Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
PV210 Bezpečnostní analýza síťového provozu
Úvod do forenzní analýzy
Michal Procházka, Daniel Kouřil
3. 12. 2014
Úvod Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Řešení domácího úkolu, shrnutí z minula Kontext, cíle, zasazení do životního cyklu incidentu Sběr dat pro torenzní analýzu Zpracování dat, analýza, manipulace s daty Reportování z torenzní analýzy
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Řešení třetího domácího úkolu I
Hlášení č. 1 - phishing bez hlaviček
• Phishingová stránka běží na
http://webmastersecurehelpdeskadminczl.j imdo.com
• Útočník využívá webhosting Jimdo (http://www.j imdo.com)
• Whois pro jimdo.comVracisupport@jimdo.com.
• Alternativní řešení: překlad jména stroje na IP (69.174.241.32) a následně whois vrátí
abuse@ serverbeach.com.
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Řešení třetího domácího úkolu II
Hlášení č. 2 - phishing s hlavičkami
• Stránka běží na
http://www.trustworthyseal.com/app/forms/forml.html.
• Pravděpodobně jde o zneužití firemní prezentace (liší se od hlášení č. 1).
• Překlad jména na IP (192.185.5.192) a následně whois vrátí ipadmin@websitewelcome. com.
• Alternativní řešení: návštěva
http://websitewelcome.com/ a odtud abuse@websitewelcome.com.
Úvod Sběr dat pro torenzní analýzu Zpracování dat, analýza
Řešení třetího domácího úkolu III
• Webmail: z první hlavičky vezmeme
webmail .med.uoc. gr (ujistí nás Google s dotazem "Horde Framework").
• Překlad jména na IP (147.52.72.199).
• Whois na Domaintools vrátí několik e-mailů, z nichž vezmeme ty v polích e-mail (ne changed):
mstarvak@ucnet.uoc.gr, jfragiad@ucnet.uoc.gr, kalogirou@ucnet.uoc.gr.
• Whois v Linuxu nevrátí žádné e-maily. Nutno hledat na webu Krétské univerzity.
• Stroj patří Krétské univerzitě a ta by možná mohla spadat pod akademický tým GRNET-CERT.
• Zcela jistě ale spadá pod národní tým NCERT-GR (dle záznamu u Trusted Introducera).
Úvod
Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza
Řešení třetího domácího úkolu IV
Reporting
• Hodnocení se objeví v Poznámkovém bloku do přednášky 10. 12.
• Hodnocení: 0-10 bodů. Viz zadání projektu (interaktivní osnova).
• Kontaktní osobou pro tento úkol je Jan Vykopal.
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Shrnutí minulé přednášky
CSIRT týmy poskytují část služeb, která nejlépe vyhovuje konstituency
Nejzásadejnější je IH, pak jsou další služby
Různé úrovně a podoby IH, převážně dle typu organizace
Úvod
Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza
Tradiční vs. digitální forenzní analýza
Reporting
Kontext
Sběr dat pro forenzní analýzu
Zpracování dat. analýza
Příklad incidentu
• Provedení
• Zjištěná fakta
• Možné dotazy
• Známe vstupní vektor?
• Byla modifikována data?
• Lze dohledat útočníka (GPS, FB)?
např. Neautorizovaný přístup ke sdílenému disku ve Windows doméně a zkopírování, smazání citlivých dat.
Úvod Sběr dat pro torenzní analýzu Zpracování dat, analýza
Řešení incidentu
• Řešení bez FA
• Detekce
• Informování
• Uvedení do původního stavu
• Řešení s FA
• Detekce
• Informování
• Analýza (uvedení do původního stavu)
• Zpětná vazba
• Uvedení do původního stavu
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Životní cyklus incidentu
Pokračování "Further
Process"
Postup alá NIST
• (Preparation)
• Detection and Analysis
• Containment, Eradication, Recovery
• Post-Incident Activity
Prvky FA součástí třech posledních fází
http://csrc.nist.gov/publications/nistpubs/ 800-61rev2/SP800-61rev2.pdf
Kontext Sběr dat pro forenzní analýzu Zpracování dat, analýza
Incident handling - zopakování
• Analýza incidentu
• Řešení incidentu na místě
• Podpora řešení incidentu
• Koordinace řešení incidentu
Úvod Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Forenzní analýza
• Zjištění příčin útoku, vstupní vektor
• Sběr a vyhodnocení dostupných informací
• Dohledání dat, modifikovaných a smazaných souborů
• Kategorizace závažnosti
• Uchování důkazů
• Co je výsledkem FA? Vždy je nutné zadáni!
