Bài được đưa lên Internet ngày: 19/08/2011
Làm sạch
Cleaning up
Lời người dịch: Thủ phạm cuối cùng cũng đã được tìm ra, một nhân viên trong công ty, đã sử dụng phần mềm điều khiển từ xa để lấy trộm các thông tin của sếp trong giờ làm việc và nghiên cứu nó sau giờ làm việc. Bạn hãy đọc và tự ngẫm xem, có bao giờ bạn bị rơi vào những tình huống đó không, và bạn nên xử lý thế nào.
Buổi sáng bắt đầu với một sự thất vọng nhỏ: việc khớp các chữ ký tệp đã không đưa ra được tìm kiếm mới nào. Vì thế tôi sẽ cần xem các chương trình được cài đặt. Ông Waldmann ngay lập tức muốn chọc vào thư mục chương trình. Tuy nhiên, tôi đã giải thích cho ông rõ rằng chúng ta đang hoạt động tuân theo sách qui tắc của tôi - có hệ thống và kỷ luật. Nếu không, ông có thể đã tự thực hiện các điều tra ngay từ đầu - và rủi ro sẽ không có bằng chứng tại tòa.
Vì máy tính xách tay đã được cài đật thông qua một máy chủ triển khai, tôi trước hết gọi nhân viên an ninh ít nói của tôi để đưa ra một máy xách tay được cài đặt mới cùng y dạng như của ông Steinbach để tham khảo.
Sau khi kiểm tra tỉ mỉ thiết bị bằng tay, và không thấy gì, tôi làm việc với giả thiết rằng máy tính không có virus, nhưng tôi đã ra một lưu ý rằng một rootkit không rõ có thể vẫn còn làm việc. Vài cái nháy chuột sau đó tôi đã sử dụng máy PC tham khảo để tạo một bảng băm của tất cả các chương trình thực thi bao gồm các tệp .exe, DLL, các trình điều khiển... Tôi sau đó khớp các giá trị băm với ảnh của ổ đĩa của Steinbach và đánh dấu tất cả các tệp chương trình một cách phù hợp.
Số lượng còn lại các tệp chương trình là có thể quản lý được, và một sản phẩm đặc biệt nổi lên: VNC, chương trình bảo trì từ xa chúng tôi đã thấy trên PC vãng lai. Thú vị đặc biệt là PushVNC.exe, một chương trình đã trao các quyền quản trị đủ, có thể cài đặt dịch vụ VNC lên máy tính khác mà không làm cho một biểu tượng nào xuất hiện trong khay hệ thống.
Các mẩu đố chữ này bắt đầu tạo nên một bức tranh. Ông Steinbach hình như đã cài đặt một dịch vụ VNC lên máy tính của lãnh đạo IT và đã bị chộp một cách ngu ngốc khi kiểm soát từ xa máy tính này thông qua VNC. Để tìm ra liệu Steinbach đã xem được các thông tin khác chưa, tôi kiểm tra thư mục Recent\
trong hồ sơ người sử dụng của ông ta. Thư mục này thường ẩn dưới Windows và thường chứa hàng trăm các tệp liên kết, mỗi liên kết trong số chúng có chứa tệp đã được mở cũng như đường dẫn và các dấu thời gian.
The morning begins with a minor disappointment: matching the file signatures has not produced any new findings. I will therefore need to look over the installed programs. Mr Waldmann immediately wants to get stuck into the program folder. However, I make it clear to him that we are operating according to my rule book – orderly and systematic. Otherwise, he could have done the investigations himself in the first place – and risk going down in flames in court.
As the notebook was installed via a deployment server, I first get my reticent security officer to provide a freshly installed notebook of the same type as Mr Steinbach's for reference.
After thoroughly checking the device manually, and finding nothing, I work on the assumption that the computer is virus free, but I make a mental note that an unknown rootkit could still be at work. A few mouse clicks later I've used the reference PC to create a hash table of all executable programs including .exe files, DLLs, drivers etc. I then match the hash values with the image of Steinbach's hard disk and mark all known program files as irrelevant.
The remaining number of program files is manageable, and one product particularly stands out: VNC, the remote maintenance program we already found on the haunted PC. Of particular interest is PushVNC.exe, a program that, given sufficient admin privileges, can install the VNC service on another computer without causing an icon to appear in the system tray.
