Get best of the week

التحقيق في حوادث أمن المعلومات في البرية: مصادر معلومات غير متوقعة

صورة

لقد كتب الكثير عن التحقيق في حوادث الكمبيوتر ، أو الطب الشرعي الرقمي ، وهناك العديد من الأجهزة الجاهزة وأدوات البرمجيات ، والتحف الرئيسية لأنظمة التشغيل معروفة جيدًا وموصوفة في الكتيبات والكتب والمقالات. يبدو أنه صعب - اقرأ الدليل واعثر على المطلوب. ولكن هناك حالات صعبة تقنيًا عندما لا يوفر تحليل تلك القطع الأثرية المعروفة معلومات كافية لاستعادة التسلسل الزمني للأحداث. كيف تكون في هذا الموقف؟ نحن نحللها بأمثلة حقيقية من تحقيقاتنا.

لماذا يوجد نقص عام في القطع الأثرية الأساسية؟ ربما يكون هنالك عده اسباب:

  1. البنية التحتية غير مهيأة بشكل كاف للرصد الكامل والاستجابة للأحداث ( كتبنا عن هذا هنا )
  2. , ( Digital Forensic)
  3. , ( – , MFT-).

وبالتالي ، إذا كانت البنية التحتية كبيرة ومتنوعة ، فقد تطورت الحادثة لفترة طويلة ، وكان المهاجم "kalach المبشور" ، هناك حاجة إلى مصادر معلومات إضافية للكشف عن جميع أفعالها واستعادة التسلسل الزمني للأحداث.

اعتمادًا على الموقف ، قد يتم إنقاذ أنظمة SIEM أو تحليل تدفقات شبكة Netflow أو حركة المرور الأولية (على الرغم من أن هذا الأمر غير ممكن في الواقع في 90 ٪ من الحالات) ، بالإضافة إلى التحف غير العادية التي تتعلق بأي برنامج تابع لجهة خارجية ، عن طريق المصادفة. في البنية التحتية للعميل.

سوف نتوقف عن النوع الأخير من القطع الأثرية.

مدير Ivanti Endpoint (جناح إدارة LANDESK سابقًا). نظام إدارة أصول تكنولوجيا المعلومات

www.ivanti.ru/company/history/landesk من خلال

الاتصال برصد أحد عملائنا الجدد ، اكتشفنا في بنيته الأساسية تنظيف سجلات الأحداث على أحد الخوادم ، في حين لم تكن هناك مظاهر أخرى للنشاط الضار في نظام SIEM. أثناء التحليل ، تبين أن الخادم تعرض للاختراق ، واستخدم المهاجم معدات خاصة لتمريرها دون أن يلاحظها أحد. تتكون من الآتي:

  1. تمت إعادة توجيه أحداث سجل الأمان إلى ملف مؤقت منفصل ،
  2. قام مهاجم بتنفيذ الإجراءات اللازمة ،
  3. يتم إعادة توجيه الأحداث إلى سجل الأمان ،
  4. تم حذف ملف مؤقت.
  5. ربح!

ونتيجة لذلك ، على الرغم من أنه تم إنشاء مجلة الأمن بشكل مناسب ، إلا أنها لم تحتوي على أي أحداث تتعلق بنشاط ضار ، في حين بدت هي نفسها دون تغيير.

بعد تحليل قصير ، اكتشفنا أن المهاجم "يعيش" في البنية التحتية منذ حوالي 2-3 سنوات ، مما جعل من الممكن اختراق جميع الخوادم الرئيسية. في مثل هذه الحالات ، تزداد قيمة أي مصادر إضافية للمعلومات ، حيث أن بعض القطع الأثرية الأساسية إما متوترة أو غير مطلعة ولا تسمح بصورة كاملة للحادث.

بحثًا عن مصادر إضافية للمعلومات ، أجرينا جردًا شفويًا للخدمات والأنظمة المستخدمة في البنية التحتية ووجدنا أنه ، جنبًا إلى جنب مع تطبيق المراقبة ، بدأ العميل في نشر نظام إدارة أصول تكنولوجيا المعلومات
مدير Ivanti Endpoint.

