak şarttır.

v İmaj almak kopyalamaya göre uzun zaman alır,

v İşletim sitemine ait dosyaların kopyalnamsına sistem müsaade etmez,

v Silinmiş dosyaları kopyalamak ile elde edemeyiz imaj ile elde edebiliriz.

İmaj Türleri

Adli Bilişim camiasında kullanılan donanım ve yazılımları takip edecekleri herhangi bir forensic frameworkü olmadığı için donanım ve yazılım üreticileri kendi imaj standartlarını tanımlamışlardır. Bu da birden fazla imaj standartlını doğurmuştur ve adli bilişim incelemesinde kullanılacak donanım ve yazılımların birbirine farklı bu formatları desteklemesi gerekliliğini ortaya çıkarmıştır.

DD, Smart, AFF ve E01 formatında imaj alabilmekteyiz.

1 – Raw ( dd ) : Imaj alma işlemi esnasında herhangi bir sıkıştırma uygulanmaz, elde edilecek imaj dosyası kaynak ile aynı boyuttadır. Ayrıca imaj dosyası içerisinde yalnızca ham veri bulunur, herhangi bir metadata verisi yer almaz. Bu formatta ki imajlar herhangi bir sıkıştırma uygulamadan birebir alınan imajlar olarak bilinirler ve sürücüler ile aynı boyutta olurlar. Built-in olarak bir sıkıştırma desteği olmayan bu formattaki dikler genelikle .dd, .001 ya da .img dir

2- SMART : Linux işletim sistemi için geliştirilmiş SMART uygulamasının, ham verinin yanında metadata ve doğrulama değerlerini de içeren dosya formatıdır.

3- E01 : EnCase yazılımı tarafından varsayılan olarak kullanılan spesifikasyonları açık olmayan bir imaj türüdür. veri dosyaya yazılırken bloklara bölünür ve her bloğa ait hesaplanan checksum değeri verinin arkasına yazılır. Dolayısıyla imaj dosyası yalnızca veriyi değil, metadata ve doğrulama kodlarını da içerir. EWF formatındaki bu imaj dosyasının uzantısı .E01 şeklindedir. Bu imaj dosyaları içerisinde metadata bilgileri tutulur. İmajın sıkıştırılması desteği mevcuttur.

4- AFF : Gelişmiş Dosya Formatıdır(Advanced File Format), veri ile metadata bilgileri birleştirilerek aynı dosya içerisinde saklanır. İmaj dosya içinde metadata saklama ve sıkıştırma desteğine sahiptir, bu formattaki imaj dosyaların uzantısı .AFF dir.

Bu imaj formatının üç farklı varyantı vardır;

· AFF: İmaj, tek bir dosya şeklindedir ve metadata bilgisi de aynı dosya içinde saklanır.

· AFD: İmaj, birden fazla ufak dosyaya bölünmüş şeklide saklanır ve metadata bilgileri de aynı dosyalarda tutulur.

· AFM: imaj dosyası RAW formatındadır ve metadata bilgisi ikinci dosyada saklanır.

Adli İmaj Nasıl Alınır?

Adli İmaj oluşturmak için çeşitli yazılım ve donanımlar kullanabiliriz. Örneğin;

· FEX Imager (Getdata – Forensics Imager) (https://getdataforensics.com/product/fex-imager/download/)

· Accessdata FTK Imager (http://www.accessdata.com/downloads.html)

· Guymager

· Guidance Software EnCase Forensic Imager

· ProDiscover Standart

· dd Imager Yazılımı (Komutu)

· dcfldd Komutu

· AIR – Automated Image and Restore

· Xways

· Tableau TD serisi

· Ditto

· SOLO

· HardCopy

· Logicube Forensics Quest 2

· RoadMASSter

FTK Imager ile İmaj Almak;

FTK Imager aracımızı çalıştırıyoruz.

Üst sekmelerde bulunan file kısmına gidiyoruz ve ardından create disk ımage deyip disk imajı alacağımızı belirtiyoruz.

Disk imajı alacağımızı söyledikten sonra bize hangi tür imaj alacağımızı soruyor. Biz Physical Image türünden devam ediyoruz.

