Utiliser le nouvel explorateur de chronologie dans Magnet AXIOM 3.0
Presque tous les types d’enquête peuvent bénéficier de l’analyse de chronologie pour mieux comprendre ce qu’a fait l’utilisateur ou le système lors d’un incident donné. Que vous essayiez de comprendre comment un suspect a distribué du matériel pédopornographique ou que vous suiviez des logiciels malveillants qui infectent plusieurs systèmes lors d’une intrusion, l’analyse chronologique peut aider à déterminer l’infraction exacte ou à expliquer exactement comment un incident s’est produit.
Avec le lancement d’AXIOM 3.0, nous avons apporté d’importantes améliorations à la façon dont les examinateurs peuvent effectuer des analyses de chronologie dans AXIOM. Auparavant, les examinateurs qui utilisaient l’affichage chronologique dans AXIOM Examine pouvaient uniquement voir les horodatages provenant d’artéfacts. Avec AXIOM 3.0, nous avons ajouté la capacité d’analyser tous les horodatages récupérés par AXIOM à la fois dans les artéfacts et dans le système de fichiers. Avec ce changement, nous avons déplacé Timeline de l’affichage dans l’explorateur d’artéfacts faire son propre explorateur à côté de Système de fichiers, Artéfacts, Registre, etc.
Lorsque vous utilisez la chronologie pour la première fois dans un dossier, vous devrez patienter quelques minutes avant que la chronologie ne soit créée. Cette action ponctuelle permet à AXIOM Examine de créer une base de données de tous les horodatages dans les artéfacts et le système de fichiers, et de les rassembler. Il y a généralement beaucoup plus d’horodatages que de fichiers et d’artéfacts dans un dossier donné et, alors qu’un artéfact possède un seul enregistrement pour chaque occurrence, la chronologie a un enregistrement pour chaque horodatage dans un dossier (chaque fichier/dossier dans le système de fichiers aura en moyenne quatre horodatages et chaque artéfact peut avoir entre un et huit horodatages uniques pour chaque occurrence ; cela signifie que, dans un dossier contenant 400 000 artéfacts, vous pourriez avoir entre 800 000 et 1 000 000 d’horodatages à analyser).
Une fois que la chronologie est établie, vous pouvez commencer votre analyse. La La fenêtre située dans le coin supérieur gauche vous donnera un aperçu visuel de la chronologie, tandis que le côté droit affichera un aperçu des preuves (si elles sont disponibles) et des détails du fichier/dossier ou de l’artéfact sélectionné, vous permettant de comprendre d’où a été extrait l’horodatage et quelle signification il pourrait avoir pour votre dossier.
La fenêtre située en bas à gauche fournira un aperçu trié de tous les horodatages avec des détails sur chacun d’entre eux et ce qu’ils représentent. Dans cette fenêtre, AXIOM tentera de catégoriser l’horodatage et d’établir un lien entre ce dernier et les preuves d’une action particulière.
Tous ceux qui ont déjà suivi un cours SANS avec Rob Lee ou qui ont utilisé leurs affiches « Preuve de... » reconnaîtront la similarité qui y apparaît. Nous avons tenté de catégoriser tous les horodatages du système de fichiers et des artéfacts trouvés par AXIOM (ce qui représente une quantité considérable) en les classant dans ces catégories « Preuve de ». De plus, nous devions créer certaines catégories supplémentaires pour les horodatages et les artéfacts qui n’avaient pas vraiment de place attribuée. Il est donc possible que certains éléments de cette liste vous soient familiers et que d’autres soient inédits. Vous trouverez ci-dessous cette liste de catégories et nous avons inclus des définitions pour chaque catégorie dans la documentation AXIOM :
- Téléchargement de fichiers
- Exécution du programme
- Fichier supprimé
- Connaissance des dossiers
- Activité du réseau
- Emplacement physique
- Ouverture du fichier/dossier
- Utilisation du compte
- Utilisation du navigateur
- Utilisation d’appareil externe/USB
- Communications de l’utilisateur
- Activité sociale
- Opérations financières
- Interaction de l’appareil
- Événement utilisateur
Vous pouvez également appliquer des filtres dans la chronologie pour affiner votre enquête par source de preuve, type d’horodatage (artéfact ou système de fichier), catégorie de chronologie ou plage de dates/heures. Les recherches de mots-clés sont également disponibles et peuvent être empilées avec les autres filtres, à l’instar des versions précédentes d’AXIOM.
Étant donné que chaque enregistrement dans l’explorateur de chronologie représente un horodatage unique, vous remarquerez que pour chaque artéfact ayant plusieurs horodatages, vous avez la possibilité de passer d’un horodatage à l’autre pour cet artéfact particulier. Cela vous permet ainsi d’accéder rapidement aux autres dates/heures si vous trouvez des preuves importantes. Cela sera également affiché dans la chronologie visuelle de la fenêtre située dans le coin supérieur gauche, sous la forme d’une barre verticale dans le graphique indiquant chaque horodatage pour cet artéfact donné dans la chronologie.
L’exemple ci-dessus montre un fichier LNK faisant référence à un document PDF et contient 6 horodatages associés. Un des horodatages est sélectionné, mais je peux naviguer entre les 5 autres en sélectionnant les boutons « suivant » ou « précédent ».
Enfin, vous pouvez ensuite exporter vos constatations dans un fichier .CSV pouvant être utilisé dans le rapport que vous fournirez à vos parties prenantes, vous permettant de raconter l’histoire d’un incident, de son apparition jusqu’à sa résolution. Globalement, les capacités de chronologie améliorées dans AXIOM aideront les examinateurs à analyser de façon rapide et efficace les preuves dans leurs dossiers. Elles nous permettront également de reconstituer ce qui a été fait par un utilisateur ou un système à un moment donné, pour non seulement fournir des preuves sur une action particulière, mais également pour parcourir les actions d’une façon très modulaire. Au lieu de simplement fournir le document, l’image ou le fichier en tant que preuve, cette nouvelle chronologie permettra aux examinateurs de montrer comment le fichier a été créé/modifié, qui a effectué ces changements, où le fichier a été partagé ou déplacé et l’ordre dans lequel tout cela s’est produit.
Essayez les nouvelles capacités de chronologie dans AXIOM dans votre prochain dossier et vous serez agréablement surpris par ces changements et par la façon dont ils peuvent aider votre enquête.