Bài được đưa lên Internet ngày: 19/08/2011
Những dấu vết đầu tiên
First traces
Lời người dịch: Điều quan trọng khi điều tra tội phạm máy tính là phải làm theo qui trình một cách cẩn thận và có kỷ luật.
Trong khi tôi có thể suy đoán về những gì có thể đã xảy ra ở đây, thì tốt hơn không xa rời khỏi các thủ tục thường ngày và quan sát tỉ mỉ một khía cạnh sống còn trong qui trình này. Một tiếp cận hệ thống và có kỷ luật là một nửa của cuộc chiến. Tôi vì thế trước hết bắt đầu quét virus toàn bộ ổ đĩa và, trong khi chúng tôi chờ đợi, hỏi ông Waldmann về các chính sách CNTT công ty của ông: ai có các quyền ưu tiến truy cập nào, theo những điều kiện hoàn cảnh nào thì bàn trợ giúp được phép truy cập tới một máy tính cá nhân, và các qui định nào cho những người sử dụng thư điện tử và Internet.
Trình quét virus không trả về bất kỳ tệp độc hại nào; một phân tích bằng tay sâu hơn sẽ cần thiết để khẳng định phán quyết này sau đó. Còn bây giờ, tôi sẽ tập trung vào phân tích đĩa với phần mềm điều tra của tôi. Mỗi nhà điều tra có các công cụ ưa thích của riêng mình; nhiều người sử dụng Encase của Guidence Software, trong khi những người khác sử dụng Bộ công cụ điều tra của Access Data hoặc Helix của e-Fense.
While I could speculate about what might have happened here, it is better not to deviate from routine procedures and potentially overlook a crucial aspect in the process. A systematic and orderly approach is half the battle. I therefore first start a virus scan across the entire disk and, while we're waiting, ask Mr Waldmann about his company's IT policies: who has which access privileges, under what circumstances is the help desk allowed to access a PC, and what are the rules for email and internet users.
The virus scanner doesn't return any malicious files; a more in-depth manual analysis will be needed to confirm this verdict later. For now, I'm going to focus on analysing the disk with my forensics software. Every investigator has his favourite tools; many swear by Guidance Software's Encase, while others use Access Data's Forensic Toolkit or Helix by e-Fense.
Detailed technical report
Báo cáo kỹ thuật chi tiết
Hầu hết các cuộc tấn công thường cũng có thể được thực hiện bằng tay hoặc có sử dụng các công cụ tự do. Tuy nhiên, tôi ưa thích một công cụ được thiết lập tốt hơn sẽ tự động hóa và lưu ký nhiều bước thủ tục được. Công cụ tôi chọn là X-Ways Forensics. Báo cáo kỹ thuật chi tiết của nó đưa ra thông tin về số seri của đĩa cứng, dung lượng và các phân vùng, và tôi lưu nó trong thư mục của dự án. Có hệ thống và kỷ luật - bạn biết đấy...
Tiếp, tôi xem xét các tệp lưu ký khác nhau của máy tính. Lưu ký các sự kiện chứa một vài đầu vào thú vị: về ngày theo yêu cầu, một loạt các kết nối mạng được PC chấp nhận từ một máy trạm cụ thể trong mạng. Hoan hô, ông Waldmann! Việc ra chính sách cẩn trọng của bạn có thể đã đưa ra được cho chúng tôi manh mối hữu dụng đầu tiên. Windows chỉ ghi lại những lần đăng nhập vào mạng như vậy nếu người quản trị dứt khoát triển khai một chính sách phù hợp.
Tôi phân loại các tệp của đĩa cứng tuân theo các triện thời gian và các thư mục của chúng - một chức năng cơ bản của bất kỳ bộ phần mềm điều tra nào - và đặt một máy chủ VNC được cấp trước trong máy tính vào lúc đầu của những lần đăng nhập vào mạng. Điều này là để giữ được các sự việc ma quỷ được ông chủ của Waldmann mô tả. Phần mềm duy trì từ xa cho phép các nội dung thiết bị điều khiển một máy tính được hiển thị trên một máy tính khác, và thậm chí cho phép người sử dụng phần mềm đó kiểm soát chúng từ đó bằng việc sử dụng một bàn phím và con chuột.
