Câu chuyện số 2: Bị kiểm soát từ xa (2)

Câuchuyện số 2: Bị kiểm soát từ xa (2)

Theo:http://www.h-online.com/security/features/CSI-Internet-Controlled-f-rom-the-beyond-1322313.html?page=2

Bài được đưa lênInternet ngày: 19/08/2011

Firsttraces

Lờingười dịch: Điều quan trọng khi điều tra tội phạmmáy tính là phải làm theo qui trình một cách cẩn thậnvà có kỷ luật.

Trongkhi tôi có thể suy đoán về những gì có thể đã xảyra ở đây, thì tốt hơn không xa rời khỏi các thủ tụcthường ngày và quan sát tỉ mỉ một khía cạnh sống còntrong qui trình này. Một tiếp cận hệ thống và có kỷluật là một nửa của cuộc chiến. Tôi vì thế trướchết bắt đầu quét virus toàn bộ ổ đĩa và, trong khichúng tôi chờ đợi, hỏi ông Waldmann về các chính sáchCNTT công ty của ông: ai có các quyền ưu tiến truy cậpnào, theo những điều kiện hoàn cảnh nào thì bàn trợgiúp được phép truy cập tới một máy tính cá nhân, vàcác qui định nào cho những người sử dụng thư điệntử và Internet.

Trìnhquét virus không trả về bất kỳ tệp độc hại nào; mộtphân tích bằng tay sâu hơn sẽ cần thiết để khẳngđịnh phán quyết này sau đó. Còn bây giờ, tôi sẽ tậptrung vào phân tích đĩa với phần mềm điều tra củatôi. Mỗi nhà điều tra có các công cụ ưa thích củariêng mình; nhiều người sử dụng Encase của GuidenceSoftware, trong khi những người khác sử dụng Bộ công cụđiều tra của Access Data hoặc Helix của e-Fense.

WhileI could speculate about what might have happened here, it is betternot to deviate f-rom routine procedures and potentially overlook acrucial aspect in the process. A systematic and orderly approach ishalf the battle. I therefore first start a virus scan across theentire disk and, while we're waiting, ask Mr Waldmann about hiscompany's IT policies: who has which access privileges, under whatcircumstances is the help desk allowed to access a PC, and what arethe rules for email and internet users.

Thevirus scanner doesn't return any malicious files; a more in-depthmanual analysis will be needed to confirm this verdict later. Fornow, I'm going to focus on analysing the disk with my forensicssoftware. Every investigator has his favourite tools; many swear byGuidanceSoftware's Encase, while others use AccessData's Forensic Toolkit or Helixby e-Fense.

Báocáo kỹ thuật chi tiết

Hầuhết các cuộc tấn công thường cũng có thể được thựchiện bằng tay hoặc có sử dụng các công cụ tự do. Tuynhiên, tôi ưa thích một công cụ được thiết lập tốthơn sẽ tự động hóa và lưu ký nhiều bước thủ tụcđược. Công cụ tôi chọn là X-Ways Forensics. Báo cáo kỹthuật chi tiết của nó đưa ra thông tin về số seri củađĩa cứng, dung lượng và các phân vùng, và tôi lưu nótrong thư mục của dự án. Có hệ thống và kỷ luật -bạn biết đấy...

Tiếp,tôi xem xét các tệp lưu ký khác nhau của máy tính. Lưuký các sự kiện chứa một vài đầu vào thú vị: vềngày theo yêu cầu, một loạt các kết nối mạng đượcPC chấp nhận từ một máy trạm cụ thể trong mạng. Hoanhô, ông Waldmann! Việc ra chính sách cẩn trọng của bạncó thể đã đưa ra được cho chúng tôi manh mối hữudụng đầu tiên. Windows chỉ ghi lại những lần đăngnhập vào mạng như vậy nếu người quản trị dứt khoáttriển khai một chính sách phù hợp.

Tôiphân loại các tệp của đĩa cứng tuân theo các triệnthời gian và các thư mục của chúng - một chức năng cơbản của bất kỳ bộ phần mềm điều tra nào - và đặtmột máy chủ VNC được cấp trước trong máy tính vàolúc đầu của những lần đăng nhập vào mạng. Điềunày là để giữ được các sự việc ma quỷ được ôngchủ của Waldmann mô tả. Phần mềm duy trì từ xa cho phépcác nội dung thiết bị điều khiển một máy tính đượchiển thị trên một máy tính khác, và thậm chí cho phépngười sử dụng phần mềm đó kiểm soát chúng từ đóbằng việc sử dụng một bàn phím và con chuột.

ÔngWaldmann điều tra những ai sử dụng máy trạm này trongkhi tôi quay về với các nhiệm vụ thường nhật củamình và tạo ra một ảnh cho đĩa cứng. Để tạo ra mộtảnh như vậy, X-Ways sao chép tất cả các đoạn (sectors),bao gồm cả các vùng đĩa cứng không được phân vùng,và tính các hàm băm SHA-256 đối với các nội dung đĩacứng và ảnh. Nếu 2 dữ liệu của vân tay số của bảnghi là phù hợp nhau, thì các bản ghi chính thống là hệtnhư nhau; một phân tích tôi tạo ra từ ảnh này sau đóthậm chí sẽ được chấp nhận như là bằng chứng tạitòa. Thậm chí lỗi sao chép nhỏ nhất có thể gây ranhững giá trị làm trệch hướng.

Mostof the tasks could generally also be done manually or using freetools. However, I prefer a well-established tool that willautomate and log many steps of the procedure. My chosen tool isX-WaysForensics. Its detailed technical report provides information onthe hard disk's serial number, capacity and partitions, and I save itin the project directory. Systematic and orderly – you know …

Next,I examine the computer's various log files. The event log containsseveral interesting entries: on the day in question, the PC acceptedvarious network connections f-rom a specific workstation on thenetwork. Congratulations, Mr Waldmann! Your prudent policy-making mayhave already given us the first usable lead. Windows will only recordsuch network log-ons if the administrator explicitly implementsa suitable policy.

Isort the hard disk's files according to their time stamps and acrossdirectories – an essential function of any forensic suite – andlocate a VNCserver that was deposited on the computer at the time of thefirst of those network log-ons. This is in keeping with the spookyincidents described by Waldmann's boss. The remote maintenancesoftware allows a computer's monitor contents to be displayed onanother computer, and even enables the software user to control themf-rom there using a keyboard and mouse.

MrWaldmann investigates who uses that workstation while I return to myroutine tasks and cre-ate a hard disk image. To generate such animage, X-Ways copies all sectors, including those hard disk areasthat aren't partitioned, and calculates SHA-256 hashes for the harddisk contents and the image. If the two data records' digitalfingerprints match, the records truly are identical; an analysis Icre-ate f-rom the image will then even be accepted as evidence incourt. Even the smallest copy error would cause the values todeviate.

Trongkhi đó, ông Waldmann đã tìm ra rằng máy tính ở xa theoyêu cầu là một máy xách tay chắc chắn của ôngSteinbach, một trong những quản trị viên hệ thống củacông ty. Việc duy trì một PC bị lây nhiễm là hoàn toànkhông nằm trong các nhiệm vụ của ông ta. Bước tiếpsau là một mẹo nhỏ: chúng tôi cần xem xét máy xách taycủa ông Steinbach – và chúng tôi cần làm thế trướckhi ông ta có cơ hội kích hoạt một trình phá dấu vết,mà có thể làm cho tôi có khả năng không thành công,nhưng nó có khả năng tạo ra những phức tạp không cầnthiết. Chúng tôi vì thế tới và thăm người cầm đầuđội quản trị, người sẽ yêu cầu ông Steinbach tớivăn phòng của anh ta.

ÔngWaldmann âm thâm giải thích tình huống: rằng máy tính củamột lãnh đạo công ty đã bị tấn công, và rằng địachỉ IP của máy tính của ông Steinbach đã chỉ ra trongmột trong những tệp lưu ký. Chúng tôi vì thế sẽ cầnmáy xách tay của ông ta cho những điều tra tiếp sau màông Steinbach nên sử dụng một máy tính phụ khác tạmthời một thời gian. Dù rõ ràng là đột ngột, songSteinbach đồng ý. Tôi từ lâu đã bỏ các kết luận vẽvời từ một câu trả lời đáng nghi ngờ. Tôi thích gắnvào với những con số thực tế – 0 và 1 không bao giờnói dối.

Meanwhile,Mr Waldmann has found out that the remote computer in question is thenotebook of a certain Mr Steinbach, one of the company's systemadministrators. Maintaining the affected PC is definitely not amonghis tasks. The next step is a little tricky: we need to examine MrSteinbach's notebook – and we need to do so before he has theopportunity to activate a trace destructor, which would not make itimpossible for me to succeed, but it would cre-ate unnecessarycomplications. We therefore go and see the admin team leader, whoasks Mr Steinbach to come to his office.

MrWaldmann calmly explains the situation: that the computer of acompany executive has been attacked, and that the IP address of MrSteinbach's computer showed up in one of the log files. We willtherefore need his notebook for further investigations and that MrSteinbach should please use a substitute computer for the time being.Although visibly taken aback, Steinbach consents. I've long given updrawing conclusions f-rom a suspect's response. I prefer sticking tothe digital facts – zeros and ones never lie.

Trênbàn của người quản trị, chúng tôi thấy máy tính xáchtay với màn hình của nó được khóa. Một lần nữa tôivượt qua được, chụp ảnh màn hình và tắt máy xáchtay một cách cẩn thận. Sau đó tôi bỏ nắp hộp pin, tôilấy pin ra. Sau đó tôi chụp ảnh hệ thống và ghi lạicác thiết bị ngoại vi được kết nối tới các cổngnào. Một ít ảnh chụp không gian làm việc được cắtgọt cho tài liệu của tôi. Chúng tôi bây goờ lấy máytính, đặt thân máy với màn hình, bàn phím và chuộtđằng sau bàn. Không có thiết bị lưu trữ di động riêngtiềm tàng nào nuư các ổ USB, tôi có lẽ cần tới quyềncủa ông Steinbach trước khi tôi có thể xem xét chúng.

Tôikết nối ổ cứng của ông ta tới máy xách ty dự án củatôi thông qua trình chống ghi cưỡng bách, tạo một báocáo kỹ thuật chi tiết với 2 nháy chuột, và bắt đầuquét virus. Nếu máy tính bị lây nhiễm với một trojan,thì tôi muốn mở rộng sự tìm kiếm của tôi bao gồm cảcác hệ thống tiếp nữa trong mạng càng sớm càng tốt.Khi trình quét virus trả về không có những lây nhiễm,ông Waldmann và tôi thở phào nhẹ nhõm. Ít nhất chúng tôiđang không làm việc với một đống lửa và có thể,theo tất cả lương tâm, gọi nó một ngày. Việc sao chépthủ tục mà bây giờ cần tới có thể chạy mà khôngcần sự giám sát. Cẩn thận đóng cửa phòng, tôi chàotạm biệt.

Bàitiếp: Tiến lên phía trước

Onthe admin's desk, we find the notebook with its desktop locked. Onceagain I go through the motions, take pictures of the screen andswitch the notebook off the rough way. After I've unplugged thedevice's power lead, I remove the battery. I then take pictures ofthe system and write down which peripheral devices are connected towhich ports. A few pictures of the workplace round off mydocumentation. We now take the computer, leaving the docking statitonwith monitor, keyboard and mouse behind on the desk. There are nopotentially private mobile storage devices such as USB pen drives,for which I would need to ask Mr Steinbach's permission before Icould examine them.

Iconnect his hard disk to my project notebook via the obligatory writeblocker, generate a detailed technical report with two mouse clicks,and start the virus scan. If the computer has been infected with atrojan, I want to extend my search to include further systems in thenetwork as soon as possible. When the virus scanner returns noinfections, Mr Waldmann and I breathe a sigh of relief. At leastwe're not dealing with a bush fire and can, in all conscience, callit a day. The copying procedure that is now required can run withoutsupervision. Having carefully locked the room, I say goodbye for theday.

Next:Forging ahead

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com