KAPE – Ferramenta gratuita de coleta de evidências digitais

Renan Cavalheiro

KAPE – Ferramenta gratuita de coleta de evidências digitais

Introdução

O KAPE (Kroll Artifact Parser And Extractor (KAPE) é um programa que coleta, processa e analisa, em poucos minutos, os artefatos úteis, de acordo com a necessidade técnica das equipes forenses.

O software KAPE possui uma ampla variedade de funcionalidades e é uma das principais ferramentas open source para análise forense digital, pois ele permite a validação cruzada com outras ferramentas, trazendo detalhes técnicos que possam estar ocultos.

Criada por Eric Zimmerman, desenvolvedor mundialmente reconhecido na área de perícia forense digital, o KAPE é uma das ferramentas mais confiáveis e mais utilizadas pelos peritos forenses.

Como o KAPE funciona

O KAPE possui duas funcionalidades: coleta e processamento de dados.

A primeira, é necessária para obter, recuperar e catalogar todos os dados ativos ou inativos contidos nos dispositivos analisados.

Esta etapa é de suma importância para o restante do trabalho, pois a análise dos indícios é realizada com base nos dados gerados durante a coleta.

O programa utiliza Targets e Modules para, no final do processo, copiar e preservar os metadados de todos os arquivos.

Para a segunda funcionalidade, é necessária a utilização de outros softwares da Nirsoft, que é a mesma desenvolvedora do KAPE, como Account Usage, Browser History, entre outros.

Ao agrupar as informações por categoria, o analista tem os meios para descobrir informações relevantes, independentemente da fonte de um artefato individual, descartando a necessidade de conhecimento prévio de prefetch ou shimcache, por exemplo.

A imagem abaixo ilustra o funcionamento do KAPE:

Figura 1-ilustra o funcionamento do KAPE

O KAPE possui Targets e Modules que utilizam YAML, que podem ser usados futuramente na construção de novos Targets e Modules.

Download KAPE

O download do KAPE é feito pelo site (https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape) e o processo exige apenas um cadastro rápido.

O link para o download é enviado para o e-mail cadastrado.

Figura 2 - Formulário para download — Figura 2 – Formulário para download

O processo de instalação é simples e o software é relativamente parecido com as ferramentas portable mais utilizadas, sendo que sua única especificidade é a utilização da linha de comando “kape.exe”.

Para executá-lo, o administrador deve abrir o prompt de comando e ir até a pasta em que o download foi feito.

Figura 3 - Kape.exe versão linha de comando — Figura 3 – Kape.exe versão linha de comando

Já na versão gráfica “gkape.exe”, basta o administrador clicar com o botão direito e executar o software.

É importante destacar que sem a permissão de administrador, algumas coletas podem apresentar erros pela falta de autorização para determinados acessos.

Figura 4 - Executando Kape versão gráfica — Figura 4 – Executando Kape versão gráfica

Figura 5 - Tela do Kape — Figura 5 – Tela do Kape

Targets

Os Targets são as especificações de arquivos e diretórios.

Após o processamento feito pelo KAPE, o programa cria uma lista de arquivos e cada um deles é copiado da origem para o diretório de destino.

Figura 6 - Targets do KAPE — Figura 6 – Targets do KAPE

Os metadados de data e hora originais são mantidos no arquivo e também são reproduzidos em arquivo de log, mesmo quando copiados por raw access.

Figura 7 - Resultado da coleta — Figura 7 – Resultado da coleta

Modules

Assim como os targets, os modules também são definidos por propriedades YAML e são utilizados na execução de programas.

Os softwares podem ter como alvo qualquer outro tipo de programa, inclusive arquivos coletados por meio dos recursos de destino.

Por exemplo, se você coletou jump lists, uma ferramenta como JLECmd pode ser usada para despejar o conteúdo das listas de atalhos em CSV.

Se você deseja coletar a saída de netstat, ipconfig, dnscache, também é possível fazê-lo.

