GRR (Google Rapid Response) ile Uzaktan Forensics

GRR (Google Rapid Response) Nedir?

GRR, Google tarafından geliştirilen açık kaynak kodlu ve uzaktan canlı forensics yapmaya odaklanan olay müdahalesi frameworküdür. Geliştirilme amacı analistlerin incelemeleri sırasında hedef makineyi uzaktan hızlıca analiz edebilmelerini sağlamaktır.
Kaynak kodlar: https://github.com/google/grr

Yapı

GRR, sunucu ve istemci olmak üzere 2 bölümden oluşur. İstemcilere ajanlar kurularak sunucuya bağlanması sağlanır ve böylece sunucu üzerinden forensics işlemleri yapılabilir.

Örnek topoloji:

Analist, GRR sunucusuna bağlanarak ona bağlı olan istemciler üzerinde incelemelerini gerçekleştirir.

Kurulum

GRR Sunucu Kurulumu

docker run \
  –name grr-server \
  -e EXTERNAL_HOSTNAME=”localhost” \
  -e ADMIN_PASSWORD=”demo” \
  –ulimit nofile=1048576:1048576 \
  -p 0.0.0.0:8000:8000 -p 0.0.0.0:8080:8080 \
  grrdocker/grr:v3.2.0.1 grr

Kurulum sonrası localhost:8000 veya SunucuIP:8000 üzerinden GRR sunucu arayüzüne erişilebilir. Kullanııc adı “admin”, parola “demo” dur.

GRR Ajan Kurulumu

Sunucu arayüzünde yer alan “Binaries” sekmesi içerisinde farklı işletim sistemleri için kurulması gereken ajan dosyaları yer almaktadır.

Bu örnekte Ubuntu için kurulum yapılacaktır. İlk olarak sisteme uygun olan dosya indirilir ve hedef makineye gönderilir. Daha sonra .deb dosyası root yetkileri ile kurulur.

sudo dpkg -i grr_3.3.0.8_amd64.deb

Kurulumun doğruluğunu teyit etmek amacıyla GRR server üzerinden arama butonuna basılır ve aktif makineler görüntülenir.

Proseslerin Listelenmesi

İncelenecek makine üzerinde o an hangi proseslerin çalıştığını görüntülemek için sol menüden “Start new flows” seçilir.

Açılan sekmede “Processes -> List Processes” seçilir. Ardından “Launch” butonuna basılır ve sonuç beklenir.

İşlem sonuçlandığında sağ üst tarafta yeni bir bildirim oluşacaktır.

Netstat ile Ağ Bağlantılarını Görüntüleme

Makineden netstat çıktısı alarak cihazın kurduğu bağlantıları görüntülemek mümkündür. Bunun için “Start new flows -> Network -> Netstat” seçilir ve “Launch” butonuna tıklanır.

Gelen sonuç üzerinden hedef odaklı analiz yapılabilir. Örneğin aşağıdaki sonuçta makinenin “nc” ile “1234” portunu dinlediği görülmektedir.

Shell Geçmişini Alma

Linux makinelerin shell geçmişini görüntülemek için “bash_history” dosyasını okuyabiliriz. GRR ile sunucuya bağlı istemcinin bash_history dosyasını çekerek çalıştırdığı komutları görüntülemek mümkündür.

“Start new flows -> Collectors -> ArtifactCollectorFlow” seçilir, açılan menüde “UserShellHistory” seçilerek “Add” butonuna basılır ve “Launch” butonu ile işlem başlatılır.

Sonuç geldiğinde “bash_history” dosyası incelenebilir.