The pieces of the puzzle are beginning to form a picture. Mr Steinbach apparently installed a VNC service on the IT executive's computer and was stupidly caught out when remotely controlling the computer via VNC. To find out whether Steinbach viewed other information, I examine the Recent\
directory in his user profile. This folder is usually hidden under Windows and often contains hundreds of link files, each of which includes the file that was opened as well as its path and time stamp.
Thư mục chứa các liên keets tới hầu hết các tài liệu được mở gần đây chỉ trở nên nhìn thấy được trong Windows một khi các thiết lập trong Tools/Folder Options/View được thay đổi.
Hồ sơ người sử dụng chứa nhiều liên kết tới mạng nói lên rằng có một cấu trúc \\IP_address\C$
và là, vì thế, các kết nối tới người quản trị chia sẻ trong một vài máy tính. Waldmann nhanh chóng cho rằng Steinbach không có việc gì đối với bất kỳ hệ thống này nào. Tôi tạo một dòng thời gian có sử dụng các dấu thời gian trong các tệp liên kết. Kết quả hé lộ một mẫu thường xuyên: Steinbach đã tìm kiếm những chia sẻ quản trị của máy tính đối với các tệp quan tâm tiềm tàng trong thời gian làm việc của ông ta, và sau đó nghiên cứu các tệp đó sau giờ làm việc.
Chúng tôi in ra một số tài liệu bị tổn thương và trình bày những phát hiện của chúng tôi cho lãnh đạo IT và lãnh đạo nhân lực. Sau đó bị sốc tìm thấy thư ký của ông ta trong số những nạn nhân của cuộc tấn công gián điệp, nhưng âm thầm một lần nữa sau khi nhanh chóng nhìn qua các tài liệu chúng tôi đã phát hiện. Chỉ có đồ thị tổ chức đã làm ông ta chú ý: những biện pháp dự thảo tái cấu trúc có cho tới nay chỉ được thảo thuận với ban lãnh đạo và phòng nhân sự, và tài liệu còn là bí mật như “đặc biệt bí mật” lúc này. Những thảo luận tiếp tục sớm phát hiện ra rằng lòng tin về quản lý trong nhân viên của họ đã bị xói mòn. Dù, tôi thuyết phục họ hoãn quyết định của họ về hành động tiếp theo sẽ được thực hiện là gì. Một điều khoản vẫn còn mở trong danh sách công việc phải làm của tôi: Tôi muốn xem xét hệ thống khởi động một cách chi tiết để đảm bảo rằng các trình quét virus đã không bỏ sót một rootkit nào cả.
The folder that contains the links to the most recently opened documents only becomes visible under Windows once the settings under Tools/Folder Options/View have been changed
The user profile contains numerous links to network shares that have an \\IP_address\C$
structure and are, therefore, connections to the admin shares on various computers. Waldmann quickly establishes that Steinbach has no business on any of these systems. I create a time line using the time stamps in the link files. The result reveals a regular pattern: Steinbach searched the computers' administrative shares for potentially interesting files during his working hours, and then studied the files after work.
We print out some of the compromised documents and present our findings to the head of IT and the head of human resources. The latter is shocked to find his secretary among the victims of the spying attack, but calms down again after briefly looking over the documents we have found. Only the org chart has attracted his attention: the draft restructuring measures have so far only been discussed by the board and the human resources department, and the document was still classified as "strictly confidential" at the time. Further discussions soon reveal that the management's trust in their employee has been shattered. Nevertheless, I convince them to postpone their decision about what further action is to be taken. One item is still open on my to-do list: I want to examine the system start in detail to make sure that the virus scanners haven't missed a rootkit after all.
Rất thận trọng, tôi nhìn vào đăng ký và hệ thống tệp để tìm ra các trình điều khiển và dịch vụ nào được kích hoạt khi khởi động. Các trình điều khiển và dịch vụ được liệt kê trong khóa Servieces (các dịch vụ) của CurrentControlSet
; các cờ riêng rẽ quản lý sự kích hoạt của phần mềm. Toàn bộ quá trình khởi động được mô tả chi tiết theo công việc tiêu chuẩn của Windows Internals. Cơ hội khác cho tính năng của báo cáo đăng ký bộ công cụ điều tra của tôi sẽ tới để cứu lại. Sau khi tổng hợp các dữ liệu của tôi với một bảng có chứa cấu hình của một hệ thống Windows mới được cài đặt, tôi sớm dò tìm ra các trình điều khiển và dịch vụ được cài đặt bổ sung. Chúng tất cả có liên quan tới một sản phẩm đã được cài đặt theo cách thông thường. Kiểm tra các khóa thông thường như Run
và RunOnce
không đưa ra bất kỳ sự bất bình thường nào. Vì thế tôi có thể không đưa ra lý do nào để tin rằng Steinbach là vô tội.
