COMO FAZER UM RELATÓRIO pt. 2 – ANÁLISE FORENSE
Olá!
Aqui estamos na segunda e última postagem sobre relatórios. Anteriormente, introduzi a fase de relatório. Nesta postagem, daremos uma olhada em duas ferramentas de documentação e relatórios, que são KeepNote e Dradis. Abordarei como gerar um relatório tendo previamente analisado uma imagem com Autopsy.
Link para postagem anterior: https://douglasmendes.code.blog/2020/12/18/como-fazer-um-relatorio-pt-1-analise-forense/
Kali Linux, entre todas as várias ferramentas para teste de penetração e análise forense digital, não poderia deixar faltar ferramentas para documentação e ferramentas de relatório que também estão agrupadas no menu Aplicativos (Applications) do sistema operacional.
IMAGEM: Do Autor
Nas versões mais antigas do Kali Linux a ferramenta KeepNote vinha instalada por padrão, também disponibilizada em repositórios. Porém hoje está indisponível, mas proponho que seja “resgatada”.
Proponho duas soluções para instalação: Uma delas utilizando o repositório Debian main, outra instalando uma imagem no Docker. Veremos a seguir.
1º – INSTALAÇÃO DO KEEPNOTE PELO REPOSITÓRIO DEBIAN
Embora o Kali e o Debian sejam dois sistemas operacionais diferentes, o Kali foi projetado como uma “ramificação”, ou seja, ele é um sistema operacional baseado no Debian. Em seu repositório principal o KeepNote permanece disponível para download até a presente data da postagem.
Para fazer o download por meio do comando apt-get primeiramente você deve incluir no arquivo /etc/apt/sources.list o repositório Debian. Em seguida, deve-se executar o comando apt-get update. Uma maneira simples de incluir no arquivo é fazendo uso do comando add-apt-repository:
# add-apt-repository “deb http://deb.debian.org/debian buster main”
IMAGEM: Do Autor
Na sequência, digite o comando apt-get update && apt-get –y install keepnote.
IMAGEM: Do Autor
Agora saia do usuário root e digite o comando sudo keepnote
IMAGEM: Do Autor
IMAGEM: Do Autor
2º – INSTALAÇÃO DO KEEPNOTE NO DOCKER
Estarei explicando nessa postagem como resolver a instalação de um container Docker com essa ferramenta.
Antes de continuar seguindo os passos que vou fornecer, caso nunca tenha instalado o Docker no Kali Linux, volte na postagem https://douglasmendes.code.blog/2020/11/26/como-construir-uma-super-linha-do-tempo-das-atividades-analise-forense/ que a explicação de como instalar no Kali está no título INSTALAÇÃO DO DOCKER.
Terminado a instalação do Docker, iniciamos a instalação do KeepNote. Como usuário root, digite:
# docker pull th3xace/keepnote
IMAGEM: Do Autor
Agora, crie um diretório com o comando mkdir chamado /keepnote.
IMAGEM: Do Autor
Saia do usuário root. Na sequência, digite o comando sudo docker run -d -v /keepnote/:/keepnote -v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY –name keepnote1 th3xace/keepnote
IMAGEM: Do Autor
IMAGEM: Do Autor
OBSERVAÇÕES:
- Os arquivos que irão se comunicar com o container devem estar dentro do diretório /keepnote criado.
- Casofeche o KeepNote e queira abrir novamente digite sudo docker start keepnote1 .
- Para encerrar o container criado digite sudo docker rm keepnote1 também digite service docker stop .
Para maiores informações, segue o endereço eletrônico da imagem Docker: https://github.com/TH3xACE/keepnote-rip
PRIMEIROS PASSOS COM KEEPNOTE
Como disse anteriormente, para escrever um relatório é importante fazer anotações e documentar todas as etapas da análise. KeepNote é um programa de plataforma cruzada escrito em Python que pode nos ajudar nessa tarefa. Ele oferece suporte a organizações hierárquicas para anotações.
Podemos criar um bloco de notas para cada caso clicando no menu File → New Notebook… , em sequência deve-se escolher o diretório. Preferi criar um diretório com o comando mkdir /notebooks para salvar os blocos de notas.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Podemos criar novas pastas clicando no menu File → New Folder.