نظرًا لأن النظام كان لا يزال غير مستقر (لم يتم إرسال الأحداث الواردة من الوكلاء جزئيًا
إلى الخادم) ، لم نتمكن من عرض الأحداث من المضيفين على الخادم بشكل مركزي. ومع ذلك ، بعد أن قررت البحث عن القطع الأثرية المخزنة بواسطة Ivanti Endpoint مباشرة على المضيف ، وجدنا أن هذا البرنامج يخزن معلومات حول عمليات التشغيل محليًا في فرع التسجيل التالي:

HKLM \ SOFTWARE \ Wow6432Node] \ LANDesk \ ManagementSuite \ WinClient \ SoftwareMonitoring \ MonitorLog \ < المسار إلى الملف القابل للتنفيذ>

يتم تخزين المعلومات التالية في المفاتيح المقابلة:

  • وقت البدء الأول (بتنسيق FILETIME)
  • وقت التشغيل الأخير (بتنسيق FILETIME)
  • عدد البدايات
  • مستخدم لديه حقوق تشغيل الملف القابل للتنفيذ


أدوات إطلاق عملية Ivanti Endpoint

بفضل هذه المعلومات ، تمكنا من تحديد وقت ظهور المهاجم على بعض الأنظمة التي لم نكن نعرف عنها من قبل. بالإضافة إلى ذلك ، تم الكشف عن جزء من مجموعة أدواته بناءً فقط على اسم الملفات القابلة للتنفيذ.

Citrix NetScaler نظام لتوفير الوصول إلى موارد الشركة والتطبيقات

www.citrix.com/en-us/products/citrix-adc


Citrix NetScaler Workflow

تحقيق آخر مثير للاهتمام. دخل مهاجم البنية التحتية للشركة من خلال VPN. كان يعمل في المنطقة الزمنية UTC +8. بعد المصادقة ، تصرفت بقوة شديدة (الشبكات الفرعية الداخلية الممسوحة ضوئيًا بنشاط باستخدام القناع / 24 و / 16) ، ونتيجة لذلك ، لوحظت في الواقع.

تم تكوين VPN على Citrix NetScaler Enterprise Resource and Application System. بعد دراسة سجلاته ، تمكنا من تحديد وقت "الزيارة" الأولى (قراءة تاريخ التسوية) ، وحسابات الموظفين التي يستخدمها المهاجم (بالمناسبة ، تم اختراق أكثر من 5 حسابات) وعناوين IP للخوادم الوكيلة التي كان يعمل بها.

انتهى التحقيق نفسه بنجاح: تمكنا من إنشاء مصدر للتسوية - اتضح أن النظام الداخلي لإعادة تعيين بيانات الاعتماد التي يمكن الوصول إليها من الإنترنت يخضع لحقن SQL.

ولكن الآن أريد أن أشير إلى شيء آخر: بعد تمرير مصادقة VPN على Citrix NetScaler ، تم تسجيل جميع طلبات مستخدم HTTP بنجاح. ربما لم يكن المهاجم يعرف ذلك ، أو أربك واجهات شبكته وأرسل استفساراته الخاصة إلى محركات البحث من خلال شبكة الشركة الخاصة بالعميل. سمح لنا هذا بالحصول على معلومات حول الأنظمة التي تهم المهاجم وكفاءاته والأدوات المستخدمة. معلومات


ملف سجل Citrix NetScaler


الذي كان يبحث عنه المهاجم من خلال معلومات Citrix NetScaler


التي كان المهاجم يبحث عنها من خلال Citrix NetScaler

سيكريت نت ستوديو. نظام لحماية المعلومات من الوصول غير المصرح به

www.securitycode.ru/products/secret_net في

أحد الأيام الجميلة ، سقطت تذكرة بحادث مصادقة مريب على السطر الأول تحت حساب موظف تكنولوجيا المعلومات بالشركة على خادم الإدارة في الليل (كان الموظف في إجازة في ذلك الوقت ، وكان لديه VPN لم يكن لدي). من الناحية المعمارية ، كان خادم الإدارة موجودًا في جزء منفصل من الشبكة إلى جانب العديد من الخوادم الرئيسية الأخرى للشركة (بما في ذلك خادم Secret Net) ، بينما تلقت SIEM أحداثًا فقط من خادم الإدارة نفسه (للأسف ، لا يوافق العملاء دائمًا على توصيل جميع المصادر المحتملة )

السطر الأول ، معالجة التذكرة وجمع المعلومات حول ما حدث بعد المصادقة ، يتعثر عند إطلاق عمليات مشبوهة مختلفة (المسارات غير القياسية ، وأسماء الملفات الثنائية في حرف واحد) وإطلاق mstsc.exe ، مما يشير إلى جلسة RDP محتملة.