Physical Image türünü seçtikten sonra hangi diskin imajını alacağımızı soruyor. Ben hızlı olması açısından flash diskin bir imajını alacağım için diskin adını seçip devam ediyorum.

Disk seçildikten sonra add butununa basıyoruz.

Bastıktan sonra imaj tipini seçiyoruz. Be raw yani dd imaj türünü seçip devam etmek istiyorum.

Evidence yani delil üzerinde açıklamaları giriyoruz.

Disk imajının oluşacağı dosya konumunu seçiyoruz.

Start deyip imaj işlemlerini başlatıyoruz.

Daha sonra imaj tamamlandığında karşımıza verify ekranı gelir.

Görüldüğü gibi disk imaj dosyalarını görebiliyoruz. Analiz etmeye hazır bir şekilde 3.parti bir yazılım ile analiz edebiliriz.

Guymager ile disk imajı almak

Guymager, Linux altında çalışan bir imaj alma yazılımıdır

İmajı alınacak disk üzerine sağ tıklayıp açılan menüde Acquire Image seçeneğini seçiyoruz

Acquire Image dedikten sonra imaj format kısmında alınacak imajın hangi formatta alınacağını belirleyeceğiz ben dd olarak devam ediyorum. Disk imaj dosya konumu, ismi gidi temel metadata bilgilerini ekliyoruz.

Gerekli bilgileri girip Start butonuna bastığınızda imaj alma işlemi başlar ve ana pencerede imaj alma işleminin durumu ile ilgili bilgiler yer alır

Görüldüğü gibi .dd uzantılı imajımız oluştu.

dd Imager ile imaj almak

dd Linux sistemlerde üzerinde çalışır, herhangi bir arayüzü yoktur ondan dolayı komut üzerinden devam etmemiz gerekmektedir.

DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır. if bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.

bs kaçar byte kopyalanacağını belirtir.conv=noerror ise hata alsan bile kopyalamaya devam et demeye yarar.

İlk olarak imajını alacağımız diskin yolunu bulmamız gerekiyor.

fdisk -l

Burada diskimizin yolunu bulduk

Daha sonra dd ile disk imajımızı alalım

dd if=/dev/sdb of=/home/ma/Desktop/Disk_1.img

dd çalışırken bir çıktı vermez burada çalışmıyor diye kapatmayın iptal etmeyin işlem bittiğinde çıktı verecektir.

İşlem bittiğinde şu şekilde çıktı verecektir.

dc3dd ile imaj almak

dc3dd uygulaması dd’nin geliştirilmiş ve yeni özellikler eklenmiş versiyonudur. En belirgin özelliklerden birisi imaj alma işleminin işleyişi ile ilgili bir durum göstergesine sahip olmasıdır. Bu sayede imaj alma işleminin tahmini olarak ne kadar süreceğini öğrenebiliyorsunuz.

Yine dd de olduğu gibi ilk olarak diskimizin konumunu buluyoruz.

Daha sonra kaynak diski belirledikten sonra imaj alması için gerekli komutu veriyoruz.

dc3dd if=/dev/sdb of=/home/sansforensics/Desktop\Disk_1.img hash=md5

Dd den farkını ilk çıktısında görebilrdik, burada yüzdelik vererek diskin yüzde kaçlık kısmının imajının aldığını görebiliyoruz.

dcfldd ile imaj almak

dc3dd aracına benzer aynı işlevi gren farklı bir imaj alma yazılımıdır. dc3dd komutları gibi kullanılarak çalıştırılabilir.

28 Haziran 2021 Pazartesi

Time Stomping ile Anti-Forensics

Haziran 28, 2021 Muhammed AYGÜN

Time Stomping

Time stomping anti forensics yöntemlerinden biridir. Bazı malware’lar zamanı durdurma (time stomping) yöntemini kullanmaktalar. Bir sistemde Forensics uygulandığı zaman veya bir malware sisteme bulaştığında temel olarak sormuş olduğumuz ne, kim, nerede, nasıl, neden, ne zaman gibi soruların cevabını bulmaya çalışırız. Anti-forenscis yöntemi olan time stomping yöntemi ile ne zaman sorusuna cevap bulmamız zorlaşmaktadır. Malware’ın bu tekniği uygulamasındaki amacı, hedef uç noktadaki varlığını koruyabilmesi için fark edilmeden ilerlemek ve hedefinden saklanmaktır. Bazı saldırgan aktörleri bu görevi gerçekleştirmeye çalışmasının olası bir yolu, Time Steomping tekniği olarak bilinen malwareların zaman damgalarını değiştirmektedir.

