Nouvelles fonctionnalités

Améliorez les enquêtes avec les artéfacts de mémoire par le biais de Volatility dans AXIOM 2.0

Que ce soit pour saisir des ordinateurs sur le terrain dans le cadre d’enquêtes criminelles ou pour répondre à des incidents de cybersécurité pour une société, l’analyse de mémoire criminalistique vous donne accès à des preuves que vous n’obtiendriez pas par le biais d’une seule analyse hors ligne. Dans la plupart des cas, l’analyse de mémoire peut être unique façon d’obtenir des preuves cruciales pour résoudre votre enquête.

Si l’analyse de mémoire fait partie intégrante de vos examens criminalistiques, il est alors probable que vous connaissiez Volatility, la structure open source qui est déjà connue, approuvée et populaire auprès des organismes d’application de la loi et des enquêteurs d’entreprise.

Comme nousl’avons indiqué précédemment, nous sommes ravis d’intégrer au module AXIOM 2.0 pour ordinateur certains des plug-ins de base les plus populaires issus de la structure Volatility. Cette intégration, associée à l’approche axée sur les artéfacts et facile d’utilisation d’AXIOM, présente quatre avantages principaux :

  • L’interface utilisateur et la possibilité d’exécuter plusieurs instances de Volatility simultanément permettront d’accélérer l’analyse de mémoire.
  • L’interface permettra également à un plus large éventail d’enquêteurs d’accéder plus facilement à l’analyse de mémoire.
  • En associant l’analyse Volatility aux images, URL et artéfacts de système d’exploitation extraits par AXIOM dans la mémoire, vous pouvez obtenir une image plus complète des activités ayant eu lieu sur un appareil.
  • Avec la capacité de mettre en corrélation des données issues de la mémoire avec celles provenant du disque, AXIOM améliore considérablement la capacité à prouver l’attribution ou l’intention dans une enquête, ainsi qu’à développer des chronologies plus complètes.

Voici ce que AAron Walters, président de la fondation Volatility, avait à dire au sujet de l’intégration :

« Nous avons développé Volatility pour encourager la collaboration, l’innovation et l’accessibilité au sein du secteur passionnant qu’est l’analyse de mémoire. L’intégration de Volatility dans Magnet AXIOM souligne le rôle vital que joue l’analyse de mémoire dans les enquêtes modernes et l’importance des contributions open source à la communauté criminalistique. Nous apprécions le soutien de Magnet et sa volonté de rendre ces compétences plus accessibles à un éventail plus large d’examinateurs criminalistiques. »

De la ligne de commande à l’interface graphique

Pendant de nombreuses années, l’analyse de mémoire a été confiée à des examinateurs criminalistiques expérimentés. L’analyse de mémoire de ligne de commande traditionnelle oblige les examinateurs à passer sans cesse d’un programme à l’autre, à créer des scripts personnalisés et à se rappeler d’invites de lignes de commande complexes pour récupérer et analyser la mémoire. Un seul caractère erroné peut causer l’échec de la commande.

Pour faire face à ce problème, nous nous sommes efforcés de simplifier l’analyse de mémoire en intégrant un certain nombre des plug-ins de base de Volatility dans l’approche orientée sur les artéfacts adoptée par AXIOM pour les enquêtes. En fait, l’intégration d’AXIOM permettant de gagner du temps commence dès la première commande que vous devez exécuter lors de la récupération de mémoire :

  • Au lieu de chercher manuellement le bon profil de mémoire dans la ligne de commande, AXIOM exécute automatiquement la commande (avec les paramètres appropriés) et renvoie les profils recommandés.
  • Vous pouvez soit utiliser le profil recommandé par AXIOM, soit sélectionner un profil connu à partir de l’interface du menu déroulant.
  • Ensuite, vous pouvez sélectionner les artéfacts de mémoire que vous souhaitez inclure, ainsi que tout artéfact Web, d’e-mail et/ou de système d’exploitation que vous souhaitez extraire et pour lequel vous voulez établir des connexions.

AXIOM utilise ensuite les artéfacts extraits de ce profil pour formuler automatiquement toutes les futures commandes. Cette capacité permet de gagner beaucoup de temps, car vous n’avez plus besoin de chercher manuellement le bon profil ni de l’insérer à maintes reprises dans la ligne de commande. De plus, AXIOM offre le filtrage complet, la recherche (et la mise en avant !) de mots-clés et le tri de toutes les données issues de l’artéfact récupéré.

