1. Tusi Paleon

Version:

1.4.0

Homepage:

https://mrl.cert.gov.az/

Contact:

mrl@cert.gov.az

Paleon bug report:

mrl.report@cert.gov.az

Download:

Endirin

Authors:

S.Abasov, F. Cəfərov

Copyright:

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti - Kompüter İnsidentlətinə qarşı Mübarizə Mərkəzi - Malware Research Lab

“Tusi Paleon” (bundan sonra Paleon) insident baş vermiş kompüterdə insidentin necə, nə zaman baş verdiyini aydınlaşdırmaq üçün Malware Research Lab komandası tərəfindən hazırlanan zərərverici ekpertizası üçün nəzərdə tutulmuş alətdir. Paleon-un əsas üstünlüyü zərərverici izlərini daşıya biləcək potensial sistem artefaktlarını tək bir alətin köməkliyi ilə toplayayaraq vahid baza içərisində saxlaya bilməsi (şifrələnmiş və sıxışdırılmış formatda). Bu eyni zamanda ekpertiza üçün nəzərdə tutulan vaxt itkisinin mimuma endirilməsi deməkdir.

1.1. Giriş

Təcrübələrimiz əsasında kiberinsidentlər zamanı qarşılaşdığımız ən önəmli problemlərdən biri insidentin baş verdiyi əməliyyat sistemində zərərvericini aşkarlamaq üçün məlumat toplamağa çalışarkən istifadə etdiyimiz müxtəlif alətlər və yaşadığımız vaxt itkisidir. Belə ki, istifadə edilən müxtəlif alətlərin köməkliyi ilə sistem məlumatlarını toplamaq, onların təhlilini aparmaq, nəticə əldə etmək və əldə olunan nəticəni qarşı tərəfə (zərərçəkənə) raport etmək olduqca zəhmətli və vaxt tələb edən bir prosesidir. Paleon-un yaradılma səbəbi məhz bu effektivliyi qoruyub saxlamaqdır. Alətin bir digər müsbət tərəfi isə toplanan sistem artefaktlarının həcminin ənənəvi ekspertiza (digital forensics) alətlərinin topladığı məlumat həcmindən daha az olmasıdır. Çünki ənənəvi ekpertiza alətləri sistem məlumatlarını sərt disk və əməli yaddaşın bütünlüklə ehtiyyat nüsxəsini çıxarmaqla və ya bütünlüklə təhlil etməklə toplayırlar. Bu tip metodlar günümüzdə hələ də effektiv olaraq istifadə edilsə də, sərt disk və əməli yaddaş həcmlərinin artması insident araşdırması zamanı əksər hallarda lazım olduğundan daha çox məlumat həcmi yaradır. Paleon sərt diski və əməli yaddaşı bütünlüklə təhlil etmədən real vaxt rejimində sistem məlumatlarını toplayır.

Niyə məhz zərərverici ekspertizası?

Paleonu “malware forensics” aləti adlandırmağımızın ən önəmli səbəbi isə onun standart kiberekspertiza proqram təminatlarından ayıran əsas fərqin məhz zərərverici ekpertizasına fokuslanmasıdır. Paleon rəqəmsal ekpertiza (digital forensics) aləti olaraq deyil, zərərverici proqram təminatlarına qarşı istifadə edilmək məqsədilə hazırlanmışdır.

1.2. Tələblər

Paleon Windows əməliyyat sistemində (32/64) fəaliyyət göstərmək üçün nəzərdə tutulmuşdur. Fəaliyyəti üçün lazım olan paketləri (kitabxana və s.) özü ilə birlikdə daşıyır. Sınaqları aşağıdakı əməliyyat sistemlərində keçirilmişdir və inkişaf prosesi bu əməliyyat sistemləri üçün nəzərdə tutulmuşdur.

