Get best of the week

野外信息安全事件调查:意外的信息来源

图片

关于计算机事件或数字取证的调查已经写了很多,有许多现成的硬件和软件工具,操作系统的主要工件是众所周知的,并在手册,书籍和文章中进行了描述。看来这很困难-阅读手册并找到所需的内容。但是在技术上困难的情况下,对那些非常著名的工件的分析不能提供足够的信息来恢复事件的时间顺序。在这种情况下怎么办?我们用调查的真实示例对其进行分析。

为什么普遍缺少基本工件?可能有几个原因:

  1. 基础架构未做好充分的监控和响应事件的充分准备(我们在此处写过
  2. , ( Digital Forensic)
  3. , ( – , MFT-).

因此,如果基础结构庞大且变化多端,事件发展了很长时间,并且攻击者是“切碎的卡拉奇”,则需要其他信息源来披露其所有行动并恢复事件的时间顺序。

根据情况,SIEM系统,Netflow网络流或原始流量的分析(尽管实际上在90%的情况下是不可能的)以及偶然与任何第三方软件相关的异常工件都可以挽救。在客户的基础架构中

我们将停止的是最后一种工件。

Ivanti端点管理器(以前称为LANDESK管理套件)。IT资产管理系统

www.ivanti.ru/company/history/landesk

连接到一位新客户的监控,我们在其基础架构中检测到其中一台服务器上的事件日志已清除,而SIEM系统中没有其他恶意活动的表现。在分析过程中,发现服务器已受到攻击,攻击者使用特殊设备就不会引起注意。它包括以下内容:

  1. 安全日志事件已重定向到单独的临时文件,
  2. 攻击者执行了必要的操作,
  3. 事件被重定向回安全日志,
  4. 临时文件已删除。
  5. 利润!

结果,尽管安全日志的设置正确,但它本身并未受到影响,但其中没有任何与恶意活动有关的事件。

经过简短的分析,我们发现攻击者在基础架构中“生存”了大约2-3年,这使得破坏所有关键服务器成为可能。在这种情况下,任何附加信息源的价值都会增加,因为一些基本的人工痕迹要么磨损要么无用,并且无法完整了解事件。

为了寻找其他信息来源,我们对基础架构中使用的服务和系统进行了口头清点,发现与实施监控一起,客户开始部署IT资产管理系统
Ivanti端点管理器。

由于系统仍然不稳定(来自代理的事件未部分发送
到服务器),因此我们无法集中查看来自服务器上主机的事件。但是,在决定直接在主机上搜索由Ivanti Endpoint存储的工件之后,我们发现该软件将有关进程启动的信息存储在以下注册表分支中:

HKLM \ SOFTWARE \ Wow6432Node] \ LANDesk \ ManagementSuite \ WinClient \ SoftwareMonitoring \ MonitorLog \ <可执行文件的路径>

以下信息存储在相应的键中:

  • 首次开始时间(采用FILETIME格式)
  • 上次运行时间(格式为FILETIME)
  • 开始次数
  • 具有启动可执行文件权限的用户


Ivanti Endpoint进程启动工件

有了这些信息,我们得以确定攻击者出现在某些我们之前不了解的系统上的时间。此外,仅基于可执行文件的名称公开了他的工具箱的一部分。

思杰NetScaler 用于提供对公司资源和应用程序的访问的系统

www.citrix.com/zh-cn/products/citrix-adc


Citrix NetScaler工作流程

另一个有趣的调查。攻击者通过VPN进入了公司的基础架构。他在UTC +8时区工作。身份验证后,它表现得非常积极(使用掩码/ 24和/ 16主动扫描内部子网),因此,实际上它已被注意到。

VPN已在Citrix NetScaler企业资源和应用系统上配置。通过研究其日志,我们能够确定第一次“访问”的时间(读取入侵的日期),攻击者使用的员工帐户(顺便说一下,有5个以上的帐户被入侵)以及他工作的代理服务器的IP地址。

