作為調查人員,這些安全專家們按圖索驥。就讓我們從一系列案例中,窺探商業軟件是怎么幫助技術人員搞定犯罪取證的吧。
老板接到線報,有員工打算離職,還想帶走盡可能多的客戶到新公司。于是,公司引入計算機取證專家檢查該員工的網上活動,在與該員工正面對峙前找出證據。
阿爾弗雷德·德米爾希安,計算機取證公司TechFusion總裁兼CEO,從業30年間見過了各種情況,從員工劫持郵箱報復前公司,到上班時間濫用互聯網。商業軟件讓他的公司得以深挖雇員社交媒體發文,或者跟蹤他們的GPS定位——如果他們拿著公司配發的智能手機的話。
客戶會給出一個日期范圍,TechFusion就能檢查該時間段內公司的所有郵件,查看雇員與客戶間的互動。
計算機取證在暴露惡意行為上將發揮更為重要的作用。隨著取證技術的發展,人們隱藏惡意行為的意圖將越來越難以得逞,犯事兒必被糾。
德米爾希安入行以來,技術已取得了長足進步,從利用操作系統命令,發展到了基于軟件的。“有使用工具的經驗更加重要,然后才是對目標系統的了解。”
現在的軟件,兼容性和功能都更強更廣泛了。“更快更便宜,讓取證工程師可以執行更多任務。”
TechFusion參與過多起著名案子,最近的一起是新英格蘭愛國者隊四分衛湯姆·布雷迪那臭名昭著的手機。NFL(美國國家橄欖球聯盟)要求檢查他的短信時,布雷迪說自己已經不用手機了。然而,這些短信后來被找到了。奧丁·羅伊德被謀殺的當晚,TechFusion也被賦予了審查后來在獄中自殺的嫌犯,愛國者隊近端鋒雙子星之一,艾倫·赫爾南德斯住所的監控錄像。
計算機取證是數字鑒證科學的一個分支,圍繞計算機和數字存儲媒介中找到的證據展開。計算機取證的目標,就是以具有法律證明力的方式審查數字媒體,識別、保存、恢復、分析和提出有關數字信息的事實和見解。這里面涉及的技術和原則與數據恢復類似,但附加了額外的指南和實踐,用于創建合法的審計軌跡。
瑞恩·卡贊西恩,Tanium首席安全架構師,稱取證是重構和分析數字證據的過程,用以確定某設備或系統之前的使用情況。最基礎的層次,也就是所謂的數字證據,會以終端數據(比如硬盤或內存中的內容)、網絡數據(比如流經特定設備或網絡的完整數據包抓取),或應用數據(比如某程序或服務使用相關的日志或其他記錄)的形式出現。
取證調查員的工作流,很大程度上由他們試圖回答的具體問題驅動。需要取證的此類用例通常包括:
司法官員逮捕了疑為國內恐怖分子的嫌犯,希望能發現與之前或計劃的犯罪行為相關聯的全部通信記錄、互聯網活動和數據。數據泄露調查發現外部攻擊者侵入存儲了敏感知識產權的企業服務器,分析師希望確定初始接入點,是否有數據被盜,系統是否遭受惡意侵害(比如惡意軟件植入)。計算機取證的使用和起效方式
卡贊西恩說,傳統計算機取證需要利用專用軟件對目標系統的硬盤和物理內存做鏡像,并自動解析成人類可識別的格式。這樣,調查員便可以檢索特定類型的文件或應用數據(比如電子郵件或Web瀏覽器歷史),某個時間點的數據(比如證據收集時的活動進程或開放網絡連接),還有歷史活動殘余(比如被刪除的文件或最近的活動)。
被刪除數據和歷史活動的恢復程度,受多個因素的影響,但基本上隨時間遞減,且與系統中活動的規模的相稱。
這種計算機取證方法對小范圍集中調查很適合,但對企業規模的任務而言就太過耗時耗資源了,在企業環境中數千臺主機上狩獵可不是鬧著玩的。
因此,過去10年里,助力“活動”系統上快速證據檢索和分析的技術,得到了長足發展,并筑成了終端檢測和響應(EDR)市場的根基。EDR產品通常提供的功能組合有:
持續記錄關鍵終端遙測數據。比如執行的進程或網絡連接等,提供系統上活動發生的時間線,類似于飛機上的黑匣子。這些遙測數據,可以緩和通過系統原生證據源重構歷史事件的需要。不過,如果在入侵發生后才部署調查技術,這也沒多大用處。分析檢索系統原生證據源。比如,正常系統操作中被操作系統自己保存下的東西。這里面包括了對文件、進程、日志條目、內存數據和系統上其他證據的快速針對性檢索能力。它是持續事件記錄器的補充,可用于拓寬調查視野,找出可能被掩蓋的其他線索。報警和檢測。產品可以主動收集分析上面提及的各種數據源,將之與結構化威脅情報(比如IoC)、規則或其他用于檢測惡意活動的啟發法進行比較。從嫌疑主機上收集證據。當調查員發現需要進一步檢查的系統,他們可能會對整個系統的歷史遙測數據(如果有的話)、磁盤文件和內存做個“深入的”證據收集和分析。大多數公司更喜歡對活動系統進行遠程分類分析,而不是全面的鏡像采證。取證領域的大多數創新,都集中在簡化和自動化這些過程上,確保這些過程即便在大型復雜網絡中也能執行,并能應用在主動攻擊檢測和有效事件響應上。