Time Steomping tekniğini uygulayan malware, sistem üzerinde algılanan diğer kötü amaçlı etkinliklerin zaman çizelgesine girmemiş gibi görünmesini sağlamak, analiz eden kişinin yanıltmasını sağlayan zaman damgalarını değiştirmektir. Olayı analiz eden analist, enfekte olan makinedeki uyarıları, günlükleri ve diğer yapıtları gözden geçirmeye başladığında, zaman damgaları malware tarafından değiştirilirse, zamanlanmış bir dosya araştırma kapsamının dışında kalabilir. Bu tekniğin uygulanıp uygulanmadığını anlamak için söz konusu dosyaya karşılık gelen MFT kaydında ilişkili birden çok zaman damgası karşılaştırılarak algılanabilir. NTFS zaman damgası uyuşmazlığı yapıtığı zaman örneğinin meydana gelmiş olabileceğinden şüphelendiğiniz olay yanıtı araştırmalarında bir başlangıç noktası sağlar. İşte analist burada şüphelenmeye başlar.

Anti Forensics tekniği olan Time stomping yöntemini tam manasıyla anlamak için NTFS dosya sisteminde bahsetmek istiyorum;

Dosya sistemlerinin çalışma yapıları farklılık gösterebilmektedir. Bununla birlikte genellikle tüm dosya sistemleri dosya üstbilgilerini ve dosya içeriklerini diskin farklı yerlerinde tutarlar. Bu durumu bir kitaba benzeterek açıklamak gerekirse, kitabın içindekiler kısmında bulunan konu başlıklarını dosya üstbilgileri olarak, kitabın ilerleyen sayfalarındaki konu içeriklerini ise dosya içerikleri olarak düşünebiliriz. Güncel Windows işletim sistemleri NTFS dosya sistemini kullanırlar.

NTFS Dosya Sistemi (The New Technologies File System) Windows NT sürümünden itibaren Windows işletim sistemleri için “default” dosya sistemi olan NTFS bugün dünyada en çok kullanılan dosya sistemidir. NTFS tüm yönetimsel araçları kullanıcı dosyaları gibi birer dosya şeklinde tutmaktadır. Bu dosyalar üst dosyalar olarak (metafile) isimlendirilmiştir. Spesifik sektörlerin dosya sistemi tarafından ayrıldığı ve kullanıcıların kullanımına kapalı olduğu diğer dosya sistemlerinden NTFS’i ayıran en önemli hususlardan biri her sektörün bir dosyaya tahsis edilmiş olmasıdır. Bu dosyalar içerisinde indeksleme görevini üstlenen MFT dosyasıdır.

MFT Dosya ve klasör üstbilgileri MFT isimli bir dosya içerisinde tutmaktadır. MFT’nin hangi adreste bulunduğu ise dosya sisteminin bulunduğu bölümün ilk sektöründeki “boot” kaydında bulunmaktadır. MFT dosyası her dosya veya klasör için ayrılmış 1024 baytlık kayıtlardan meydana gelir. İlk kayıt kendine yani $MFT dosyasına aittir. Her kayıt içerisinde dosyanın ismi, oluşturma, erişim tarihleri gibi üstbilgiler bulunur. Kritik önemdeki bu dosyanın genellikle ilk dört kaydın bir yedeği MFTMirr dosyasında tutulmaktadır. Her MFT kaydı bölümlerden oluşur. MFT kayıtları içerisinde bulunabilecek bölümler (attributes) $AttrDef içerisinde tanımlanır.

MFT’nin yapısı

MFT Header: MFT kaydının başlangıcında “FILE” veya sorunlu kayıtlar için “BAAD” değeri bulunur. Ayrıca bu bölümde, hataların tespiti amacıyla konulan “fixup” değerleri, MFT kaydının boyutu, kullanılan alan, dosyanın kullanımda olup olmadığı ile ilgili olarak ve kaydın bir dosyaya mı veya klasöre mi ait olduğuna dair işaretler yer almaktadır.

