macOS Forensics: অ্যাপল ম্যাক অপারেটিং সিস্টেম থেকে সাইবার অপরাধের প্রমাণ অনুসন্ধান!

macOS Darwin Kernel-এর উপর ভিত্তি করে তৈরি, যা XNU (X is Not Unix) থেকে এসেছে এবং BSD-Style System Call ও Mach Microkernel-এর সমন্বয়। উপরে রয়েছে Cocoa Framework, Core Foundation, এবং বিভিন্ন System Service। এই Architecture-এর কারণে macOS-এ Unix Forensic Concept (যেমন syslog, plist, launchd) প্রযোজ্য, কিন্তু Apple-নির্দিষ্ট Artifact-ও রয়েছে।

Apple Silicon বা M-Series Chip-এর আগমনের পর Forensics আরও জটিল হয়েছে। T2 Security Chip এবং M-Series Chip-এ Secure Enclave রয়েছে, যা FileVault Encryption Key সংরক্ষণ করে। এই কারণে Encrypted Mac থেকে Forensic Image সংগ্রহ করতে User Password বা Mobile Recovery Key প্রয়োজন। Disk-Level Imaging প্রায় অসম্ভব হয়ে গেছে নতুন Mac-এ।

System Integrity Protection বা SIP macOS-এর একটি গুরুত্বপূর্ণ Security Feature, যা System File Modify থেকে এমনকি Root User-কেও বিরত রাখে। Forensic Investigation-এর সময় SIP Disable করতে Recovery Mode-এ Boot করতে হয়, যা সংগ্রহ প্রক্রিয়াকে জটিল করে। এছাড়া Gatekeeper, XProtect, এবং Notarization-এর মতো Layer-গুলো ম্যালওয়্যার বিশ্লেষণে প্রাসঙ্গিক।

Apple File System বা APFS macOS High Sierra থেকে Default File System। এটি Copy-on-Write, Snapshot, Cloning, এবং Strong Encryption সমর্থন করে। Forensic দৃষ্টিকোণ থেকে APFS Snapshot অত্যন্ত মূল্যবান - প্রতিটি Time Machine Backup স্থানীয়ভাবে একটি Snapshot তৈরি করে, যা Read-Only এবং পূর্বের File State সংরক্ষণ করে।

tmutil listlocalsnapshots / কমান্ড দিয়ে স্থানীয় Snapshot-গুলো দেখা যায়। mount_apfs ব্যবহার করে এই Snapshot Mount করে পূর্বের File State পরীক্ষা করা যায়। এটি Anti-Forensics বা ফাইল মুছে ফেলার চেষ্টা শনাক্ত করতে অত্যন্ত উপযোগী। অনেক ক্ষেত্রে Suspect যা মনে করে মুছে ফেলেছে, তা Snapshot-এ অক্ষত থাকে।

APFS Container এবং Volume-এর ধারণা বোঝা গুরুত্বপূর্ণ। একটি Physical Disk-এ একটি Container থাকে, যার মধ্যে একাধিক Volume থাকতে পারে - Macintosh HD, Macintosh HD - Data, Preboot, Recovery, এবং VM। macOS Catalina থেকে System Volume Read-Only এবং Data Volume আলাদা, যা একটি Firmlink Mechanism দিয়ে সংযুক্ত। এই বিভাজন Forensic Analysis-এ ফাইল Locate করার সময় বিবেচনা করতে হয়।

macOS-এ Forensic Artifact-এর কয়েকটি প্রধান অবস্থান আছে। User Directory-তে ~/Library Folder সবচেয়ে গুরুত্বপূর্ণ। এর মধ্যে রয়েছে Application Support, Preferences, Caches, Logs, এবং Containers Subdirectory। ~/Library/Preferences-এ Application-গুলোর Preference File বা .plist থাকে, যা ব্যবহারকারীর কার্যকলাপ সম্পর্কে অমূল্য তথ্য সরবরাহ করে।

System-Wide Artifact /Library এবং /private/var Directory-তে থাকে। /private/var/log-এ বিভিন্ন System Log, /private/var/db-এ Database File (যেমন Spotlight Index), এবং /private/var/folders-এ User-Specific Cache এবং Temporary File থাকে। /Users/Shared Directory-তে শেয়ার করা File এবং অনেক ক্ষেত্রে ম্যালওয়্যার Drop Zone হিসেবে ব্যবহৃত হয়।

