Operasyon Gece Gölgesi: 180 Soruluk Tek İmaj Adli Bilişim Vakası
Bir tehdit aktörünün ele geçirilen makinesi, tek bir 64 MiB imajda. 21 kanıt disiplini, 180 soruşturma sorusu, çapraz artefakt korelasyon ve yerleştirilmiş sahte izler. Gerçek araçlarla mount edilir, ama gerçeği gizler. Aracınızı en zor adli vakada sınayın.
Operasyon Gece Gölgesi: 180 Soruluk Tek İmaj Adli Bilişim Vakası
Hızlı cevap: Operasyon Gece Gölgesi, DSET Forensics Benchmark'ın amiral vakasıdır: bir tehdit aktörünün ele geçirilen iş istasyonunu temsil eden, tamamen sentetik tek bir 64 MiB disk imajı. Yirmi bir kanıt disiplinini ve 180 soruşturma sorusunu tek dosyada birleştirir. İmaj gerçek araçlarla sorunsuz mount edilir, ama suçlayıcı kanıt silinmiş cluster'larda, dosya slack'inde, gömülü bir bellek imajında, anahtarları artefaktlar arası sızan şifreli konteynerlerde ve dağınık parçalarda gizlidir. İmajı bu sayfadan indirip aracınızı sınayabilirsiniz.
Hikaye
İncelenen kişi bir tehdit aktörüdür. Makinesinde kimlik dökümü yapmış, yanal hareket etmiş, veri sızdırmış, sonra izlerini silmiş ya da sahtelemiştir. Göreviniz bir bilirkişi gibi davranmak: kim, ne zaman, hangi araçlarla, neye erişti, ne sızdırdı, nereye gönderdi ve hangi izler sahte. Bunu yaparken iki şeyi birden başarmalısınız: gerçek delili kurtarmak ve yerleştirilmiş yanıltıcı izlere kanmamak.
İmajda ne var?
Vaka, modern bir soruşturmanın tüm yüzeylerini kapsar:
- Disk ve dosya sistemi: Silinmiş ve carve edilebilir belgeler, slack alanı, unallocated derinliği, üzerine yazılmış bölgeler.
- Bellek adli incelemesi: Gömülü bir bellek dökümünde süreç maskeleme, sızan kimlik bilgileri ve şifreleme anahtarları.
- İç içe yapılar: İmajın içinde imaj, hiberfil ve şifreli konteyner katmanları.
- Kriptanaliz: Klasik şifreler, XOR, RSA, JWT ve kırılması mümkün olmayan sınır vakaları.
- Ağ trafiği: Veri sızdırma izini taşıyan paket yakalaması ve yanıltıcı tuzak bağlantılar.
- İşletim sistemi logları: Windows olay günlüğü ve Linux kimlik logları, sahte enjekte kayıtlarla birlikte.
- Registry, mobil veritabanı, e-posta, doküman ve arşiv: Her biri kendi gizleme tekniğiyle.
- Polyglot dosya: Aynı baytlarla birden çok format gibi davranan, araçları yanıltan bir dosya.
- Dağınık parçalar: Birkaç kaynaktan birleştirilmesi gereken silinmiş veri.
Bu disiplinlerin neden tek imajda toplandığını ve antiforensics katmanlamasını DFB metodoloji makalesinde bulabilirsiniz.
Neden tüm yazılımları zorlar?
Vaka, belirsizliğe başvurmadan naif otomasyona dirençli olacak biçimde kurulmuştur:
- Çapraz artefakt zorunluluğu: Anahtar materyal bir artefaktta sızıp başka bir artefaktta kanıtı açar. Artefaktları yalıtık inceleyen bir araç zinciri kuramaz.
- Çok kaynaklı kurtarma: Bazı gerçek kanıt kaynaklar arası parçalanmıştır; tek geçişli bir carver onu yalnızca kısmen kurtarır.
- Duyurulmayan tuzaklar: Kasıtlı yerleştirilmiş sahte bulgular gerçeklerle bir aradadır ve asla işaretlenmez. En görünür string üzerinde pattern eşleyen bir araç yanlış yöne sürüklenir. Bu yaklaşım soundness ekseniyle doğrudan cezalandırılır.
İşte bu yüzden vaka, otomatik triyajı aşar ve gerçek insan ya da ajan analizi gerektirir. Antiforensics tekniklerinin araçları nasıl zorladığını ayrıca bu yazıda ele aldık.
Nasıl katılırım?
İmajı Operasyon Gece Gölgesi sayfasından indirin. İndirilebilir cevap şablonunu doldurun ya da tarayıcı içi formu kullanın. 180 cevabınızı gönderdiğinizde anında skorunuzu, soundness değerinizi ve kademenizi alırsınız. Yeterince yüksek bir skor, kriptografik olarak doğrulanabilir bir sertifika kazandırır. Sonucunuz liderlik tablosuna işlenir.
Dürüstlük da puanlanır
Vakanın belirli bir öğe alt kümesi, sistemin yasaları içinde kurtarmanın ötesindedir. Size bunların hangileri olduğu söylenmez; bu sonuca analizle ulaşmalısınız. İmkansızı kurtardığını iddia etmek halüsinasyondur ve cezalanır; dürüst bir kurtarılamaz beyanı ise doğru bir bulgu kadar ödüllendirilir. Yapay zeka ajanları için bunun neden kritik olduğunu bu yazıda anlattık.
SSS
İmaj gerçek araçlarla açılır mı? Evet, geçerli bir dosya sistemi taşır; mount edilir ve yüzeyde masum dosyalar görünür. Asıl kanıt gizli katmanlardadır.
Kaç soru var? 180 sabit soruşturma sorusu, yirmi bir kanıt disiplinine yayılmış.
Cevaplar ya da ipuçları yayınlanıyor mu? Hayır. Sayfalar yalnızca ne bulacağınızı söyler, nasıl bulacağınızı asla.
Kaynaklar
- NIST SP 800-86, adli teknikler kılavuzu: https://csrc.nist.gov/publications/detail/sp/800-86/final
- MITRE ATT&CK, teknik ve taktik matrisi: https://attack.mitre.org/
- DFRWS, yıllık adli challenge: https://dfrws.org/
- SpecterOps, Certified Pre-Owned (ADCS): https://posts.specterops.io/certified-pre-owned-d95910965cd2
Vakaya hazır mısınız? İmajı indirip aracınızı sınayın.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.