经过“调查”后,后来发现该黑客行为不如预期的严重(并且少于预期)。组织(不一定是TalkTalk -正是促使我问的原因)是否检查了被黑客入侵的内容?我敢肯定有很多方法。但是“主要”是什么?
#1 楼
一言以蔽之:取证。计算机取证是检查系统并确定先前发生的情况的技术。对文件和内存工件(尤其是文件时间轴)的检查可以非常清晰地描绘出攻击者的行为,攻击者的行为以及所采取的行动。 Windows系统转储时,不仅可以提取攻击者键入的命令行,还可以提取他们由于运行这些命令而看到的输出。在确定影响方面非常有用,是吗?
取决于折衷的新鲜程度,有可能对发生的事情有很多了解。概述各种计算机取证领域和技术非常有用,我很乐意为您做这些工作。它们包括但不限于以下内容(我将使用我的粗略术语;它们不是官方的也不是全面的):
日志/监控取证:使用“外部”集中式日志,防火墙日志,数据包捕获和IDS命中之类的数据跨越了“检测”和“取证”之间的界限。某些数据,例如日志(甚至是集中式的日志),不能完全或真实地被信任,因为攻击者一旦控制了系统就可以对其进行过滤或注入。诸如防火墙,IDS或数据包记录器(例如(以前)NetWitness)之类的系统外数据包日志记录工具不太可能被篡改,但仅包含有限数量的信息;通常仅记录IP对话,有时还记录与恶意活动相关的签名(例如HTTP URL)。
除非在折衷方案中使用了未加密的网络连接,否则这些工具很少能够详细说明折衷方案期间的活动,因此(回到原始问题)不要“检查被黑的内容”。另一方面,如果使用未加密的连接(ftp)泄露数据,并记录了完整的数据包,则有可能确切地知道攻击者用了什么数据。
实时取证:更准确地说,是“事件响应”的一部分,即所谓的“实时”取证包括登录系统并环顾四周。研究人员可以枚举进程,查看应用程序(例如浏览器历史记录)并浏览文件系统以查找发生了什么情况的迹象。同样,这通常旨在验证是否发生了泄露,而不是确定泄露的程度,因为被泄露的系统能够隐藏文件,进程,网络连接,甚至是它想要的任何东西。有利的一面是,它允许您访问关闭系统以对磁盘进行映像后无法使用的驻留内存的东西(进程,开放的网络连接)(但是,再次,如果系统受到威胁,它可能就在说谎!) )
文件系统取证:制作完磁盘副本后,可以将其挂载在干净的系统上并进行浏览,从而消除了受到破坏的操作系统“说谎”有关文件的任何可能性地点。存在使用各种时间戳和其他可用元数据来构建时间表的工具,
合并文件数据,注册表数据(在Windows上),甚至是应用程序数据(例如浏览器历史记录)。使用的不仅仅是文件写入时间;文件读取时间可以指示查看了哪些文件以及执行了哪些程序(以及何时执行)。可疑文件可以通过干净的防病毒检查程序,创建和提交的签名,可执行文件加载到调试器中以及浏览用于搜索关键字的“字符串”来运行。在Unix上,“历史”文件-如果没有被攻击者关闭-可能会详细说明攻击者输入的命令。在Windows上,卷影复制服务可能会提供过去已清除的活动的快照。
这是最常用于确定威胁范围和程度并确定哪些数据的步骤可能已经访问过和/或未曾访问过。这是我们“检查被黑客入侵的内容”的最佳答案。
磁盘取证:删除的文件从文件系统中消失,但从磁盘中消失。同样,聪明的攻击者可能会将其文件隐藏在现有文件的“空闲空间”中。这些东西只能通过检查原始磁盘字节才能找到,并且存在诸如The Sleuth Kit之类的工具来将原始数据撕裂并确定其对过去的意义。如果有一个.bash_history文件,并且攻击者在注销前的最后一步将其删除,则该文件可能仍作为磁盘块存在,并且可以恢复。同样,下载的攻击工具和被窃取的临时数据文件可以帮助确定威胁的范围。
内存取证:如果调查人员可以尽快到达那里,并获得有关系统内存的快照,那么他们可以彻底探究折衷的深度。攻击者必须破坏内核才能从程序中隐藏,但是如果可以制作出内核内存的真实映像,则无法隐藏已完成的操作。就像磁盘块中包含的数据已从文件系统中删除一样,内存转储中包含的是过去在内存中的数据(例如命令行历史记录和输出!),但尚未被覆盖...以及大多数数据不会很快被覆盖。
还想要吗?有培训课程和认证以学习法医;可能最常见的公开培训来自SANS。我持有他们的GCFA(“法证分析师”)证书。您还可以查看Honeynet项目的挑战,在其中,当事方竞争,从磁盘上发现映像,内存转储和来自实际折衷的恶意软件样本的情况下展开竞争-他们提交发现结果的报告,以便您查看各种工具
反法医学是评论中的热门话题-基本上,“攻击者难道不能隐藏他们的踪迹吗?”有很多方法可以解决这个问题-请参阅此技术列表-但它远非完美,也不是我所说的可靠。当您认为“网络间谍的'上帝'”竟然占据了硬盘驱动器的固件以维持对系统的访问而又不对系统本身留下任何痕迹时-仍然被发现-很明显最后,发现证据要比删除证据容易。