取證是事件響應的關鍵
Syncurity總裁兼CEO約翰·喬利說,取證對事件響應過程非常重要,常規和緊急響應中,取證都很有幫助。舉個例子,公司處理成功網絡釣魚攻擊事件時,取證過程就可以用于確立各種事實,比如誰點擊了惡意鏈接,誰被成功釣魚/入侵了,哪些信息被盜了等等。
這能幫助安全團隊安排合適的響應,以及評估報告要求。“比如說,取證過程可以幫你確定有10個用戶點擊了惡意鏈接,但釣魚并未成功,因為惡意域名以及被封鎖了。”
公司知識產權被盜的情形,無論是內部人還是外部攻擊者作案,取證都能幫助建立具體的時間線和事件序列,可供司法部門進行調查或起訴攻擊者。“這種情況下,取證必須以符合并展示出證據性保管鏈的方式進行。”
網絡釣魚情景中的一個關鍵元素,是公司要有網絡釣魚攻擊響應及取證過程預案,并在事件響應平臺中將預案實例化,讓處理過程可重復、可預測、可衡量。
處理過程要囊括對不同場景的合理升級,針對被網絡釣魚的對象、目標數據的價值做出調整,符合內部策略和外部監管需求。
然后,分析師和安全團隊就可以簡單地按既定手冊走了,執行他們的分析,同時隨著響應過程的完成建立起取證記錄。公司企業需要可預測可重復的響應過程,因為這能節省時間、金錢,通過更快阻止不可避免的損失來減少攻擊的影響。
建立起一套可審計的過程,還能讓公司企業對過程進行評估,并持續改進,向內部利益相關者和外部監管機構證明,自己用的是最佳實踐,執行的是恰當的監管標準。
取證將會更注重預防,會按數據恢復的進化方式走。人們開始遺失數據的時候,也就開始采用遠程備份來預防它了。對取證來說也一樣。公司企業將會設置取證應用,這樣在事件發生時就有可以追蹤的數據和能力了。他們將不再需要保存各種硬件。
他說,公司企業會采用某種服務,記錄所有的動作和功能,只需要簡單地請求審查日志就行了。所有鑒證信息都會被恰當保存,確保可信。
取證案例
Tanium提供了一個例子:網絡監視設備發出警報,指示公司某臺工作站Alice與黑客Eve的互聯網主機IP地址通信。
調查員首先要找出為什么Alice會與Eve的IP地址通信。難道主機感染了惡意軟件?如果真感染了,惡意軟件是怎么進來的?有哪些事實可以用來發現同樣被感染的其他系統?Alice被用來訪問其他系統或資源了嗎?該事件僅限于單個主機?Eve的最終目標是什么?
如果Alice已經安裝了提供持續記錄功能的EDR產品,調查員便可以先審查其遙測反饋,搜索Eve的IP地址(10.10.10.135)。這么做可以確定每個連接事件的上下文(時間、相關進程/惡意軟件、相關用戶賬戶)。
分析師用 Tanium Trace 對 AlphaPC 進行深入調查,找尋Eve所屬IP地址的相關信息。
接下來,分析師可以根據這些發現,進行時間線分析,確定惡意軟件植入主機前的事件,還有相關的惡意活動(可能是Eve手動執行的,也可能是自動化的)。比如說,調查可能揭示出惡意軟件是通過包含惡意附件的惡意電子郵件侵入系統的。遙測可能已經記錄下感染后Eve使用惡意軟件所做的一系列動作,比如盜取用戶憑證,嘗試橫向移動到Alice企業環境中的其他主機上等。
惡意Excel文檔釋放出Z4U8K1S8.exe。攻擊者通過命令與控制會話與系統互動。Tanium Trace 記錄下攻擊者執行的過程和動作。
即便Alice的系統沒有EDR“飛行記錄儀”,調查員依然可以用系統原生證據源,拼裝出上述時間線。不過,依靠原生數據源拼裝的方法會耗去更多時間精力,留下時間線空白的概率也大得多。
利用調查中識別出的信息,分析師便可產生出IoC了。
在Alice的系統上對事件詳細分診后,調查員可能手握大量可描述Eve花招的事實或IoC,比如他的工具、戰術和規程。這些就可以用在對整個企業環境的檢查上了,用來發現攻擊者染指的其他系統。這又引向了對新發現主機的進一步深入取證分析。在調查員認為已經完全確定了事件范圍,理解了其根源和影響,且準備好修復之前,該過程都會一直重復。
京公網安備 11010502049343號