ハッキングされた「何」を組織はどのようにチェックしますか?
英国では、会社 TalkTalkは最近ハッキングされました 。
「調査」の結果、ハッキングはそれほど深刻ではなかった(そして予想よりも少ない)ことが後で発見されました。
不思議に思います:組織(必ずしもTalkTalkである必要はありません-それは私に尋ねるように促したものです)はどのようにチェックしますwhatはハッキングされていますか?私は多くの方法があると確信しています。しかし、「主な」ものは何ですか?
つまり:Forensics。
コンピュータフォレンジックは、システムを調査し、以前にシステムで何が起こったかを判断する技術です。ファイルとメモリのアーティファクト、特にファイルのタイムラインを調べると、攻撃者が何をしたか、いつ実行したか、何をしたかを非常に明確に把握できます。
例として-Windowsシステムのメモリダンプが与えられると、攻撃者が入力したコマンドラインだけでなく、 それらのコマンドを実行した結果として表示された出力も抽出できます 。影響を判断するのにかなり役立ちますね。
妥協の鮮度に応じて、何が起こったかについてかなり多くを伝えることが可能です。
@AleksandrDubinskyは、さまざまなコンピュータフォレンジックの分野と手法の概要を説明することが有用であると提案しました。以下が含まれますが、これらに限定されません(大まかな用語を使用します。これらは公式または包括的ではありません)。
Log/Monitor Forensics:集中ログ、ファイアウォールログ、パケットキャプチャ、IDSヒットなどの「外部」データの使用は、「検出"および"フォレンジック "。攻撃者がシステムを制御すると、データをフィルタリングしたり挿入したりできるため、ログ(集中化されたものでも)などの一部のデータは、完全であるか、または真実であることさえ信頼できません。ファイアウォール、IDS、またはパケットレコーダー((以前のバージョン) NetWitness など)などのシステム外のパケットロギングツールは、改ざんされることはほとんどありませんが、限られた量の情報しか含まれていません。通常は、悪意のあるアクティビティに関連するIP会話の記録と、場合によっては署名(HTTP URLなど)のみです。
暗号化されていないネットワーク接続が侵害に使用された場合を除き、これらのツールは侵害中にアクティビティを詳細に説明できることはめったにないため、(元の質問に戻って)「何がチェックされていない」がハッキングされていない。 」一方、暗号化されていない接続(ftp)を使用してデータを漏出させた場合、outで完全なパケットが記録された場合、攻撃者がどのデータを逃したかを正確に知ることができます。
ライブフォレンジック:より適切にはインシデントレスポンスの一部、いわゆる「ライブ」フォレンジックには、システムへのログインと見回しが含まれます。調査員は、プロセスを列挙し、アプリケーション(ブラウザの履歴など)を調べ、何が起こったのかを示すファイルシステムを調査します。繰り返しになりますが、これは通常、侵害が発生したことを確認するためのものであり、侵害の程度を判断するためのものではありません。侵害されたシステムは、ファイル、プロセス、ネットワーク接続など、必要なものをすべて隠すことができるためです。プラス面は、システムをシャットダウンしてディスクのイメージを作成すると利用できなくなるメモリ常駐のもの(プロセス、開いているネットワーク接続)へのアクセスを許可することです(ただし、侵害された場合、システムが嘘をついている可能性があります)。 )
Filesystem Forensics:ディスクのコピーが作成されたら、クリーンなシステムにマウントして調査し、侵害された操作の可能性を排除しますどのファイルが適切に配置されているかについてシステムが「嘘」。さまざまなタイムスタンプやその他の利用可能なメタデータを使用してタイムラインを構築するためのツールが存在し、ファイルデータ、レジストリデータ(Windowsの場合)、アプリケーションデータ(ブラウザの履歴など)も組み込まれています。使用されるのはファイルの書き込み時間だけではありません。ファイルの読み取り時間は、どのファイルが表示され、どのプログラムがいつ実行されたかを示すことができます。疑わしいファイルは、クリーンなウイルス対策チェッカー、署名の作成と送信、デバッガーへの実行可能ファイルのロード、キーワードの検索に使用される「文字列」を通じて実行できます。 Unixでは、「履歴」ファイル-攻撃者によって無効にされていない場合-が攻撃者が入力したコマンドの詳細を示す可能性があります。 Windowsでは、シャドウコピーサービスが、クリーンアップされた過去のアクティビティのスナップショットを提供する場合があります。