Ông Waldmann điều tra những ai sử dụng máy trạm này trong khi tôi quay về với các nhiệm vụ thường nhật của mình và tạo ra một ảnh cho đĩa cứng. Để tạo ra một ảnh như vậy, X-Ways sao chép tất cả các đoạn (sectors), bao gồm cả các vùng đĩa cứng không được phân vùng, và tính các hàm băm SHA-256 đối với các nội dung đĩa cứng và ảnh. Nếu 2 dữ liệu của vân tay số của bản ghi là phù hợp nhau, thì các bản ghi chính thống là hệt như nhau; một phân tích tôi tạo ra từ ảnh này sau đó thậm chí sẽ được chấp nhận như là bằng chứng tại tòa. Thậm chí lỗi sao chép nhỏ nhất có thể gây ra những giá trị làm trệch hướng.
Most of the tasks could generally also be done manually or using free tools. However, I prefer a well-established tool that will automate and log many steps of the procedure. My chosen tool is X-Ways Forensics. Its detailed technical report provides information on the hard disk's serial number, capacity and partitions, and I save it in the project directory. Systematic and orderly – you know …
Next, I examine the computer's various log files. The event log contains several interesting entries: on the day in question, the PC accepted various network connections from a specific workstation on the network. Congratulations, Mr Waldmann! Your prudent policy-making may have already given us the first usable lead. Windows will only record such network log-ons if the administrator explicitly implements a suitable policy.
I sort the hard disk's files according to their time stamps and across directories – an essential function of any forensic suite – and locate a VNC server that was deposited on the computer at the time of the first of those network log-ons. This is in keeping with the spooky incidents described by Waldmann's boss. The remote maintenance software allows a computer's monitor contents to be displayed on another computer, and even enables the software user to control them from there using a keyboard and mouse.
Mr Waldmann investigates who uses that workstation while I return to my routine tasks and create a hard disk image. To generate such an image, X-Ways copies all sectors, including those hard disk areas that aren't partitioned, and calculates SHA-256 hashes for the hard disk contents and the image. If the two data records' digital fingerprints match, the records truly are identical; an analysis I create from the image will then even be accepted as evidence in court. Even the smallest copy error would cause the values to deviate.
Trong khi đó, ông Waldmann đã tìm ra rằng máy tính ở xa theo yêu cầu là một máy xách tay chắc chắn của ông Steinbach, một trong những quản trị viên hệ thống của công ty. Việc duy trì một PC bị lây nhiễm là hoàn toàn không nằm trong các nhiệm vụ của ông ta. Bước tiếp sau là một mẹo nhỏ: chúng tôi cần xem xét máy xách tay của ông Steinbach – và chúng tôi cần làm thế trước khi ông ta có cơ hội kích hoạt một trình phá dấu vết, mà có thể làm cho tôi có khả năng không thành công, nhưng nó có khả năng tạo ra những phức tạp không cần thiết. Chúng tôi vì thế tới và thăm người cầm đầu đội quản trị, người sẽ yêu cầu ông Steinbach tới văn phòng của anh ta.
Ông Waldmann âm thâm giải thích tình huống: rằng máy tính của một lãnh đạo công ty đã bị tấn công, và rằng địa chỉ IP của máy tính của ông Steinbach đã chỉ ra trong một trong những tệp lưu ký. Chúng tôi vì thế sẽ cần máy xách tay của ông ta cho những điều tra tiếp sau mà ông Steinbach nên sử dụng một máy tính phụ khác tạm thời một thời gian. Dù rõ ràng là đột ngột, song Steinbach đồng ý. Tôi từ lâu đã bỏ các kết luận vẽ vời từ một câu trả lời đáng nghi ngờ. Tôi thích gắn vào với những con số thực tế – 0 và 1 không bao giờ nói dối.
