Câu chuyện số 2: Bị kiểm soát từ xa (3)

Theo:http://www.h-online.com/security/features/CSI-Internet-Controlled-f-rom-the-beyond-1322313.html?page=3#forgingahead

Bàiđược đưa lên Internet ngày: 19/08/2011

Tiếnlên phía trước

Forgingahead

Lờingười dịch: Ngày thứ 2 của cuộc điều tra, manh mốiđã bắt đầu xuất hiện, nhưng kết luận cuối cùng cònchưa được đưa ra.

Sánghôm sau, tôi lần đầu tiên viết ra các giá trị băm củacả đĩa cứng và ảnh theo lưu ký log của từng trườnghợp - một cách có trật tự, ... Tất cả những điềutra tiếp sau được triển khai có sử dụng các ảnh; bảnthân các đĩa cứng được khóa lại. X-Ways Forensics hiểnthị các nội dung trong một cửa sổ dạng của Explorer.Một trình cài cắm cho phép tôi xem các nội dung của cácdạng tệp thường được sử dụng trong một màn hìnhxem trước. Một trạng thái xem dạng bộ sưu tập giúpxem xét các bộ sưu tập ảnh.

Thenext morning, I first write down the hash values of both the harddisk and the image in the case log – orderly, etc … All furtherinvestigations are carried out using the images; the hard disksthemselves are locked in a vault. X-Ways Forensics displays thecontents in an Explorer-type window. A plug-in allows me to view thecontents of commonly used file types on a preview screen. A galleryview helps with the examination of image collections.

Bâygiờ tôi cần làm rõ liệu máy trạm của ông Steinbach cóbị tổn thương và bị kẻ tấn công sử dụng như mộtbàn đệm hay không, hay liệu bản thân ông Steinbach có làngười

Themost recently opened documents reveal much about how a PC has beenused đã rình mò quanh trong chiếc máy tính của lãnh đạohay không. Trước tiên, tôi muốn có được cảm giác làmthế nào ông Steinbach sử dụng máy tính của ông ta: cácchương trình nào ông ta sử dụng, các website nào ông taviếng thăm để lấy thông tin, các máy chủ tệp nào ôngta lưu trữ các tài liệu của ông ta, …

Tácvụ này được đơn giản hóa bằng những nỗ lực củaWindows làm cho công việc của người sử dụng thuận tiệnnhất có thể. Ví dụ, Explorer ghi nhớ lại những tệp vàchương trình nào một người sử dụng đã truy cập thôngqua các danh sách “Được sử dụng nhiều nhất gần đây”(Most Recently Used). Nó lưu lại 10 tệp được sử dụnggần đây nhất cho mỗi dạng mở rộng tệp; tôi vì thếcó 10 tệp DOC, 10 PDF, 10 JPG và, nếu có bất kỳ tệp JPEGnào, thì cũng là 10 nó nốt. Thông tin này được lưu trữở những nơi như Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocstrong phần đâng ký (registry).

Inow need to clarify whether Mr Steinbach's workstation wascompromised and used as a springboard by the attacker, or whether MrSteinbach himself was the one who snooped around on the executive'scomputer. First, I want to get a feel for how Mr Steinbach uses hismachine: which programs he uses, which web sites he visits to obtaininformation, which file servers he stores his documents on, and soforth.

Thistask is simplified by Windows' efforts to make its users' work ascomfortable as possible. For example, Explorer memorises which filesand programs a user has accessed via "MostRecently Used" lists. It saves the ten most recently usedfiles for every type of file extension; I therefore have ten DOCs,ten PDFs, ten JPGs and, if there are any JPEGs, ten of those as well.This information is stored in places such asSoftware\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsin the registry.

Thôngtin tiếp theo có thể thường được tìm thấy trong nhánhUserAssist của đăng ký. Ví dụ, nếu một người sử dụngnháy vào một tệp .txt, thì Windows sẽ nhớ rằng nó đãbắt đầu sau đó chương trình Notepad. Những khoản nàyvẫn giữ được sẵn sàng thậm chí nếu một chươngtrình đã được bỏ cài đặt, và thông tin ký tự ổđĩa sẽ nói cho tôi liệu chương trình đã được khởitạo từ ổ đĩa cục bộ hay từ một thiết bị lưu trữbên ngoài. Những người sử dụng một bộ sưu tập cácphần mềm mở rộng có thể nhanh chóng tích lũy hàng trămkhoản theo khóa của này.

Tôikhông thể giúp nhưng mỉm cười ở bộ nhớ về sựthắng cược tôi đã làm với một đồng nghiệp thôngminh của tôi, người đã không tin rằng Windows thực sựsử dụng mã hóa ROT13.Phương pháp mã hóa sơ khai này thay thế mỗi ký tự bằngmột ký tự với 13 chỗ đằng sau nó trong bảng chữ cáiabc, bắt đầu một lần nữa từ A cho tới khi đạt đượctới Z. Một số lập trình viên Windows có lẽ đã có mộtchút thú vui ở đây; tất nhiên, các công cụ điều trangay lập tức hiển thị các văn bản thô.

