Publication: Development of an extensible forensic analysis framework: application to user-side cloud scenarios
Loading...
Identifiers
Publication date
2015-06-22
Defense date
2015-07-08
Authors
Tutors
Journal Title
Journal ISSN
Volume Title
Publisher
Impact
Export
Abstract
Computer forensic procedures are among the most important methods for nowadays crime
investigations, since IT devices are increasingly more and more present in our society and
life as main tools for productivity enhancement and social communication.
This improvement in relevance for such procedures is however increasing the efforts in bypassing
such methods in an more sophisticated manner. IT forensic analysts must face the
complexity of new techniques used by criminals in order to hide their activities and avoid
the evidence recovery as much as possible . Some of those include, but are not limited to:
Covered communication channels and information leakage.
Obfuscation and information hiding regarding the operations of a malicious agent.
Operation in volatile media such as RAM and similar procedures with a relatively
small digital fingerprint in the system.
Current forensic tools highly depend on the analyst awareness of aforementioned covert
channels and evidences existence in order to retrieve them by means of a proactive search
methodology. This project documents the creation of Monocle, an open-source extensible
framework for automated forensic analysis. Monocle provides automation over the forensic
procedure by means of user-created plugins, reducing the complexity of evidence retrieval in
target's machine hard disk and memory. The software makes use of external tools such as
the Volatility Framework in order to provide extended functionality to the executed plugins.
To show the applicability of the proposal Monocle is applied to two user-side cloud storage
scenarios – iCloud and Box. This application is further used in order to study such scenarios
and their usefulness when targeting cloud storage systems from a forensic point of view.
Los procedimientos de cómputo forense se encuentran entre los más importantes para las investigaciones criminales de hoy en día, puesto que los dispositivos electrónicos se encuentran cada vez más presentes en nuestra sociedad, ya sea como medio para mejorar la productividad personal o como conectores sociales. Este incremento de relevancia en dichos procedimientos ha provocado no obstante que los esfuerzos por contrarrestarlos se vuelvan más sofisticados. Los analistas forenses deben enfrentarse a la complejidad de las nuevas técnicas empleadas por los criminales para ocultar sus actividades y dificultar la recuperación de pruebas en la medida de lo posible. Algunas de estas técnicas incluyen, pero no están limitadas a: Canales de comunicación encubierta y fugas de información por métodos no convencionales. Ofuscación y ocultación de información relacionada con las actividades maliciosas del agente criminal. Operaciones realizadas en memoria RAM y procedimientos de similar naturaleza, los cuales dejan muy poca huella digital en el sistema. Las herramientas forenses actuales dependen en gran medida de la capacidad del analista para tener en cuenta estos métodos de ocultación, además de conocer la localización y formato de las pruebas potenciales a encontrar, a fin de ser capaz de recuperarlas por medio de una herramienta forense. Este proyecto documenta la creación de Monocle, un framework extensible y de código abierto para la automatización de análisis forense. Monocle dota los procedimientos forenses de automatización gracias a plugins creados y definidos por el usuario, lo que reduce la complejidad a la hora de recuperar información tanto del disco como de la memoria del sistema analizado. Monocle hace uso de herramientas externas tales como Volatility Framework a fin de otorgar funcionalidad extendida a los plugins en ejecución. Para demostrar la aplicabilidad de la propuesta, Monocle ha sido evaluado en dos escenarios de análisis forense en cloud desde el lado del cliente, iCloud y Box. Esta evaluación permitirá además el estudio de estos escenarios y la aplicabilidad del análisis desde el lado del cliente a la hora de analizar entornos de cloud storage.
Los procedimientos de cómputo forense se encuentran entre los más importantes para las investigaciones criminales de hoy en día, puesto que los dispositivos electrónicos se encuentran cada vez más presentes en nuestra sociedad, ya sea como medio para mejorar la productividad personal o como conectores sociales. Este incremento de relevancia en dichos procedimientos ha provocado no obstante que los esfuerzos por contrarrestarlos se vuelvan más sofisticados. Los analistas forenses deben enfrentarse a la complejidad de las nuevas técnicas empleadas por los criminales para ocultar sus actividades y dificultar la recuperación de pruebas en la medida de lo posible. Algunas de estas técnicas incluyen, pero no están limitadas a: Canales de comunicación encubierta y fugas de información por métodos no convencionales. Ofuscación y ocultación de información relacionada con las actividades maliciosas del agente criminal. Operaciones realizadas en memoria RAM y procedimientos de similar naturaleza, los cuales dejan muy poca huella digital en el sistema. Las herramientas forenses actuales dependen en gran medida de la capacidad del analista para tener en cuenta estos métodos de ocultación, además de conocer la localización y formato de las pruebas potenciales a encontrar, a fin de ser capaz de recuperarlas por medio de una herramienta forense. Este proyecto documenta la creación de Monocle, un framework extensible y de código abierto para la automatización de análisis forense. Monocle dota los procedimientos forenses de automatización gracias a plugins creados y definidos por el usuario, lo que reduce la complejidad a la hora de recuperar información tanto del disco como de la memoria del sistema analizado. Monocle hace uso de herramientas externas tales como Volatility Framework a fin de otorgar funcionalidad extendida a los plugins en ejecución. Para demostrar la aplicabilidad de la propuesta, Monocle ha sido evaluado en dos escenarios de análisis forense en cloud desde el lado del cliente, iCloud y Box. Esta evaluación permitirá además el estudio de estos escenarios y la aplicabilidad del análisis desde el lado del cliente a la hora de analizar entornos de cloud storage.
Description
Keywords
Digital forensics, Crime investigations, Malicious agent, Delitos informáticos