巧妙收集入侵Windows系統的證據

[psac]

巧妙收集入侵Windows系統的證據
隨著網路的不斷擴大，網路安全更加會成為人們的一個焦點，同時也成為是否能進一步投入到更深更廣領域的一個基石。



當然網路的安全也是一個動態的概念，世界上沒有絕對安全的網路，只有相對安全的網路。


相對安全環境的取得可以通過不斷地完善系統程序（及時給系統漏洞打上不同的修正檔和給系統昇級）、裝上防火牆，同時對那些膽敢在網路上破壞秩序做出不義行為的人給予恰如其分的處理。



這必然要牽涉到證據的收集，本文正是對這一方面的內容針對Windows系統進行研究。

一、Windows系統特性
Windows作業系統維護三個相互獨立的日誌文件：系統日誌、應用程式日誌、安全日誌。


1.系統日誌


系統日誌記錄系統工作和設備驅動程式的活動。它稽核的系統事件包括啟動失敗的設備驅動程式、硬體錯誤、重複的IP位址，以及服務的啟動、暫停和停止。




系統日誌包含由系統元件記錄的事情。例如在系統日誌中記錄啟動期間要載入的驅動程式或其他系統元件的故障。由系統元件記錄的事件檔案類型是預先確定的。系統日誌還包括了系統元件出現的問題，比如啟動時某個驅動程式載入失敗等。

2.應用程式日誌

應用程式日誌包括關於用戶程序和商業通用應用程式的執行方面的錯誤活動，它稽核的應用程式事件包括所有錯誤或應用程式需要報告的訊息。



應用程式日誌可以包括效能監視稽核的事件以及由應用程式或一般程序記錄的事件，比如失敗登入的次數、硬碟使用的情況和其它重要的游標；比如資料庫程序用應用程式日誌來記錄文件錯誤；比如開發人員決定所要記錄的事件。

3.安全日誌

安全日誌通常是在應急回應調查階段最有用的日誌。



調查員必須仔細瀏覽和過濾這些日誌的輸出，以識別它們包含的證據。安全日誌主要用於管理員記載用戶登入上網的情況。在安全日誌中可以找到它使用的系統稽核和安全處理。


它稽核的安全事件包括用戶特權的變化、文件和目錄訪問、列印以及系統登入和註銷。


安全日誌可以記錄諸如有效的登入嘗試等安全事件以及與資源使用有關的事件，例如新增、開啟或移除套用文件。管理員可以指定在安全日誌中記錄的事件。


例如如果你啟用了登入稽核，那麼系統登入嘗試就記錄在安全日誌中。
二、尋找「顯形」證據



系統工具提供了對系統進一步的監視，在效能監視器中可以看到其圖形化的變化情況。而計數器日誌、跟蹤日誌和警報則提供了對本機或遠端系統的監視記錄，並可根據預定的設定進行特定的跟蹤和報警。


還可利用不同的用於組態、管理COM元件及套用的元件服務工具記錄或尋找相關資訊。


1.檢視三大日誌


在電腦上維護有關應用程式、安全性系統事件的日誌，可以使用事件檢視器 檢視並管理事件日誌。它用於收集電腦硬體、軟體和系統整體方面的錯誤訊息，也用來監視一些安全方面的問題。它可根據應用程式日誌、安全日誌和系統日誌來源將記錄分成3類。



事件檢視器 顯示以下幾種事件檔案類型：error是指比較嚴重的問題，通常是出現了資料遺失或功能丟失掉。例如如果在啟動期間服務載入失敗，則會記錄錯誤。Warning指出警告則表明情況暫時不嚴重，但可能會在將來引起錯誤，比如磁牒空間太少等。



Information描述應用程式、驅動程式或服務的成功操作的事件。例如成功地載入網路驅動程式時會記錄一個訊息事件。



Success audit稽核訪問嘗試成功。例如將用戶成功登入到系統上的嘗試作為成功稽核事件記錄下來。Failure audit稽核安全嘗試失敗。例如如果用戶試圖訪問網路驅動器失敗，該嘗試就會作為失敗稽核事件記錄下來。
注意啟動系統時事件日誌服務會自動啟動，所有用戶都可以檢視應用程式日誌和系統日誌，但是只有管理員才能訪問安全日誌。


預設情況下會關閉安全日誌，所以管理員要記住設定啟用。管理員既可以使用群組原則啟用安全日誌記錄，也可以在註冊表中設定原則使系統在安全日誌裝滿時停止執行。



關於主機的檢測器可以檢測到系統類庫的改變或敏感位置文件的增加。當結合所有現有的關於網路的證據片斷時，就有可能重建特定的網路事件，諸如文件傳輸、緩衝區溢位攻擊，或在網路中使用被盜的用戶帳號和密碼等。



