GRR (Google Rapid Response) Nedir?
GRR, Google tarafından geliştirilen açık kaynak kodlu ve uzaktan canlı forensics yapmaya odaklanan olay müdahalesi frameworküdür. Geliştirilme amacı analistlerin incelemeleri sırasında hedef makineyi uzaktan hızlıca analiz edebilmelerini sağlamaktır.
Kaynak kodlar: https://github.com/google/grr
Yapı
GRR, sunucu ve istemci olmak üzere 2 bölümden oluşur. İstemcilere ajanlar kurularak sunucuya bağlanması sağlanır ve böylece sunucu üzerinden forensics işlemleri yapılabilir.
Örnek topoloji:
Analist, GRR sunucusuna bağlanarak ona bağlı olan istemciler üzerinde incelemelerini gerçekleştirir.
Kurulum
GRR Sunucu Kurulumu
| docker run \ –name grr-server \ -e EXTERNAL_HOSTNAME=”localhost” \ -e ADMIN_PASSWORD=”demo” \ –ulimit nofile=1048576:1048576 \ -p 0.0.0.0:8000:8000 -p 0.0.0.0:8080:8080 \ grrdocker/grr:v3.2.0.1 grr |
Kurulum sonrası localhost:8000 veya SunucuIP:8000 üzerinden GRR sunucu arayüzüne erişilebilir. Kullanııc adı “admin”, parola “demo” dur.
GRR Ajan Kurulumu
Sunucu arayüzünde yer alan “Binaries” sekmesi içerisinde farklı işletim sistemleri için kurulması gereken ajan dosyaları yer almaktadır.
Bu örnekte Ubuntu için kurulum yapılacaktır. İlk olarak sisteme uygun olan dosya indirilir ve hedef makineye gönderilir. Daha sonra .deb dosyası root yetkileri ile kurulur.
| sudo dpkg -i grr_3.3.0.8_amd64.deb |
Kurulumun doğruluğunu teyit etmek amacıyla GRR server üzerinden arama butonuna basılır ve aktif makineler görüntülenir.
Proseslerin Listelenmesi
İncelenecek makine üzerinde o an hangi proseslerin çalıştığını görüntülemek için sol menüden “Start new flows” seçilir.
Açılan sekmede “Processes -> List Processes” seçilir. Ardından “Launch” butonuna basılır ve sonuç beklenir.
İşlem sonuçlandığında sağ üst tarafta yeni bir bildirim oluşacaktır.
Netstat ile Ağ Bağlantılarını Görüntüleme
Makineden netstat çıktısı alarak cihazın kurduğu bağlantıları görüntülemek mümkündür. Bunun için “Start new flows -> Network -> Netstat” seçilir ve “Launch” butonuna tıklanır.
Gelen sonuç üzerinden hedef odaklı analiz yapılabilir. Örneğin aşağıdaki sonuçta makinenin “nc” ile “1234” portunu dinlediği görülmektedir.
Shell Geçmişini Alma
Linux makinelerin shell geçmişini görüntülemek için “bash_history” dosyasını okuyabiliriz. GRR ile sunucuya bağlı istemcinin bash_history dosyasını çekerek çalıştırdığı komutları görüntülemek mümkündür.
“Start new flows -> Collectors -> ArtifactCollectorFlow” seçilir, açılan menüde “UserShellHistory” seçilerek “Add” butonuna basılır ve “Launch” butonu ile işlem başlatılır.
Sonuç geldiğinde “bash_history” dosyası incelenebilir.
İlk Yorumu Siz Yapın