$FILE_NAME: Bu bölümde dosyanın hangi klasörde bulunduğu, dosya oluşturma, değiştirme, erişim ve MFT kaydı değişim tarihleri, dosyaya ayrılmış alan, gerçek dosya boyutu, işaretler (gizli, sistemi arşiv vs.) ve dosya ismi gibi bilgiler bulunur.

$STANDARD_INFORMATION: Bu bölümde ise yine oluşturma, dosya değişim, MFT değişim, dosya erişim tarihleri, sınıf ID, sahip ID gibi bilgiler tutulur. Windows dosya özellikleri kısmındaki tarihler bu bölümden gelmektedir

$DATA: Bu bölümde ise dosya içeriği bulunmaktadır. Dosya içeriği MFT kaydına ayrılmış 1024 baytlık alandan kalan kısma sığarsa dosya içeriği için ayrıca bir alan ayrılmamaktadır. Dolayısıyla küçük dosyaların içeriği MFT kaydı içerisinde tutulmaktadır. Ancak daha büyük boyutlu dosyalar için bu dosya içeriklerinin hangi adreslerde tutulduğuna ilişkin listeler $DATA bölümüne kaydedilmektedir.

Logfile: Dosya üstbilgilerindeki değişiklikleri arşivler.

Volume: Bölüm etiketi, dosya sistem versiyonu gibi bölüm ile ilgili bilgileri barındırır.

AttrDef: MFT kayıtlarındaki dosya özelliklerini tutan tablodur. NTFS dosya sistemi dosya adı, dosya erişim yetkisi veya dosya içeriği gibi her şeyi dosya özelliği olarak görür. AttrDef dosyasında da bu özellikler, isimleri ve ID numaraları bulunmaktadır. ,

Bitmap: Bu dosya içerisinde bulunan her bir sektörün bir dosya tarafından kullanılıp kullanılmadığını ifade eder. NTFS dosya sisteminde bu üst dosyalar dışında $BadClus, $Secure, $UpCase gibi başkaca sistemsel dosyalar da bulunmaktadır

NTFS Dosya Sisteminde Bir Dosya Oluşturmak

MFT dosyası içerindeki kullanımda olmayan ilk kayıt $BITMAP taranarak tespit edilir ve burası yeni oluşturulacak kayıt için temizlenir. $BITMAP’te ilgili yer 1’e çevrilir.
$FILE_NAME ve $STANDARD_INFORMATION bölümleri MFT kaydında oluşturulur.
Dosya oluşturma ve diğer tarihler ayarlanır.
Dosyanın kullanımda olduğuna dair (in-use) işaret konur.
$BITMAP dosyasından disk üzerinde dosyanın boyutuna göre en uygun yer tespit edilerek bu sektörlere dosya verisi kaydedilir. Dosya verisi MFT kaydı içerisine sığacak boyutta ise MFT kaydı içerisine kaydedilir.
MFT dosyasının beşinci sırasında bulunan “root” klasörünün özelliklerinden dosyanın oluşturulacağı klasör tespit edilir. Klasörün MFT kaydına gidilerek buraya yeni oluşturulan dosya için indeks kaydı oluşturulur.
Dosya ile ilgili yapılan işlemlerin kayıtları $LogFile dosyasında arşivlenir. Kısacası yeni bir dosya olduğunda disk üzerinde üç ana değişiklik olur. Bunlardan birincisi dosya ile ilgili MFT kaydı oluşturulur. İkincisi $BITMAP’te dosya içeriğinin kaydedildiği sektörler 1’e çevrilir. Üçüncüsü dosyanın oluşturulduğu klasörün MFT kaydı yeni dosya eklenerek güncellenir.