Network Activity Trace ~/Library/Cookies-এ, Browser History বিভিন্ন Browser-এর Container Directory-তে, এবং Mail Application-এর Data ~/Library/Mail-এ থাকে। SSH Activity ~/.ssh এবং Connection Log /var/log-এ পাওয়া যায়। Recent File ~/Library/Application Support/com.apple.sharedfilelist/-এর LSSharedFileList Database-এ Track করা হয়।

macOS Sierra থেকে Apple একটি নতুন Unified Logging System চালু করেছে, যা Traditional syslog-এর স্থলাভিষিক্ত হয়েছে। এই System অত্যন্ত Verbose এবং প্রায় প্রতিটি System Event এবং Application Activity Log করে। Forensic দৃষ্টিকোণ থেকে এটি একটি সোনার খনি, কিন্তু পরিমাণের কারণে চ্যালেঞ্জিংও।

log show কমান্ড দিয়ে Unified Log Query করা যায়। --predicate Option ব্যবহার করে Filter Apply করা যায়। উদাহরণস্বরূপ, log show --predicate 'subsystem == "com.apple.LaunchServices"' --last 24h কমান্ড গত 24 ঘণ্টায় Launched Application দেখাবে। log collect কমান্ড দিয়ে একটি .logarchive File তৈরি করা যায় যা পরবর্তীতে Offline Analyze করা যায়।

Persistent Storage-এ Unified Log /var/db/diagnostics এবং /var/db/uuidtext Directory-তে .tracev3 File হিসেবে থাকে। macos-UnifiedLogs বা ULFR-এর মতো Open Source Tool দিয়ে এই File সরাসরি Parse করা যায়, যা একটি Forensic Image থেকে কাজ করার সময় গুরুত্বপূর্ণ। Mandiant-এর Macmelt এবং SANS-এর mac_apt-ও Unified Log Parse করতে পারে।

macOS-এ ম্যালওয়্যার Persistence অর্জনের জন্য বিভিন্ন কৌশল ব্যবহার করে, যা Forensic Investigator-কে জানা উচিত। সবচেয়ে সাধারণ পদ্ধতি হলো LaunchAgent এবং LaunchDaemon। LaunchAgent ~/Library/LaunchAgents বা /Library/LaunchAgents-এ থাকে এবং User Login-এ চলে। LaunchDaemon /Library/LaunchDaemons বা /System/Library/LaunchDaemons-এ থাকে এবং System Boot-এ Root Privilege-এ চলে।

প্রতিটি .plist File-এর Label, ProgramArguments, এবং RunAtLoad/KeepAlive Property পরীক্ষা করা উচিত। সন্দেহজনক Path (যেমন /tmp, /private/tmp, ~/Library/Application Support/ এর অপরিচিত Folder), Random-looking Filename, এবং Unsigned Binary প্রায়ই ম্যালওয়্যারের চিহ্ন।

Login Item আরেকটি Persistence Vector। Modern macOS-এ Login Item Background Items Manager-এর মাধ্যমে নিয়ন্ত্রিত হয় এবং /var/db/com.apple.backgroundtaskmanagement-এ Track হয়। sfltool dumpbtm কমান্ড সমস্ত Background Item তালিকা করে। Atomic Stealer এবং XLoader-এর মতো ম্যালওয়্যার এই পদ্ধতিতে Persistence অর্জন করে।

Cron Job, AppleScript, Configuration Profile, এবং Kernel Extension (পুরানো System-এ) অন্যান্য Persistence Mechanism। M-Series Mac-এ Kernel Extension প্রায় Obsolete হয়েছে, এবং System Extension তার স্থান নিয়েছে। সন্দেহজনক System Extension /Library/SystemExtensions-এ থাকে এবং systemextensionsctl list কমান্ড দিয়ে দেখা যায়।

Live macOS System থেকে Memory Acquisition Windows-এর তুলনায় কঠিন। SIP এবং বিভিন্ন Apple Security Feature এই কাজে বাধা দেয়। তবুও কিছু Tool উপলব্ধ আছে। Volatility Foundation-এর OSXPMem অতীতে জনপ্রিয় ছিল, কিন্তু আধুনিক macOS-এ এর সমর্থন সীমিত। MacQuisition (Cellebrite-এর অংশ) Commercial একটি সমাধান যা Memory এবং Disk উভয়ের জন্য কাজ করে।

Volatile Data সংগ্রহের জন্য কিছু Built-in Command অত্যন্ত উপযোগী। ps aux Running Process তালিকা করে, lsof Open File এবং Network Connection দেখায়, netstat Network State দেয়, এবং last Login History দেয়। dscl . list /Users দিয়ে User Account তালিকা করা যায় এবং sudo -l দিয়ে Sudo Privilege যাচাই করা যায়।

T2 এবং M-Series Mac-এ Memory Acquisition প্রায় অসম্ভব হয়ে গেছে কারণ Hardware-Level Memory Encryption আছে। এই কারণে Investigator-কে Live System-এ যত বেশি সম্ভব Volatile Data সংগ্রহ করতে হবে Imaging-এর আগে। macOS-এর Triage Tool যেমন AutoMacTC এবং Mac Forensic Artifact বা mac_apt এই কাজে সাহায্য করে।

