Muistiforensiikan automatisointiratkaisun suunnittelu ja toteutus
Viljakainen, Tuomo (2021)
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021053112767
https://urn.fi/URN:NBN:fi:amk-2021053112767
Tiivistelmä
Jyväskylän ammattikorkeakoulun yhteydessä toimivalla JYVSECTECillä oli tarvetta muistiforensiikan prosesseja automatisoivalle järjestelmälle. Kyseistä järjestelmää lähdettiin rakentamaan innovatiiviseen konstruktioon tähtäävän konstruktiivisen tutkimusotteen avulla. Konstruktiivisessa tutkimuksessa läheinen yhteistyö kohdeorganisaation kanssa on tärkeää, joten toimeksiantajan kanssa pidettiin tietyin väliajoin palavereita, joissa keskusteltiin tuotteen kehityksestä.
Tuotteen toteutustavaksi valittiin Docker-konttien päälle rakennettava järjestelmä nimeltään Autovola, joka sisältää kontin muistivedoksista saatua tietoa säilövälle MongoDB-tietokannalle sekä Flask-rajapintaa ja React-käyttöliittymää ylläpitävälle Apache-palvelimelle. Näiden konttien lisäksi järjestelmään kuuluvat vielä Volatility 3:n lisäosia muistivedoksiin suorittavat Analyysi-kontit, joiden määrään ja resursseihin järjestelmän ylläpitäjä pystyy vaikuttamaan.
Käyttäjät voivat ladata Autovolan käyttöliittymästä järjestelmään muistivedoksia ja ISF-tiedostoja sekä päättää, mitä Volatility 3:n lisäosia muistivedoksiin suoritetaan. Lisäosien tuloksia voidaan tutkia ja suodattaa jälkeenpäin käyttöliittymästä. Autovola tukee Linux- ja Windows-käyttöjärjestelmistä otettujen muistivedosten analyysia.
Valmista tuotetta arvioitiin toimeksiantajan palautteen ja kolmiosaisen markkinatestin perusteella. Tuote läpäisi markkinatestin ensimmäisen tason, sillä se otettiin käyttöön toimeksiantajan organisaatiossa. Järjestelmää käytetään muun muassa JYVSECTECin kyberharjoituksissa ja työvälinekoulutuksissa. Toisen tason läpäiseminen olisi vaatinut tuotteen käyttöönottamista myös joissain muissa organisaatioissa. Järjestelmän katsottiin sijoittuneen markkinatestin tasojen yksi ja kaksi väliin, koska muut organisaatiot voivat käyttää tuotetta JYVSECTECin tarjoamien palveluiden kautta. Toimeksiantaja oli tyytyväinen tuotteeseen ja koki sen vastaavan sitä, mitä järjestelmältä oli haluttu.
Opinnäytetyön tavoitteena oli luoda JYVSECTECille käyttökelpoinen tuote, joka nopeuttaisi muistiforensiikkaan liittyviä prosesseja sekä helpottaisi analysoijien välistä yhteistyötä. Näiden tavoitteiden katsottiin toteutuneen kokonaan tai osittain. Toimeksiantaja tulee vielä jatkokehittämään järjestelmää siihen liittyvien tarpeitten ja käyttökokemusten perusteella. JYVSECTEC, which operates as a part of Jyväskylä University of Applied Sciences, needed a system that au-tomates memory forensics processes. Constructive research approach aiming at innovative construction was used during the development process. In constructive research, close cooperation with the target organization is important, hence meetings with the client were held at regular intervals to discuss product development.
The construction was implemented by building a system called Autovola, which is based on Docker containers. One of the containers contains MongoDB database that stores information gathered from memory dumps and there is also a second container with Apache web server that maintains React built UI and Flask API. In addition, there are Analysis containers that run Volatility 3 plugins to memory dumps. Number of Analysis containers can be changed and resources that they utilize may also be modified.
Users can upload memory dumps and ISF files to Autovola by using its user interface. They may also decide which Volatility plugins are run to the memory dumps. Plugin results can be examined and filtered afterwards using the user interface. Autovola supports analysis of memory dumps taken from Linux and Windows operating systems.