评论
一些公司还可以将追溯日志分析作为工具,在其中收集有关入侵的数据,但不采取任何行动。令人担忧的是,在业务安全性不被认为是全职员工值得的情况下,这是非常普遍的。在这种情况下,日志可能包含有关所访问数据的所有详细信息,但是直到通过其他方式(无论是媒体报告还是客户抱怨已访问其帐户的客户)发现违规之前,没有人会查看它们。
–马修
2015年10月27日,11:50
有关的攻击者在离开系统之前不会清除所有这些信息吗?在最终内存有限的情况下,攻击者可以访问内存的该部分以擦除它,也可以泛洪该内存以将旧内容替换为新内容。可以吗
– YoMismo
2015年10月27日14:18
@YoMismo,简短的版本是:“这不是那么容易。”尽管许多攻击者会尝试从磁盘清除其踪迹,但这并不容易-这就是时间线分析的全部内容,即从元数据中推断活动。很少有人尝试限制其内存占用量,并且不可能完全做到这一点-至少,您会留下占用空间清除程序的占用空间! “所有数据都留下了痕迹。搜索数据留下了痕迹。数据擦除留下了痕迹。在适当的情况下,没有数据可能会留下最清晰的线索。” -弗里德曼
– gowenfawr
15-10-27在14:37
感谢您添加详细信息。我同意亚历克斯的说法,在添加详细信息之前,答案仅指向同样未定义的“取证”一词。为了使答案有用,您必须以听众熟悉的水平进行交谈。如果您知道什么是计算机取证,那么您已经知道问题的答案。
– Steve Sether
15-10-27在19:06
@ YoMismo,……有一次,当设计一个特别敏感的系统时,我确实在串行线上记录了用于读取通信中断的引脚-实际上是一个只写接口,另一端的系统可以访问仅由亲自进入安全区域的人员执行。当情况允许时,您可以做很多事情。
–查尔斯·达菲(Charles Duffy)
15-10-27在23:04
#2 楼
在技术部门工作时,我将如何操作如下:查找hack,漏洞,薄弱环节。
检查系统日志,dmesg,访问权限.log和error.log来确认论文。 (当入侵网络时,通常在TalkTalk是MySQL注入的情况下中断系统,这样做会在mysql.err日志中留下错误,以至于您必须中断它。) />复制hack,复制hack将使您了解hack的深度,并可以估算出破坏程度。攻击,您将看到攻击者看到的内容。
评论
这个答案是对其他答案的一个很好的补充,因为它可以解决“黑客”通常不能完全访问系统的问题,但是通常是系统特定部分的泄漏。
–桑奇塞斯
15-10-27在12:42
您为什么不使用编号列表? (您可以将替换为。)
– A.L
15-10-27在13:01
因为我不想。
–隐藏
15-10-27在13:18
我认为这是不正确的。首先,通过“ MySQL注入”,我假设您的意思是“ SQL注入”,这不是仅限于MySQL的漏洞。其次,如果我的注入攻击要更改,我认为数据库的错误日志中不一定会有任何痕迹:...其中userId ='123'变为... where userId =''或1 = 1是完全有效的SQL,数据库不会将其识别为错误。
– DaveyDaveDave
15-10-27在14:02
@silverpenguin:合理的观点,但是我试图证明的是,您对“要闯入必须要打破”的一般主张不一定是正确的。
– DaveyDaveDave
15-10-27在14:36
#3 楼
除了对取证(和评论)的出色回答外,一些组织还使用入侵检测系统(例如“ Snort”(网络入侵检测)和OSSEC(基于主机的检测系统)以及许多其他供应商,例如Cisco等进行记录)例如,基于主机的入侵检测系统经常在服务器上记录文件更改,因此法医调查可以显示在给定时间内哪些文件已被更改,法医调查员可以使用此工具将某些用户或攻击者的活动汇总在一起。
攻击者还将在整个基础架构中的日志中留下跟踪,从防火墙日志到服务器日志,服务日志(Web,SMTP等)以及这些可以提供重要的线索。但是,攻击者可能会更改这些日志,除非它们被设计为安全且不可更改,例如通过将日志集中在只写介质上。
一旦攻击者获得特权访问,手套就可以脱下来,并且可以篡改或删除日志。
最后,一切都取决于准备-组织是否已准备好应对入侵和随后的取证工作。这应该是每个公司安全计划的一部分。
评论
这也将取决于攻击者是否发现/了解每个日志。
–丹·亨德森(Dan Henderson)
15-10-27在15:00
@DanHenderson,但是您如何知道未找到的日志和植入的错误日志之间的区别?
