КАК СИСТЕМНЫЕ АРТЕФАКТЫ МОГУТ ПОМОЧЬ СПЕЦИАЛИСТАМ ПО ИБ И ЦИФРОВОЙ КРИМИНАЛИСТИКЕ (ФОРЕНЗИКЕ)?
Автор: Бочаров Сергей.
ВВЕДЕНИЕ
В информационной безопасности (ИБ) и в цифровой криминалистике или форензике уделяют серьезное внимание анализу различных данных, которые могут помочь в расследовании причин и последствий инцидентов. В перечень исследуемых данных также входят и системные артефакты.
В этом материале мы поговорим подробнее о том, что они из себя представляют и какую информацию можно получить анализируя их.
ЧТО ТАКОЕ СИСТЕМНЫЕ АРТЕФАКТЫ (СА)?
Быстроменяющиеся системные артефакты – это цифровые следы, которые в памяти ПК оставляют различные процессы или программы после своего запуска или работы. Системные артефакты хранятся в оперативной памяти ПК и стираются после его выключения.
Именно это свойство СА делает их интересными не только для специалистов по цифровой криминалистике, но и для злоумышленников. Ведь если провести атаку на компьютер используя СА, то есть очень хорошие шансы остаться незамеченным. Именно по этой причине сбор и анализ различных системных артефактов так важен при расследовании инцидентов.
ЧТО МОГУТ «РАССКАЗАТЬ» СА?
Анализ системных артефактов позволяет специалисту отследить все, что происходит с ПК в течении всего времени его работы. СА позволяют собрать и проанализировать информацию о поведении различных вредоносных программ, а также обнаружить и проанализировать действия злоумышленника. А иногда СА могут стать единственным источником выявления угроз.
Теперь пришло время познакомиться с наиболее важными системными артефактами и кратко рассказать об их значении.
НАИБОЛЕЕ ВАЖНЫЕ СА
В данном материале мы не претендуем на полный рассказ обо всех СА остановимся только на наиболее важных.
Active Connections (Активные Подключения)
Анализируя этот артефакт можно понять через какие сети ПК производит обмен данными.
ARP Cache (Кэш Протокола Разрешения Адресов)
Это список, в котором каждому IP-адресу в сети ставится в соответствие физический MAC- адрес девайса.
DNS Cache (Кеш Динамического Сервера Имён)
Кеш динамического сервера имен мошенник может использовать для осуществления DNS-спуфинга.
Running Processes (Запущенные Процессы)
В этом артефакте содержится данные обо всех запущенных на ПК программах. С его помощью специалист по ИБ может выявить различное вредоносное ПО, запущенное на ПК злоумышленником.
Services (Службы)
При помощи системного артефакта Services сотрудник службы ИБ может установить какие процессы запускаются на ПК после загрузки и определить вектор атаки.
Scheduled Processes (Запланированные Процессы)
Используя Scheduled Processes злоумышленники могут активировать в системе постоянный или периодический запуск на исполнение вредоносного кода на ПК, и таким образом прятать следы атаки.
Prefetch Lists (Списки Предварительной Выборки)
В этом артефакте хранятся данные об активности запущенных на ПК программах. В частности, когда и как часто программы запускаются в системе, с какими каталогами и файлами обмениваются данными и другая важная информация. Поэтому исследуя Prefetch Lists «безопасник» может получить информацию о тактике кибератаки, а также о том какие программы для этого используются.
Firewall Rules (Правила Брандмауэра)
Получив доступ к Firewall Rules, злоумышленник может открыть доступ ПК к поддельному сайту и разрешить получение различного вредоносного сетевого трафика.
Scheduled Job List (Список Запланированных Заданий)
Используя Scheduled Job List, хакер может активировать начальный или повторный запуск вредоносных программ. Также этот артефакт может использовать для реализации в корпоративной сети постоянных сложных угроз – APT (Advanced Persistent Threat). Заметим, что при опытном планировании режимов запуска ПО, атака может долгое время оставаться незамеченной.
Mounted Network Shares (Подключенные Сетевые Ресурсы)
Артефакт Mounted Network Shares содержит сведения обо всех добавленных в сеть накопителях физических или виртуальных. Заметим попутно, что все они могут быть использованы злоумышленниками для кражи данных или других атак. Если хакер получит доступ к этому артефакту он сможет, например спрятать части вредоносного кода на различных накопителях и собрать программу в нужный момент сделав атаку максимально скрытной.
Logged on Users (Вошедшие в Систему Пользователи)
Как видно из названия Logged on Users содержит данные о сеансе и видимости всех активных пользователей. В перечень включаются также и все удаленные юзерЯЯЯЯЯЯЯЯы. Анализ данного артефакта может помочь специалисту ИБ выявить пользователей, получивших несанкционированный доступ к ПК или корпоративной сети.
USB Device History (История USB-подключений)
В USB Device History находятся данные обо всех USB-устройствах, которые подключались к ПК. Анализируя эту информацию, специалист по ИБ может определить, когда и какие USB-устройства подключались к конкретному ПК. Это может потребоваться, например при расследовании утечек корпоративных данных.
ИТОГ
Как видно даже из этого далеко не полного перечня системных артефактов и хранящихся в них данных, умение их извлекать и анализировать может весьма серьезно помочь специалистам по ИБ и форензике при проведении расследований инцидентов.
Существенную помощь в извлечении и анализе цифровых артефактов из ПК и серверов могут оказать специалистам, например ПО класса DFIR. Но необходимо помнить, что сбор цифровых артефактов надо проводить, не допуская перезагрузки или выключения ПК, в противном случае они будут уничтожены!
Изображение создано ИИ.