Benutzerdefinierte Zielorte mit Magnet AXIOM Cyber
In diesem Blog erläutern wir, wie Ermittler mit AXIOM Cyber nun ihre eigenen benutzerdefinierten Zielorte erstellen können. Da Sie damit nicht mehr im Dateibaum nach Artefakten suchen müssen, die häufig bei der Fallbearbeitung benötigt werden, sparen Sie Zeit.
Wenn Sie noch keine Gelegenheit hatten, AXIOM Cyber auszuprobieren, fordern Sie hier eine kostenlose Testversion an. Und für diejenigen, die AXIOM Cyber bereits besitzen, lohnt es sich, das Programm im Magnet-Kundenportal noch heute zu aktualisieren!
Wann beschlossen, dass es an der Zeit war, ein spezielles Produkt für Unternehmen zu entwickeln, wollten wir vor allem die Klagen überdenken, die wir von Ermittlern hörten, die tagtäglich mit Fällen zu tun haben. Mit AXIOM Cyber haben wir einen anderen Ansatz gewählt, der es den Ermittlern ermöglicht, Agenten je nach Bedarf auf Windows- und Mac-Endpunkten zu installieren, im Gegensatz zu dem traditionellen Ansatz, bei dem Agenten auf jedem Endpunkt vorinstalliert sind. Aus eigener Erfahrung kann ich sagen, dass die Neukonfiguration und Aktualisierung von massenhaft eingesetzten Agenten in Unternehmensumgebungen ein schwieriges Unterfangen sein kann, wenn die Koordination mit mehreren Teams aus dem gesamten Unternehmen erfolgt.
Außerdem wollten wir unseren artefaktzentrierten Ansatz in die Remote-Erfassungsphase der Ermittlung einfließen lassen, indem wir den Ermittlern eine bereits kuratierte Liste von Zielorten zur Verfügung stellten, aus der sie schnell auswählen konnten, um sowohl für Windows als auch für Mac zu recherchieren. Die folgende Liste enthält die mit AXIOM Cyber vorkonfigurierten Komponenten.
Vorkonfigurierte Zielorte
Item | Betriebssytem | Beschreibung |
ALLE BENUTZER – ORDNER | Windows, macOS | Herunterladen von Objekten aus dem Standard-Benutzerordner (C:\Users\username\*.*, /Users/username/*.*) für alle Benutzer. |
ALLE BENUTZER – DESKTOP-ELEMENTE | Windows, macOS | Herunterladen von Elementen aus dem Standard-Desktop-Ordner (C:\Users\username\Desktop\*.*, /Users/username/Desktop/*.*) für alle Benutzer. |
ALLE BENUTZER – DOKUMENTE | Windows, macOS | Herunterladen von Elementen aus dem Standardordner für Dokumente (C:\Users\username\Documents\*.*, /Users/username/Documents/*.*) für alle Benutzer. |
ALLE BENUTZER – HERUNTERGELADENE OBJEKTE | Windows, macOS | Laden Sie Elemente aus dem Standardordner für Downloads (C:\Users\username\Downloads\*.*, /Users/username/Downloads/*.*) für alle Benutzer herunter. |
WEB-BROWSING-AKTIVITÄTEN | Windows, macOS | Laden Sie Web-Browsing-Aktivitäten wie Verlauf, temporäre Internetdateien, Download-Verlauf, Cookies und mehr für Chrome, Firefox, Internet Explorer, 360 Safe Browser und Opera herunter |
REGISTERDATEIEN | Windows | Registry-Dateien vom Zielcomputer herunterladen. Beispielsweise Registry-Dateien unter C:\Windows\System32\config\*.dat and C:\Users\username\NTUSER.dat. |
EREIGNISPROTOKOLLE | Windows | Die pagefile.sys-Datei vom Zielcomputer herunterladen. Ereignisprotokolle vom Zielcomputer herunterladen. Beispielsweise Ereignisprotokolle unter C:\Windows\System32\config\ und C:\Windows\System32\winevt\Logs. |
PAGEFILE.SYS | Windows | Die pagefile.sys-Datei vom Zielcomputer herunterladen. |
SWAPFILE.SYS | Windows | Die swapfile.sys-Datei vom Zielcomputer herunterladen. |
$MFT | Windows | Die Datei Master Table File ($MFT) vom Zielcomputer herunterladen. |
IOS-BACKUPS | macOS | iOS-Backups für alle Benutzer herunterladen. |
ICLOUD-DATEN | macOS | iCloud-Daten für alle Benutzer herunterladen. |
UNIFIED LOGS | macOS | Unified-Protokolle vom Zielcomputer herunterladen. |
QUARANTÄNE-DATEIEN | macOS | Dateien mit einem Quarantäne-Flag vom Zielcomputer herunterladen. |
BASH | macOS | Bash-Sitzungen für alle Benutzer herunterladen. |
SPOTLIGHT-VERKNÜPFUNGEN | macOS | Spotlight-Shortcuts für alle Benutzer herunterladen. |
DAILY.OUT | macOS | Die Daily.out-Datei vom Zielcomputer herunterladen. |
FINDER MRU | macOS | Informationen über Pfade, auf die kürzlich zugegriffen wurde, in der Finder-Anwendung für alle Benutzer herunterladen. |
APP STORE DOWNLOADS | macOS | Eine Chronik der Downloads im App Store vom Zielcomputer herunterladen. |
Zielgruppengerechte Standorte
Mit AXIOM Cyber 4.2 ist es ein Kinderspiel, neue Zielspeicherorte hinzuzufügen, so dass Sie nur genau das aus der Ferne erfassen, was Sie benötigen!
- Navigieren Sie zum Abschnitt Zielspeicherorte in AXIOM Process
- Wählen Sie „Neuen Zielspeicherort hinzufügen“
- Benennen Sie Ihren neuen Speicherort und geben Sie den Pfad an, von dem AXIOM Cyber sammeln soll
Im folgenden Beispiel habe ich einen neuen Zielort mit der Beschreibung Company Information_All Users erstellt. Im Abschnitt Pfadinformationen habe ich AXIOM angewiesen, rekursiv den gesamten Inhalt des Ordners „Company Information“ von jedem auf dem Endpunkt gefundenen Benutzer zu erfassen.
Beim Aufbau neuer Zielorte sind einige wichtige Dinge zu beachten:
- Durch [user_name] die Verwendung von [user_name] im Pfad werden alle Benutzerordner auf dem Endpunkt durchsucht
- Ermittler, die einen Ordner über Stern-Punkt-Stern (*.*) erfassen, werden rekursiv alle darin enthaltenen Ordner erfassen
- Dateinamenerweiterungen (z. B. *.txt) sind nicht rekursiv
Wenn Sie Fragen oder Ideen zu neuen Artefakten haben, die Sie gerne mit AXIOM Cyber unterstützt sehen würden, zögern Sie nicht, sich an trey.amick@magnetforensics.com zu wenden