Расследование инцидентов в ОС Windows

Advisor
vladb@windowslive.com
http://vladbez.spaces.live.com

Heiser, авторов книги «Computer Forensics: Incident Response Essentials», компьютерные расследования

это – "сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины".

о проведенном расследовании.

предотвратить дальнейшее нанесение ущерба злоумышленниками.

делать, если у вас нет написанной политики по реагированию на

инциденты?
Документирование
Главной задачей является защитить организацию от нанесения дальнейшего ущерба.
Ваши решения и доказательства могут быть оспорены в суде.

проведения расследования?
Существуют ли принятые в вашей организации политики и процедуры,

в которых описаны правила обращения с конфиденциальной информацией?
Описаны ли в этих политиках и процедурах правила проведения внутреннего расследования в случае инцидента?
Если вы не уверены в ваших полномочиях, проконсультируйтесь с вашим руководством и юристами.

проблем неправильной обработки результатов проведенного расследования. В число таких проблем

могут входить:
Персональные данные скомпрометированных клиентов;
Нарушение любых государственных законов;
Несение уголовной или административной ответственности за перехват электронных сообщений;
Просмотр чувствительной или привилегированной информации.

должны надежно храниться, при этом контроль за доступом к ним

должен быть ужесточен;
По окончании расследования все данные, включая документацию, в течение периода времени, согласованного с юристами или в соответствии с законодательством, должны находиться под пристальным вниманием.
В случае если вы не обеспечите безопасное хранение доказательств, вы не обеспечите доверие собранным в ходе расследования доказательствам. Сохранность доказательств достигается при наличии документации, поддающейся проверке.

важно определить группу реагирования на инциденты.
Чрезвычайно важно, чтобы члены

группы имели навыки проведения подобных расследований

проводить расследование.
Назначьте членов группы расследования и определите их обязанности.
Назначьте

одного из членов группы как технического руководителя.

группы расследования ее состав должен оставаться в тайне.
В случае отсутствия

в организации должным образом подготовленного персонала, к расследованию может привлекаться доверенная внешняя группа, обладающая необходимыми знаниями.
В случае проведения расследования вам необходимы гарантии, что каждый член группы обладает необходимыми полномочиями для решения поставленной задачи. Данный пункт особенно важен в случае привлечения внешней группы по проведению расследований.
Важно! Так как некоторые цифровые доказательства являются энергозависимыми, то критическим фактором проведения расследования становится время.

текущее и потенциальное воздействие инцидента на бизнес организации, позволяет идентифицировать

затронутую инфраструктуру и как можно полнее оценить ситуацию.
Эта информация позволит вам быстрее определить соответствующее направление работы.

ли инцидент данные ваших клиентов, финансовые данные или конфиденциальные данные

компании.
Не забудьте оценить потенциальное влияние инцидента на связи с общественностью.

организации.
Проанализируйте возможные нематериальные потери - воздействие на репутацию организации,

мораль служащих и т.д.
Не стоит раздувать серьезность инцидента.

инцидентом
Идентифицируйте сеть (сети), вовлеченную в инцидент, количество, типы и роли

затронутых инцидентом компьютеров.
Изучите топологию сети, включая детальную информацию о серверах, сетевых аппаратных средствах, системах сетевой защиты, подключениях к Интернет.
Идентифицируйте внешние запоминающие устройства.

инцидентом
Идентифицируйте любые удаленные компьютеры, подключаемые к вашей компьютерной сети.
В случае

необходимости (если вам требуется оперативный анализ), фиксируйте сетевой трафик.
Важно! Network sniffing (фиксация сетевого трафика) может нарушить режим секретности. Это зависит от собранного контента. Поэтому стоит быть чрезвычайно осторожным при разворачивании подобных средств сбора данных.

инцидентом
Для исследования состояния приложений и операционных систем на компьютерах, которые

затрагивает ваше расследование, используйте инструментальные средства.
Важно! Часть информации, которая будет собрана в результате этой оценки, будет зафиксирована вашими инструментами в реальном времени. Вы должны гарантировать надежную сохранность любых записей или сгенерированных файлов регистрации, чтобы предотвратить потерю этих энергозависимых данных.

в инцидент лиц и возьмите у них интервью.
Документируйте все

результаты интервью.
Восстановите и сохраните:
информацию (файлы журналов) внешних и внутренних устройств сети, таких как систем сетевой защиты и маршрутизаторов, которые могли бы находиться на возможном пути атаки.
общедоступную информацию, типа IP-адреса и имени домена, для возможной
идентификации атакующего можно получить с помощью Windows Sysinternals Whois.

