книги хакеры / журнал хакер / 132_Optimized

>> SYN/ACK

Огненноесолнце

1U-серверFire X4100 откомпанииSun:

КОМПЬЮТЕРНЫЕРАССЛЕДОВАНИЯ Немедленноевосстановлениесистемыизрезервных архивовдляпродолжениянормальнойработы сервера—этосамаяраспространеннаяошибка. Дажееслиначальникгрознонависаетнад головой,ателефонломитсяотзвонковвозмущенныхклиентов,следуетнанекотороевремя остановитьсервер,сохранитьегосостояние надругойноситель,чтобызатемможнобыло

спокойнопроизвестирасследованиевсехобсто- ятельств.Зачемэтонужно?Во-первых,чтобы ситуациянеповторилась,ведьобновлениеПО, антивирусныхбазит.д.отнюдьнегарантирует того,чтохакернеиспользуетсвойспособдля повторногопроникновения.Во-вторых,нельзя четкосказать,когдапроизошелвзлом,поэтому, казалосьбы,«нормальная»архивнаякопияуже можетсодержать«черныйход».И,наконец,собраннаяинфапоможетузнать,быллиэтовзлом вообще:может,этосистемнаяиличеловеческая ошибка,аможет,проискиинсайдера.

Процесс расследования (digital/computer forensics) хорошо описан в книге Уоррена Круза (Warren G. Kruse II) и Джея Хэйзера (Jay G. Heiser) «Computer Forensics: Incident Response Essentials», которая является своего рода библией для тех, кто занимается подобными исследованиями. К сожалению, в русском переводе ее нет, в интернете можно найти отдельные главы и выдержки из оригинала. Самоисследованиесостоитиз5этапов—под- готовка(исследователя),оценкаситуации,сбор

данных,анализиотчет.Стандартныеинструменты,входящиевсоставОС,вбольшинствеслучаев могутбытьиспользованылишькаквспомогательные.Злоумышленниквпервуюочередь сделаетвсевозможное,чтобыскрытьотнихсвои следы(например,времяпоследнегообращенияк файлуоченьпростоизменить,витогеэтоможет помешатьисследованию,аполученныйрезультат нельзябудетиспользоватькакдоказательство). Первое время поиск следов проводился на «выключенном компьютере», т.е. создавался образ и, используя инструментарий, о котором пойдет речь далее, исследователь пытался найти следы взлома. Такой метод получил название «Dead analysis». Сегодня ситуация несколько другая. Известно, что некоторые современные вирусы не оставляют следов на жестком диске, яркий пример — червь «SQL slammer», который работает только в ОЗУ, и засечь его можно лишь по сетевой активности (порт 1434, UDP пакет ~400 байт). Еще один момент: в настоящее время повсеместно внедряются криптографические средства защиты (например в Windows — BitLocker, EFS), и без ключей, хранящихся в ОЗУ, полу- чить доступ к защищенной информации нет никакой возможности. Поэтому сегодня чаще используется анализ на рабочей системе — «Live analysis», когда собирается полная инфа о сетевой активности, приложениях и процессах. Как ты понимаешь, единой процедуры, подходящей для всех случаев, не существует,

в каждой конкретной ситуации подход сугубо индивидуальный.

Далее посмотрим, при помощи каких инструментов и как можно собрать и проанализировать данные на скомпрометированном хосте. В список первоочередных инструментов должны входить:

•утилиты, позволяющие сохранить посекторную копию разделов диска;

•утилиты создания контрольных сумм и цифровых подписей файлов;

•перехватчики сетевых пакетов, утилиты анализа сетевой активности и сетевых настроек системы;

•средства анализа состояния системы (процессы, библиотеки и т.п.)

Взависимостиотситуациисоставприложений можетменятьсяиподбираетсяиндивидуально. Нужно отметить, что в настоящее время существует совсем немного специализированных программ проведения расследований. Из коммерческих продуктов популярны ProDiscover от Technology Pathways (www.techpathways. com), EnCase Forensic îò Guidance Software (www.guidancesoftware.com) è The Forensic Toolkit (www.accessdata.com/forensictoolkit. html). Некоторые проекты предлагают демки ограниченных версий. Например, ProDiscover Basic Edition Freeware, которая доступна для закачки на сайте Technology Pathways, не имеет сетевых функций. Но, тем не менее, есть ряд продуктов, распространяемых под

Freeware-лицензией, возможностей которых вполне достаточно для проведения полного анализа. Более того, существуют специализированные дистрибутивы Linux, где все нужные утилиты уже собраны и настроены. Например, DEFT Linux (deftlinux.net), FCCU GNU/Linux Forensic Boot CD (lnx4n6.be), Helix3 (www.e-fense.com/helix) и другие. Кстати, коммерческий вариант Helix3 (www.e-fense.com/helix3pro. php) в своем роде уникальный дистрибутив, так как содержит утилиты для Linux, Windows и Mac OS X.

