Статьи

Проведение компьютерно-технической экспертизы: сбор данных с помощью утилиты bulk_extractor

1.02.2013

/

На сегодняшний день количество инцидентов в сфере компьютерной безопасности постоянно растет, и на любое происшествие в любой другой сфере необходимо осуществить быстрое и, самое главное, грамотное реагирование. Понятие «реагирование» подразумевает совокупность операций по выявлению данных, имеющих прямое или косвенное отношение к инциденту.

Существует огромный выбор инструментов для анализа памяти всех видов данных, но сегодня мы поговорим об инструменте под названием «Bulk extractor» (BE).

Утилита BE написана на C++, позволяет сканировать как обычные HDD, SSD, так и оптические носители, карты памяти, дампы оперативной памяти и сниффера. Bulk Extractor позволяет быстро извлекать разного рода информацию с помощью сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».

Утилита представляет собой «цепочку» сканеров, которая поддерживает рекурсивный поиск, позволяющий передавать результаты работы одного сканера на вход всей цепочки для более детального анализа. Принцип работы «рекурсивного поиска» в BE изображен на рисунке 1.

Рисунок 1. Схема рекурсивного поиска данных

C помощью Bulk_extractor на основе данных, полученных из файла файл гибернации «hiberfil.sys», можно построить диаграмму сети (BE автоматически извлекает MAC и IP адреса).

Итак, рассмотрим работу Bulk Extractor на примере.

Условия: 1 января 2013 года в ходе оперативно-розыскных мероприятий было изъято оборудование: ноутбук фирмы ASUS с серийным номером # M1KH18gHW; устройство для изготовления пластиковых карт; PCMCIA карта; внешняя антенна 802.11b/g. Есть подозрение, что с помощью этого компьютера одним из участников преступной кибер группировки была осуществлена оплата хостинга, служащего для распространения вредоносного программного обеспечения. Оплата производилась с помощью кредитной карты c номером **** **** **** 5782. Необходимо найти полный номер карты.

Решение: С помощью консольной утилиты «dd» и аппаратного блокиратора записи был создан побитовый образ жесткого диска подозреваемого.

На вход утилиты Bulk Extractor был передан созданный побитовый образ, а также «stop list», после чего процесс работы утилиты начался. Ход работы изображен на рисунке 2.

Рисунок 2. Ход работы Bulk_extractor

Файл «stop lists» содержит информацию, которая не должна включаться в итоговый отчет: email адреса разработчиков Linux, телефоны технической поддержки Microsoft и т.д.

После работы утилиты мы получаем подробный отчет по каждому сканеру в виде текстового (txt) файла, а также найденные дампы сетевого траффика (PCAP). Пример отчета изображен на рисунке 3.

Рисунок 3. Отчет bulk_extractor

Bulk Extractor’ом с помощью сканера «ссn.txt» был найден полный номер карты: 4099772205925782. Результаты работы сканера «ccn.txt» изображены на рисунке 4.

Рисунок 4. Результаты работы сканера «ccn.txt»

Что и требовалось доказать.

Стоит отметить, что данная утилита одна из лучших в своем роде, является бесплатной, мультиплатформенной и работает со всеми известными типами дампов памяти, например, E01, RAW, Split-raw и AFF.