计算机取证在案件调查中的地位不言而喻,可以帮助调查人员捕获案件进程中的诸多细节。而商业软件在计算机取证中的作用也不容忽视,让我们来看一些具体的分析和案例。
员工离职时,公司领导为了防止员工带走客户资源、商业数据,通常会邀请计算机取证专家检查员工的网上活动情况,看看是否存在“可疑点”。
Alfred Demirjian是计算机取证公司TechFusion的主席兼CEO,他表示,员工通过攻击前东家电子邮箱账户搞破坏之类的事情屡见不鲜。而商业软件可以帮助公司深入挖掘员工在社交网站发布的信息和聊天记录,如果员工有公司的智能手机,还可以通过GPS 对他们进行追踪。
客户会给TechFusion一个数据监测范围,他们就在这一范围内过滤公司的所有电子邮件,查看员工和客户之间的交集。
Demirjian表示:“计算机取证在揭露恶意行为举措方面的作用越来越重要。随着相关技术愈发先进,人们将更难隐瞒自己的错误行为,更加需要为自己的所作所为负责。”他同时补充道,软件运行的能力和兼容性都将不断上升“使用商业软件辅助取证的速度将更快,费用也将变低,取证工程师可以因此完成更多任务。”
TechFusion的“军功章”也不少,最近的一起案例就是臭名昭著的Tom Brady“泄气门”事件(美国超级碗四分卫球员Tom Brady所在的New England Patriots球队在一场比赛中故意使用充气不足的橄榄球,获取不公优势,而Tom Brady事先对此知情)。当NFL(美国橄榄球国家联盟)要求检查Tom Brady的手机信息时,他声称自己已经不用手机了。但那些信息之后被找到了。TechFusion在另一起案件中同样功不可没,橄榄球星Aaron Hernandez此前涉嫌谋杀Odin Lloyd,TechFusion在案件调查过程中协助从谋杀当晚的监控录像中寻找线索。
计算机取证是电子取证科学的一个分支,涉及电脑和数字储存媒介中的数据搜寻。电脑取证的目标是从取证学的角度,严格地筛查电子媒介,试图找出,保存,修复,分析和重现事实。其中不仅包括一些与数据还原相似的技术和准则,而且还有一些额外的标准,令计算机取证符合法定的审计跟踪流程。
——Alfred Demirjian, CEO, TechFusion
Tanium的首席安全架构师Ryan Kazanciyan表示,取证就是重构和分析一台设备或一个系统先前使用数字信息的方式。从最基础的层面而言,所谓的数字证据来源于以下几方面:端点中心化数据(例如硬件内容或储存内容),网络中心化数据(例如,通过一个特定的设备或网站的所有网络流量),应用中心化数据(例如,相关程序或服务使用的日志或其他记录)。
一名取证调查人员在取证过程中可能需要解决一些问题,而这些特定的问题很大程度上成为了他们工作的驱动力。以下列举了一些通常会使用取证的用例:
一位执法人员逮捕了一名涉嫌国内恐怖主义的相关人员,希望得到他所有的通讯记录、网络活动情况、以及所有有关其现有犯罪或有计划犯罪的记录。
一起入侵调查的案件表明,外部入侵者进入了公司的一台服务器,这台服务器存放着公司敏感的知识产权信息。分析师都希望可以找出入侵的最初目的,数据是否流出或遭遇失窃,系统是否遭受了恶意攻击活动(例如植入恶意软件)。
计算机取证适用于何种情况,它的运作原理又是什么?
Kazanciyan认为,传统的计算机取证需要使用特定的软件,制作出主体系统(subject system)硬盘和物理储存的镜像,然后自动转换成人类可以识别的表格。调查人员可以由此检测搜寻特定类型的文件或是应用数据(例如电子邮件或是网页浏览记录),即时数据(例如,证据获取时正在运行的进程或打开的网络连接),以及一些历史活动的残存部分(例如,删除掉的文件或是近期的活动)。
Kazanciyan称,删除的数据或历史活动是否可以恢复取决于一些因素,但是总体而言和时间有关,也和系统的运行量有关。
这种计算机取证的方法对专注的,小规模的调查尚且适用,但是对于企业级的任务来说就未必如此了,因为时间和取证源头的密集度都过高,例如横跨企业环境中的上千个系统进行搜索,超出了它的承受范围。
“因此,在过去十年间,那些可以在实时系统中帮助提升研究和证据分析进度的技术开始繁荣起来,并由此形成了EDR(端点检测与响应)市场”他说道。最典型的EDR产品通常会兼具以下特性:
持续记录关键端点追踪(比如执行过程或网络连接),以此立即提供某一系统的活动时间线。这跟飞机上的黑匣子记录仪较为相似。有了这种追踪技术,通过系统的原始数据来源重建历史事件就变得不那么必要了。但在入侵已经发生的环境内部署调查技术就可能不那么有效了。
分析和调查系统的原始取证源——比如,在正常的系统操作过程中,操作系统自己保存的东西。以规模化的方式针对文件,进程,日志项以及其他可能的证据进行快速和目标化搜索的能力。它可以充当一个持续事件记录仪,也可以拓宽调查的范围,找到一些用其他方式很可能无法保存的信息。
告警于检测。EDR产品可以主动收集和分析上文中提到的数据的源,并将其和结构化的威胁情报威胁(例如IoC),规则和其他检测恶意行为的启发式方案进行比较。