определили результат стадии оценки ситуации.
В результате данной стадии вы

должны получить детальный документ, содержащий информацию, которую вы посчитаете необходимой и обеспечивающий отправную точку для следующей стадии.

бизнес организации.
Детальная топология сети с подробными указаниями о том, какие

компьютерные системы и каким образом скомпрометированы.

и администраторами скомпрометированных систем.
Результаты любых юридических и сторонних взаимодействий.
Сообщения и

файлы журналов, сгенерированные инструментальными средствами, используемыми на стадии оценки.
Предложенное направление и план действий

компьютерного расследования поможет в дальнейшем ходе расследования.

Создаваемая вами документация

является доказательством, которое может использоваться в последующих юридических процедурах.

быть легко повреждены.

расследования вашей организации потребуется коллекция аппаратных и программных средств для

сбора данных в ходе расследования.
Такой инструментарий должен содержать ноутбук с набором соответствующих программных средств, операционных систем с соответствующими обновлениями, мобильными носителями, сетевым оборудованием и набором соответствующих кабелей.

При использовании инструментальных средств для сбора данных важно определить вначале,

был ли установлен rootkit.
Rootkits — программные компоненты, которые управляют компьютером и скрывают свое существование от стандартных диагностических инструментальных средств.
В случае сбора данных по сети, вы должны учитывать тип собираемых данных и те усилия, которые для этого потребуются.

включая следующую информацию:
Кто выполнил действие и почему?
Что этим пытались достигнуть?
Как

конкретно выполнено действие?
Какие при этом использованы инструменты и процедуры?
Когда (дата и время) выполнено действие?
Какие результаты достигнуты?

используется комбинация автономных и интерактивных методов проведения расследования.
При проведении автономных

расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. При проведении интерактивного расследования анализ выполняется на оригинальном оперативном доказательстве. Лица, участвующие в проведении расследования, должны быть особенно осторожны ввиду риска модификации доказательств.

Информация включает роль сервера, файлы логов, файлы данных, приложения.
Лог-файлы внутренних

и внешних сетевых устройств.
Внутренние аппаратные компоненты (например сетевые адаптеры).
Внешние порты – Firewire, USB и PCMCIA.
Запоминающие устройства, включая жесткие диски, сетевые запоминающие устройства, сменные носители.
Переносные мобильные устройства – PocketPC, Smartphone и MP3-плееры.

сбора данных.
Учтите, что энергозависимое доказательство может быть легко разрушено

при выключении питания.

извлечь любые устройства внутренней памяти, то необходимо проверить, чтобы все

энергозависимые данные были зафиксированы, а затем выключить компьютер.
Решите, удалить ли запоминающее устройство или использовать вашу собственную систему для фиксирования данных.
Создайте поразрядную копию доказательства на резервном носителе, гарантируя что оригинальное доказательство защищено от записи.
Документируя запоминающие устройства, гарантируйте включение информации об их конфигурации

создайте контрольные суммы и цифровые подписи, чтобы гарантировать, что скопированные

данные идентичны оригиналу.
Учтите, что в некоторых случаях (например, наличие сбойных секторов на носителе данных) вы не сможете создать абсолютную копию.

в физически безопасном месте.
Документирование физического и сетевого доступа к этой

информации.
Гарантия того, что неуполномоченный персонал по сети или иным способом не имеет доступа к доказательствам.
Защита комнат и оборудования, в которых хранятся носители, содержащие доказательства, от воздействия электромагнитных полей и статического электричества.

менее двух копий доказательств, собранных вами в ходе расследования. При

этом одна из копий должна храниться в безопасном месте вне основного здания.
Необходимо гарантировать, что доказательство защищено как физически (например, помещая его в сейф) так и в цифровой форме (например, назначая пароль на носители данных).
Необходимо ясно и понятно документировать весь процесс хранения информации доказательства.
Создайте журнал контроля, который включает следующую информацию: о имя человека, исследующего доказательство; о точная дата и время начала работы с доказательством; о точная дата и время его возврата в хранилище.

исследуется сам компьютер.
При проведении данного типа анализа необходимо быть

крайне осторожным, чтобы не испортить доказательства.

