计算机取证技术跟踪肇事者留下的蛛丝马迹

来源 :计算机世界 | 被引量 : 0次 | 上传用户:zhangbingkai
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  有人悄悄告诉老板,某个员工可能会离职,对此,他想尽可能的把客户带走,带到他的新单位那里去。该公司引进了计算机取证专家,检查员工在网上的活动,在员工面前找出证据。
  计算机取证公司TechFusion的总裁兼首席执行官Alfred Demirjian在他从业的30多年中,对这样的场景见多不怪——员工通过劫持电子邮件帐户滥用公司互联网,阴谋破坏自己以前的公司。商业软件支持公司深入研究员工的社交媒体博文和文本,或者如果他们有公司提供的智能手机,则可以通过GPS跟踪他们。
  会给客户一定的期限,TechFusion可以通过公司电子邮件来查看员工与客户的交互。
  Demirjian说:“计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步,人们越来越难以隐瞒他们的不法行为,更容易让他们承担责任。”
  自从Demirjian从业以来,技术已经日趋成熟。他说:“该行业从使用操作系统命令发展到基于软件的命令。与工具所应用的系统相比,现在更重要的是拥有使用工具的经验。”
  他补充说,软件的兼容性和功能越来越强。他说:“它更快、更便宜。这让取证工程师能够执行更多的任务。”
  TechFusion参与了一些著名的案例,最近的一個是新英格兰爱国者队的四分卫Tom Brady臭名昭彰的手机。当NFL要求检查他的文本时,Brady说他的电话丢了。后来找到了这些文本。TechFusion还负责审查Odin Lloyd当晚被杀害时在late-Aaron Hernandez家里拍摄到的监控录像。
  计算机取证是数字取证科学的一个分支,涉及查找计算机和数字存储介质中的证据。计算机取证的目的是以可靠的取证方式检查数字媒体,旨在识别、保存、恢复、分析和呈现关于数字信息的事实和鉴定结果。这涉及数据恢复的类似技术和原理,还有创建合法审计跟踪的附加指导和举措。
  计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步,人们越来越难以隐瞒他们的不法行为,更容易让他们承担责任。
  Tanium首席安全架构师Ryan Kazanciyan说,取证是重建和分析数字证据的过程,以确定某一设备或者系统以前是被怎样使用的。在最基本的层面上,所谓的数字证据可以采取以端点设备为中心的数据(例如硬盘或者内存中的内容)的形式,以网络为中心的数据(例如,采集通过某一设备或者网站的所有网络流量的完整数据包)的形式,或者以应用程序为中心的数据(例如与程序或者服务的使用相关的日志和其他记录)等形式。
  取证调查员的工作流程主要是由他们要尝试回答的具体问题来推进的。通常需要使用取证的应用情形的例子包括:
  一名执法人员逮捕了涉嫌国内恐怖主义的某个人,并希望找到与以前或者计划中的犯罪活动有关的所有通信记录、互联网活动和数据。
  违规调查已经发现有证据表明外部攻击者访问了存有敏感知识产权的公司服务器。分析师希望确定最初的访问方式,有没有数据被访问或者被盗取了,以及系统是否遭受了任何敌对攻击(例如引入了恶意软件)。
  它是怎样使用的,它是如何工作的?