从individual hosts of interest收集证据。在调查人员指定需要进一步检测的系统后,他们会跨越整个主体系统的历史追踪(如果得以记录和保留的话),硬盘中的文件和内存,收集分析“深入”的证据。他说,相比综合的取证成像,大部分组织更偏爱对实时系统进行远程应急分析,不受地点限制。
他说:“取证领域大部分的创新都集中在简化和自动化这些进程,确保它们在最大和最复杂的网络中也可以运行,将其运用于主动攻击检测和有效的事件响应中。”
取证技术对事件响应十分重要
Syncurity的主席兼CEO John Jolly表示,取证技术在事件响应流程中十分重要,有利于企业做出正确和及时的响应。例如,如果一家公司正在处理一起钓鱼攻击事件,取证过程就可以帮助确定一些信息,比如谁点击了钓鱼链接,谁落入了攻击者的圈套,有哪些信息泄露了或遭到了窃取。
他说,这些可以帮助安全团队策划合适的响应机制,评估上报需求。Jolly说:“例如取证的过程很可能会帮助你发现有10个用户点击了钓鱼链接,但是钓鱼行为没有成功因为恶意域名已经被封锁了。
倘若公司的IP地址遭到窃取,无论是内部攻击者还是外部攻击者所为,取证技术可以帮助建立事件发生的时间线,执法机构可以以此为依据,调查或起诉攻击者。Jolly说:“在这种情况下,去取证流程符合并保存了拘留所需的证据链是十分重要的。”
Jolly说,这起钓鱼事件的一个关键因素是,公司提前做好了钓鱼攻击的响应机制和取证过程,并且将它们在一个事件响应平台上实例化,这样它们就变得可复制,可预测,可测量。
他说,不同情况下的流程规模也有所不同,不同情况取决于攻击对象,成功窃取或未成功窃取信息的价值,以及是否遵守互联网政策和内部管理要求。
“分析师和安全团队随后简单地遵循了已有的剧本,给出了他们的分析,并且在完成响应进程后同步建立了取证记录,”Jolly补充道。“公司需要可预测和可重复的响应机制,因为这样可以节省时间和金钱,通过尽快停止不可避免的攻击行为减小攻击的影响。”
他说,建立一个可审计的进程同样可以让公司从中受益——他们得以检查流程并且不断提升这一进程,还可以向内部利益相关人员和外部的监管机构证明,他们采用了合理的标准且有最佳实践。
当说到计算机取证未来会是什么样的,Demirjian称,它会永脱离它现有的形式。“它会更加专注于防护。它将跟着数据恢复的进化方式一起进化。一旦人们开始弄丢数据,他们就会开始使用远程备份来防止数据丢失。使用计算机取证也会发生同样的事情。公司会确切落实计算机取证以防有事发生,这样他们就有数据和方法可以追踪出到底发生了什么。他们不再需要维护硬件了。”
他说企业们会使用一个服务器,可以记录所有操作和功能,可以简单请求回顾日志。所有信息都都以取证的方式进行储存,以确保可靠无误。
取证技术的一个案例
在Tanium提供的一个案例中,企业的网络检测设备会发出警告,表明工作站“Alice”和攻击者“Eve”的IP地址发生了交互。
一名调查人员首先需要调查Alice为什么会和Eve的IP地址发生交流。主机是否遭遇了恶意软件的攻击吗?如果答案是肯定的,那这种恶意程序是如何进入系统的,怎么做去找到相似的受影响系统?Alice曾经是否进入过其他系统或源,这起攻击事件是否只跟一台主机有关?Eve的终极攻击目标是什么?
如果Alice已经装有EDR产品,可以获得连续的记录,那么调查人员很可能首先会检查它的追踪源,搜索Eve的IP地址(10.10.10.135)。这样就可以确定每一个连接事件中的一些上下文信息(时间,关联过程/恶意软件,关联用户账号)。
分析人员通过Tanium Trace在AlphaPC上进行了一次“深入追踪”演示,来调查Eve所属的IP地址。
下一步,分析人员可以根据这些发现以时间为逻辑进行分析,找出在恶意软件进入主机之前,以及相关恶意活动发生之前(可能是由Eve人为操控的,也可能是自动进行的)发生的事件。例如,调查可能会发现,恶意软件附着在文档内,通过电子邮件进入主机。在主机遭遇感染后,追踪过程可能已经记录下:Eve通过恶意软件窃取用户身份认证,从侧面进入Alice企业环境中的其他系统。
该恶意Excel文档释放了一个Z4U8K1S8.exe恶意程序。攻击者随后通过C&C会话与系统进行交互。Tanium Trace记录了这一由攻击者发起的过程和活动。
如果Alice的系统没有运行EDR“飞行记录仪”,研究人员仍然可以按时间顺序采用系统原始的证据源。然而,这会耗费更多的精力,而且很可能会遗漏其中的时间点。
分析人员之后将根据调查中获得的信息创建一个IOC
当Alice的系统将此攻击时间设置为应急类型后,调查人员可能有大量的操作残留记录或描述Eve恶意行为的IOC——例如,她的攻击工具,策略和进程。这些可以用来搜索整个公司的取证证据和telemetry,找出受攻击者影响的其他系统。在此基础之上可以就新发现的主机,进一步进行深入的取证分析。这一过程将不断重复,直到调查人员认为他们已经全面地了解了这起事件,了解攻击的根源及其影响,并做好了修复的准备。
文章评论