При этом используется следующая процедура:
Исследуйте сетевые лог-файлы на наличие любых

событий, которые могут представлять для вас интерес. Как правило, лог-файлы содержат огромные объемы данных, так что Вы должны сосредоточиться на определенных критериях для событий, представляющих интерес. Например, имя пользователя, дата и время, или ресурс, к которому обращались во время инцидента.
Исследуйте систему сетевой защиты, прокси-сервер, систему обнаружения вторжения и лог-файлы служб удаленного доступа.
Рассмотрите лог-файлы сетевого монитора для определения событий, произошедших в сети.
С помощью любого сниффера рассмотрите сетевые пакеты.
Определите, зашифрованы ли сетевые подключения, которые вы исследуете.

компонентах, как операционная система и установленные приложения. Используйте следующую процедуру:
Идентифицируйте

собранные вами материалы. Стоит учесть, что собранных с рабочих станций данных будет намного больше, чем необходимо для анализа инцидента.
Вы заранее должны выработать критерии поиска событий, представляющих интерес для расследования.

полученных вами на стадии сбора данных.
Исследуйте данные операционной системы и

любые данные, загруженные в память компьютера, для того, чтобы определить, выполняются ли (подготовлены к запуску) любые злонамеренные приложения или процессы.

полученных вами на стадии сбора данных.
Исследуйте выполняющиеся прикладные программы, процессы,

сетевые подключения.

данных, будут содержать много файлов. Однако вам придется проанализировать эти

файлы, чтобы определить их причастность (или непричастность) к инциденту.
Ввиду огромного количества файлов, эта процедура может быть чрезвычайно сложной.

расположенные на собранных носителях данных, можно использовать следующую процедуру:
Проведите автономный

анализ поразрядной копии оригинального доказательства.
Определите, использовалось ли шифрование данных (Encrypting File System (EFS) в Windows Microsoft). Для установления факта применения EFS вам потребуется исследование определенных ключей реестра.
Если вы подозреваете, что шифрование данных все же использовалось, то вам придется определить, сможете ли вы фактически прочитать зашифрованные данные.

расположенные на собранных носителях данных, можно использовать следующую процедуру:
В случае

необходимости распакуйте любые сжатые файлы.
Создайте дерево каталогов.

расположенные на собранных носителях данных, можно использовать следующую процедуру:
Идентифицируйте файлы,

представляющие интерес.
Исследуйте реестр для получения информации о процессе загрузки компьютера, установленных приложениях (включая загружаемые в процессе запуска) и т.д.

расположенные на собранных носителях данных, можно использовать следующую процедуру:
Исследовать содержание

всех собранных файлов, чтобы идентифицировать те из них, которые могли бы представлять интерес.
Изучить файлы метаданных, представляющие интерес,
Следует учесть, что атрибуты файла (метка времени) могут показать время создания, последнего обращения и последнего изменения, которые могут быть полезны при исследовании инцидента.
Для просмотра идентифицированных файлов используйте специальные средства просмотра этих файлов, что позволит просматривать файлы без использования создавшего эти файлы оригинального приложения.
После того, как вы проанализируете всю доступную информацию, вы сможете подготовить заключение.

полученные на всех стадиях проведения расследования.
Идентифицируйте те части из документации,

которые соответствуют целям расследования.
Идентифицируйте факты, поддерживающие выводы, которые затем вы будете делать в отчете.
Создайте список всех доказательств, которые будут представлены в отчете.
Перечислите любые заключения, которые затем будут представлены в вашем отчете.
Классифицируйте информацию, собранную вами, чтобы гарантировать, что ясный и краткий отчет – результат расследования.

он рассчитан, и причины создания данного отчета.
Авторы отчета. Перечислите всех

авторов и соавторов отчета, включая их позиции, обязанности в течение расследования.
Краткое описание инцидента. Опишите инцидент, объясните его воздействие. Описание должно быть составлено таким языком, чтобы нетехнический человек мог понять, что и каким образом произошло.

расследования. При описании доказательств укажите, как оно было получено, когда,

кем и каким образом.
Подробности. Обеспечьте детальное описание того, как были проанализированы доказательства, какие методы анализа при этом использовались. Объясните результаты анализа. Перечислите процедуры, которыми сопровождалось расследование и использованные методы анализа. Включите в отчет доказательства ваших результатов.

заключение, однако не указывайте чрезмерно подробно как было получено это

доказательство. Заключение должно быть максимально ясно и однозначно.
Приложения. Включите любую основную информацию, упомянутую в отчете, типа сетевых диаграмм, документов, описывающие используемые компьютерные процедуры расследования и краткие обзоры технологий, используемые при проведении расследования.