  • Windows 7 (2025-ci ildən etibarən dəstək dayandırılacaqdır)

  • Windows 10

  • Windows 11

Note

Windows 7 əməliyyat sistemi üçün inkişaf etdirilməsi növbəti il dayandırılacaqdır.

Caution

Windows 11 əməliyyat sistemi yeni olduğu üçün alətin fəaliyyətində gözlənilməz xətaların sayı digərlərindən artıq ola bilər.

1.3. Hədəf sistemdə quraşdırılması və silinməsi

Paleon hədəf sistemdə heç bir quraşdırılma tələb etmir. Sistemə uyğun Paleon versiyası endirilərək işə salınması kifayət edir.

1.4. İşə salınma prosesi

Paleon sade komanda sətri interfeysi ilə işləyir. İşə salınma prosesi aşağıdakı ardıcıllıq ilə davam edir.

  1. Sistemdən kritik məlumatları oxuya bilməsi üçün admin səlahiyyətinin istənilməsi

_images/uac.png

2. İstifadəçidən insidenti təsvir edəcək qısa təsvir başlığını daxil edilməsi istəniləcək. Məlumat (“Demo”) daxil edildikdən sonra kollektor işə salınır və sistemdən məlumatları toplamağa başlayır.

Note

Kompüterin gücündən asılı olaraq kollektora məlumatları toplaması üçün bir neçə dəqiqə lazım ola bilər

Caution

Paleon insident baş vermiş sistemdə kritik informasiyaları əldə etmək istədiyi üçün antivirus proqram təminatları Paleonu zərərverici proqram təminatı olaraq aşkar edə bilir (False Positive). Sözü gedən problemin qarşısı almaq məqsədi ilə icra edilə bilən fayl rəsmi sertifikat (code sign) ilə imzalanmışdır. Bundan əlavə olaraq bəzi vendorlar ilə əlaqə qurularaq False-Positive haqqında məlumat verilmişdir. Lakin buna baxmayaraq bəzi antivirus həlləri Paleon kollektorunu zərərli proqram təminatı olaraq görməyə davam edə bilər. Məsləhət görülür Paleon-nu işə salmazdan öncə sistemdə fəaliyyət göstərən antivirus həllini kollektor işini bitirənə qədər deaktiv edəsiniz.

_images/case.png

3. Kollektor lazım olan məlumatları topladıqdan sonra sözü gedən məlumatları vahid baza içərisində paketləyir. Paketləmə əməliyyatı üçün PKZIP arxiv formatı istifadə edilir. Arxiv faylının içərisində insident ekpertizası üçün lazım olan bütün məlumatlar saxlanılır.

Arxiv faylı

Fayl

Açıqlama

PLReport.db

Paleon kollektorunun sistemdən topladığı məlumatların saxlandığı SQLite məlumat bazası faylı

PLog.log

Paleon fəaliyyəti zamanı qeydə alınan xətalar, mesajlar və s. kimi məlumatların saxlandığı loq faylı

pf qovluğu

Windows Prefetch fayllarının kopyalarının saxlandığı qovluq

Tasks.csv

Windows planlaşdırılmış tapşırıqlar siyahısı (csv formatında)

Dir.csv

Əsas diskdə saxlanılan faylların siyahısı (csv formatında)

screen.bmp

Hədəf sistemə aid ekran görüntüsü

1.5. Loqlaşdırma

Paleon fəaliyyət zamanı xətaların maksimum az olmasına xüsusi diqqət yetirir. Lakin buna baxmayaraq gözlənilməyən bəzi xətalar baş verə bilər. Ölümcül xətalar istisna olmaqla, Paleon baş verən xətaları PLog.log faylı içərisində saxlayır. Sözü gedən loq faylı istifadəçilərdən çox Paleon-u inkişaf etdirən komanda üçün yararlıdır. Bu səbəbdən Paleon xəta bildirimi zamanı PLog.log faylını qoşma olaraq göndərməyiniz məqsədə uyğundur.