Cada uma dessas opções possui seu próprio módulo e são agrupadas com base na semelhança entre eles como “NetworkLiveResponse”, por exemplo.

Figura 8 - Modules do Kape — Figura 8 – Modules do Kape

Por que usar o KAPE?

Por conta da sua velocidade, o KAPE é uma solução robusta, principalmente para coleta “in live”, pois ele permite que os analistas encontrem e priorizem os sistemas mais críticos para o seu caso.

Além disso, ele pode ser usado para coletar artefatos importantes antes mesmo do início da geração de imagem forense.

Como usar o KAPE?

O KAPE opera por meio da imagem live ou de softwares que montem o volume da imagem gerada, como o FTK Imager, por exemplo.

É importante observar que o software possui diversas funcionalidades e seu bom uso, depende da experiência do analista.

Para obter a máxima eficiência do software, após a evidência apresentar uma letra de unidade anexa a ela, aponte a Origem e Destino do Target no Gkape “versão gráfica”, conforme o exemplo abaixo:

Figura 9 - Origem e Destino Kape — Figura 9 – Origem e Destino Kape

Target

Os targets fornecem instruções para o KAPE, como, por exemplo, onde capturar determinados artefatos, considerando que existem diferentes destinos para diversos artefatos do Windows ou aplicativos de terceiros.

Estes arquivos serão copiados da sua imagem de evidência para a pasta de destino no KAPE.

Figura 11 – Comando utilizado para coleta

Figura 12 - Coleta e geração dos hash — Figura 12 – Coleta e geração dos hash

Figura 13 - Arquivos coletados — Figura 13 – Arquivos coletados

Module

Em linhas gerais, os módulos são os analisadores dos arquivos que o programa KAPE copia para a sua pasta de destino.

Vale destacar que qualquer pessoa pode criar um módulo para analisar um software de terceiros.

Além de executar o comando para esse módulo, você precisa garantir que o binário(.exe) esteja na subpasta BIN, dentro da pasta Module.

No exemplo baixo, o módulo “Windows_IPConfig” foi executado.

Figura 15 – Comando utilizado para coleta

Figura 16 - Processo da coleta — Figura 16 – Processo da coleta

Como resultado do processamento, o programa KAPE gerou um arquivo de texto contendo o seguinte resultado.

Tabela 1 - Resultado da coleta 1.1 — Tabela 1 – Resultado da coleta 1.1

Tabela 1 - Resultado da coleta 1.2 — Tabela 1 – Resultado da coleta 1.2

Conclusão

O KAPE é uma ferramenta útil para garantir mais agilidade nos processos de investigação e de coleta de evidências “live”, pois esse software possui um ótimo desempenho no processamento e na extração de arquivos relevantes.

Espero que você tenha aprendido algo de novo e prático para usar em seu próximo caso.

Sobre o autor do artigo:

Nome: Edson Luiz (LinkedIn)
Minibiografia: Edson Luiz é Analista Forense na Apura, especialista em Forense Digital, com mais de 6 anos de atuação em diversos casos de Investigação e Perícia Cibernética. Pós-Graduado em Computação Forense e Perícia Digital, Cyber Threat Intelligence e cursando a Pós-Graduação Cyber Segurança Ofensiva.
Treinamentos concluídos na AFD:
- Análise Malware Starter;
- Análise Forense de Malware;
- Autopsy Forensics;
- Bootcamp de Computação Forense;
- Computação Forense;
- DFIR Starter;
- Forense em Dispositivos Móveis;
- Forense em internet e Osint;
- Fundamentos de Forense Digital;
- Perícia Judicial e Assistência Técnica Judicial;
- Resposta a Incidentes.

Referências:

ZIMMERMAN, Eric. Kape Forensics. 2022. Disponível em: https://ericzimmerman.github.io/KapeDocs/#!index.md. Acesso em: 18 dez