Tất cả thứ đó với tôi là những thứ phải làm cuối cùng, và kỹ lưỡng nhất, một phần công việc của tôi: để viết một báo cáo điều tra giải thích kịch bản kỹ thuật theo một cách thức mà ai đó không “hít thở với những bytes” thì không thể hiểu được chúng. Tài liệu cuối cùng là 40 trang và không trao cho Steinbach bất kỳ cơ hội tha thứ nào. Tôi sau đó phát hiện ra rằng ông ta đã rời bỏ công ty “theo thỏa thuận của cả 2 bên”, và tôi đồ rằng, hơi nản lòng, liệu một tiếp cận ít có tính hệ thống hơn có là đủ để đưa ra kết quả y như vậy không.
Very carefully, I look at the registry and file system to find out which drivers and services are launched during start-up. The drivers and services are listed in the Services key of the CurrentControlSet
; individual flags handle the activation of the software. The entire boot process is described in detail in the Windows Internals standard work. Another opportunity for my forensic toolkit's registry report feature to come to the rescue. After combining my data with a table that contains the configuration of a freshly installed Windows system, I soon detect the additionally installed drivers and services. They are all associated with a product that has been installed in the regular way. Checking the usual keys such as Run
and RunOnce
doesn't produce any abnormalities. I can therefore offer no reason to believe that Steinbach is innocent.
All that's left for me to do is the last, and most elaborate, part of my work: to write an investigation report which explains the technical scenario in such a way that someone who doesn't "breathe bytes" can understand them. The final document is 40 pages long and doesn't give Steinbach any room for excuses. I later find out that he left the company "by mutual agreement", and I wonder, slightly frustrated, whether a slightly less systematic approach would have been enough to produce the same result.
About CSI:Internet
Về CSI: Internet
Trong loạt bài “Điều tra hiện trường tội phạm: Internet”, các chuyên gia xem xét các tệp khả nghi có sử dụng mọi mưu mẹo trong cuốn sách. Hãy nhìn qua vai họ khi họ theo dõi các phần mềm độc hại - vì tất cả điều này thực sự có thể đã xảy ra. Tất cả các ví dụ phần mềm độc hại được chỉ ra trong CSI: Internet từng được sử dụng trong các cuộc tấn công thật và đã được phân tích có sử dụng những biện pháp bao gồm những thứ được mô tả ở đây. Những câu chuyện đi kèm được truyền cảm hứng bằng những vụ việc thực tế, và chỉ những cái tên của những người có liên quan là đã được thay đổi.
Eduard Blenkers, chuyên gia của chúng tôi trong loạt 2 câu chuyện này, làm việc như một nhà tư vấn cao cấp tại Viện Chuyển giao Tri thức Fast Lane tại Düsseldorf, Đức. Ông là một trong những chuyên gia mà các công ty gọi khi họ có những vị khách không mời ở dạng các virus, sâu hoặc tin tặc, hoặc khi các dữ liệu của họ rơi vào những bàn tay không đúng.
Loạt bài thứ 2 của “CSI: Internet” ban đầu đã được xuất bản trong tạp chí C bắt đầu với số 15/201. Để liên kết tới các bài báo trong loạt bài đầu, hãy tham chiếu tới trang CSI: Internet HQ.
In our "Crime Scene Investigation:Internet" series, experts examine suspicious files using every trick in the book. Watch over their shoulders as they track down malware – because all this really could have happened. All the malware samples shown in CSI:Internet have been used in real attacks and have been analysed using methods including those described. The accompanying narratives are inspired by real incidents, and only the names of those involved have been invented.
Eduard Blenkers, our expert for series two episode two, works as a senior consultant at the Fast Lane Institute of Knowledge Transfer in Düsseldorf, Germany. He is one of the specialists that companies call when they have unwanted visitors in the form of viruses, worms or hackers, or when their data has fallen into the wrong hands.
The second series of "CSI:Internet" was originally published in c't magazine starting with issue 15/2011. For links to articles in the first series please refer to our CSI:Internet HQ page.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.