  Kazanciyan说,传统的计算机取证需要利用专门的软件来勾画出目标系统的硬盘和物理内存,并自动将其解析为人类可以识别的格式。这样,调查人员可以检查和搜索某类文件或者应用程序数据(例如,电子邮件或者网络浏览器历史)、时间点数据(例如,在取证时运行的进程或者开放的网络连接),以及历史活动留下的痕迹(例如,删除的文件或者最近的活动)。
  他说,被删除的数据和历史活动在多大程度上能够被恢复取决于一些因素,但是随着时间的推移,一般会越来越难以恢复,并且与系统的活动程度有关。
  Kazanciyan说,这种计算机取证方法仍然适用于集中的小规模调查,但对企业规模的任务来说太耗时,资源太密集,例如在企业环境中监控数千个系统。
  他说:“因此,在过去十年中,能够在‘实际’系统中快速搜索证据并进行分析的技术开始蓬勃发展,成为所谓的端点检测和响应(EDR)市场的基础。”EDR产品通常提供以下功能的组合:
  关键端点设备远程监测的连续记录——例如,执行的过程或者网络连接,提供关于系统活动的随时可用的时间表。他说,这类似于飞机上的黑盒子。能够查看远程监测信息后,可以不用通过系统的本地证据源来重建历史事件。如果违规行为已经发生了,再把调查技术部署到环境中,这样做就没有什么用了。
  分析和搜索系统的本地证据取证源,即在正常系统工作期间由操作系统自己保留的内容。这包括能够快速、有针对性地搜索文件、进程、日志条目、内存中遗留的证据,以及整个系统中的其他证据。这完善了连续事件记录器的应用,可用于扩大调查范围,并找到可能未被保留的其他线索。
  警报和检测。产品可以主动收集并分析上述数据的来源,并将其与结构化威胁情报(例如,感染指标),以及旨在检测恶意活动的规则或者其他启发式内容进行比较。
  对某个目标主机收集证据。当调查人员确定需要进一步检查系统时,他们可以对整个目标系统的历史远程监测(如果存在并进行了记录)信息、硬盘和内存上的文件上进行“深度”的证据收集和分析。他说,很多企业更倾向于尽可能地对实际系统进行远程分类分析,以代替全面的取证成像。
  他说:“取证领域的创新主要集中在简化和自动化这些过程,确保即使在最大和最复杂的网络中也可以执行这些过程,并将其应用于主动攻击检测以及高效的应急响应上。”
  取证对于应急响应至关重要
  Syncyity总裁兼首席执行官John Jolly认为,取证对于应急响应过程至关重要,对常规响应和即时响应也很有用。例如,当公司处理一起成功的网络钓鱼攻击事件时,可以使用取证过程来形成事实,例如,谁点击了链接,谁被成功的钓鱼,成为受害人,以及实际访问或者盗走了哪些信息。   他说,这有助于安全部门计划适当的响应措施,并评估报告要求。Jolly说:“例如,取证过程会帮助您确定10个用户进行了点击,但网络钓鱼者并没有成功,因为恶意域名已经被锁住了。”
  如果企业知识产权被内部人员或者外部攻击者偷走,出现这种事件时,取证过程将帮助执法部门确定具体时间和事件发生顺序,可以用来调查或者起诉攻击者。他说:“在这种情况下,取证过程必须以满足证据监管链的方式进行,并能够演示和保存监管链。”
  Jolly说,在这种网络钓鱼场景中,一个关键因素是,该公司预先规划了对钓鱼攻击的响应和取证过程,并将其应用于事件响应平台,因此这个过程是可重复、可预测和可衡量的。
  他说,这个过程还能够针对不同场景适当地进行演绎,例如,谁被钓鱼攻击了、被盗走的东西有没有价值、是否符合内部政策和外部监管要求。
  Jolly补充说:“分析和安全部门只需按照既定的规程进行分析,完成响应过程的同时建立好取证记录。公司需要可预测和可重复的响应,因为这节省了时间、金钱,并通过尽快阻止不可避免的攻击来减轻攻击的影响。”
  他说,建立过程并使其可以审计,会让企业受益匪浅——他们能够随着时间的推移来衡量过程并进行改进,并且还向内部股东和外部监管机构表明他们正在使用最佳实践,并按照适当的维护标准进行操作。
  当被问及计算机取证的未来发展时,Demirjian说:“以后绝不会是现在这种方式。未来会更加注重预防。数据恢复的方式将会发生变化。一旦人们开始丢失数据,他们就开始使用远程备份来防止数据丢失。取证也会同样如此。企业将实施取证应用程序,如果发生事故,他们凭借数据,能够跟踪发生了什么。他们将不再需要保留硬件。”
  他说,这些企业将采用记录所有操作和功能的服务,并且只需要申请查看日志即可。所有信息将被取证存储,以确保可靠性。
  取证的例子
  Tanium提供了一个实例,网络监视设备发出警报,表明企业工作站“Alice”与攻击者“Eve”相关联的互联网主机的IP地址进行了通信。
  调查人员首先需要弄清楚为什么Alice与Eve的IP地址进行了通信。主机是否感染了恶意软件?如果是这样,它是怎样进入系统的,可以利用哪些留下的痕迹来找到同样受影响的系统?Alice曾经访问过其他系统或者资源吗,或者事件只是发生在一台主机中?Eve的最终目标是什么?
