Imagine a situação, houve um vazamento de informação na sua empresa, você suspeita quem foi mas não quer gerar nenhuma situação desconfortante ao suspeito, já que é um colaborador na empresa que você trabalha. Como fazer uma analise rápida e sem suspeita?
DFIRriage - Digital forensic acquisition tool for Windows
Essa situação pode ser resolvida pelo DFIRTriage, é uma aplicação desenvolvida em Python, que houve uma atualização recente depois de três anos sem ter atualização. Cheguei até fazer um FORK desse programa e chamei ele de F1RSTriage e adaptei ao meu cenário na empresa, fiz até uma melhoria para fazer coleta de multiplos usuários para quem tem Active Directory.
Este programa DFIRTriage (original) é uma “mão na roda” para resolver problemas de coleta forense de forma rápida e simples, seja você executando ou fazendo uma coleta via PSEXEC.
Fonte
DFIRTriage esta disponível no GITHUB, no endereço: https://github.com/travisfoley/dfirtriage
Instalação
git clone https://github.com/travisfoley/dfirtriage
Recursos
DFIRTriage irá realizar a coleta forense nos seguintes itens:
- Dump de memória RAM; (obrigatório/opcional)
- Verifica se esta executando com privilegios administrativos;
- Detecta a arquitetura do sistema (32/64Bits)
- Coleta e Parse de Prefetch;
- Coleta de historico do Power Shell;
- Ultimas atividades do usuário;
- HASh de: (usuários, system32, windows, temp)
- Informações de rede;
- Windows update log;
- Windows defender log;
- Dump e Parsing das HIVES do Registro do Windows;
- Coleta de dispositivos USB;
- Historico de navegação do usuário;
- Hash de todos os arquivos coletados;
Ao terminar a coleta, também tera a disposição o programa “DTFIND”, que permite fazer busca dentro dos arquivos coletados, mais abaixo demostrarei.
Fazendo a coleta local
A coleta é muito tranquila, basta abrir uma tela de prompt ou executar com duplo clique. Importante estar executando como administrador! Neste exemplo, foi executado sem dump de ram.
Resultado
O resultado, sera compactado com o nome do computador . data e hora de execução. Ao descompactar teremos:
Ao descompactar o LiveResponseData.zip terá todos os arquivos coletados, demostrar neste post seria muito extenso, vale a pena conferir, alguns exemplos:
DTFind
DTFind permite você procurar palavras dentro dos arquivos coletados. No exemplo abaixo no item “1” coloquei a palavra chave “github.com” e no item “2” o diretório da coleta (descompactada)
Este é o resultado:
Conclusão
Esta aplicação para Windows é simples e objetiva na coleta forense. Para ambientes corporativos em que não é necessário realizar uma coleta forense “disco a disco” pode ser uma solução excelente. Este programa costumo utilizar na empresa para debugar sobre malwares e encontrar possíveis brecha de segurança cometido pelo usuário.
No repositório do Github, há uma explicação de como executar ele via PSEXEC.