• Příklady (RAC, govCERT, "koncový" CSIRT)
• http://csrc.nist.gov/publications/nistpubs/80 0-86/ SP800-86.pdf
Úvod Kontext Sběr dat pro forenzní analýzu Zpracování dat, analýza
Fáze forenzní analýzy
1. Sběr primárních dat
2. Vyhodnocení, analýza
3. Reporting
Úvod Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Týmová spolupráce
• Role
• Techničtí experti
• Právníci
• Koordinátor
• Komunikace s médi
• Komunikace s jinými CSIRT týmy
• Vedení firmy
• Sdílení i předběžných výsledků (lze-li)
• Pozor na legislativní omezení
• Orchana osobních údajů
• Klasifikace utajení (státní správa)
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Základní principy
Detailní poznámky během získávání dat
• Obhajitelnost i po letech
• Práce minimálně ve dvojici
• Fotodokumentace, video záznam
Vždy v souladu s lokálními předpisy a legislativou
• Ochrana osobních údajů
• Firemní předpisy
Minimální změny ve zkoumaných systémech Check-list a školení předem No panic!
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Sběr dat
Podle úrovně volatility (RFC 3227), zjednodušeně:
• Síťové konfigurace (spojení, ARP,...), procesy, paměť
• Pevné disky, paměťové karty - filesystem
• Externí logy, síťový monitoring
• Dodatečné netechnické zdroje (sociální sítě, "výpovědi" uživatelů, kamerové a docházkové systémy,...)
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Sběr dat
Příklady
• časová razítka - z disku
• paměť procesů - z RAM, hesla, klíče
• síťová spojení - spojení na C&C
• flow
• logy systému a aplikací
Nikdy se předem neví, co bude potřeba
Možnosti sběru závisí podle důležitosti služby (její dostupnost)
Úvod Kontext Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Zpracování dat
• Na zpracování je více času
• Lze provádět opakovaně
• Analýzy provádět v uzavřeném prostředí
• Opět záleží na zadání
• Probíhající incident: rychlá analýza, odhalení cíle, ...
• Obnovení dat: může trvat déle
• Týmová spolupráce
• Budování teorie
• Automatizace
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Ochrana primárních dat
Aplikovat už během sběru dat
• Podle závažnosti (pro potřeby Policie)
• Fotografie, videozáznamy, dokumentace, protokoly
Manipulace - chain of custody
Úvod Kontext Sběr dat pro forenzní analýzu Zpracování dat, analýza Reporting
Typy
• Zpráva o průběhu FA
• Detailní, ověřitelné informace
• Pouze má-li smysl
• Zpráva s výsledky
• předběžná
• průběžná
• závěrečná
Úvod Sběr dat pro forenzní analýzu Zpracování dat, analýza Reporting
Průběžná komunikace
• Informování vedení firmy, dotčených stran, získání dalších podkladů
• TLP - (Traffic Light Protocol)
• Red - Pouze v rámci skupiny
• Amber - Pouze v rámci organizace
• Green - S partnery
• White - Veřejně
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Reportování výsledků
Jasná odpověď na zadané otázky V případě obecného řešení incidentů
• Informace užitečné pro ostatní (základ pro advisory)
• Informace o možných síťových vzorech
• Doporučení pro nápravu
Úvod Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Ukázkový report
Evidence of co ni p roní is e
Kontext
Sběr dat pro torenzní analýzu
Zpracování dat, analýza
Shrnutí
FA součást IH, v různých fázích
• značně expertní činnost, lze outsourcovat Tři základní fáze
Opatrnost při sběru dat a při jejich uchování
• zejména hrozí-li právní spory
Vedle technických aspektů je důležitá i komunikace a reporting, a koordinace
Úvod Sběr dat pro torenzní analýzu Zpracování dat, analýza Reporting
Další materiály
• SANS - http://sans.org
• Forensics Wiki - http://forensicswiki.org
• Sleuth Kit - http://www.sleuthkit.org