לדלג לתוכן

HackTheBox Sherlocks מוסבר - תרגול פורנזיקה דיגיטלית

כשחושבים על HackTheBox, בדרך כלל חושבים על "מכונות" - שרתים פגיעים שצריך לפרוץ אליהם, להשיג shell, ולהעלות הרשאות. אבל יש בפלטפורמה קטגוריה שלמה שעובדת הפוך לגמרי, ורוב האנשים שמתמקדים בהתקפה פשוט מפספסים אותה. זה נקרא Sherlocks, וזה אחד הכלים הכי טובים ללמוד איך חושב הצד השני.

מה זה בכלל Sherlocks

בניגוד למכונה קלאסית, ב-Sherlock אתם לא פורצים לשום דבר. אתם מקבלים חבילת ראיות ממערכת שכבר נפרצה, או שיש חשד שנפרצה - קבצי לוג, דאמפ של זיכרון, תמונת דיסק, לכידת תעבורת רשת - וצריך לחקור אותה בדיוק כמו אנליסט DFIR אמיתי. DFIR זה קיצור של Digital Forensics and Incident Response, כלומר פורנזיקה דיגיטלית ותגובה לאירועי אבטחה.

המשימה שלכם היא לענות על שאלות ספציפיות. מי תקף? מתי זה קרה בדיוק? איך התוקף השיג גישה ראשונית? אילו פקודות הוא הריץ? האם הוא הצליח לגנוב מידע, ואם כן, מה? זה עבודת בלש טהורה, כשהראיות כבר קיימות ותפקידכם הוא לשחזר את הסיפור מהן.

למה זה שווה זמן גם אם אתם אנשי התקפה

יש נטייה טבעית אצל מי שמתחיל בסייבר להתמקד לגמרי בפריצה. זה מובן, זה הצד המרגש. אבל להבין איך מנתחים ראיות אחרי פריצה הופך אתכם לתוקפים הרבה יותר טובים. אם אתם יודעים בדיוק אילו עקבות משאיר כל כלי, כל טכניקת התמדה, כל תזוזה בתוך רשת, תדעו גם איך להשאיר פחות עקבות, ותבינו למה בדיקות חדירה מקצועיות תמיד כוללות גם דוח על מה בדיוק היה ניתן לזהות ומתי.

מעבר לזה, הביקוש האמיתי בשוק העבודה על צוותי הגנה (blue team) ו-DFIR הוא גדול, לפעמים אפילו יותר יציב מהביקוש על טאלנטים התקפיים בלבד. ארגונים צריכים אנשים שיודעים לחקור אירוע אחרי שהוא קרה, לא רק כאלה שיודעים למצוא את החולשה מראש.

אילו כישורים זה בונה בפועל

Sherlocks מתרגל כמה יכולות מאוד קונקרטיות. ניתוח לוגים - לקרוא רצף אירועים ענק ולזהות בו את מה שחריג. שחזור ציר זמן, timeline reconstruction, שזה בעצם לקחת אירועים ממקורות שונים ולסדר אותם לסיפור אחד עקבי. פורנזיקת זיכרון, memory forensics, שבה בוחנים דאמפ של RAM כדי למצוא תהליכים חשודים, קוד שרץ רק בזיכרון בלי להיכתב לדיסק, ומחרוזות מגלות. וניתוח artifacts, כלומר עקבות שמערכת הפעלה משאירה אחריה - רישום, קבצי היסטוריה, מטא-דאטה של קבצים, ועוד.

זה תחום שדורש חשיבה שונה מאוד מהתקפה. במקום "איך אני שובר את זה", השאלה היא "מה קרה כאן בדיוק, ואיך אני מוכיח את זה עם ראיות".

איך זה משתלב עם שאר התרגול שלכם

אם כבר עברתם דרך מכונות בסיסיות ב-OverTheWire או ב-HackTheBox ואתם מרגישים בנוח עם התהליך הבסיסי של חדירה למערכת, Sherlocks הוא תוספת מצוינת שמאזנת את התמונה. הוא לא מחליף תרגול התקפי, אלא משלים אותו ובונה לכם פרופיל אבטחה הרבה יותר שלם - כזה שמבין גם איך תוקפים חושבים וגם איך מגלים אותם.

אם אתם עדיין בונים את הבסיס בצד ההתקפי לפני שאתם קופצים לפורנזיקה, תבנו את הבסיס עם קורס בדיקות החדירה שלנו - זה ייתן לכם הקשר חשוב להבין למה בכלל צריך את כל הכלים והטכניקות שמנתחים אחר כך ב-Sherlocks.

בואו נדבר על תרגולי פורנזיקה, שיטות ניתוח, וכלים שכדאי להכיר.

הצטרפו לקהילה בדיסקורד

לסיכום

Sherlocks הוא הזדמנות ללמוד את הצד שהרבה פחות אנשים מדברים עליו, אבל שהוא לא פחות חשוב. אם אתם רוצים להבין סייבר בצורה מלאה ולא רק חצי מהתמונה, זה בדיוק המקום להתחיל.