在英國, TalkTalk公司最近被黑。
後來經過“調查”後發現,這種黑客攻擊沒有達到預期的嚴重程度(並且低於預期)。
我想知道:組織如何(不一定是TalkTalk,這正是促使我問的問題)檢查什麼被黑客入侵了嗎?我敢肯定有很多方法。但是“主要”是什麼?
在英國, TalkTalk公司最近被黑。
後來經過“調查”後發現,這種黑客攻擊沒有達到預期的嚴重程度(並且低於預期)。
我想知道:組織如何(不一定是TalkTalk,這正是促使我問的問題)檢查什麼被黑客入侵了嗎?我敢肯定有很多方法。但是“主要”是什麼?
簡而言之:取證。
計算機取證是檢查系統並確定先前發生的情況的一種藝術。檢查文件和內存工件,特別是文件時間線,可以非常清楚地了解攻擊者的行為,執行時間以及採取的措施。
僅作為示例-考慮到內存轉儲在Windows系統中,不僅可以提取攻擊者鍵入的命令行,而且可以提取運行這些命令後看到的輸出。
在確定影響方面非常有用嗎?
根據折衷方案的新鮮程度,有可能講述發生的事情很多。概述各種計算機取證領域和技術非常有用,我很樂意為您服務。它們包括但不限於以下內容(我將使用我的粗略術語;它們不是官方的或全面的):
日誌/監控取證:諸如集中式日誌,防火牆日誌,數據包捕獲和IDS命中之類的“外部”數據的使用跨越了“檢測”和“取證”之間的界限。某些數據,例如日誌(甚至是集中式的日誌),不能被認為是完整的或真實的,因為一旦攻擊者控制了系統,就可以對其進行過濾或註入。諸如防火牆,IDS或數據包記錄器之類的系統外數據包日誌記錄工具(例如(以前) NetWitness)不太可能被篡改,但僅包含有限數量的信息;通常只是IP對話的記錄,有時甚至是與惡意活動相關的簽名(例如HTTP URL)的記錄。
除非在折衷中使用了未加密的網絡連接,否則這些工具很少能夠詳細說明折衷期間的活動,因此(回到原始問題)不要“檢查什麼被黑了。”另一方面,如果使用未加密的連接(ftp)提取數據 out ,並記錄了完整的數據包,則可以準確地知道攻擊者用了什麼數據。
實時取證:更準確地說,是“事件響應”的一部分,所謂的“實時”取證涉及登錄系統並環顧四周。研究人員可以枚舉進程,查看應用程序(例如瀏覽器歷史記錄)並瀏覽文件系統以查找發生了什麼情況的跡象。同樣,這通常旨在驗證是否發生了洩露,而不是確定洩露的程度,因為被洩露的系統能夠隱藏文件,進程,網絡連接,甚至是它想要的任何東西。有利的一面是,它允許您訪問關閉系統以對磁盤進行映像後無法使用的駐留內存的東西(進程,開放的網絡連接)(但是再次,如果系統受到威脅,它可能就在說謊!) )
文件系統取證:製作完磁盤副本後,可以將其掛載在乾淨的系統上並對其進行瀏覽,從而消除了被破壞的操作系統“說謊”的任何可能性。 “有關已放置哪些文件的信息。存在使用各種時間戳和其他可用元數據來構建時間表的工具, 合併文件數據,註冊表數據(在Windows上),甚至是應用程序數據(例如瀏覽器歷史記錄)。使用的不僅僅是文件寫入時間;文件讀取時間可以指示查看了哪些文件以及執行了哪些程序(以及何時執行)。可疑文件可以通過乾淨的防病毒檢查程序,創建和提交的簽名,可執行文件加載到調試器中以及瀏覽的用於搜索關鍵字的“字符串”來運行。在Unix上,“歷史”文件-如果沒有被攻擊者關閉-可能會詳細說明攻擊者輸入的命令。在Windows上,卷影複製服務可能會提供過去已清除的過去活動的快照。
這是最常用的步驟,用於確定破壞的範圍和程度,並確定可能已訪問和/或未洩露哪些數據。這是我們“檢查什麼被黑客入侵”的最佳答案。
磁盤取證:已刪除的文件從文件系統中消失,但從文件系統中消失磁盤。同樣,聰明的攻擊者可能會將其文件隱藏在現有文件的“空閒空間”中。這些東西只能通過檢查原始磁盤字節來找到,並且存在諸如 Sleuth Kit之類的工具來將原始數據撕裂並確定其對過去的意義。如果存在.bash_history文件,並且攻擊者在註銷之前將其刪除為最後一步,則該文件可能仍作為磁盤塊存在,並且可以恢復。同樣,下載的攻擊工具和被竊取的臨時數據文件可以幫助確定威脅的程度。
內存取證:如果調查人員可以盡快到達那裡,並獲得有關係統內存的快照,那麼他們可以徹底探究破壞的深度。攻擊者必須危害內核才能從程序中隱藏,但是如果可以製作出內核內存的真實映像,則無法隱藏已完成的操作。就像磁盤塊中包含的數據已從文件系統中刪除一樣,內存轉儲中包含的是過去在內存中的數據(例如命令行歷史記錄和輸出!),但尚未被覆蓋...以及大多數數據不會很快被覆蓋。
