Anwendung des neuen Timeline Explorers in Magnet AXIOM 3.0
Fast jede Ermittlung kann von der Analyse der Zeitleiste profitieren, um zu verstehen, was der User oder das System bei einem gegebenen Ereignis getan haben. Ob Sie versuchen zu verstehen, wie ein Verdächtiger Material zur Ausbeutung von Kindern verbreitet hat, oder ob Sie Malware aufspüren wollen, die sich bei einem Eindringen über mehrere Systeme verteilt, die Analyse der Zeitachse kann dabei helfen, die genaue Straftat zu ermitteln oder genau nachzuvollziehen, wie ein Vorfall abgelaufen ist.
Mit der Einführung von AXIOM 3.0, haben wir einige wichtige Verbesserungen an der Durchführung der Zeitleistenanalyse für Ermittler vorgenommen. Bisher konnten Ermittler, die die Zeitleistenansicht in AXIOM Examine nutzten, nur Zeitstempel von Artefakten sehen. Mit AXIOM 3.0 haben wir die Möglichkeit hinzugefügt, alle von AXIOM wiederhergestellten Zeitstempel sowohl von Artefakten als auch vom Dateisystem zu analysieren. Mit dieser Änderung haben wir die Zeitleiste aus den Ansichten im Artefakt-Explorer in einen eigenen Explorer neben Dateisystem, Artefakte, Registry, etc. verschoben.
Wenn Sie die Zeitleiste zum ersten Mal in einem Fall verwenden, müssen Sie ein paar Minuten warten, bis die Zeitleiste aufgebaut ist. Dies ist eine einmalige Aktion, die es AXIOM Examine ermöglicht, eine Datenbank mit allen Zeitstempeln der Artefakte und des Dateisystems zu erstellen und sie zusammenzustellen. Normalerweise gibt es viel mehr Zeitstempel als Dateien und Artefakte in einem bestimmten Fall, und während ein Artefakt einen Datensatz für jeden „Treffer“ hat, hat die Zeitleiste einen Datensatz für jeden Zeitstempel in einem Fall (jede Datei/jeder Ordner im Dateisystem hat im Durchschnitt vier Zeitstempel und jedes Artefakt kann zwischen einem und acht eindeutigen Zeitstempeln für jeden Treffer variieren, was bedeutet, dass Sie in einem bestimmten Fall mit 400.000 Artefakten 800.000-1.000.000 Zeitstempel zu analysieren haben).
Sobald der Zeitplan erstellt ist, können Sie mit der Analyse beginnen. Das Fenster oben links gibt Ihnen einen visuellen Überblick über die Zeitleiste, während auf der rechten Seite eine Vorschau des Beweismaterials (falls vorhanden) und Details der ausgewählten Datei/Ordner oder des Artefakts angezeigt werden, damit Sie verstehen, wo der Zeitstempel e ntnommen wurde und welche Bedeutung er für Ihren Fall haben könnte.
Im Fenster unten links sehen Sie eine sortierte Ansicht aller Zeitstempel mit Einzelheiten zu jedem Zeitstempel und seiner Bedeutung. Innerhalb dieses Fensters versucht AXIOM, den Zeitstempel zu kategorisieren und ihn mit den Beweisen für eine bestimmte Aktion in Verbindung zu bringen.
Jeder, der schon einmal einen SANS-Kurs mit Rob Lee besucht hat oder die “Evidence Of...”-Poster benutzt hat, wird die Ähnlichkeit erkennen. Wir haben versucht, alle Dateisystem- und Artefakt-Zeitstempel, die AXIOM findet (und das sind eine ganze Menge), in diese „Evidence of“-Kategorien einzuordnen. Außerdem mussten wir einige zusätzliche Kategorien für Zeitstempel und Artefakte erstellen, die noch keinen Platz gefunden hatten. Die Liste der Kategorien finden Sie unten, und wir haben Definitionen für jede Kategorie in der AXIOM-Dokumentation aufgenommen:
- Datei-Download
- Programm-Ausführung
- Gelöschte Datei
- Dateiwissen
- Netzwerk-Aktivität
- Physischer Speicherort
- Öffnen von Dateien/Ordnern
- Konto-Nutzung
- Browser-Nutzung
- Externes Gerät/USB-Nutzung
- Benutzer-Kommunikation
- Soziale Aktivitäten
- Finanzielle Transaktionen
- Interaktion mit dem Gerät
- Benutzerereignis
Sie können auch Filter auf die Zeitleiste anwenden, um Ihre Ermittlung nach Quellnachweis, Art des Zeitstempels (Artefakte oder Dateisystem), Zeitleistenkategorie oder Datums-/Zeitbereich einzugrenzen. Die Suche nach Keywords kann auch mit anderen Filtern kombiniert werden, ähnlich wie in früheren Versionen von AXIOM.
Da jeder Datensatz im Zeitleisten-Explorer einen einzelnen Zeitstempel darstellt, werden Sie feststellen, dass Sie bei jedem Artefakt mit mehreren Zeitstempeln die Möglichkeit haben, zwischen den anderen Zeitstempeln zu springen, die für dieses bestimmte Artefakt verfügbar sind, sodass Sie schnell zu anderen Daten/Zeiten navigieren können, wenn Sie wertvolle Beweise finden. Dies wird auch in der visuellen Zeitleiste im Fenster oben links durch einen vertikalen Balken im Diagramm sichtbar, der jeden Zeitstempel für das betreffende Artefakt in der Zeitleiste anzeigt.
Das obige Beispiel zeigt eine LNK-Datei, die auf ein PDF- Dokument verweist und der 6 Zeitstempel zugeordnet sind. Ich habe einen der Zeitstempel ausgewählt, kann aber zwischen den 5 anderen navigieren, indem ich auf die Schaltflächen „Weiter“ oder „Zurück“ klicke.
Abschließend können Sie Ihre Ergebnisse in eine .CSV-Datei exportieren, die Sie in Ihrem Bericht an die Beteiligten verwenden können, um den Verlauf eines Vorfalls von Anfang bis Ende zu schildern. Insgesamt werden die verbesserten Zeitleistenfunktionen in AXIOM den Ermittlern helfen, die Beweise in ihren Fällen schnell und effizient zu analysieren, und sie ermöglichen es uns, genau nachzuvollziehen, was ein Benutzer oder ein System zu einem bestimmten Zeitpunkt getan hat, so dass wir nicht nur Beweise für eine bestimmte Aktion vorlegen, sondern die Aktionen sehr detailliert durchgehen können. Anstatt einfach nur das Dokument/Bild/die Datei als Beweis vorzulegen, können die Ermittler mit dieser neuen Zeitleiste nachweisen, wie die Datei erstellt/bearbeitet wurde, wer diese Änderungen vorgenommen hat, wo sie weitergegeben oder verschoben wurde und in welcher Reihenfolge dies alles geschah.
Probieren Sie die neuen Zeitleistenfunktionen in AXIOM bei Ihrem nächsten Fall aus und Sie werden angenehm überrascht sein, wie sehr die Änderungen Ihre Ermittlungen unterstützen können.