НАБОРSLEUTHKIT

Самой первой и поэтому известной утилитой, написанной для Unixсистем, является TCT (The Coroner's Toolkit, www.porcupine.org/ forensics/tct.html). TCT разработан двумя авторами SATAN — Dan Farmer и Wietse Venema — и представляет собой набор утилит, при помощи которых можно произвести как Dead, так и Live анализ Unixсистемы. Некоторое время проект практически не развивался, поэтому в специализированных дистрибутивах его заменил The Sleuth Kit (sleuthkit.org). TSK разработан экспертом по безопасности Brian Carrier и основан на исходном коде проектов TCT и TCTUtils. Сырцы серьезно переписаны, что позволяет собрать и использовать утилиты в Linux, Mac OS X, Cygwin, FreeBSD, OpenBSD и Solaris. При помощи TSK можно проанализировать данные, находящиеся на разделах NTFS, FAT, Ext2, Ext3, UFS1 и UFS2, а также в образах, созданных командами dd и dd_rescue. В состав включены 24 утилиты, большинство из них для удобства пользователя разбиты на группы, и имя начинается с определенной буквы:

*File System Layer (начинаются с f*) — работа с файловой системой;

*Meta Data Layer (i*) — описывает файл или каталог, т.е. все, что можно извлечь из inode;

*Data Unit Layer (blk*) — фактическое содержание блоков, кластеров, фрагментов;

*File System Journal (j*) — журналы файловой системы;

*Volume System (mm*) — анализ разделов, дисковые утилиты (disk_*).

Попробуем найти удаленный файл. Для начала запустим утилиту fls, чтобы получить имена файлов и каталогов, в том числе и удаленных. Утилита имеет несколько дополнительных параметров, из них стоит отметить:

-a — вывод имен файлов, начинающихся с точки (. и ..), их очень любят использовать взломщики для маскировки;

-d — вывод только удаленных файлов; -u — вывод только не удаленных файлов;

-l — вывод подробной информации о файле; -r — рекурсивный обход каталогов.

# fls -rd /dev/sda1

Первая буква показывает тип файла, т.е. r-egular, d-irectory, l-ink, s-ocket или не определен (?). Знак «*» на второй позиции показывает, что файл не распределен (удален). Теперь запросим больше информации о конкретном inode:

#ffind -a /dev/sda1 111 /windows/system32/cmd.exe

#istat /dev/sda1 111 inode: 111

Not Allocated uid / gid: 0 / 0 mode: rwxr-xr-x size: 0

num of links: 0

# fsstat /dev/sda1

Чтобы просмотреть данные, соответствующие inode, используем icat:

# icat /dev/sda1 1234 | less

АмериканскогоМинистерства юстиции(NIJ),НациональныйИнститутСтандартовиТехнологии(NIST)итакдалее.

ÂNSRLсобранывсправочныйинформационныйнаборRDS (ReferenceDataSet,полныйкомплектзанимает4CDпо300 Мбкаждый)профилиразличногоПО—хеш-функции(MD5 иSHA-1),данныеофайле(происхождение,имя,размери т.п.),чтопозволяетоднозначноидентифицироватьфайл, дажееслионбылпереименован.Кстати,однойизосновных задачэтойбиблиотекиявляетсяпоискпрограммприрасследованиипреступлений,направленныхпротивинтеллектуальнойсобственности.Утилитаhfindпроверяетзначения хеш-функциивбазеданных,используядвоичныйалгоритм поиска,поэтомуонаработаетбыстрее,чемштатныйgrep,но вначалеследуетсоздатьиндексныйфайл(ключ'-i'):

#hfind -i nsrl-sha1 /usr/local/hash/nsrl/ NSRLFile.txt

Index Created

Âрезультате в текущем каталоге появится NSRLFile.txtsha1.idx. Теперь можно пробить любой файл по базе:

#md5sum /bin/ls f58860f27dd2673111083670c9445099

#hfind /usr/local/hash/nsrl/NSRLFile.txt f58 860f27dd2673111083670c9445099

Для примера создадим md5-сумму важных системных файлов:

# md5sum /bin/* /sbin/* /usr/bin/* /usr/bin/* > system.md5

Проверяем результат командой «cat system.md5», генерируем индексный файл:

# hfind -i md5sum system.md5

Теперь можно периодически проверять наличие измененных файлов в контролируемых каталогах:

#md5sum /bin/* > bin.md5

#hfind -f bin.md5 system.md5 3ed2e316bbbdb94cacdf9a7c9d83f213a /bin/bash Invalid Hash Value

Как видишь, /bin/bash изменился со времени создания базы, его контрольная сумма не совпадает.