  如果Alice已经采用了能够提供连续记录功能的EDR产品,那么,调查人员可能会首先查看其远程监测信息并搜索Eve的IP地址(10.10.10.135)。这可以识别每一连接事件的上下文环境(时间、相关进程/恶意软件、关联的用户帐户)。(图1)
  分析师通过Tanium Trace对AlphaPC进行深度分析,调查属于Eve的IP地址。
  然后,分析师可以根据这些发现,进行时间轴分析,以确定恶意软件入侵主机之前的事件,以及与之相关的恶意活动(可能由Eve“人工”推动,也可能是全自动的)。例如,调查可能表明,恶意软件是通过使用了含有恶意软件文档的恶意电子邮件引入系统的。被感染后,远程监测会记录Eve使用恶意软件窃取用户的凭据,记录她试图访问Alice公司环境中与之相连的其他系统。(图2)
  恶意Excel文档释放了恶意软件Z4U8K1S8.exe。然后,攻击者通过命令和控制会话过程与系统进行交互。Tanium Trace记录攻击者执行的进程和活动。
  如果Alice的系统没有运行EDR“飞行记录仪”,调查员仍然可以使用系统的本地证据源,得出与前面总结的相同的时间轴事件。但是,这需要更大的投入,在时间轴上更有可能出现缺口。(圖3)
  然后,分析师将根据调查中确定的信息制定IOC(感染指标,Indicators of Compromise)。
  调查了Alice系统中出现的事故后,调查人员可能会有许多描述Eve攻击手段的大量遗留证据或者感染指标,例如,她的工具、策略和程序。这些可用于搜索整个企业的取证证据和远程监测记录,以期发现有哪些其他系统也被攻击者攻击了。然后对新发现的被攻击主机进行深入取证分析。该过程不断重复,直到调查员觉得他们已经充分地研究了事件,了解了其根源和影响,并准备进行修复。
其他文献
摘要:在高中地理教学过程中,对概念化理念的要求越来越严格。教育局指出,学校教师应加强地理中的概念教学,让学生充分理解地理的知识概念,并学会应用,而不是只停留在字面上。在地理教学时,教师要引申地理概念,让学生熟练应用一些专业地理术语或地理名词,提升地理课堂的教学效率。  关键词:高中地理 概念教学 应用研究  高中地理是非常灵活的学科,它属于文科范畴,一些地理知识和概念定理不仅需要记忆,还需要背诵。
本报讯(记者 陈斌 臧蕙心)7月30日,英特尔公司联合40余家服务器技术提供商,宣布支持服务器系统架构组织(Server System Infrastructure,简称SSI)所推出的刀片服务器平台开放规格。   英特尔中国有限公司产品总监洪力表示,新规格将有助于降低本土OEM和ODM厂商的进入成本,并进一步推进刀片服务器产业链的完整。英特尔宣称,其合作伙伴有些已经开始评估该开放规格,进行产品研
摘要:自新中国成立以来,人们对《项链》这篇课文的解读,主要局限在对小资产阶级的批判这个角度。如今,这种现象逐渐转变,人们开始从人物性格、命运和契约精神等方面解读课文主题。主题的重新解读与教学的创新性安排构建起有活力、生动的语文课堂,有利于提高学生的语文素养。  关键词:《项链》 教学历史 现状 新思路  《项链》是法国作家莫泊桑的名篇,由鲁迅和介和常惠翻译,《项链》在我国获得了较大的知名度。从20
