Triage-työkalujen kyvykkyyksien vertailu ja todentaminen
Ilmari, Åsenbrygg (2020)
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020052915318
https://urn.fi/URN:NBN:fi:amk-2020052915318
Tiivistelmä
Opinnäytetyö toteutettiin JYVSECTECin toimeksiannosta CYBERDI-projektiin, joka on JYVSECTECin ja POLAMKin yhteistyössä toteutettu projekti. CYBERDI-projektin tavoittee-na on kasvattaa käyttäjien osaamista ja tietoutta parantaa digiturvallisuuttaan huijauksia vastaan.
Opinnäytetyön tavoitteeksi muodostui triage-työkalujen kyvykkyys löytää hyökkäysjälkiä Windows 10 -ympäristöstä. Tavoitteen lisäksi opinnäytetyössä tutkittiin kahden eri triage-työkalun eroavaisuuksia ja hyötyjä/haittoja.
Opinnäytetyön kirjallisuuskatsauksessa tutkittiin triage-tutkimusta ja triagea forensiikan osana sekä pyrittiin kertomaan triagen hyödyistä nykypäivän suuren datamäärän vuoksi. Tutkimuskysymyksen (Triage-työkalujen kyvykkyys löytää hyökkäysjälkiä Windows 10- ympäristöstä) vuoksi kirjallisuuskatsauksessa tutkittiin lisäksi Windows-ympäristön tärkei-tä ”artifakteja” mm. Powershell, Scheduled task ja pohdittiin nykyajan kyberuhkia.
Opinnäytetyön teknisessa toteutuksessa luotiin Windows 10 -virtuaalikoneesen ”jälkiä” tärkeiden artifaktien ympärille. Jäljet pyrkivät kuvaamaan todellisen hyökkäyksen tapaisia jälkiä. Teknisen toteutuksen triage-työkaluiksi valikoitui KAPE- Kroll Artifact Parser and Extractor ja DFIRTriage. Työkalut valittiin työkalujen erilaisten käyttöliittymien ja toimin-nallisuuksien vuoksi.
Opinnäytetyön lopputuloksena syntyi sekä kirjallinen katsaus forensiikkaan, triageen, nykypäivän uhkakuviin ja tärkeisiin Windows 10 -ympäristön kohteisiin, että tekninen toteutus vastaten opinnäytetyön tutkimuskysymykseen. The thesis was assigned by JYVSECTEC for CYBERDI project of JYVSECTEC and Police Uni-versity College (POLAMK). The objective for the CYBERDI project is to increase the users’ awareness of digital threats in the modern world.
The objective of the thesis was to find the marks created in Windows 10 environment with different triage tools. In addition to the main objective, the thesis examined the advantages and disadvantages of two different triage tools.
The focus of the literature review is on triage and its part in forensic investigation. Addi-tionally, the literature review examines the key artifacts in Windows 10 environment and the modern threats against systems.
The technical part of the study created "marks" to Windows 10 virtual machine. The pur-pose of these "marks" was to describe real attacks and the tracks left by them. The triage tools chosen in the technical part were KAPE (Kroll Artifact Parser and Extractor) and DFIRTriage. These tools were selected because of their different user interfaces, outputs and capabilities regarding to usage.
The thesis resulted in a full technical review on the capabilities of the two different triage tools regarding the created marks and the literature review on triage as well as triage as a part of forensic investigation.
Opinnäytetyön tavoitteeksi muodostui triage-työkalujen kyvykkyys löytää hyökkäysjälkiä Windows 10 -ympäristöstä. Tavoitteen lisäksi opinnäytetyössä tutkittiin kahden eri triage-työkalun eroavaisuuksia ja hyötyjä/haittoja.
Opinnäytetyön kirjallisuuskatsauksessa tutkittiin triage-tutkimusta ja triagea forensiikan osana sekä pyrittiin kertomaan triagen hyödyistä nykypäivän suuren datamäärän vuoksi. Tutkimuskysymyksen (Triage-työkalujen kyvykkyys löytää hyökkäysjälkiä Windows 10- ympäristöstä) vuoksi kirjallisuuskatsauksessa tutkittiin lisäksi Windows-ympäristön tärkei-tä ”artifakteja” mm. Powershell, Scheduled task ja pohdittiin nykyajan kyberuhkia.
Opinnäytetyön teknisessa toteutuksessa luotiin Windows 10 -virtuaalikoneesen ”jälkiä” tärkeiden artifaktien ympärille. Jäljet pyrkivät kuvaamaan todellisen hyökkäyksen tapaisia jälkiä. Teknisen toteutuksen triage-työkaluiksi valikoitui KAPE- Kroll Artifact Parser and Extractor ja DFIRTriage. Työkalut valittiin työkalujen erilaisten käyttöliittymien ja toimin-nallisuuksien vuoksi.
Opinnäytetyön lopputuloksena syntyi sekä kirjallinen katsaus forensiikkaan, triageen, nykypäivän uhkakuviin ja tärkeisiin Windows 10 -ympäristön kohteisiin, että tekninen toteutus vastaten opinnäytetyön tutkimuskysymykseen.
The objective of the thesis was to find the marks created in Windows 10 environment with different triage tools. In addition to the main objective, the thesis examined the advantages and disadvantages of two different triage tools.
The focus of the literature review is on triage and its part in forensic investigation. Addi-tionally, the literature review examines the key artifacts in Windows 10 environment and the modern threats against systems.
The technical part of the study created "marks" to Windows 10 virtual machine. The pur-pose of these "marks" was to describe real attacks and the tracks left by them. The triage tools chosen in the technical part were KAPE (Kroll Artifact Parser and Extractor) and DFIRTriage. These tools were selected because of their different user interfaces, outputs and capabilities regarding to usage.
The thesis resulted in a full technical review on the capabilities of the two different triage tools regarding the created marks and the literature review on triage as well as triage as a part of forensic investigation.