Finished product was evaluated using client’s feedback and a three-part market test. The product passed first level of the market test, since JYVSECTEC started to use the finished product. Autovola is used in JYVSECTEC’s cyber exercises and tool trainings, among other things. The product did not pass second level since it is not used in any other organization. Autovola was considered to place between levels one and two of the market test, as other organizations may use the product through services provided by JYVSECTEC. The client was satisfied with Autovola and felt that it corresponded to what was desired from the product.
Purpose of the thesis was to create a practical product for JYVSECTEC, which would speed up processes related to memory forensics and ease collaboration between analysts. These objectives were considered to have been fully or partially achieved. Client will further develop the product based on demands and user experiences.
Tuotteen toteutustavaksi valittiin Docker-konttien päälle rakennettava järjestelmä nimeltään Autovola, joka sisältää kontin muistivedoksista saatua tietoa säilövälle MongoDB-tietokannalle sekä Flask-rajapintaa ja React-käyttöliittymää ylläpitävälle Apache-palvelimelle. Näiden konttien lisäksi järjestelmään kuuluvat vielä Volatility 3:n lisäosia muistivedoksiin suorittavat Analyysi-kontit, joiden määrään ja resursseihin järjestelmän ylläpitäjä pystyy vaikuttamaan.
Käyttäjät voivat ladata Autovolan käyttöliittymästä järjestelmään muistivedoksia ja ISF-tiedostoja sekä päättää, mitä Volatility 3:n lisäosia muistivedoksiin suoritetaan. Lisäosien tuloksia voidaan tutkia ja suodattaa jälkeenpäin käyttöliittymästä. Autovola tukee Linux- ja Windows-käyttöjärjestelmistä otettujen muistivedosten analyysia.
Valmista tuotetta arvioitiin toimeksiantajan palautteen ja kolmiosaisen markkinatestin perusteella. Tuote läpäisi markkinatestin ensimmäisen tason, sillä se otettiin käyttöön toimeksiantajan organisaatiossa. Järjestelmää käytetään muun muassa JYVSECTECin kyberharjoituksissa ja työvälinekoulutuksissa. Toisen tason läpäiseminen olisi vaatinut tuotteen käyttöönottamista myös joissain muissa organisaatioissa. Järjestelmän katsottiin sijoittuneen markkinatestin tasojen yksi ja kaksi väliin, koska muut organisaatiot voivat käyttää tuotetta JYVSECTECin tarjoamien palveluiden kautta. Toimeksiantaja oli tyytyväinen tuotteeseen ja koki sen vastaavan sitä, mitä järjestelmältä oli haluttu.
Opinnäytetyön tavoitteena oli luoda JYVSECTECille käyttökelpoinen tuote, joka nopeuttaisi muistiforensiikkaan liittyviä prosesseja sekä helpottaisi analysoijien välistä yhteistyötä. Näiden tavoitteiden katsottiin toteutuneen kokonaan tai osittain. Toimeksiantaja tulee vielä jatkokehittämään järjestelmää siihen liittyvien tarpeitten ja käyttökokemusten perusteella.
The construction was implemented by building a system called Autovola, which is based on Docker containers. One of the containers contains MongoDB database that stores information gathered from memory dumps and there is also a second container with Apache web server that maintains React built UI and Flask API. In addition, there are Analysis containers that run Volatility 3 plugins to memory dumps. Number of Analysis containers can be changed and resources that they utilize may also be modified.
Users can upload memory dumps and ISF files to Autovola by using its user interface. They may also decide which Volatility plugins are run to the memory dumps. Plugin results can be examined and filtered afterwards using the user interface. Autovola supports analysis of memory dumps taken from Linux and Windows operating systems.
Finished product was evaluated using client’s feedback and a three-part market test. The product passed first level of the market test, since JYVSECTEC started to use the finished product. Autovola is used in JYVSECTEC’s cyber exercises and tool trainings, among other things. The product did not pass second level since it is not used in any other organization. Autovola was considered to place between levels one and two of the market test, as other organizations may use the product through services provided by JYVSECTEC. The client was satisfied with Autovola and felt that it corresponded to what was desired from the product.
Purpose of the thesis was to create a practical product for JYVSECTEC, which would speed up processes related to memory forensics and ease collaboration between analysts. These objectives were considered to have been fully or partially achieved. Client will further develop the product based on demands and user experiences.