И,наконец,скриптsorter.Онумеетанализироватьобраз(для этогозапускаетflsиicat),атакженаходитираспознаетфайлы (припомощиfile).ЕслизадействованабазаNSRL,сортировщикможетопределитьсразуихарактерфайла(опасныйили нет).Опасныефайлыавтоматическизаносятсявотдельный файл—alert.txt(еслииспользованпараметр'-s',тобудетсохра- неноисодержимоефайла).Создаемкаталог,кудабудетсохра- нятьсярезультат,изапускаеманализразделаилиdd-образа:

#mkdir data

#sorter -d data -f ntfs /dev/sda1

По окончании работы в подкаталоге data появится несколько файлов с расширением txt:

ИНСТРУМЕНТВИЗУАЛИЗАЦИИSLEUTH KIT — AUTOPSY

# ls data

archive.txt documents.txt disk.txt sorter.sum

Имя соответствует категориям найденных файлов:

# cat data/documents.txt

Documents and Settings/All Users/Главное меню/Программы/Стандартные/desktop.ini

ISO-8859 text, with CRLF line terminators Image: /dev/sda1 Inode: 5805-128-1

В sorter.sum найдем общий итог по поиску.

ВЕБ-ИНТЕРФЕЙСAUTOPSY

Утилит в составе Sleuth Kit более чем предостаточно, и это вызывает некоторые затруднения не только в их изучении, но и использовании даже у бывалых спецов. Но не беда, так как в дополнение к TSK был создан инструмент визуализации — Autopsy Forensic Browser (www. sleuthkit.org/autopsy), поддерживаемый тем же автором. Autopsy для своей работы требует наличия TSK и желательно NSRL. После запуска в командной строке копируем выданный URL в веб-браузер (http:// localhost:9999).

Первымделомследуетсоздатьбазуданныхdd-образов,предварительно взятыхсразличныхдисковисистем.Дляэтогонужнонажатьссылку«New Case»изаполнитьназваниеиописание(можноуказатьнескольковариантов,чтобыупроститьпоиск).Далеенужнодобавитьсведенияобузле,с которогоснятобраз.Жмем«AddingaNewHost»изаполняемданные—имя компьютера,описание,временнойпояс,путькбазамNSRL.И,наконец,че- рез«AddingaNewImage»подключаемобраз—задаемпутькфайлу,тип(диск, раздел).Послеэтогоможновыбрать:копированиеобраза,перемещение образа,созданиесимлинка.Вследующемокнеуказываемфайловуюсистему иточкумонтирования.Поокончанииможноначинатьработу.Например, извлечьстроковыеданные,отдельныеблокиилиудаленныефайлыможнов «ImageDetails».Здесьжеполучаемвсюнеобходимуюинформациюоданных, содержащихсявтехилииныхблоках(ASCII,Hex,String).Принеобходимости добавляемкомментарийкнужномуучастку.Аналогичноможновывести списокфайлов,данныеосостоянииinodeипрочуюинформацию. Сторонними разработчиками создана альтернатива Autopsy — PTK (ptk.dflabs.com), обладающая большим удобством в использовании и расширенными возможностями.

ВМИРЕОКОН

УтилитыWindowsSysinternals(go.microsoft.com/?linkId=6013253),созданныеизвестнымпрограммистомМаркомРуссиновичем,должныбытьобязательновключенывнаборинструментовисследователя.Чтобынескачивать

ихпоотдельности,лучшезабратьвсеоднимпакетом—SysinternalsSuite. Утилитвсоставедовольномного,частьизнихзапускаетсяизкомандной строки,частьимеетGUI.ПолноеописаниеSysinternalsможнонайтина сайтепоадресу,указанномувыше.Остановлюсьлишьнанекоторыхизних. Так,Autorunsпозволяетполучитьисчерпывающуюинформациюповсему, чтозагружаетсявместессистемойилипривходепользователя.Программыибиблиотекиотображаютсяименновтомпорядке,вкоторомбудут запускаться.Дополнительнопоказываютсявсеразделыреестра,которые могутбытьиспользованыдляавтоматическогозапуска,вотдельныхокнах показываютсядрайвера,DLL,кодекиивсеостальное,чтоимееткакое-либо отношениекавтозапуску.Результатможносохранитьвфайл.arnисравнить саналогичнымфайлом,созданнымранееилиполученнымсдругойподобнойсистемы.УтилитыPsInfo,PsLogListиProcessExplorerпозволяютполу- читьполнуюинформациюпосистемеизапущеннымпроцессам.Список DLLсномерамиихверсий,атакжеоткудаонибылизапущены,смотрим припомощиListDLLs.УтилитаHandleпоказываетсписокоткрытыхфайловсуказанием,какиепроцессыихоткрыли.Введявкоманднойстроке

> AccessChk -a *

узнаемобобращенияхпользователякреестру,файламислужбамWindows. Чтобыполучитьполнуюинформациюосостояниисистемы,следуетсохранитьвыводутилитLogonSessions,PendMoves,PSFile,PsLoggedOn,TCPVcon, TCPView,атакжестандартных—ipconfig,netstat,arp,openfiles,systeminfo.