Safari Browser History ~/Library/Safari Directory-তে History.db (SQLite Database) হিসেবে থাকে। Chrome এবং Firefox তাদের নিজস্ব Container-এ থাকে। প্রতিটি Browser-এর Download History, Bookmarks, Cookies, এবং Cached File আলাদাভাবে বিশ্লেষণ করতে হয়। SQLite Browser বা DB Browser for SQLite Tool এই Database পড়ার জন্য জনপ্রিয়।

Communication Application-এর Forensic Value বিশাল। iMessage-এর Database ~/Library/Messages/chat.db-এ থাকে। Slack, Discord, WhatsApp Desktop, এবং Telegram-এর Cache এবং Local Storage তাদের Container Directory-তে থাকে। iMessage Database-এ Attachment Reference থাকে কিন্তু Actual Attachment ~/Library/Messages/Attachments-এ আলাদাভাবে সংরক্ষিত।

Mail.app-এর Data ~/Library/Mail/V*/ Directory-তে .emlx Format-এ থাকে। প্রতিটি Email একটি আলাদা File। Notes Application-এর Data ~/Library/Group Containers/group.com.apple.notes-এ থাকে। Photos Library একটি Bundle, যার মধ্যে Photos.sqlite Database EXIF Data এবং Edit History সংরক্ষণ করে।

macOS Forensics-এর জন্য কয়েকটি Tool বিশেষভাবে গুরুত্বপূর্ণ। Mac Forensic Artifact বা mac_apt একটি Open Source Python-Based Framework যা Disk Image বা Live System থেকে শত শত Artifact পার্স করতে পারে। এটি SANS এবং বহু DFIR Course-এ ব্যবহৃত হয়।

AutoMacTC Tool একটি Triage Script যা দ্রুত Live System থেকে গুরুত্বপূর্ণ Artifact সংগ্রহ করে। এটি বিশেষত Incident Response-এর প্রথম পর্যায়ে কাজে আসে। Magnet AXIOM এবং Cellebrite Inspector Commercial Tool যা macOS Forensics-এ শক্তিশালী সমর্থন দেয়।

KnockKnock এবং BlockBlock (Objective-See-এর) macOS-এ Persistence Mechanism এবং Live Threat শনাক্ত করার জন্য চমৎকার Tool। Patrick Wardle-এর Objective-See Foundation বিনামূল্যে এসব Tool সরবরাহ করে। LuLu Firewall এবং KextViewer-ও সংগ্রহে রাখার মতো।

একটি সাধারণ macOS Investigation Workflow কয়েকটি ধাপে বিভক্ত। প্রথমে Scope এবং Legal Authority নিশ্চিত করা। দ্বিতীয়ত, Volatile Data সংগ্রহ - Memory, Process List, Network Connection, Logged-in User। তৃতীয়ত, Logical Acquisition - File System-এর Specific Folder-গুলো সংগ্রহ করা। চতুর্থত, যদি সম্ভব হয়, Full Disk Image তৈরি করা।

Analysis Phase-এ Timeline তৈরি করা একটি কেন্দ্রীয় কাজ। Plaso/log2timeline macOS Artifact থেকে Super Timeline তৈরি করতে পারে। FileSystem Metadata, Unified Log, Browser History, এবং Application Usage একসাথে Correlate করে Suspect-এর Activity Reconstruct করা হয়।

Reporting Phase-এ সমস্ত Finding Documentation করা এবং Chain of Custody বজায় রাখা গুরুত্বপূর্ণ। Forensic Hash (SHA-256), Acquisition Time, Tool Version, এবং Examiner Name প্রতিটি Step-এ রেকর্ড করতে হয়। Court Admissibility-এর জন্য এই Documentation অপরিহার্য।

প্রতিষ্ঠানের দৃষ্টিকোণ থেকে macOS Forensic Investigation-এর প্রয়োজন কমানোর জন্য Proactive Measure গ্রহণ করা উচিত। MDM Solution যেমন Jamf, Kandji, বা Mosyle ব্যবহার করে Endpoint Configuration Centrally Manage করা। FileVault সর্বত্র Enable রাখা এবং Recovery Key Escrow করা।

Apple's Endpoint Security Framework-ভিত্তিক EDR সমাধান যেমন CrowdStrike, SentinelOne, এবং Microsoft Defender for Mac মোতায়েন করা। এই সমাধানগুলো Real-Time Detection এবং Forensic Telemetry উভয়ই সরবরাহ করে। Unified Log-কে SIEM-এ Forward করা যাতে কেন্দ্রীয়ভাবে বিশ্লেষণ করা যায়।

User-কে Standard Account-এ রাখা এবং Admin Privilege সীমিত করা। Application Allowlisting Configure করা। Gatekeeper এবং Notarization-এর সর্বোচ্চ সেটিং Enforce করা। নিয়মিত Backup এবং Time Machine ব্যবহার করা যাতে Recovery সহজ হয় এবং Forensic Snapshot পাওয়া যায়।