これは、最も一般的に使用されるステップであり、侵害の範囲と範囲を判別し、アクセスされたデータとアクセスされなかったデータを判別します。浸透した。これは、「何が確認されたかがハッキングされたか」に対する最良の答えです。
Disk Forensics:削除されたファイルはファイルシステムから消えますが、ディスクからは消えません。また、巧妙な攻撃者は、既存のファイルの「スラックスペース」にファイルを隠す可能性があります。これらは、生のディスクバイトを調べることによってのみ見つけることができ、 The Sleuth Kit のようなツールは、生のデータを引き裂き、過去について何を意味するかを判断するために存在します。 .bash_historyファイルがあり、攻撃者がログアウト前の最後のステップとしてそれを削除した場合、そのファイルはまだディスクブロックとして存在し、回復可能である可能性があります。同様に、ダウンロードされた攻撃ツールや盗み出された一時データファイルも、侵害の程度を判断するのに役立ちます。
メモリフォレンジック:調査員がすぐにそこに着くことができ、関係するシステムのメモリのスナップショットを取得できる場合、彼らは徹底的に深さを調べることができます妥協。攻撃者はカーネルを危険にさらしてプログラムから隠す必要がありますが、カーネルメモリの真のイメージを作成できる場合、何が行われたかを隠す方法はありません。そして、ディスクブロックにファイルシステムから削除されたデータが含まれているのと同様に、メモリダンプには、まだ上書きされていない過去のメモリ内のデータ(コマンドライン履歴や出力など)が含まれています...データはすぐには上書きされません。
もっと知りたいですか?フォレンジックを学ぶためのトレーニングプログラムと認定資格があります。おそらく最も一般的に公開されているトレーニングは、 [〜#〜] sans [〜#〜] からのものです。私は彼らのGCFA( "Forensic Analyst")認定を保持しています。 Challenges from the Honeynet Project を確認することもできます。この場合、当事者は、ディスクイメージ、メモリダンプ、マルウェアのサンプルが与えられた場合に、実際の侵害からケースを解明するために競争します-彼らは彼らが見つけたもののレポートを提出します、使用したツールの種類や、この分野で行われた調査結果を確認できます。
Anti-Forensicsはコメントのホットトピックです-基本的に、「攻撃者は痕跡を隠すことはできないのですか?」 このテクニックのリスト を参照してください-しかし、それは完璧とはほど遠く、信頼できるとは言えません。 「サイバースパイの「神」」がハードドライブのファームウェアを占有して、システム自体にトレースを残さずにシステムへのアクセスを維持することを検討した場合、 -およびまだ検出されました-結局のところ、証拠を消去するよりも証拠を検出する方が簡単であることは明らかです。
テクノロジー部門での仕事は、次のようになります。
ハック、穴、弱点を見つけます。
Syslog、dmesg、access.log、およびerror.logをチェックして、論文を確認してください。 (ネットワークにハッキングした場合、通常、TalkTalkの場合はシステムが中断されます。これはMySQLインジェクションでした。これを行うと、mysql.errログにエラーが残り、中断する必要があります。)
ハックを複製し、ハックを複製することで、ハックがどれだけ深く行くことができるかを確認し、損害を推定することができます。
穴を見つけたら、攻撃を複製して攻撃を複製すると、攻撃者が見たものを確認できます。
フォレンジック(およびコメント)に関する優れた回答に加えて、一部の組織は、「Snort」(ネットワーク侵入検知)やOSSEC(ホストベースの検知システム)などの侵入検知システムを使用しています。異常または無許可の動作のさまざまな側面。
たとえば、ホストベースの侵入検知システムは多くの場合、サーバー上のファイルの変更をログに記録するため、フォレンジック調査は特定の期間内に変更されたファイルを示し、フォレンジック調査者はこれを使用して一部のユーザーまたは攻撃者のアクティビティをまとめることができます。