IMAGEM: Do Autor
IMAGEM: Do Autor
Também podemos criar novos documentos em formato de texto ou MS Office, como .txt, .xls, .doc, clicando no menu File → New File → New Text File (txt), ou File → New File → New Spreadsheet (xls), ou File → New Word Document (doc).
IMAGEM: Do Autor
IMAGEM: Do Autor
Keepnote também suporta anexos de arquivo. Para adicionar clique no menu Edit → Attach File. Selecionei um arquivo avulso, só para exemplificar.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Agora que demos uma olhada no KeepNote, sigo para os primeiros passos com a próxima ferramenta.
PRIMEIROS PASSOS COM DRADIS
Dradis é uma ferramenta mais completa para documentação e relatórios. É uma estrutura de código aberto que serve para colaboração e compartilhamento de informações, embora seja mais voltado para pentesters do que para examinadores forenses digitais.
Dradis é um aplicativo da web independente que fornece um repositório centralizado de informações. É particularmente útil quando a análise forense digital é conduzida por uma equipe.
Para acessar, primeiramente no terminal, digite o comando sudo service dradis start. Depois, no navegador de internet, entre no endereço 127.0.0.1:3000. Você será direcionado a tela de Setup onde deve criar uma senha.
IMAGEM: Do Autor
IMAGEM: Do Autor
Essa senha deve ser informada na tela seguinte (Tela de Login). O usuário você pode escolher qualquer um.
IMAGEM: Do Autor
Executamos o login e entramos na interface web. Notamos que podemos organizar notas hierarquicamente criando um novo nó de nível superior (Top-Level Node) para um novo caso e, em seguida, adicione sub-nós que podem conter notas, evidências e anexos.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Clicando em Upload você também pode fazer upload de arquivos de outras ferramentas como Metasploit, Nessus, Nmap, OpenVAS, além de também poder fazer upload de arquivos de nossas estações de trabalho locais.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Também podemos exportar resultados nos formatos CSV, HTML e JSON clicando no botão export.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Agora seguiremos com os estudos retornando ao Autopsy Forensic Suite.
GERANDO RELATÓRIOS NO AUTOPSY FORENSIC SUITE
Nas postagens do Autopsy Forensic Suite, vimos como usar o Autopsy para conduzir uma análise forense de uma imagem. Agora vou mostrar como usar essa ferramenta valiosa para nos ajudar a gerar um relatório quando a análise for concluída. Por exemplo, assumimos ter aberto o caso que analisamos na postagem que fala sobre o uso do Autopsy para analisar uma imagem do sistema operacional Windows ( https://douglasmendes.code.blog/2020/12/15/autopsy-suite-de-ferramentas-forense-pt-2-analise-forense/ ).
IMAGEM: Do Autor
Para criar o relatório, clicamos no botão gerar relatório (Generate Report). Podemos escolher entre diferentes tipos de formatos, por exemplo HTML, Excel e arquivo de texto simples. Selecionamos HTML e clicamos em Avançar (Next).
IMAGEM: Do Autor
Depois escolhemos a imagem e clicamos em Next.
IMAGEM: Do Autor
Na caixa de diálogo Configure Report você pode escolher os tipos de resultados que deseja incluir. No nosso caso, deixe selecionado All Results depois clique em Finish.
IMAGEM: Do Autor
São esses os tipos de resultados que podemos escolher em nossos casos:
IMAGEM: Do Autor
Após o processo de geração concluir, clique no link para abrir no navegador.
IMAGEM: Do Autor
IMAGEM: Do Autor
IMAGEM: Do Autor
Podemos ver todos os artefatos agrupados por categoria, como veríamos no próprio Autopsy. Este é outro recurso útil fornecido pelo Autopsy Forensic Suite.
Bom trabalho! Nesta postagem, abordei a fase de Relatórios que é a última etapa do processo forense digital, destacando sua importância e as fases que a compõem. Abordei algumas ferramentas de relatório incluídas no Kali Linux e expliquei como produzir um relatório ao analisar uma imagem forense com o Autopsy.
Deixe seus comentários, e seu Like!
Até mais!
Nenhum comentário:
Postar um comentário