是否需要更多內容??可能最常見的公開培訓來自 SANS。我持有他們的GCFA(“法證分析師”)證書。您還可以查看 Honeynet項目的挑戰,在該競賽中,當事方競爭,從實際的漏洞中解散了給定磁盤映像,內存轉儲和惡意軟件樣本的情況-他們提交發現的報告,因此您可以看到該領域使用的各種工具和發現。
反法醫學是評論中的熱門話題-基本上,“攻擊者不能躲藏他們的痕跡?”有很多方法可以解決它-請參閱此技術列表-但這還遠非完美,也不是我所說的可靠。當您認為“網絡間諜的'上帝'”佔據了硬盤驅動器的固件,以維持對系統的訪問而不會在系統本身上留下任何痕跡-和仍然被發現-顯然,最終發現證據比擦除證據要容易。
在技術部門內工作,我將如何做如下:
找到漏洞,漏洞和薄弱環節。
檢查系統日誌,dmesg,access.log和error.log以確認論文。 (當入侵網絡時,通常在TalkTalk是MySQL注入的情況下破壞系統,這樣做會在mysql.err日誌中留下錯誤,以至於您必須破壞它。) p>
複製該hack,複製該hack將使您了解該hack的深度並可以估算損失。
如果發現漏洞,您可以復制攻擊,複製攻擊,然後您會看到攻擊者看到的內容。
除了對取證(和評論)的出色回答外,一些組織還使用入侵檢測系統,例如“ Snort”(網絡入侵檢測)和OSSEC(基於主機的檢測系統),以及許多其他供應商,例如Cisco等。 。
例如,基於主機的入侵檢測系統經常將文件更改記錄在服務器上,因此法醫調查可以顯示在給定時間段內已更改了哪些文件,並進行了法醫檢查。研究人員可以使用它來組合一些用戶或攻擊者的活動。
攻擊者還將在整個基礎架構中的日誌中留下跟踪,從防火牆日誌到服務器日誌,服務日誌(Web,Smtp等),以及這些可以提供重要的線索。但是,攻擊者可能會更改這些日誌,除非它們被設計為安全且不可更改,例如通過將日誌集中在只寫介質上。
一旦攻擊者獲得特權訪問,手套就會關閉,並且日誌可能會被篡改或刪除。
最後,這將取決於準備情況-組織是否已為入侵和入侵做好了準備。隨後的法證演習。這應該是每個公司安全計劃的一部分。
我還沒有看到它,這是likley進行此類調查的主要資源,尤其是圍繞數據訪問的調查:
RDBMS審核可能是主要的用於確定確切的數據資源,訪問時間和訪問對象的資源。當然,這取決於其配置方式或配置方式。
例如, SQL Server審核允許檢索用戶ID,時間戳和提交到的實際查詢。
審計系統應內置冗餘,以防止篡改審計線索。其中一些可能存儲在RDBMS中,而另一些可能寫入外部源。 SQL Server可以將審核記錄到Windows安全日誌中。
gowenfawr提到了系統取證,但是幾乎總是通過日誌來識別受感染的資產。如果您進行了足夠的搜索,則日誌/應該/始終表明已洩露資產。無論您是否具有檢測外部登錄/ bruteforce嘗試/ SQL注入嘗試的IDS,還是手動搜索日誌中剛才提到的內容,都有多種方法可以引起您的注意。
一旦資產已確定後,就可以開始對資產進行法醫檢查了。大多數情況下,日誌可能不會報告其他信息,尤其是看起來好像文件已被刪除以維護攻擊者訪問權限時。內存抓取和逐步分析刪除的文件的功能將幫助安全團隊/ IR團隊了解正在發生的事情,最初發生的危害如何,利用的漏洞以及潛在的攻擊源(真正的來源。
如果有人用被盜的鑰匙闖入您的房子,卻沒有偷東西,您怎麼知道?通常,您會的。想想如何檢測事件的方式。就像在廚房檯面上打開的一封信一樣愚蠢,您可能不記得閱讀該書了。這里基本上沒有區別。如果您在防盜程序最終確定實際上是您的鑰匙之前(先讀:安全日誌),然後從前十次嘗試進入鎖中發現划痕,就會有幫助。
就所採取的措施(而不是採取的措施)而言,較大的企業和代理機構利用深度數據包檢查來記錄已轉移進/出其網絡的內容。用於警報的IDS。事件發生後,他們可以分析攻擊的程度。
一些常見的行業標準工具是
在Talk Talk的情況下,我們知道所竊取的數據正被用於鎖定目標人群。
英國銀行等進行了大量監控,以查看其影響如何,該監控將足夠多案例,再加上銀行客戶報告的案例,現在可以很好地了解影響。