計算機取證在案件調查中的地位不言而喻,可以幫助調查人員捕獲案件進程中的諸多細節。而商業軟件在計算機取證中的作用也不容忽視,讓我們來看一些具體的分析和案例。
員工離職時,公司領導為了防止員工帶走客戶資源、商業數據,通常會邀請計算機取證專家檢查員工的網上活動情況,看看是否存在“可疑點”。
Alfred Demirjian是計算機取證公司TechFusion的主席兼CEO,他表示,員工通過攻擊前東家電子郵箱賬戶搞破壞之類的事情屢見不鮮。而商業軟件可以幫助公司深入挖掘員工在社交網站發布的信息和聊天記錄,如果員工有公司的智能手機,還可以通過GPS 對他們進行追蹤。
客戶會給TechFusion一個數據監測范圍,他們就在這一范圍內過濾公司的所有電子郵件,查看員工和客戶之間的交集。
Demirjian表示:“計算機取證在揭露惡意行為舉措方面的作用越來越重要。隨著相關技術愈發先進,人們將更難隱瞞自己的錯誤行為,更加需要為自己的所作所為負責。”他同時補充道,軟件運行的能力和兼容性都將不斷上升“使用商業軟件輔助取證的速度將更快,費用也將變低,取證工程師可以因此完成更多任務。”
TechFusion的“軍功章”也不少,最近的一起案例就是臭名昭著的Tom Brady“泄氣門”事件(美國超級碗四分衛球員Tom Brady所在的New England Patriots球隊在一場比賽中故意使用充氣不足的橄欖球,獲取不公優勢,而Tom Brady事先對此知情)。當NFL(美國橄欖球國家聯盟)要求檢查Tom Brady的手機信息時,他聲稱自己已經不用手機了。但那些信息之后被找到了。TechFusion在另一起案件中同樣功不可沒,橄欖球星Aaron Hernandez此前涉嫌謀殺Odin Lloyd,TechFusion在案件調查過程中協助從謀殺當晚的監控錄像中尋找線索。
計算機取證是電子取證科學的一個分支,涉及電腦和數字儲存媒介中的數據搜尋。電腦取證的目標是從取證學的角度,嚴格地篩查電子媒介,試圖找出,保存,修復,分析和重現事實。其中不僅包括一些與數據還原相似的技術和準則,而且還有一些額外的標準,令計算機取證符合法定的審計跟蹤流程。
——Alfred Demirjian, CEO, TechFusion
Tanium的首席安全架構師Ryan Kazanciyan表示,取證就是重構和分析一臺設備或一個系統先前使用數字信息的方式。從最基礎的層面而言,所謂的數字證據來源于以下幾方面:端點中心化數據(例如硬件內容或儲存內容),網絡中心化數據(例如,通過一個特定的設備或網站的所有網絡流量),應用中心化數據(例如,相關程序或服務使用的日志或其他記錄)。
一名取證調查人員在取證過程中可能需要解決一些問題,而這些特定的問題很大程度上成為了他們工作的驅動力。以下列舉了一些通常會使用取證的用例:
一位執法人員逮捕了一名涉嫌國內恐怖主義的相關人員,希望得到他所有的通訊記錄、網絡活動情況、以及所有有關其現有犯罪或有計劃犯罪的記錄。
一起入侵調查的案件表明,外部入侵者進入了公司的一臺服務器,這臺服務器存放著公司敏感的知識產權信息。分析師都希望可以找出入侵的最初目的,數據是否流出或遭遇失竊,系統是否遭受了惡意攻擊活動(例如植入惡意軟件)。
計算機取證適用于何種情況,它的運作原理又是什么?
Kazanciyan認為,傳統的計算機取證需要使用特定的軟件,制作出主體系統(subject system)硬盤和物理儲存的鏡像,然后自動轉換成人類可以識別的表格。調查人員可以由此檢測搜尋特定類型的文件或是應用數據(例如電子郵件或是網頁瀏覽記錄),即時數據(例如,證據獲取時正在運行的進程或打開的網絡連接),以及一些歷史活動的殘存部分(例如,刪除掉的文件或是近期的活動)。
Kazanciyan稱,刪除的數據或歷史活動是否可以恢復取決于一些因素,但是總體而言和時間有關,也和系統的運行量有關。
這種計算機取證的方法對專注的,小規模的調查尚且適用,但是對于企業級的任務來說就未必如此了,因為時間和取證源頭的密集度都過高,例如橫跨企業環境中的上千個系統進行搜索,超出了它的承受范圍。
“因此,在過去十年間,那些可以在實時系統中幫助提升研究和證據分析進度的技術開始繁榮起來,并由此形成了EDR(端點檢測與響應)市場”他說道。最典型的EDR產品通常會兼具以下特性:
持續記錄關鍵端點追蹤(比如執行過程或網絡連接),以此立即提供某一系統的活動時間線。這跟飛機上的黑匣子記錄儀較為相似。有了這種追蹤技術,通過系統的原始數據來源重建歷史事件就變得不那么必要了。但在入侵已經發生的環境內部署調查技術就可能不那么有效了。
分析和調查系統的原始取證源——比如,在正常的系統操作過程中,操作系統自己保存的東西。以規模化的方式針對文件,進程,日志項以及其他可能的證據進行快速和目標化搜索的能力。它可以充當一個持續事件記錄儀,也可以拓寬調查的范圍,找到一些用其他方式很可能無法保存的信息。
告警于檢測。EDR產品可以主動收集和分析上文中提到的數據的源,并將其和結構化的威脅情報威脅(例如IoC),規則和其他檢測惡意行為的啟發式方案進行比較。