–詹姆斯·瑞安(JamesRyan)
2015年11月3日,10:56
因为您需要一种方法来确保日志不会被篡改(或至少需要合谋才能这样做)。实现此目的的最佳方法是将日志写入一次写入介质(在* nix系统中,您可以将驱动器安装为“仅追加”)或写入安全的集中式日志服务器。
– David Scholefield
2015年11月3日,12:12
@JamesRyan一个发现的伪造日志将与另一个发现的伪造日志一致。未找到的日志将与伪造的日志相抵触。
–丹·亨德森(Dan Henderson)
15年11月3日,17:06
#4 楼
我还没有看到它,这是likley进行此类调查的主要资源,尤其是围绕数据访问的一项资源:RDBMS审核可以是确定确切数据已被访问的主要资源。 ,何时,由谁。当然,这取决于配置方式或配置方式。
例如,SQL Server审核允许检索用户ID,时间戳和提交给服务器的实际查询,从而允许完全重新配置。 -构造被盗的数据集。
审计系统应内置冗余,以防止篡改审计线索。其中一些可能存储在RDBMS中,而另一些可能写入外部源。 SQL Server可以将审核记录到Windows安全日志中。
#5 楼
gowenfawr提到了系统取证,但是几乎总是通过日志来识别受感染的资产。如果您进行了足够的搜索,则日志/应该/始终表示受感染的资产。无论您是否具有检测外部登录/ bruteforce尝试/ SQL注入尝试的IDS,还是手动搜索日志中提到的内容,都有几种方法可以引起您的注意。资产已被识别,您可以开始对该资产进行法医检查。大多数情况下,日志可能不会报告其他信息,尤其是看起来好像文件已删除以维护攻击者访问权限时。内存抓取和逐步分析丢弃的文件的功能将帮助安全团队/ IR团队了解正在发生的事情,最初发生的危害,利用的漏洞以及潜在的攻击源(真正的来源)。#6 楼
他们可以检查一些我可以随机提及的内容:防火墙的日志
IDS和路由器的日志
文件系统/>事件
计划任务
#7 楼
如果有人用被盗的钥匙闯入您的房子,却没有偷东西,您怎么知道?通常,您会的。想想如何检测事件的方式。就像在厨房台面上打开的一封信一样愚蠢,您可能不记得阅读该书了。这里基本上没有区别。如果您在防盗程序最终确定哪个钥匙实际上是您的钥匙之前,从前十次进入尝试中发现锁上有划痕,将很有帮助。评论
你在说什么?
–user45139
2015年10月28日在10:37
@Begueradj:这是一个非常清楚的类比。您遇到哪一部分麻烦?
–轨道轻赛
2015年10月28日在10:42
@Begueradj:我完全理解,非常感谢。可以为外行人建模取证,类似于房主检查其财产是否有损坏/丢失迹象的方式,如果没有这种活动,这些迹象可能不会向外显现。表面上看,OP仅考虑缺少沙发和电视的情况,因此无法考虑可以检测到更细微的盗窃/渗透形式。这导致了这个问题的发布,并最终导致了这个答案。如果您还有其他问题,请告诉我。
–轨道轻赛
2015年10月28日11:00
@schroeder:不,这是一个比喻。
–轨道轻赛
15年10月28日在16:12
@schroeder我从未读过这样的省略号,即使是远程也是如此,而且我的搜索没有找到任何相关的定义。对于那些显然缺乏英语的人们来说,这将有助于包括引用。
– underscore_d
2015年10月31日10:48
#8 楼
就采取的措施(而非采取的措施)而言,较大的企业和代理机构利用深度数据包检查来记录已传入/传出其网络的内容。设备记录所有流量,并且可以利用IDS进行提醒。发生事件后,他们可以分析攻击的严重程度。
一些常见的行业标准工具包括:
吹鼻(用于IDS)
#9 楼
在Talk Talk的情况下,我们知道所窃取的数据正被用于瞄准人群。我们知道这些人正在被自称来自Talk Talk的人打电话,然后被骗去提供他们的银行详细信息。
我们知道,银行详细信息自
因此,我们知道,如果从TalkTalk中获取被窃取的银行详细信息,将会很快被使用。
英国银行等进行了大量监视,以了解其影响,该监视将收集足够的案例,以及银行客户报告的案例,以便对影响产生一个理想的认识。
评论
在这种情况下-可能是通过询问黑客:wired.co.uk/news/archive/2015-10/26/talktalk-arrest除了所有出色的答案外,仅作为补充说明:公众最常从法医中得到结果,在这种情况下,答案适用。还请考虑,诸如“哦,这确实不是坏事”之类的任何结果只能是公司的流血谎言。因此,就确定“被黑客入侵”而言,公众所看到的很大一部分也可能具有痕迹,公关和市场营销手段,而不仅仅是取证。即使您可能在提出问题时选择忽略这一点,但如果没有提及,图片将是不完整的
@humanity我想这是可能的,我并不是真的那样想..:/
恕我直言,他们实际上并没有具体发现被黑客入侵的内容,只是根据泄漏的内容进行猜测,并说这是PR声明,旨在减少可感知的损害。首先考虑到安全性很差,我怀疑他们已经保护了可以信任的日志记录。
@JamesRyan我也有同样的想法,因为声明很快,看起来很奇怪,但是说实话,我不在乎TalkTalk:P-这只是一个有趣的话题,使我感到好奇。我只是以TalkTalk为例。