أدركنا أن هذا كان تسوية محتملة ، طلبنا صورًا لجميع الخوادم
وبدأ تحليلهم. عند فتح الصورة الأولى (Secret Net server) ، تلقينا "مفاجأة كبيرة" كهدية: تم حذف سجلات النظام والأمان والتطبيق وإزالتها حتى فشلت محاولات الاسترداد. كان من الممكن فقط مقارنة أن الإدخالات في سجلات خادم TerminalS TerminalServices تزامنت في الوقت المناسب مع إطلاق mstsc.exe على خادم الإدارة ، مما يعني أن المهاجم كان بالتأكيد على Secret Net. فشل تحليل الخوادم المتبقية أيضًا.

ونتيجة لذلك ، وجدنا أنفسنا في موقف يُعرف فيه على وجه اليقين أن المهاجم موجود (قام بالتأكيد بشيء ما وبدأه) ، ولكن ليس لدينا سجلات مضيف ، لأن الآثار محذوفة ،
ولا توجد سجلات شبكة ، لأن جميع الخوادم موجودة على نفس الشبكة الفرعية.

تم العثور على حل حتى من هذا الوضع. نظام Secret Net متعدد الاستخدامات للغاية ويتكون من العديد من المكونات ، على مستوى النواة ومستوى المستخدم. بعد تحليل كل ملف سجل تم تسجيله وحفظه بواسطة مكونات مختلفة من Secret Net ، صادفنا العديد من القطع الأثرية الممتازة التي تركها عنصر التحكم في الملف. عندما قمنا بتجميع كل شيء ، حصلنا على معلومات حول تصرفات المهاجم (كان بالفعل على كل خادم من هذه الشبكة الفرعية) ، وحول أدواته.

بالمناسبة ، ساعدت المعلومات الواردة على التخلص تمامًا من وجود مهاجم في البنية التحتية.


مخطط مهاجم يعمل عبر خادم Secret Net Studio ملف التحكم في ملف Secret Log Studio




KVRT. أداة مجانية لمكافحة الفيروسات

www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

تم الاتصال بنا للمساعدة في التحقيق في حادثة تتعلق بنشاط ضار صادر (الروبوتات ونشاط التعدين) من العناوين العامة للشركة. بعد تلقي صور وسجلات النظام ، بدأنا التحليل ووجدنا بعض القطع الأثرية التي تشير إلى حل وسط لخدمة الويب العامة للمؤسسة والملفات الضارة المتبقية. لسوء الحظ ، لم يكن هذا كافيًا للإجابة على جميع الأسئلة التي طرحها العميل: من بين أمور أخرى ، لم نجد آثار ملفات عامل المنجم ، على الرغم من أنه لم يكن هناك الكثير من الوقت بين إصلاح النشاط الضار وتحقيقاتنا.

بالعودة مرة أخرى إلى القطع الأثرية والسجلات ، لفتنا الانتباه إلى آثار العديد من الماسحات الضوئية المضادة للفيروسات المجانية. أصبح من الواضح أن الملفات التي فقدناها مشفرة ومعزولة ، وتم محو الطوابع الزمنية لنظام الملفات بأمان.

من بين الماسحات الضوئية المستخدمة كان KVRT ، الذي اكتشف بعض الملفات الخبيثة وعزلها. الموقع القياسي لملفات العزل هو C: \ KVRT_Data \ Quarantine ، وفك تشفيرها سهل للغاية: XOR بسيط بمفتاح معروف هو e2 45 48 ec 69 0e 5c ac.


عزل KVRT غير مشفر

كما اتضح لاحقًا ، تمكن مسؤول تكنولوجيا المعلومات من فحص النظام باستخدام ماسحات ضوئية مجانية لمكافحة الفيروسات قبل وصولنا ، على الرغم من التوصية بعدم لمس أي شيء.
ونتيجة لذلك ، ساعدت الملفات المعزولة في سد الفجوات في التسلسل الزمني للأحداث والإجابة على جميع الأسئلة.


كل تحقيق هو دائمًا شيء غير عادي وفريد ​​وتنوع. نعم ، هناك قطع أثرية معروفة لأنظمة التشغيل ، ولكن قبل بدء التحقيق ، من الصعب توقع اكتمال المعلومات التي يمكن الحصول عليها بعد تحليلها. لذلك ، قبل إجراء تحقيق فني في الحادث ، نوصي بإجراء جرد للبرامج والأنظمة وألا تكون كسولًا لدراستها كمصدر محتمل في التحقيق.

More articles:


All Articles