從individual hosts of interest收集證據。在調查人員指定需要進一步檢測的系統后,他們會跨越整個主體系統的歷史追蹤(如果得以記錄和保留的話),硬盤中的文件和內存,收集分析“深入”的證據。他說,相比綜合的取證成像,大部分組織更偏愛對實時系統進行遠程應急分析,不受地點限制。
他說:“取證領域大部分的創新都集中在簡化和自動化這些進程,確保它們在最大和最復雜的網絡中也可以運行,將其運用于主動攻擊檢測和有效的事件響應中。”
取證技術對事件響應十分重要
Syncurity的主席兼CEO John Jolly表示,取證技術在事件響應流程中十分重要,有利于企業做出正確和及時的響應。例如,如果一家公司正在處理一起釣魚攻擊事件,取證過程就可以幫助確定一些信息,比如誰點擊了釣魚鏈接,誰落入了攻擊者的圈套,有哪些信息泄露了或遭到了竊取。
他說,這些可以幫助安全團隊策劃合適的響應機制,評估上報需求。Jolly說:“例如取證的過程很可能會幫助你發現有10個用戶點擊了釣魚鏈接,但是釣魚行為沒有成功因為惡意域名已經被封鎖了。
倘若公司的IP地址遭到竊取,無論是內部攻擊者還是外部攻擊者所為,取證技術可以幫助建立事件發生的時間線,執法機構可以以此為依據,調查或起訴攻擊者。Jolly說:“在這種情況下,去取證流程符合并保存了拘留所需的證據鏈是十分重要的。”
Jolly說,這起釣魚事件的一個關鍵因素是,公司提前做好了釣魚攻擊的響應機制和取證過程,并且將它們在一個事件響應平臺上實例化,這樣它們就變得可復制,可預測,可測量。
他說,不同情況下的流程規模也有所不同,不同情況取決于攻擊對象,成功竊取或未成功竊取信息的價值,以及是否遵守互聯網政策和內部管理要求。
“分析師和安全團隊隨后簡單地遵循了已有的劇本,給出了他們的分析,并且在完成響應進程后同步建立了取證記錄,”Jolly補充道。“公司需要可預測和可重復的響應機制,因為這樣可以節省時間和金錢,通過盡快停止不可避免的攻擊行為減小攻擊的影響。”
他說,建立一個可審計的進程同樣可以讓公司從中受益——他們得以檢查流程并且不斷提升這一進程,還可以向內部利益相關人員和外部的監管機構證明,他們采用了合理的標準且有最佳實踐。
當說到計算機取證未來會是什么樣的,Demirjian稱,它會永脫離它現有的形式。“它會更加專注于防護。它將跟著數據恢復的進化方式一起進化。一旦人們開始弄丟數據,他們就會開始使用遠程備份來防止數據丟失。使用計算機取證也會發生同樣的事情。公司會確切落實計算機取證以防有事發生,這樣他們就有數據和方法可以追蹤出到底發生了什么。他們不再需要維護硬件了。”
他說企業們會使用一個服務器,可以記錄所有操作和功能,可以簡單請求回顧日志。所有信息都都以取證的方式進行儲存,以確保可靠無誤。
取證技術的一個案例
在Tanium提供的一個案例中,企業的網絡檢測設備會發出警告,表明工作站“Alice”和攻擊者“Eve”的IP地址發生了交互。
一名調查人員首先需要調查Alice為什么會和Eve的IP地址發生交流。主機是否遭遇了惡意軟件的攻擊嗎?如果答案是肯定的,那這種惡意程序是如何進入系統的,怎么做去找到相似的受影響系統?Alice曾經是否進入過其他系統或源,這起攻擊事件是否只跟一臺主機有關?Eve的終極攻擊目標是什么?
如果Alice已經裝有EDR產品,可以獲得連續的記錄,那么調查人員很可能首先會檢查它的追蹤源,搜索Eve的IP地址(10.10.10.135)。這樣就可以確定每一個連接事件中的一些上下文信息(時間,關聯過程/惡意軟件,關聯用戶賬號)。
分析人員通過Tanium Trace在AlphaPC上進行了一次“深入追蹤”演示,來調查Eve所屬的IP地址。
下一步,分析人員可以根據這些發現以時間為邏輯進行分析,找出在惡意軟件進入主機之前,以及相關惡意活動發生之前(可能是由Eve人為操控的,也可能是自動進行的)發生的事件。例如,調查可能會發現,惡意軟件附著在文檔內,通過電子郵件進入主機。在主機遭遇感染后,追蹤過程可能已經記錄下:Eve通過惡意軟件竊取用戶身份認證,從側面進入Alice企業環境中的其他系統。
該惡意Excel文檔釋放了一個Z4U8K1S8.exe惡意程序。攻擊者隨后通過C&C會話與系統進行交互。Tanium Trace記錄了這一由攻擊者發起的過程和活動。
如果Alice的系統沒有運行EDR“飛行記錄儀”,研究人員仍然可以按時間順序采用系統原始的證據源。然而,這會耗費更多的精力,而且很可能會遺漏其中的時間點。
分析人員之后將根據調查中獲得的信息創建一個IOC
當Alice的系統將此攻擊時間設置為應急類型后,調查人員可能有大量的操作殘留記錄或描述Eve惡意行為的IOC——例如,她的攻擊工具,策略和進程。這些可以用來搜索整個公司的取證證據和telemetry,找出受攻擊者影響的其他系統。在此基礎之上可以就新發現的主機,進一步進行深入的取證分析。這一過程將不斷重復,直到調查人員認為他們已經全面地了解了這起事件,了解攻擊的根源及其影響,并做好了修復的準備。
京公網安備 11010502049343號