當調查電腦犯罪時，會發現很多潛在證據的來源，不僅包括關於主機的日誌記錄，而且還包括網路的日誌記錄以及其它的傳統形式，如指紋、證詞和證人。大多數的網路流量在它經過的路徑上都留下了監查蹤跡。路由器、防火牆、伺服器、IDS檢測器及其它的網路設備都會儲存日誌，記錄關於網路的突發事件。



DHCP伺服器會在PC請求IP租用時記錄網路訪問。現代的防火牆允許管理員在新增監查日誌時有很多種粒度。IDS檢測器可以根據簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分。



關於網路的日誌記錄以多種形式儲存於，可能源自不同的作業系統，可能需要特殊的軟體才能訪問和讀取，這些日誌在地理上是分散的，而且常常對當前系統時間有嚴重錯誤的解釋。調查人員的挑戰就在於尋找所有的日誌，並使之關聯起來。



從不同系統獲得地理上分散的日誌、為每個日誌維護保管鏈、重建關於網路的突發事件，這一切都需要消耗大量的時間和密集的資源。

2.檢查相關文件、執行關鍵詞搜尋
Windows系統同時進行對很多文件的輸入和輸出，所以幾乎所有發生在系統上的活動都會留下一些發生的痕跡。



它有許多臨時文件、高速快取文件、一個跟蹤最近使用文件的註冊文件、一個保留移除文件的資源回收桶和無數的儲存於執行時間資料的其它位置。



在調查知識產權或所有權、訊息的所有權、性騷擾以及任何實際上包含關於文本通信的問題上，對目標硬碟驅動器執行字串串搜尋是非常重要的。


很多不同的關鍵詞可能對調查非常重要，這些關鍵詞包括用戶ID、密碼、敏感資料（程式碼字）、已知的檔案名和具體的主題詞。字串串搜尋可以在邏輯文件結構上執行，也可以在物理層次上執行。

3.鑒定未使用權的用戶帳號或組、「流氓」工作

檢查用戶管理器，尋找未使用權的用戶帳號；使用usrstat瀏覽域控制器中的域帳號，尋找可疑的項目；使用Event Viecser檢查安全日誌，篩選出事件為增加新帳號、啟用用戶帳號、改變帳號組和改變用戶帳號的項目。




鑒定檢查一個執行系統時，鑒定「流氓」工作是非常簡單的。因為大部分「流氓」工作都要監聽網路連接或探測網路以獲得純文本的用戶ID和密碼，這些工作很容易在執行程序中被發現。



plist指令將列出正在執行的工作，listdlls將提供每個執行中工作的完整的指令行參數，fport將顯示監聽的工作以及他們所監聽得到連接阜。對於未執行的系統上「流氓」工作，方法是在證據的整個邏輯磁碟區內使用最新的病毒掃瞄程序進行掃瞄。如果選項在還原映像的文件系統上執行病毒檢查工具，必須保證這個磁碟區是唯讀的。

4.尋找隱藏文件和恢復被移除文件

所有的壞人都想隱藏一些事情，他們採取這樣的辦法：

一旦一個內部攻擊者選項在他的系統上執行未使用權或不受歡迎的工作，他可能會讓一些文件不可見。這些攻擊者可能利用NTFS文件流，在合法文件後隱藏資料。還有可能改變檔案的副檔名或特意將檔案名命為重要系統檔案的名字，最後還可以把文件移除。




我們知道被移除的文件並不是真正被移除了，它們只是被標記為移除。這就意味著這些文件仍儲存完好，直到新資料的寫入覆蓋了這些被移除文文件所在硬碟驅動器的物理空間。也就是說越早嘗試，恢復一個文件成功的機會就越大。



File Scavenger甚至可能在硬碟被重新格式化後還能進行恢復。

5.檢查未使用權的訪問點和安全標幟符SID
當檢查到一個受害系統時，必須鑒別系統的訪問點以確定進行訪問的方式，一些工具都是鑒別系統訪問點的重要工具，它們使用API使用以讀取內核及用戶空間的TCP和UDP連接表的內容。如果想捕獲這一訊息，需要允許通過還原映像啟始系統。




如果想在檢查執行系統時完成這一步，則要在關閉系統以進行映像之前，比較這兩個操作的結果，它們的差異表明存在未使用權的後台程序。
SID用於唯一地標幟一個用戶或一個組。每一個系統都有自己的標幟符。電腦標幟府和用戶標幟符一起構成了SID.因此SID可以唯一地標幟用戶帳號。


所以我們需要比較在受害電腦上發現的SID和在中央認證機構記錄的SID。

6.檢查Scheduler Service執行的工作
攻擊者常用的一個原則是讓調度事件為他們開啟後門程序、改變稽核原則或者完成更險惡的事。比如移除文件。惡意的調度作業通常是用at或soon工具調度它們的。