КромеSysinternals,доступенряддругихполезныхутилит,распространяемыхподFreewareлицензией.Например,сохранитьсостояниепамятив двоичныйфайлможноприпомощиутилитыMDD(ManTechddилиMemory dd,www.mantech.com/msma/MDD.asp),котораяподдерживаетвсепопулярныенасегодняверсииOCWindows:2k,XP,Vista,2k3и2k8.Программа работаеткакс32,такис64-битнымиверсиямиОС,онаоченьпростав использованииипозволяетсохранитьдо4Гбвуказанныйфайл.

> mdd.exe -o sysmem.dmp

512886 map operations succeeded (0.98)

11269 map operations failed took 63 seconds to write

MD5 is: 7c21f2533d90cb5bdf110d001498f970

ПолученныйфайлформатаddпроверяетсязатемприпомощиMD5.Собранныеданныеможнопроанализироватьприпомощилюбойутилиты, работающейсдвоичнымиданными.Подобнойфункциейобладаети EnCase,ноон,какмыпомним,небесплатен.ЗапускатьMDDследуетс правамиадминистратора.MDD—неединственнаяутилитасподобной функциональностью,немногопогуглив,можнонайтиещесдесяток решений,например,win32dd(win32dd.msuiche.net),PTFinder(computer. forensikblog.de/en/topics/windows/memory_analysis),VolatilityFramework (www.volatilesystems.com).ПоследняянаписананаPythonиможетбыть запущенанавсеплатформах,накоторыхподдерживаетсяэтотязык— Linux,xBSD,Windows,MacOSX.ПослезапускаVolatilityFrameworkсоберет данныеомодуляхядра,запущенныхпроцессах,открытыхсетевыхсоединенияхисокетах,файлахиDLL,используемыхпроцессами.

Утилита командной строки Windows Forensic Toolches (www.foolmoon. net/security/wft) позволяет упорядочить и автоматизировать процесс сбора данных, а также выдачу отчета. В своей работе WFT использует другие утилиты: системные и дополнительные от Microsoft, Sysinternals, Forensic Acquisition Utilities (www.gmgsystemsinc.com/ fau), diamondcs (www.diamondcs.com.au) и так далее. Все настройки сохраняются в файле wft.cfg. Утилита работает в интерактивном режиме, задавая последовательно ряд вопросов, на выходе исследователь получает отчет в виде текстового или HTML файла. В незарегистрированной версии отключены многие удобства, например, не работает параметр '-fetchtools', который позволяет быстро сформировать рабо- чую среду, автоматически скачав нужные файлы. Хотя при наличии

диска Helix все недостающие инструменты можно взять с него (лежат в подкаталоге IR). z

Кручу-верчу— много выигратьхочу! Данный видфрауда, вродебы, сейчассильносдалсвои позиции

Сточкизренияасоциальногопсихопата, уголовныйкодекс— этоменю развлечений. Ценауказанавколонкесправа

потрогай!», тоэто— непрерванное ввидунесогласияоднойизсторон общение, поэтомупрерывающая сторона(т.е. ты) будетчувствовать себядискомфортно. Выходпрост— осознай(заранееосознай), что тычеловексвободный. Скем хочешь— разговариваешь, скем нехочешь— неразговариваешь. Утебянетникакихобязанностей поотношениюкуличным(не) знакомцам.

Что, простыевещи? Простые— не простые, абольшинствожертв инопланетныхзахватчиковэтих вещейнеразумеют, ипотомуих общениепереходитвследующую фазу. Хотя, стоп, здесьестьеще одинмомент(подтверждающий предыдущееутверждениеотом, чтоконтактпрощенедопустить, чемразорвать). Деловтом, чтопо мереразвитиясобытийсопротивлятьсяразрывуконтактабудетуже неоднатвояпсихология, аещеи самкидаласосвоимиколлегами. Запримерамидостаточнообратитьсякреальнойжизни. Померил пятьпаробувинарынкеиничего некупил? Продавецобижени дажерассержен, ондавитнатебя, утверждаянечтовроде«померил— таккупи!» Спросилдорогуу водителямаршрутки, асампоехал нарядомстоящемавтобусе(про-