AX350 CIL – MacOS Examinations - Forensictools

Opis AX350 CIL – MacOS Examinations

MacOS Examinations (AX350) to szkolenie na poziomie eksperckim, dla specjalistów informatyki śledczej chcących poszerzyć swoją wiedzy na temat macOS i analizy urządzeń wykorzystując system plików APFS oraz Magnet AXIOM.

Uczestnicy zostanie przedstawiony scenariusz dotyczący nieprawidłowo skonfigorowanego serwera internetowego, który umożliwił hakerom wykorzystanie luk w zabezpieczeniach i uzyskanie dostępu do sieci w celu wykonywania niepożądanych działań oraz kradzieży własności intelektualnej i danych klientów.

Korzyści

Program szkolenia AX350 CIL – MacOS Examinations

Moduł 1 - Wprowadzenie

Szczegółowe zapoznanie się ze scenariuszem szkolenia.

Moduł 2 - Omówienie macOS

Zapoznanie się z systemem operacyjnym macOS i systemem plików APFS. Poznanie zmian w zabezpieczeniach urządzeń macOS, w tym T2 chip, SIP i innych protokołów bezpieczeństwa używanych przez Apple. Omówienie prawidłowych technik obsługi urządzeń z systemem macOS.
Omówienie kluczowych artefaktów systemu operacyjnego macOS, w tym Finder, zdarzenia systemu plików, elementy paska bocznego, elementy kosza, zainstalowane aplikacje i inne.

Moduł 3 - Rozpoczęcie kursu

Omówienie kwestii związanych z szyfrowaniem FileVault2, a także metod które można zastosować przy atakach typu brute force przy wykorzystaniu oprogramowania Passware.

Moduł 4 - Dzienniki plików

Przeanalizowanie dzienników plików macOS, takich jak: dzienniki logów, pliki konfiguracyjne, uprawnienia do plików / folderów,dzienne logi, historia połączeń USB i inne artefakty wykorzystywane do śledzenia dostępu użytkownika do informacji.

Moduł 5 - Wiedza

Posiadając szczegółowy dostęp do użytkownika oraz do uruchamianych i wykorzystywanych przez niego aplikacji może być niezwykle przydatne a analizach informatyki śledczej. W bazie danych KnowledgeC przechowanych jest wiele informacji związanych z używaniem systemu MacOS, a także aktywności użytkowników. Przedstawione zostaną kluczowe elementy bazy danych, a także narzędzia typu "OpenSource" wykorzystywane do wyodrębniania dodatkowych informacji zawartych w pliku KnowladgeC.db.

Przykładowe wyodrębnione informacje:

- Użycie aplikacji.
- Aktywność aplikacji.
- Historia przeglądarki Safari.
- Stan zasilania urządzenia.

Moduł 6 - Artefakty internetowe

Analiza artefaktów historii przeglądarek internetowych - Safari, Chrome i Firefox w celu zebrania dowodów.

Moduł 7 - Konta użytkowników

Zrozumienie danych specyficznych dla konta użytkownika. Omówienie artefaktów dotyczących kontaktów, książek adresowych, zapisanych kont Apple, informacji o keychain, zainstalowanych aplikacji i czasach logowania/wylogowywania.

Moduł 8 - E-mail

Omówienie odzyskiwania danych artefaktów i załączników z domyślnej aplikacji pocztowej (Mail.App), która przechowuje zarówno wiadomości poczty e-mail, jak i informacje związane z kalendarzem.

Moduł 9 - Pulpit Mac

Przegląd elementów przechowywanych w mac Dock, aplikacji paska menu, ostatnio używanych elementów oraz szybki przegląd informacji związanych w miniaturami graficznymi i poznanie sposobów ich wykorzystania w śledztwie.

Moduł 10 - Time Machine i migawki systemu macOS (Snapshots)

Omówienie funkcji Time Machine, migawki systemu macOS (snapshots) i systemu plików APFS. Te informacje mogą być przydatne w przypadku próby odzyskiwania plików, które aktualnie nie występują (niw są aktywne) w systemie macOS.

Moduł 11 - Usługi w chmurze

Zrozumienie, w jaki sposób macOS korzysta z usług OneDrive i Google Drive oraz jakie bazy zawierają informacje dotyczące przepływu danych poiędzy usługą w chmurze, a kuterem hosta.

Moduł 12 - Podsumowanie