不帶指令行參數的at指令可以顯示任何已調度的作業。

7.分析信任關係
WINDOWS NT系統支持不可傳送的或單向的信任。這意味著只能單方向提供訪問和服務。即使你的NT PDC信任其它域，這個被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務，但是反過來就不行。



WINDOWS 2000則支持可傳送的信仰。

三、「隱形」證據的尋找
由於攻擊者的詭密性日益提高，他們還使用隱蔽信道的方法躲避檢測。我們將隱蔽信道定義為所有秘密的、隱藏的、難以檢測的通信方式。



所有與此相關的證據稱為「隱形」證據。

1.難以檢測、回放的行為
所捕捉或被監視到的，但是還需要進行進一步詳細檢查才能識別出的那些未經使用權的流量。



這些行為包括諸如Loki 2.0 HTTP指令信道和郵件隧道效應等ICMP和UDP隱蔽信道。


尋找辦法就是仔細檢查所監視到的流量，提高鑒別能力。




包括任何檔案類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構的各種行為。檢視會話的最一般阻礙就是加密。更多的經驗豐富的攻擊者可以建立加密信道，使得網路監視失效。許多網路傳輸協定本質上就是難以回放的，X Windows通信、Netbus通信和其它傳輸大量圖形訊息的遠端會話都是很難再現的。




監視加密通信並不是完全沒用，因為它可以證明在確定的IP位址之間沒有進行通信。所需的證據就在於這些端點上。

2.難以跟蹤到源IP位址的攻擊行為
它可以通過拒絕服務攻擊得到最好的證明。源IP位址通常是被偽裝的，這就使得通過源位址跟蹤源電腦是非常困難的。以日誌文件或嗅探器捕獲文件形式儲存的電子證據所報告的是錯誤資料。



被偽裝的郵件或欺騙性的電子郵件也對按電子郵件跟蹤到這些消息的原始電腦提出了挑戰。


人們會發現中繼電子郵件伺服器位於一個法律上不合作的國家，並通過此伺服器傳送偽造電子郵件。這些中繼電子郵件伺服器通常記錄了原始電腦的IP位址，但是由於位於不合作的外國，所以無法獲得這些訊息。加大在網路邊界的監視，充分發揮網路閘道的識別作用，才是解決此類問題的唯一所選。

3.使得證據難以收集
通過下列方式可以使證據難以收集——加密文件、安裝可安裝載入的核心模組以便利用你的作業系統來對付你，以及對二進制文件使用「特洛伊木馬」使攻擊者的痕跡不過於明顯。攻擊者阻礙收集證據的另一個技巧是不斷改變遠端系統的連接阜。當攻擊者以一種看起來隨機的方式頻繁地修改連接阜以啟始化與受攻擊系統的連接時，調查員很難實施獲得相關資訊的程序。




對於此種證據的尋找，我們採取在線被動的網路監視辦法以及通過IDS、 防火牆和其他訊息源知道有關攻擊的多種標誌,同時不斷總結有效的分析網路通信的調查方法。


在網路中發現非法的伺服器或通信的非法通道，這是最有效的方法。


它為確定可疑行為的程度和確定以非法方式通信的相關係統提供了一種方法，以便確定將系統保持在線狀態所冒的風險和系統脆弱程度。根據這些訊息，可以採取適當的後續步驟或防範措施。同時並加大培訓力度，不斷提高監視技巧，加強有力的自動分析工具的開發。

4.免受監視的行為
包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介品質保證存文件、看上去無害的Web通信，以及源於內部IP位址的通信。


尋找此類證據的唯一方法就是監視盡可能多的通信。


為了維持對攻擊者的優勢，預見攻擊的變革是十分必要的。只有瞭解攻擊者的目標才能知道可能遭受攻擊的地方。


只有瞭解這些目標才有可能預見到在網路上發生的攻擊，由此我們既要熟悉合法通信的標準，又要深入瞭解各種網路傳輸協定本身然後進行網路監視並仔細檢查網路通信以便驗證各種不同檔案類型的隱蔽通道，尋找出不同的隱形證據。




電腦取證技術的研究是一個相當複雜的課題，本文力圖從兩個方面來對電腦取證技術的程序和步驟進行探討，提出了一種較為完善的由易到難、由簡單到複雜的方法。


我們可以通過對「顯形」證據尋找的辦法支持在小區域網路、軍隊網進行電腦取證，也支持在互聯網上尋找一些簡易的取證，通過對「隱形」證據尋找的辦法支持在大的區域網路甚至在互聯網上尋找複雜的取證，為調查人員提供重要的調查線索和證據來源。