Everysuccessful double click on an object ends up in the registry'sUserAssist branch

Furtherinformation can often be found in the registry's UserAssistbranch. For instance, if a user clicks on a .txt file, Windows willremember that it subsequently started the Notepad program. Theseentries remain available even if a program has been uninstalled, andthe drive letter information tells me whether the program waslaunched f-rom the local drive or f-rom an external storage device.Those who use an extensive software collection can quickly accumulatea few hundred entries in this key.

Ican't help but smile at the memory of winning a bet I made with asmart alec colleague of mine who refused to believe that Windowsreally does use ROT13encryption. This primitive encryption method replaces every letter bythe one that follows 13 places behind it in the alphabet, startingagain at A once Z has been reached. Some Windows developers probablyhad a little fun there; of course, forensics tools immediatelydisplay the plain text.

Mộtphần khác của đăng ký có chứa “các túi bags” trongđó Windows lưu giữ các lựa chọn xem thư mục đặc biệtnhư khóa theo loại hoặc liệu thư mục có được hiểnthị trong kiểu xem biểu tượng hoặc danh sách hay không.Danh sách thư mục này đưa ra các thông tin hữu dụng vềviệc liệu các ổ đĩa cứng bên ngoài hoặc các đầuUSB có được sử dụng hay không.

Chúngta có thể tiếp tiếp tục danh sách bằng chứng tiềmtàng này hầu như ngay lập tức. Tình trạng được làmtrầm trọng thêm bằng đăng ký đang được phân tánxuyên một vài tệp trên ổ đĩa cứng. Rất may, X-Ways làmcông việc thu thập tất cả các mẩu riêng rẽ cho tôi vàtạo ra một báo cáo nội dung của đăng ký chỉ về mộtngười sử dụng duy nhất và về HỆ THỐNG và PHẦN MỀMcủa toàn bộ hệ thống bị viêm.

Cácdấu vết trong rừng đăng ký của ông Steinbach đang nóilên hoàn toàn, vì một số tệp không khớp với công việccủa một người quản trị hệ thống: ví dụ, có mộtdanh sách lương, 2 tham chiếu nhân sự cho những người đãra đi, và nhiều bảng xếp hạng nhân viên. Tất cả cáctệp này được lưu trữ trong một thư mục con hồ sơcủa người sử dụng. Thư mục này có chứa toàn bộ bữaăn nhiều món về thông tin. Hơn nữa các dữ liệu nhânsự được ghi nhớ lại mà tôi đã thấy có một đồthì tổ chức, một danh sách điện thoại, một loạt cácnhả hình như đã được chụp trong một bữa tiệc củavăn phòng, và vài bức thư.

Tuynhiên, các tệp này thể hiện một cách ấn tượng nhữnghạn chế các khả năng của tôi. Trong khi tôi có thểtheo dõi các tệp, thì tôi lại không có ngữ cảnh đểhiểu đúng ý nghĩa của những gì tôi đã tìm ra. Vì thếtôi nói cho ông Waldmann, người khẳng định rằng ôngSteinbach hoàn toàn có trách nhiệm về việc duy trì cácmáy chủ nhất định nào đó, và rằng ông ta không nắmgiữ một vị trí quản lý nào. Các dữ liệu nhân sựchắc chắn không thuộc về máy tính của ông ta; Waldmanntrở nên đặc biệt lo ngại khi tôi nhắc tới sơ đồ tổchức, hóa ra đó là một tài liệu bí mật thuộc vềquản lý cao cấp. Tuy nhiên, vẫn có thể là ông Steinbach,có lẽ, đã giúp một đồng nghiệp lưu một vài dữ liệutừ một ổ USB không đáng tin cậy. Đó là một câu hỏimà chúng ta sẽ cần làm sáng tỏ trong một cuộc phỏngvấn cá nhân sau này.

Theregistry's UserAssist entries really are ROT13 encrypted.

Anotherpart of the registry contains "bags" in which Windowsstores specific directory viewing options such as the sort key orwhether the directory was displayed in icon or list view. Thisdirectory list provides useful information on whether external harddisks or USB flash drives have been used.

Wecould continue this list of potential evidence almost indefinitely.The situation is aggravated by the registry being distributed acrossseveral files on the hard disk. Thankfully, X-Ways does the job ofcollecting all the individual pieces for me and generates a registrycontent report of the only user account and of the system-wide SYSTEMand SOFTWARE hives.

MrSteinbach's tracks in the registry jungle are quite telling, becausesome of the files don't fit with the job of a system admin: forexample, there is a salary list, two staff references for people whohave left, and various staff rating sheets. All of these files arestored in a user profile subfolder. This folder contains a wholesmorgasbord of information. In addition to the mentioned staff data Ifind an org c-hart, a telephone list, various photographs that wereapparently taken at an office party, and several letters.