摘要:兴趣是陪伴学生攻克学习难关、帮助学生掌握学习方法、树立自学意识的良师益友,教师要在教学过程中侧重培养学生的学习兴趣,引导学生参与学习活动,为提高课堂教学综合质量奠定基础。本文分析了如何提高低年级学生学习数学的兴趣,以期提高小学数学教学质量。  关键词:低年级学生 数学教学 学习兴趣  低年级学生刚开始系统地接触数学,学习自主性不足,无法积极主动地参与数学教学活动。基于此,教师要在重视数学教学
在思想品德课进行心理辅导是指,教师针对学生个体或者学生群体的心理矫治、疏导或防治等活动,即针对个体的个别性心理辅导和针对团体的普遍性问题的心理辅导。  心理辅导教育是进行自我心理指导活动的最佳辅助方式,通过心理辅导,能够打开学生的心结。心理辅导教育不是简单的抚慰,而是深入问题实质的心灵对话,是一种人际沟通的艺术。它不仅是指教师对学生的心灵沟通和慰藉,还包括学生对学生的心灵沟通和慰藉,甚至包括学生对
摘要:高校对大学生在校期间的成绩管理与统计具有重要意义,高校能通过了解学生的总体成绩发现教育存在的问题。对学生个人而言,从毕业到就业的过渡阶段,在校期间的成绩是证明其能力的重要依据。因此,高校做好成绩管理工作十分必要。但事实上,很多高校的成绩管理系统还不完善,存在部分学生成绩丢失的情况。为了解决这一问题,本文分析了高校成绩管理存在的问题,并提出了行之有效的解决方式。  关键词:高校 成绩管理 问题
摘要:本文根据2018年高等教育教学法研究项目中的见闻,以渥太华大学为例,对比了中国和加拿大两国软件类专业基础课程的教学差异,通过分析课程开设情况、课程执行过程、课程考核等,对比了国内同类课程的教学优点和缺点,提出了改善教学的措施,突出了以学生为主体的教学建议。  关键词:渥太华大学 软件专业 基础课程 对比  一、概况介绍  在国家留学基金委和学校的资助下,于2018 年7月至12月,笔者赴加拿
摘要:自从我国迎来“互联网 ”时代,教育、工业、农业等领域的工作模式发生了翻天覆地的变化,特别是“互联网 ”下交通新模式的产生,既赋予了交通运输专业建设全新的机遇,又伴随着深入性的挑战。本文阐明了“互联网 ”时代下做好交通运输专业建设工作的现实意义,并探讨了日后进行交通运输专业建设的可靠方式。  关键词:互联网 交通运输 专业建设  如今,“互联网 ”已经被视为推动行业改革发展的关键性辅助形式。
摘要:对高考生来说,知识辅导非常重要,但考前心理辅导更加重要,因为只有拥有健康的心理,学生才能在高考中正常发挥,才能在激烈的高考角逐中脱颖而出。因此,教师应对高考生进行考前心理辅导,帮助学生构建良好的心理素质,使学生具备必要的应考技能和稳定的考试心理,以良好的情绪投入英语高考备考中。  关键词:民族职专生 英语高考 考前心理辅导  民族职专高三学生很快就要面临高考和继续求学的人生选择,面对新的挑战
对于刚入园的幼儿来说,离开父母身边和温暖的家进入一个陌生的环境,幼儿的内心难免会出现焦虑、彷徨、胆怯,这是典型的分离性焦虑,持续时间通常是1至3个月。由于幼儿自身条件、环境的不同,他们的表现也会各不相同,幼儿不适应幼儿园生活的表现如不及时加以纠正,会严重影响他们正常的学习和生活。  分离焦虑会伴随着人的一生,成人可以很好地自我调节,但对3岁左右的幼儿而言,刚进入幼儿园,面对一个完全陌生的环境时,会