Meanwhile, Mr Waldmann has found out that the remote computer in question is the notebook of a certain Mr Steinbach, one of the company's system administrators. Maintaining the affected PC is definitely not among his tasks. The next step is a little tricky: we need to examine Mr Steinbach's notebook – and we need to do so before he has the opportunity to activate a trace destructor, which would not make it impossible for me to succeed, but it would create unnecessary complications. We therefore go and see the admin team leader, who asks Mr Steinbach to come to his office.
Mr Waldmann calmly explains the situation: that the computer of a company executive has been attacked, and that the IP address of Mr Steinbach's computer showed up in one of the log files. We will therefore need his notebook for further investigations and that Mr Steinbach should please use a substitute computer for the time being. Although visibly taken aback, Steinbach consents. I've long given up drawing conclusions from a suspect's response. I prefer sticking to the digital facts – zeros and ones never lie.
Trên bàn của người quản trị, chúng tôi thấy máy tính xách tay với màn hình của nó được khóa. Một lần nữa tôi vượt qua được, chụp ảnh màn hình và tắt máy xách tay một cách cẩn thận. Sau đó tôi bỏ nắp hộp pin, tôi lấy pin ra. Sau đó tôi chụp ảnh hệ thống và ghi lại các thiết bị ngoại vi được kết nối tới các cổng nào. Một ít ảnh chụp không gian làm việc được cắt gọt cho tài liệu của tôi. Chúng tôi bây goờ lấy máy tính, đặt thân máy với màn hình, bàn phím và chuột đằng sau bàn. Không có thiết bị lưu trữ di động riêng tiềm tàng nào nuư các ổ USB, tôi có lẽ cần tới quyền của ông Steinbach trước khi tôi có thể xem xét chúng.
Tôi kết nối ổ cứng của ông ta tới máy xách ty dự án của tôi thông qua trình chống ghi cưỡng bách, tạo một báo cáo kỹ thuật chi tiết với 2 nháy chuột, và bắt đầu quét virus. Nếu máy tính bị lây nhiễm với một trojan, thì tôi muốn mở rộng sự tìm kiếm của tôi bao gồm cả các hệ thống tiếp nữa trong mạng càng sớm càng tốt. Khi trình quét virus trả về không có những lây nhiễm, ông Waldmann và tôi thở phào nhẹ nhõm. Ít nhất chúng tôi đang không làm việc với một đống lửa và có thể, theo tất cả lương tâm, gọi nó một ngày. Việc sao chép thủ tục mà bây giờ cần tới có thể chạy mà không cần sự giám sát. Cẩn thận đóng cửa phòng, tôi chào tạm biệt.
Bài tiếp: Tiến lên phía trước
On the admin's desk, we find the notebook with its desktop locked. Once again I go through the motions, take pictures of the screen and switch the notebook off the rough way. After I've unplugged the device's power lead, I remove the battery. I then take pictures of the system and write down which peripheral devices are connected to which ports. A few pictures of the workplace round off my documentation. We now take the computer, leaving the docking statiton with monitor, keyboard and mouse behind on the desk. There are no potentially private mobile storage devices such as USB pen drives, for which I would need to ask Mr Steinbach's permission before I could examine them.
I connect his hard disk to my project notebook via the obligatory write blocker, generate a detailed technical report with two mouse clicks, and start the virus scan. If the computer has been infected with a trojan, I want to extend my search to include further systems in the network as soon as possible. When the virus scanner returns no infections, Mr Waldmann and I breathe a sigh of relief. At least we're not dealing with a bush fire and can, in all conscience, call it a day. The copying procedure that is now required can run without supervision. Having carefully locked the room, I say goodbye for the day.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.