Temel bilgileri hatırladıysak Time Stomping kısmına tekrar dönelim;

NTFS uç noktasında depolanan bir dosyanın MFT kaydında, bir dosya hakkında çeşitli türde bilgiler içeren birden çok bölüm veya öznitelik olduğundan bahsettik. Bu yeni yapıt için $Standard_Information ($SI) ve $File_Name ($FN) özniteliklerinin zaman damgası ile bilgileri muhafaza ettiğinde bu dosyalara odaklanacağız. Time stomping anti forensics Malware dosyalarının zaman damgalarını değiştirilebilir. Bu değişikliğin ne zaman nasıl yapıldığını öğrenmek için timestamp değerlerine bakarız. Temel olarak MFT'de 8 zaman damgasını oluşturan 2 farklı küme var her kümede Oluşturma zamanı, değişiklik zamanı, MFT süresi, son erişilen saat bilgileri bulunur. Bu kümeler, Standard Information file attributes ve File Information attributes 'dir.

$FILENAME: Dosya ve dizinlerin adlarını saklamaktadır. Ayrıca bir dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi ve MFT deki son değişim tarihi olmak üzere toplam 4 adet zaman damgası bulunur.

$STANDAR_INFORMATION: Bir dosyadaki standart bilgileri, sahiplik bilgileri, metadata bilgileri, dosyanın oluşturulma tarihi, son değiştirilme tarihi, son erişim tarihi, MFT de son değiştirilme tarihi olmak üzere toplam 4 zaman damgası vardır. Windows Gezgini'nde normal olarak görüntülenenlerdir.

STANDARD_INFORMATION ve FILENAME arasındaki temel fark; STANDARD_INFORMATION kullanıcı tarafından değiştirilebilir zaman damgalarını barındırmaktadır. FILENAME zaman damgası ise ancak sistem çekirdeği tarafından değiştirilebilmektedir.

Çoğu zaman time stomping yöntemini uygulayan zararlılar yalnızca $STANDARD_INFORMATION kümesini değiştirir. Hem $STANDARD_INFORMATION hem de $FILE_NAME özniteliklerini görüntüleyen araçları kullanarak, bir dosyanın zaman değişimine uğrayıp uğramadığını belirlemek için iki kümedeki değeleri karşılaştırabiliriz. $STANDARD_INFORMATION daki değeler $FILE_NAME'den daha önce geliyorsa geliyorsa, olası bir şüphelenmemiz gerekmektedir.

Örnekle açıklamak gerekirse;

(M: Modigied, A: Accessed, C:Changed($MFT değiştirme Zamanı), B: Birth (Dosya oluşturma zamanı))

şüpheli dosyanın $STANDARD_INFORMATION ve $FILE_NAME özniteliklerini inceleyerek, bir uyumsuzluk olduğunu gördük bu nedenle, diğer göstergelerle birleştirilip analiz edildiğinde burada Time Stomping uygulanadığını söyleyebiliriz. Gördüğünüz gibi, kırmızıyla vurgulanan $STANDARD_INFORMATION, $FILE_NAME tarihlerinden önce gelmektedir yukarda da bahsettiğim gibi şüphelenmemiz gerekir.

Bir malware farklı sistemlerde farklı $STANDARD_INFORMATION ve $FILE_NAME değerinlerini farklı değere sahip olabilir

Misalen yukardaki A sistemi olsun aşağıdaki de B sistemi olsun görüldüğü gibi FILE_NAME kısmı farklı değerlere sahiptir.

Buna benzer bir şüpheli dosya ile karşılaşırsak;

change.log dosyalarını geri yükleme noktalarını kontrol edebilirsiniz. Bu dosyalar, dosya oluşturma ve yeniden adlandırma gibi değişiklikleri izler, şüpheli dosyanın oluşturulup oluşturulmadığını ve yeniden adlandırıldığını görmek için USN dosyası da analiz edilebilir.

Uygulama

Test amaçlı 2 txt dosyasını oluşturdum1 tanesine Time Stomping uygulayacağım bir tanesinide taririhndeki değerleri göreceğim

2- Daha sonra oluşturulan bu txt dosylarından timestommping.exe aracı ile maygun.txt Time Stomping yöntemini uyguladım.

Görüldüğü gibi tarihini değiştirid,m değiştirme tarihinde 2003 olduğu görülüyor.

3- 3- Bir dosyaya time stomping uygulanıp uygulanmadığını tespit etmek için MFT den analiz etmemiz gerekmektedir. FTK Imager ile MFT dosyasını export ettim.