攻撃者は、ファイアウォールログからサーバーログ、サービスログ(web、smtpなど)まで、インフラストラクチャ全体のログにトレースを残し、これらは重要な手がかりを提供する可能性があります。ただし、安全で変更できないように設計されていない限り、攻撃者がこれらのログを変更する可能性があります。書き込み専用メディアにログを集中化します。
攻撃者が特権アクセスを取得すると、手袋は外れ、ログが改ざんまたは削除される可能性があります。
結局のところ、組織は侵入とそれに続く法医学的な演習の準備ができているかどうかという準備にかかっています。これは、すべての企業のセキュリティ計画の一部でなければなりません。
これについてはまだ言及していませんが、このような調査、特にデータアクセスを中心とする調査の主なリソースはリクリーです。
RDBMS監査は、いつ、誰が、どのデータにアクセスしたかを正確に判断するための主要なリソースとなります。これはもちろん、どのように、または構成されているかによって異なります。
たとえば、 SQL Server Audit では、ユーザーID、タイムスタンプ、およびサーバーに送信された実際のクエリを取得できるため、盗まれたデータセットを完全に再構築できます。
監査システムには、監査証跡で 改ざん防止 に組み込まれた冗長性が必要です。これの一部はRDBMSに保存され、一部は外部ソースに書き込まれる場合があります。 SQL Serverは、Windowsセキュリティログに監査を記録できます。
gowenfawrはシステムの科学捜査に言及しましたが、侵害された資産の特定はほとんど常にログを介して行われます。ログは、十分に検索した場合、常に侵害された資産を示します/ should /。外部ログイン/ブルートフォースの試行/ SQLインジェクションの試行を検出するIDSがあるかどうか、または手動でログを検索して上記の内容を検索するかどうかにかかわらず、違反を発見する方法はいくつかあります。
資産が特定されたら、資産の法医学的検査を開始できます。特に攻撃者のアクセスを維持するためにファイルがドロップされたように見える場合は特に、ログが報告しない可能性がある追加情報用。ドロップされたファイルの動作を段階的にメモリスクレイピングおよび分析することで、セキュリティチーム/ IRチームは、何が起こっているのか、最初に侵害がどのように発生したのか、脆弱性が利用され、潜在的に攻撃のソースを理解するのに役立ちます(実際のソース)。
彼らは私がランダムに言及できるいくつかのことをチェックできます:
- Syslog
- ファイアウォールのログ
- IDSとルーターのログ
- ファイルシステム
- イベント
- スケジュールされたタスク
トークトークの場合、盗んだデータが人々を標的にするために使用されていることがわかります。
- これらの人々は、トークトークから来たと主張する誰かから電話をかけられ、銀行の詳細を提供するように騙されていることを知っています。
- ハッキングされていることがわかっている場合、銀行の詳細情報はすぐに役に立たなくなることはわかっています。
- したがって、TalkTalkから取得した場合、ハッキングされた銀行の詳細がすぐに使用されることがわかっています。
- したがって、銀行の詳細が取得されたデータに含まれていないと想定するのが妥当です。
影響が何であるかを確認するために英国の銀行などが行っている多くのモニタリングがあります。このモニタリングは、銀行顧客による報告されたケースとともに、現在までに影響の良い理想を与えるのに十分なケースをピックアップします。
誰かが盗まれた鍵を使用してあなたの家に侵入し、何も盗まなかった場合、どのようにしてあなたは知っていますか?多くの場合、そうします。発生をどのように検出するかを考えてください。それはあなたがキッチンワークトップに開いた手紙のように、あなたが読んで覚えていないのと同じくらいばかげているかもしれません。ここでは基本的に区別はありません。それは、強盗が最終的にどのキーが実際にあなたのものであるかを最終的に決定する前に、最初の10回のエントリ試行からロックにスクラッチマークを見つけた場合に役立ちます(読み取り:セキュリティログ)。
大企業や政府機関は、どのように取得するかではなく、ネットワークの内外に転送されたものを記録するためにディープパケットインスペクションを利用しています。
デバイスはすべてのトラフィックを記録し、アラートにIDSを利用できます。インシデントの発生後、攻撃の規模を分析できます。
このための一般的な業界標準ツールは次のとおりです。