However,these files impressively demonstrate the limits of my capabilities.While I can track down files, I'm lacking the context to correctlyinterpret the meaning of my discoveries. I therefore talk to MrWaldmann, who confirms that Mr Steinbach is exclusively responsiblefor maintaining certain servers, and that he does not hold amanagerial position. The staff data definitely doesn't belong on hiscomputer; Waldmann becomes particularly concerned when I mention theorg c-hart, which turns out to be a confidential document belonging tosenior management. However, it could still be that Mr Steinbach,perhaps, helped a colleague save some data f-rom an unruly USB pendrive. That's a question we will need to clarify in a personalinterview later.

Cácdấu thời gian

Tuynhiên, trước hết, tôi muốn có một ý tưởng về trậttự theo thời gian các hoạt động của ông Steinbach. Đốivới từng tệp trong hệ thống tệp NTFS, Bảng Tệp ChủMFT chứa một khoản mà, ngoài siêu thông tin như các quyềnưu tiên truy cập, còn có chứa vài dấu thời gian. Thậmchí trong một máy t ính rất ít được sử dụng, thì MFTsẽ có chứa hownn 10.000 khoản mục. Những người mà giữbộ sưu tập âm nhạc ở đó có thể dễ dàng tạo ra vàotrăm ngàn khoản mục.

Windowsduy trì 4 dấu thời gian cho từng tệp, nhưng chỉ 3 trongsố đó là được chỉ ra trong Windows Explorer và thông qualệnh DIR: thời gian tệp đã được tạo ra hoặc đượcsửa đổi, và thời gian truy cập gần nhất. Vì chúngliên quan tới sự sửa đổi, truy cập và tạo tệp, nhữngdấu thời gian này thường được gọi là “các thờigian MAC”. Những lần truy cập có, hình như vì những lýdo hiệu năng, không được ghi lại kể từ Windows Vista;hành vi này có thể cũng được bật/tắt trong các phiênbản cũ hơn của Windows thông qua chương trình dòng lệnhfsutil. Dấu thời gian thứ 4 các bản ghi NTFS là thời gianmà ở đó khoản mục MFT đã được sửa đổi mới nhất.Điều này có thể xảy ra, ví dụ, khi tệp được mởrộng bởi một cụm (cluster) tiếp theo.

Timestamps

First,however, I want to get an idea of the chronological sequence of MrSteinbach's activities. For every file in an NTFSfile system, the Master File Table (MFT) contains an entry that,apart f-rom meta information such as the access privileges, alsocontains several time stamps. Even on a computer that is rarely used,this MFT will contain well over 10,000 entries. Those who keep theirmusic collection there can easily cre-ate several hundred thousandentries.

Windowsmaintains four time stamps for every file, but only three of them areshown in Windows Explorer and via the DIR command: the time at whichthe file was cre-ated or modified, and the date of the latest access.Because they relate to file modification, access and creation, thesetime stamps are often called "MACtimes". Access times have, probably for performance reasons,not been recorded since Windows Vista; this behaviour can also betriggered in older versions of Windows via the fsutilcommand line program. The fourth time stamp NTFS records is the timeat which the MFT entry was last modified. This can happen, forexample, when the file is extended by a further cluster.

Vềcơ bản, X-Ways đưa ra một loạt các chức năng cho việcquản lý số lượng khổng lồ các dữ liệu như vậy.Tôi có thể sử dụng các bộ lọc để hạn chế đầura của tôi tới một khung thời gian, dạng tệp hoặc kíchthước tệp cụ thể nào đó. Trong các trường hợp nơimà một số khách hàng lắm mưu kế đã sửa đổi mởrộng tệp - ví dụ việc ngụy trang một lưu trữ zip nhưmột tệp thực thi - thì công cụ này có thể kiểm trachữ ký tệp. Một lưu trữ zip luôn bắt đầu với cácký tự “PK”, trong khi một chương trình thực thi đượcbắt đầu với “MZ”. X-Ways tạo ra hơn 160 chữ ký chocác dạng tệp thường được sử dụng. Nếu một trườnghộp có liên quan tới các dạng tệp kỳ lạ hơn, thì tôisử dụng chương trình TrID tự do của Marco Pontello.

Ngàythứ 2 điều tra sắp kết thúc, và tôi sắp đặt vớiông Waldmann rằng các dạng tệp sẽ khớp mà không có sựgiám sát. Chúng tôi khóa phòng thí nghiệm gặp gỡ củachúng tôi lại và đồng ý sẽ triệu tập lại vào ngàyhôm sau.

Bàitiếp: Làm sạch.

Thefree TrID tool identifies unknown files using a comprehensivesignature database

Fortunately,X-Ways offers various functions for managing such huge amounts ofdata. I can use filters to restrict my output to a certain timeframe, file type or file size. In cases whe-re some wily customer hasmodified the file extension – for instance camouflaging a ziparchive as an executable file – the tool can check the filesignature. A zip archive always begins with the letters "PK",while an executable program begins with "MZ". X-Waysproduces over 160 signatures for commonly used file types. If a caseinvolves more exotic file types, I use Marco Pontello's free TrIDprogram.

Thesecond day of investigations is coming to a close, and I arrange withMr Waldmann that the file types will be matched without supervision.We lock our meeting room lab and agree to reconvene the followingday.

Next:Cleaning up

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com