Что такое расследование инцидентов? По сути, это детективная работа, только в компьютерном формате. Цель — собрать доказательную базу некоторой деятельности пользователя, подтвердить или опровергнуть некоторые факты. Это направление ИБ называется digital forensic, а его эксперты используют целый ряд инструментов, позволяющих выявить, что пользователь делал на компьютере, какие сайты посещал, какие файлы поспешил удалить и т.д. Почему бы не взять эти инструменты на вооружение?

Сама сфера forensic — не самая развитая в России. Мало кто знает, что в действительности делают с компьютером следователи, когда его изымают в рамках какого-то расследования. Тем не менее, во всем мире forensic является важным направлением информационной безопасности. Поэтому нет ничего удивительно в том, что утилиты для расследования инцидентов стремительно развиваются. Одна из категорий таких программ занимается анализом временных файлов браузера, которые могут многое рассказать о деятельности пользователя. С этих утилит мы и начнем.

 

Анализ истории и файлов браузера

Вот тебе пример. Хакер полностью отрицает свою причастность ко взлому некоторого онлайн-магазина и уверяет, что вообще незнаком со взломом. Но после первой же экспертизы ему показывают толстый, напечатанный на A4 отчет, в котором зафиксирована история его сетевой активности, включающая запись о посещении того самого злополучного магазина и, что хуже всего, данные из кэша браузера, которые могли там оказаться только по факту доступа пользователя к защищенной части сайта. Факт взлома на лицо. А помимо этого в системе «случайно» обнаружатся авторизированные SSL-сертификаты для каких-нибудь компрометирующих сайтов. Многие из этих данных свободно извлекаются из папок вроде Documents and Settings\user\Local Settings\History\ или Documents and Settings\user\Local Settings\Temporary Internet Files.

Но намного более полный отчет и за очень короткий промежуток времени позволяют составить специализированные утилиты. Для браузера Chrome это ChromeAnalysis (forensic-software.co.uk/chromeanalysis.aspx). На выходе из программы эксперту предоставляется подробная информация об истории посещения сайтов, кукисах, букмарках, скачанных файлах, заполненных формах, сохраненных логинах и т.д. — короче говоря, всему, что удастся выудить из системы в ходе своеобразной рыбалки. От тех же разработчиков есть аналогичная утилита для Firefox — FoxAnalysis (forensic-software.co.uk/foxanalysis.aspx). Если ты думаешь, что кнопка «Удалить все приватные данные» непременно затрет все логи в Firefox, попробуй ее заюзать, и результат тебя удивит. Более универсальной утилитой является Web Historian (www.mandiant.com), поддерживающая сразу Firefox 2/3+, Chrome 3+, Safari 3+ и Internet Explorer вплоть до 8 версии. Одна из приятных опций — произвольные фильтры, позволяющие из огромного массива данных извлечь только то, что тебя интересует. Например, историю загрузок файлов определенного типа (скажем, PDF). Помимо этого в программу встроены инструменты Website Analyzer и Website Profiler. Первый позволяет визуализировать history-данные, превратив скучную таблицу в красивые графики, которые классно дополняют отчет. А Website Profiler генерирует обобщающую карточку для любого домена, отображая все связанные с ним элементы: время посещений, названия страниц, кукисы, закэшированные файлы, данные из форм и т.д. Вся информация хранится во встроенной SQLite-базе данных, что позволяет программе так лихо ею оперировать.

Отличительной чертой всех трех утилит является необходимость в их запуске на целевой системе. И хотя можно произвольно указать файл с историей или папку с профайлами пользователя, это не совсем то, что нужно профессиональной экспертизе. При проведении анализа всегда создается полный образ жестких дисков (об этом ниже) и, чтобы никак не повлиять на целостность данных, работа ведется именно с ними. Коммерческий продукт от Digital Detective (www.digitaldetective.co.uk) также предназначен для анализа файлов браузера, но извлекает данные из образов носителя, а также дампов памяти (в том числе crash-файлов, которые создаются при отказе системы), временных файлов, созданных при переводе компьютера в режим гибернации, точек восстановления и т.д. Другая программа от тех же разработчиков HstEx (уже бесплатная) и вовсе является уникальной, потому как восстанавливает очищенную историю браузера и файлы из кэша, которые были удалены! В качестве исходных данных ей необходим образ диска (в одном из девяти поддерживаемых форматов). Если человек захотел что-то утаить, удалив эти данные, HstEx поможет их извлечь из недр жесткого диска.

Анализ файловой системы Важная часть любого forensic-исследования — создание и анализ образов жестких дисков. И если для создания точной копии (обычно это называется raw disk image) вполне достаточно стандартной линуксовой утилиты dd, то для анализа необходимы сложные инструменты.

Одним из самых именитых и распространенных решений является набор утилит The Sleuth Kit («набор следователя»). По сути, это набор консольных программ, с помощью которых можно осуществить самые разные операции для поиска и извлечения данных с исследуемого компьютера. Связка TSK хороша тем, что позволяет получить детальный отчет о системе, выявить любые, в том числе удаленные файлы, выявить скрытые бинарники, скрываемые руткитами, при этом не нарушив целостности системы, что крайне важно для сбора доказательств. TSK сам определяет структуру разделов и извлекает отдельные разделы, чтобы их можно было проанализировать с помощью утилит для анализа файловой системы. Тут надо понимать, что TSK никак не завязан на ту операционную систему, которая использовалась в исследуемом компьютере. Входящие в ее состав утилиты анализируют разделы в файловых системах FAT, NTFS, Ext2/3, UFS, выводят листинги всех каталогов, восстанавливают удаленные файлы, извлекают файлы из скрытых потоков NTFS. Интересной опцией является построение временной диаграммы обращения к файлам, на основе которой можно построить график активности пользователя. Создатели TSK намеренно развивают свое решение как набор консольных утилит.

Отлично понимая, что проводить анализ в таком формате — не самый удобный путь, они предоставляют реализацию графического интерфейса на откуп сторонним разработчикам. В качестве примера они предлагают свой бесплатный Autopsy Forensic Browser — своеобразный браузер по логам The Sleuth. GUI-оболочка позволяет серьезно упростить работу с утилитами из TSK, проверять целостность исходных данных, осуществлять поиск по ключевым словам и т.д. Более удобным инструментом является оболочка PTK (ptk.dflabs.com/ru/index.php). На сайте доступна как бесплатная базовая, так и платная профессиональная версии. Основу программы составляет ядро индексирования, выполняющее различные операции предварительного анализа в моменты получения фрагментов информации об инциденте.

Данные хранятся в MySQL-базе, что позволяет эффективно осуществлять поиск по извлеченным данным. Выбор MySQL не случаен: PTK реализовано как веб-приложение с AJAX-интерфейсом.

 

Исследование образа и поиск данных

Кстати, чтобы, не дай бог, ничего не сбить в системе злоумышленника (чтобы тот не использовал этот факт для своей защиты в суде), компетентные эксперты обязательно сделают точную копию накопителя. И для этого пустят в ход, к примеру, знаменитую утилиту Safeback (forensics-intl.com/safeback.html). В результате будет составлен сжатый файл, в котором и будет сохранена вся инфа с харда (в том числе и с SCSI-винтов). Чтобы заверить подлинность такого образа, программа создает специальный лог-файл, в котором документируется весь процесс копирования, просчитываются контрольные суммы, фиксируются серийные номера накопителей. Еще одним признанным в forensicкругах инструментом является The Forensic Toolkit Imager (FTK Imager). Помимо непосредственно создания образа накопителя, он позволяет позже примонтировать его к системе. Я же лично использую для этих целей программу P2 eXplorer (www.paraben.com/p2-explorer-pro.html).

Эти утилита поддерживает полтора десятка форматов образов и позволяет подключить их к системе, как настоящие физические диски. На деле это означает, что ты можешь натравить на данные любые forensic-утилиты и сохранить целостность доказательств. Образы монтируются не только для того, чтобы просмотреть логические файлы — к системе подключается полный поток данных, в том числе неразмеченное пространство и удаленные данные. Среди поддерживаемых форматов: образы EnCase, SafeBackm, WinImage и Linux DD, а также образ дисков виртуальных машин VMware и VirtualPC.

Получив в системе виртуальный жесткий диск (замечу, не логические диски, а именно весь жесткий диск), можно использовать любые доступные инструменты. В том числе программы для восстановления данных. На страницах журнала мы часто упоминали о программе R-Studio (www.r-studio.com), которая является одной из ведущих разработок в этой отрасли. Но в этих целях вполне можно использовать и бесплатные решения, например, Scalpel (www.digitalforensicssolutions.com/Scalpel). Уникальность программы заключается в том, что она не зависит от файловой системы. «Скальпель» имеет базы сигнатур начала и конца разных форматов и пытается найти такие файлы на диске. Поэтому восстановление возможно как с FATx, NTFS, ext2/3, так и с «голых» (raw) разделов.

 

Продвинутый поиск данных

Образ диска часто создается с помощью программно-аппаратных решений. Стандартом де-факто в мировой практике проведения forensic-расследований является программный комплекс Encase.

Ее, в частности, используют государственные структуры во многих странах мира. Решение работает под виндой и может опционально использовать для создания образа накопителя устройства FastBlok, реализующую функцию быстрого копирования дисков с блокировкой записи. А собственный формат образов накопителей — Encase (LEF или E01) — является общепризнанным, поэтому часто обрабатывается другими программами forensic-направленности (в том числе P2 eXplorer). Самая же важная функция этого продукта — выполнение поиска данных по ключевым словам на логическом и физическом уровнях, в том числе среди удаленной и остаточной информации.

Документы различных типов, кэш браузера, реестр винды, база данных почтовых программ (в том числе Outlook’а) — перечень структур, которые умеет парсить Encase, можно очень долго продолжать. Осуществлять поиск можно не только по ключевым словам, но и с помощью сложного запроса с использованием регулярок в GREPсинтаксисе. А благодаря встроенному макроязыку EnScript вполне реально написать сценарий для автоматического исследования криминалистически значимой информации. Понятно, что такой серьезный комплекс дружит сразу со всеми известными операционными системами и может быть использован даже при анализе портативных карманных компьютеров и носителей.

Для обучения работы с Encase компания-разработчик проводит специальные курсы и сертификацию. Это не самый простой инструмент; более доступным решением считается продукт Forencis Toolkit (www.accessdata.com). Основная фишка FTK — это максимально быстрая работа с прикладным уровнем системы. Она гораздо проще Encase и предусматривает сразу несколько вариантов просмотра образа диска.

К примеру, можно выбрать в меню программы пункт «Электронные таблицы», и FTK тут же выведет список всех найденных xls-файлов с подобных описанием и указанием месторасположения. Аналогичным образом легко отыскиваются базы данных, графические файлы и сообщения электронной почты. Достаточно кликнуть на PST-файл Outlook — и FTK раскодирует все его содержимое, в том числе посланную почту, журнальные записи, задачи, календарь и удаленные документы. На борту программы присутствует база ключевых слов, по которым осуществляется поиск компрометирующей информации. Примеры слов из этой базы: «cc», «tan»,» pass».

 

Полезные тулкиты

Помимо оффлайн-тестирования, когда эксперт имеет дело с накопителями данных, существуют различные методики для live-исследования системы. Перечислять утилиты, которые могут быть полезны для анализа Windows-системы и составления комплексного отчета, можно очень долго. Но делать этого не нужно, потому что многие из признанных утилит, которые могут быть так или иначе полезны, собраны в одном комплексном пакете WinTaylor (www.caine-live.net). Подробная информация обо всех ActiveX-компонентах, истории браузера, дамп памяти и отчет о сетевой активности, отчеты о системе, созданные Windows Forensic Toolches и Nigilan 32, логи утилит Марка Руссиновича — все это аккумулируется в итоговом отчете WinTaylor. Любую из утилит ты можешь запустить отдельно. Хочешь получить данные обо всех флешках, которые когда-либо были подключены к системе? Нет проблем — запусти утилиту USBDeview, входящую в набор.

Утилита Memoryze не входит в WinTaylor, но определенно заслуживает внимания. Как называют программу сами разработчики, — это бесплатное решение, которое помогает следователям находить «зло» в памяти. Отсюда становится понятна основная задача программы — создание и анализ дампа оперативной памяти, а также исследование содержимого оперативки на живой системе. Среди фич Memoryze: создание полного дампа системной памяти, запись адресного пространства любого приложения на диск (в том числе загруженных DLL, EXE, кучи и стека), создание образа загруженных драйверов, а также полный репорт по запущенным процессам (используемые ими файлы, ключи реестра и т.д.).

Тут надо сказать, что те же самые разработчики занимаются разработкой и специального LiveCD-дистрибутива, который включает утилиты для forensic-анализа, но уже под Linux. Дистрибутив называется CAINE (Computer Aided INvestigative Environment) и доступен для загрузки с того же сайта. В качестве альтернативы подобному решению можно также попробовать Orion Live CD (sourceforge.net/projects/orionlivecd).

 

Forensic телефона

В завершение хочу заметить, что область Forensic не всегда распространяется только на анализ компьютеров и ноутбуков. Областью исследования могут стать любые девайсы, которые имеют встроенную память, например, сотовый телефон. В расследовании используются свои узкоспециализированные средства, учитывающие специфику разных моделей мобильных устройств. Одним из таких решений является модуль The Cellebrite UFED Physical Pro (а также его аналог — Mobile Phone Examiner), который поддерживает более 3000 тысяч мобильных устройств, а также разных GPS-девайсов.

Что он позволяет извлечь? Очень многое. Возможности не ограничиваются извлечением содержимого внутренней памяти телефона, SMS или истории звонков. Принадлежность к forensic-утилитам «обязывает» такие решения извлекать также и удаленные из внутренней памяти данные, коды разблокировки устройства, информацию с SIM-карты или, например, очищенную историю звонков. С появлением новых мобильных платформ, обеспечивать универсальность инструмента становится все сложнее, но UFED поддерживает практически все, включая последние версии Android и прошивок iPhone.

Извлеченные данные представляются в удобном для просмотра и поиска виде, хотя в сложных случаях никто не мешает тебе ковыряться с дампами в hex-виде.

 

Links

Классный блог по тематике digital forensic: blogs.sans.org/computer-forensics

Оставить мнение

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …