Thứ Sáu, 2 tháng 9, 2011

Câu chuyện số 2: Bị kiểm soát từ xa (3)

Theo: http://www.h-online.com/security/features/CSI-Internet-Controlled-from-the-beyond-1322313.html?page=3#forgingahead

Bài được đưa lên Internet ngày: 19/08/2011

Tiến lên phía trước

Forging ahead

Lời người dịch: Ngày thứ 2 của cuộc điều tra, manh mối đã bắt đầu xuất hiện, nhưng kết luận cuối cùng còn chưa được đưa ra.

Sáng hôm sau, tôi lần đầu tiên viết ra các giá trị băm của cả đĩa cứng và ảnh theo lưu ký log của từng trường hợp - một cách có trật tự, ... Tất cả những điều tra tiếp sau được triển khai có sử dụng các ảnh; bản thân các đĩa cứng được khóa lại. X-Ways Forensics hiển thị các nội dung trong một cửa sổ dạng của Explorer. Một trình cài cắm cho phép tôi xem các nội dung của các dạng tệp thường được sử dụng trong một màn hình xem trước. Một trạng thái xem dạng bộ sưu tập giúp xem xét các bộ sưu tập ảnh.

The next morning, I first write down the hash values of both the hard disk and the image in the case log – orderly, etc … All further investigations are carried out using the images; the hard disks themselves are locked in a vault. X-Ways Forensics displays the contents in an Explorer-type window. A plug-in allows me to view the contents of commonly used file types on a preview screen. A gallery view helps with the examination of image collections.


Các tài liệu được mở gần đây nhất làm hé lộ nhiều về cách mà PC đã được sử dụng

Bây giờ tôi cần làm rõ liệu máy trạm của ông Steinbach có bị tổn thương và bị kẻ tấn công sử dụng như một bàn đệm hay không, hay liệu bản thân ông Steinbach có là người

The most recently opened documents reveal much about how a PC has been used đã rình mò quanh trong chiếc máy tính của lãnh đạo hay không. Trước tiên, tôi muốn có được cảm giác làm thế nào ông Steinbach sử dụng máy tính của ông ta: các chương trình nào ông ta sử dụng, các website nào ông ta viếng thăm để lấy thông tin, các máy chủ tệp nào ông ta lưu trữ các tài liệu của ông ta, …

Tác vụ này được đơn giản hóa bằng những nỗ lực của Windows làm cho công việc của người sử dụng thuận tiện nhất có thể. Ví dụ, Explorer ghi nhớ lại những tệp và chương trình nào một người sử dụng đã truy cập thông qua các danh sách “Được sử dụng nhiều nhất gần đây” (Most Recently Used). Nó lưu lại 10 tệp được sử dụng gần đây nhất cho mỗi dạng mở rộng tệp; tôi vì thế có 10 tệp DOC, 10 PDF, 10 JPG và, nếu có bất kỳ tệp JPEG nào, thì cũng là 10 nó nốt. Thông tin này được lưu trữ ở những nơi như Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs trong phần đâng ký (registry).

I now need to clarify whether Mr Steinbach's workstation was compromised and used as a springboard by the attacker, or whether Mr Steinbach himself was the one who snooped around on the executive's computer. First, I want to get a feel for how Mr Steinbach uses his machine: which programs he uses, which web sites he visits to obtain information, which file servers he stores his documents on, and so forth.

This task is simplified by Windows' efforts to make its users' work as comfortable as possible. For example, Explorer memorises which files and programs a user has accessed via "Most Recently Used" lists. It saves the ten most recently used files for every type of file extension; I therefore have ten DOCs, ten PDFs, ten JPGs and, if there are any JPEGs, ten of those as well. This information is stored in places such as Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs in the registry.


Mỗi cái nháy đúp thành công vào một đối tượng kết thúc trong nhánh UserAssist của đăng ký

Thông tin tiếp theo có thể thường được tìm thấy trong nhánh UserAssist của đăng ký. Ví dụ, nếu một người sử dụng nháy vào một tệp .txt, thì Windows sẽ nhớ rằng nó đã bắt đầu sau đó chương trình Notepad. Những khoản này vẫn giữ được sẵn sàng thậm chí nếu một chương trình đã được bỏ cài đặt, và thông tin ký tự ổ đĩa sẽ nói cho tôi liệu chương trình đã được khởi tạo từ ổ đĩa cục bộ hay từ một thiết bị lưu trữ bên ngoài. Những người sử dụng một bộ sưu tập các phần mềm mở rộng có thể nhanh chóng tích lũy hàng trăm khoản theo khóa của này.

Tôi không thể giúp nhưng mỉm cười ở bộ nhớ về sự thắng cược tôi đã làm với một đồng nghiệp thông minh của tôi, người đã không tin rằng Windows thực sự sử dụng mã hóa ROT13. Phương pháp mã hóa sơ khai này thay thế mỗi ký tự bằng một ký tự với 13 chỗ đằng sau nó trong bảng chữ cái abc, bắt đầu một lần nữa từ A cho tới khi đạt được tới Z. Một số lập trình viên Windows có lẽ đã có một chút thú vui ở đây; tất nhiên, các công cụ điều tra ngay lập tức hiển thị các văn bản thô.

Every successful double click on an object ends up in the registry's UserAssist branch

Further information can often be found in the registry's UserAssist branch. For instance, if a user clicks on a .txt file, Windows will remember that it subsequently started the Notepad program. These entries remain available even if a program has been uninstalled, and the drive letter information tells me whether the program was launched from the local drive or from an external storage device. Those who use an extensive software collection can quickly accumulate a few hundred entries in this key.

I can't help but smile at the memory of winning a bet I made with a smart alec colleague of mine who refused to believe that Windows really does use ROT13 encryption. This primitive encryption method replaces every letter by the one that follows 13 places behind it in the alphabet, starting again at A once Z has been reached. Some Windows developers probably had a little fun there; of course, forensics tools immediately display the plain text.


Các khoản của UserAssist của đăng ký thực sự được mã hóa bằng ROT13

Một phần khác của đăng ký có chứa “các túi bags” trong đó Windows lưu giữ các lựa chọn xem thư mục đặc biệt như khóa theo loại hoặc liệu thư mục có được hiển thị trong kiểu xem biểu tượng hoặc danh sách hay không. Danh sách thư mục này đưa ra các thông tin hữu dụng về việc liệu các ổ đĩa cứng bên ngoài hoặc các đầu USB có được sử dụng hay không.

Chúng ta có thể tiếp tiếp tục danh sách bằng chứng tiềm tàng này hầu như ngay lập tức. Tình trạng được làm trầm trọng thêm bằng đăng ký đang được phân tán xuyên một vài tệp trên ổ đĩa cứng. Rất may, X-Ways làm công việc thu thập tất cả các mẩu riêng rẽ cho tôi và tạo ra một báo cáo nội dung của đăng ký chỉ về một người sử dụng duy nhất và về HỆ THỐNG và PHẦN MỀM của toàn bộ hệ thống bị viêm.

Các dấu vết trong rừng đăng ký của ông Steinbach đang nói lên hoàn toàn, vì một số tệp không khớp với công việc của một người quản trị hệ thống: ví dụ, có một danh sách lương, 2 tham chiếu nhân sự cho những người đã ra đi, và nhiều bảng xếp hạng nhân viên. Tất cả các tệp này được lưu trữ trong một thư mục con hồ sơ của người sử dụng. Thư mục này có chứa toàn bộ bữa ăn nhiều món về thông tin. Hơn nữa các dữ liệu nhân sự được ghi nhớ lại mà tôi đã thấy có một đồ thì tổ chức, một danh sách điện thoại, một loạt các nhả hình như đã được chụp trong một bữa tiệc của văn phòng, và vài bức thư.

Tuy nhiên, các tệp này thể hiện một cách ấn tượng những hạn chế các khả năng của tôi. Trong khi tôi có thể theo dõi các tệp, thì tôi lại không có ngữ cảnh để hiểu đúng ý nghĩa của những gì tôi đã tìm ra. Vì thế tôi nói cho ông Waldmann, người khẳng định rằng ông Steinbach hoàn toàn có trách nhiệm về việc duy trì các máy chủ nhất định nào đó, và rằng ông ta không nắm giữ một vị trí quản lý nào. Các dữ liệu nhân sự chắc chắn không thuộc về máy tính của ông ta; Waldmann trở nên đặc biệt lo ngại khi tôi nhắc tới sơ đồ tổ chức, hóa ra đó là một tài liệu bí mật thuộc về quản lý cao cấp. Tuy nhiên, vẫn có thể là ông Steinbach, có lẽ, đã giúp một đồng nghiệp lưu một vài dữ liệu từ một ổ USB không đáng tin cậy. Đó là một câu hỏi mà chúng ta sẽ cần làm sáng tỏ trong một cuộc phỏng vấn cá nhân sau này.

The registry's UserAssist entries really are ROT13 encrypted.

Another part of the registry contains "bags" in which Windows stores specific directory viewing options such as the sort key or whether the directory was displayed in icon or list view. This directory list provides useful information on whether external hard disks or USB flash drives have been used.

We could continue this list of potential evidence almost indefinitely. The situation is aggravated by the registry being distributed across several files on the hard disk. Thankfully, X-Ways does the job of collecting all the individual pieces for me and generates a registry content report of the only user account and of the system-wide SYSTEM and SOFTWARE hives.

Mr Steinbach's tracks in the registry jungle are quite telling, because some of the files don't fit with the job of a system admin: for example, there is a salary list, two staff references for people who have left, and various staff rating sheets. All of these files are stored in a user profile subfolder. This folder contains a whole smorgasbord of information. In addition to the mentioned staff data I find an org chart, a telephone list, various photographs that were apparently taken at an office party, and several letters.

However, these files impressively demonstrate the limits of my capabilities. While I can track down files, I'm lacking the context to correctly interpret the meaning of my discoveries. I therefore talk to Mr Waldmann, who confirms that Mr Steinbach is exclusively responsible for maintaining certain servers, and that he does not hold a managerial position. The staff data definitely doesn't belong on his computer; Waldmann becomes particularly concerned when I mention the org chart, which turns out to be a confidential document belonging to senior management. However, it could still be that Mr Steinbach, perhaps, helped a colleague save some data from an unruly USB pen drive. That's a question we will need to clarify in a personal interview later.

Các dấu thời gian

Tuy nhiên, trước hết, tôi muốn có một ý tưởng về trật tự theo thời gian các hoạt động của ông Steinbach. Đối với từng tệp trong hệ thống tệp NTFS, Bảng Tệp Chủ MFT chứa một khoản mà, ngoài siêu thông tin như các quyền ưu tiên truy cập, còn có chứa vài dấu thời gian. Thậm chí trong một máy t ính rất ít được sử dụng, thì MFT sẽ có chứa hownn 10.000 khoản mục. Những người mà giữ bộ sưu tập âm nhạc ở đó có thể dễ dàng tạo ra vào trăm ngàn khoản mục.

Windows duy trì 4 dấu thời gian cho từng tệp, nhưng chỉ 3 trong số đó là được chỉ ra trong Windows Explorer và thông qua lệnh DIR: thời gian tệp đã được tạo ra hoặc được sửa đổi, và thời gian truy cập gần nhất. Vì chúng liên quan tới sự sửa đổi, truy cập và tạo tệp, những dấu thời gian này thường được gọi là “các thời gian MAC”. Những lần truy cập có, hình như vì những lý do hiệu năng, không được ghi lại kể từ Windows Vista; hành vi này có thể cũng được bật/tắt trong các phiên bản cũ hơn của Windows thông qua chương trình dòng lệnh fsutil. Dấu thời gian thứ 4 các bản ghi NTFS là thời gian mà ở đó khoản mục MFT đã được sửa đổi mới nhất. Điều này có thể xảy ra, ví dụ, khi tệp được mở rộng bởi một cụm (cluster) tiếp theo.

Time stamps

First, however, I want to get an idea of the chronological sequence of Mr Steinbach's activities. For every file in an NTFS file system, the Master File Table (MFT) contains an entry that, apart from meta information such as the access privileges, also contains several time stamps. Even on a computer that is rarely used, this MFT will contain well over 10,000 entries. Those who keep their music collection there can easily create several hundred thousand entries.

Windows maintains four time stamps for every file, but only three of them are shown in Windows Explorer and via the DIR command: the time at which the file was created or modified, and the date of the latest access. Because they relate to file modification, access and creation, these time stamps are often called "MAC times". Access times have, probably for performance reasons, not been recorded since Windows Vista; this behaviour can also be triggered in older versions of Windows via the fsutil command line program. The fourth time stamp NTFS records is the time at which the MFT entry was last modified. This can happen, for example, when the file is extended by a further cluster.


Công cụ TrID tự do xác định các tệp không rõ có sử dụng một cơ sở dữ liệu chữ ký tổng hợp

Về cơ bản, X-Ways đưa ra một loạt các chức năng cho việc quản lý số lượng khổng lồ các dữ liệu như vậy. Tôi có thể sử dụng các bộ lọc để hạn chế đầu ra của tôi tới một khung thời gian, dạng tệp hoặc kích thước tệp cụ thể nào đó. Trong các trường hợp nơi mà một số khách hàng lắm mưu kế đã sửa đổi mở rộng tệp - ví dụ việc ngụy trang một lưu trữ zip như một tệp thực thi - thì công cụ này có thể kiểm tra chữ ký tệp. Một lưu trữ zip luôn bắt đầu với các ký tự “PK”, trong khi một chương trình thực thi được bắt đầu với “MZ”. X-Ways tạo ra hơn 160 chữ ký cho các dạng tệp thường được sử dụng. Nếu một trường hộp có liên quan tới các dạng tệp kỳ lạ hơn, thì tôi sử dụng chương trình TrID tự do của Marco Pontello.

Ngày thứ 2 điều tra sắp kết thúc, và tôi sắp đặt với ông Waldmann rằng các dạng tệp sẽ khớp mà không có sự giám sát. Chúng tôi khóa phòng thí nghiệm gặp gỡ của chúng tôi lại và đồng ý sẽ triệu tập lại vào ngày hôm sau.

Bài tiếp: Làm sạch.

The free TrID tool identifies unknown files using a comprehensive signature database

Fortunately, X-Ways offers various functions for managing such huge amounts of data. I can use filters to restrict my output to a certain time frame, file type or file size. In cases where some wily customer has modified the file extension – for instance camouflaging a zip archive as an executable file – the tool can check the file signature. A zip archive always begins with the letters "PK", while an executable program begins with "MZ". X-Ways produces over 160 signatures for commonly used file types. If a case involves more exotic file types, I use Marco Pontello's free TrID program.

The second day of investigations is coming to a close, and I arrange with Mr Waldmann that the file types will be matched without supervision. We lock our meeting room lab and agree to reconvene the following day.

Next: Cleaning up

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com


Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.