Vous pouvez même exécuter plusieurs commandes simultanément, puisque AXIOM exécute plusieurs instances de Volatility en même temps. Ainsi, vous pouvez effectuer votre analyse de mémoire beaucoup plus vite qu’avec la méthode traditionnelle qui ne permet qu’une seule commande à la fois.

Améliorer considérablement l’analyse de mémoire avec Connections dans AXIOM

Connectionsdans AXIOM permet aux examinateurs d’apprendre d’où proviennent les preuves numériques déterminantes, leur emplacement actuel, avec qui elles ont été partagées et quand (ou si) elles ont été ouvertes.

Dans AXIOM 2.0, Connections incorpore des artéfacts issus d’images de disques conventionnelles, du système d’exploitation Windows et de certaines des commandes de base Volatility les plus populaires sous forme d’artéfacts dans AXIOM. Ces nouveaux artéfacts comprennent les processus en cours d’exécution et les pilotes chargés qui sont actifs et historiques ; les processus cachés ; les DLL chargés, dissociés, cachés et injectés ; les fichiers ouverts, les gestionnaires, les connexions et les connecteurs actifs et historiques, ainsi que la chronologie.

En examinant les artéfacts de mémoire, de disque et du système d’exploitation Windows dans Connections, vous pouvez désormais visualiser les relations entre les fichiers et les actions de l’utilisateur pour prouver l’attribution et/ou l’intention :

  • Par exemple, les preuves de mémoire peuvent aider à confirmer ou infirmer une défense de type « c’est quelqu’un d’autre qui l’a fait » lors d’enquêtes sur l’exploitation des enfants : elles permettent en effet de montrer qui s’est connecté à l’ordinateur à une heure donnée, quelles connexions étaient actives, quand des fichiers clés tels que des photos ou des vidéos ont été créés et quand ces fichiers ont été déplacés. Quant aux artéfacts de mémoire, ils peuvent montrer les fichiers consultés récemment ou fréquemment.
  • De même, des artéfacts tels que $LogFile peuvent aider des enquêteurs d’entreprise à retracer les activités d’un utilisateur lors d’enquêtes sur le vol de propriété intellectuelle et la fraude. Les personnes qui gèrent les incidents de cybersécurité peuvent également mener des analyses des causes profondes. En utilisant Connections pour identifier et suivre un logiciel malveillant sur un terminal, elles peuvent mieux comprendre comment ce logiciel est arrivé là, ce qu’il a fait et les autres emplacements où il s’est rendu.

Les avantages stratégiques de l’analyse de mémoire

Que votre entreprise fasse appel à un prestataire de services de sécurité géré ou que votre agence d’application de la loi se tourne vers le laboratoire de criminalistique de la police d’État ou du groupe de travail fédéral, vous remarquerez certainement que l’analyse de mémoire vous permet de réduire votre dépendance aux sources extérieures. Grâce à des capacités élargies qui comprennent désormais l’analyse de mémoire, vous pouvez être en mesure d’apporter certains services internes, pour un gain de temps et d’argent.

Les enquêteurs d’entreprise, par exemple, peuvent effectuer l’analyse de base requise pour déterminer si une violation des données a eu lieu et nécessite une intervention plus rigoureuse ou s’il s’agit simplement d’un faux positif. Quant aux agents des forces de l’ordre, ils pourront ainsi agir rapidement face aux violations de données de moindre ampleur qui affectent les propriétaires de petites entreprises locales, tout en réduisant la dépendance (et le potentiel de retard) aux groupes de travail fédéraux et d’État.

Même si l’intégration de la structure Volatility dans la plateforme AXIOM vous permet d’exécuter des commandes Volatility intégrées sur une image de vidage de mémoire, nous vous encourageons également à considérer notre intégration Volatility comme un point de départ menant vers une analysecriminalistique plus approfondie.

En vous permettant d’accéder à certains principes fondamentaux d’analyse de mémoire, AXIOM vous montre la puissance de l’analyse de mémoire. Vous avez ensuite la possibilité d’approfondir vos compétences de criminalistique en apprenant à utiliser l’interface de ligne de commande Volatility pour valider les résultats fournis par l’enquête.Apprenez en plus sur la formation Volatility ici.

Si vous aimeriez que nous étudiions la possibilité d’ajouter certains plug-ins, veuillez contacter le service à la clientèle ou votre représentant commercial. Pour découvrir notre intégration en action,contactez-nous ici pour bénéficier d’une démonstration gratuite.

Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut