Содержание статьи
- Форензика как наука о расследовании киберпреступлений
- Классификация
- Методы и техники экспертизы
- Основные инструменты
- Создаем образы диска, раздела или отдельного сектора
- Обработка сформированных образов дисков
- Сбор данных с хардов
- Анализ файлов
- Извлечение данных из файлов
- Обработка данных в оперативной памяти (RAM)
- Анализ сетевого стека и браузеров
- Анализ email-сообщений
- Поиск артефактов на HDD и периферии
- Специализированные паки и фреймворки
- Собираем свою лабораторию
- Материалы для изучения
- Книги
- Материалы и курсы
- Полезные ссылки
- Мобильная форензика
- Остальные направления
- Площадки для тренировки
- Другие полезные ресурсы
- Заключение
Форензика как наука о расследовании киберпреступлений
Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.
Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:
- понять, как была реализована атака;
- построить сценарий взлома;
- восстановить хронологию (таймлайн) атаки;
- собрать артефакты (в смысле, не меч Армагеддона и не святой Грааль, а оставшиеся после атаки следы);
- предложить превентивные защитные меры, чтобы такого впредь не повторилось.
Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.
Сейчас все больше крупных компаний из тех, что имеют свой бренд услуг ИБ, в обязательном порядке заводят специализированную лабораторию и штат из нескольких экспертов по форензике. Также форензика часто идет в составе услуг компаний, которые далеки от сферы ИТ и занимаются, к примеру, финансовым аудитом. Ведь при расследовании финансового мошенничества до 100% всех доказательств может содержаться в компьютерных системах (ERP, CRM, BI, BPM и так далее).
Ну и конечно, эксперты по форензике — это неотъемлемая часть «управления К». Ведь чтобы возбудить уголовное дело по фактам компьютерных преступлений, сначала по нормам законодательства необходимо подтвердить сам факт преступления и определить его состав. Аналогично, если пострадавшая сторона обращается в суд за взысканием ущерба, возникшего из-за взлома, — тут уже без экспертизы никак не обойтись.
Отдельная тема — расследование целенаправленных атак, или APT. Их суть сводится к взлому целевых систем с использованием разнообразных векторов атак, инструментов, изощренных техник и методов, неизвестных до настоящего момента. На эту тему, кстати, в нашем журнале есть несколько добротных статей, вот тут с разбором двух кейсов, недавней историей со Сбербанком и небольшой теорией тут и тут.
Стоит ли говорить, что таски на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. Кому интересно, есть примеры разбора тут и вот тут. А некоторые часто используемые тулзы, идущие в ход на CTF, мы рассмотрим чуть ниже.
Классификация
Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давай прикинем карту классификации нашего предмета.
-
Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
-
Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное.
-
Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
-
Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
-
Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — на PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.
Методы и техники экспертизы
Как и в случае с анализом малвари, есть два основных подхода к экспертизе взломанной машины — статический и динамический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.
Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.
Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы. И еще одна обзорная публикация — на небезызвестном портале InfoSec Resources.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
NightSun
03.04.2018 в 16:05
Пискуновщина какая-то. А кто автор?
Иван Пискунов
03.04.2018 в 16:41
В чем проблема — не нравится не читайте. Есть материал лучше, пожалуйста, текст, пруфы, ссылки, видео в студию. Замечания, пожелания, идеи только приветствуются, но обоснованные и конструктивные
SM-service
03.04.2018 в 17:01
В ссылке на DEFT пропущена первая буковка h 🙂
По материалу всё шикарно, хотелось бы видеть продолжение на каком нибудь реальном примере, желательно виде 🙂
Иван Пискунов
03.04.2018 в 17:14
С обрезкой «http» видимо вышла досадная оплошность при верстке, спасибо:) обязательно поправим! Вторая часть с практикой уже в работе:) будет в новом релизе
Arseniy
03.04.2018 в 20:15
Спасибо! Отличная подборка, must have в закладках.
От себя добавил бы книгу от авторов Volatility «Art of memory forensics». Имхо одна из лучших книг по данной тематике.
rio
04.04.2018 в 15:09
Подскажите, есть ли здесь туториалы по эксплоитам?
Не нагуглил чёт
Иван Пискунов
04.04.2018 в 15:27
rio, конечно есть, это же ][акер, самый большой архив доков на все хакерские темы в русскоязычном сегменте Интернета. По вашей теме, к примеру, сразу нашлось вот это:
https://xakep.ru/2015/07/21/metasploit-part-1/
https://xakep.ru/2015/08/11/metasploit-modules/
https://xakep.ru/2017/11/13/x-tools-vulners-edition/
https://xakep.ru/2017/05/05/exploit-rce-github-enterprise/
https://xakep.ru/2017/01/24/exploits-216/
https://xakep.ru/2016/10/27/data-execution-prevention/
а вот подборка «алмазного фонда»
https://xakep.ru/2018/01/19/hacking-must-read/
baragoz
24.04.2018 в 11:59
Спасибо!
baragoz
24.04.2018 в 11:59
Офигенный статьи из «золотого фонда», многое пропустил
g0rd1as
04.04.2018 в 20:49
Хорошая статья. Ушла в закладки. 🙂
Андрей Васильков
05.04.2018 в 00:46
Спасибо за отличную подборку!
furmand
18.04.2018 в 15:16
Статья шикарная) Жду продолжения.
Михайлов Игорь
11.05.2018 в 23:32
Автор не понимает разницу между специалистом в области форензики и специалистом в инцидент респонсе. Не говоря уже о чем то более серьезном.
un1t
21.05.2018 в 11:18
> калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science
По такой логике слово «computer» это сокращение от «computer science», лол