调查本身成功结束:我们设法建立了折衷的来源-事实证明,用于重置可从Internet访问的凭据的内部系统受到SQL注入的影响。

但是,现在我想说明一下:在Citrix NetScaler上通过VPN身份验证后,所有HTTP用户请求都已成功记录。攻击者可能不知道这一点,或者混淆了其网络接口,并通过客户的公司网络向搜索引擎发送了自己的查询。这使我们能够获得有关攻击者感兴趣的系统,其能力和所用工具的信息。


Citrix NetScaler日志文件


攻击者正在通过Citrix NetScaler寻找的


信息攻击者正在通过Citrix NetScaler寻找的信息

秘密网络工作室。保护信息免遭未授权访问的系统

www.securitycode.ru/products/secret_net

一天晴朗,晚上,在公司的IT员工的帐户下,一张带有可疑身份验证事件的票落在我们的第一行管理服务器上(该员工当时正在休假,他有一个VPN)没有)。从体系结构上讲,管理服务器与公司的其他几台关键服务器(包括Secret Net服务器)位于单独的网段中,SIEM中的事件仅来自管理服务器本身(不幸的是,客户并不总是同意连接所有潜在的来源) )

第一行处理票证并收集有关身份验证后发生情况的信息,偶然发现各种可疑进程启动(非标准路径,一个字母中的二进制文件名)和mstsc.exe启动,表明可能存在RDP会话。

意识到这是一个潜在的危害,我们要求提供所有服务器的映像
并开始他们的分析。打开第一个映像(Secret Net服务器)后,我们收到了一个“大惊喜”:系统日志,安全日志和应用程序日志被删除并删除,因此即使恢复尝试也没有成功。只能比较一下SecretS服务器TerminalServices日志中的条目与管理服务器上mstsc.exe的启动在时间上是重合的,这意味着攻击者肯定在Secret Net上。其余服务器的分析也失败了。

结果,我们发现自己处在肯定可以确定攻击者在那里的状态(他肯定已经做了并开始了某件事),但是我们没有主机日志,因为跟踪被删除了,
也没有网络日志,因为所有服务器都在同一子网中。

即使从这种情况下也找到了解决方案。Secret Net系统非常通用,由许多组件组成,包括内核级别和用户级别。在分析了各个Secret Net组件记录和保存的每个日志文件之后,我们遇到了文件控制留下的一些出色工件。当我们将所有内容放在一起时,我们获得了有关攻击者的行为(他确实在此子网中的每台服务器上)的信息以及有关他的工具的信息。

顺便说一句,收到的信息有助于完全消除攻击者在基础架构中的存在。


通过Secret Net Studio服务器Secret Log Studio 文件控制文件工作的攻击者的方案




KVRT。免费的防病毒工具

www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

已与我们联系,以协助调查与公司公开地址有关的外发恶意活动(僵尸网络和矿工活动)有关的事件。接收到系统的图像和日志后,我们开始进行分析,发现了一些工件,这些迹象表明该组织的公共Web服务和所留下的恶意文件受到破坏。不幸的是,这还不足以回答客户提出的所有问题:此外,尽管在修复恶意活动和进行调查之间花费了一些时间,但我们并未找到该矿工的文件踪迹。

再次回到工件和日志,我们提请注意一些免费的防病毒扫描程序的痕迹。显然,我们丢失的文件已被加密和隔离,并且文件系统的时间戳已安全删除。

在使用的扫描仪中,有KVRT,可检测到一些恶意文件并将其隔离。隔离文件的标准位置是C:\ KVRT_Data \ Quarantine,解密它们非常容易:使用众所周知的密钥进行的简单XOR是e2 45 48 ec 69 0e 5c ac。


解密的KVRT隔离区

后来证明,尽管建议不要触摸任何东西,但IT管理员仍设法在我们到达之前使用免费的防病毒扫描程序来扫描系统。
结果,隔离的文件有助于缩小事件发生的时间顺序并回答所有问题。


每次调查总是不寻常,独特且用途广泛。是的,存在操作系统的已知工件,但是在调查开始之前,很难预测在分析之后可以获得的信息的完整性。因此,在对事件进行技术调查之前,建议您清点软件和系统的清单,不要懒惰地研究它们作为调查的可能来源。

More articles:


All Articles