Ryan+Francis

有人悄悄告訴老板，某個(gè)員工可能會(huì)離職，對(duì)此，他想盡可能的把客戶(hù)帶走，帶到他的新單位那里去。該公司引進(jìn)了計(jì)算機(jī)取證專(zhuān)家，檢查員工在網(wǎng)上的活動(dòng)，在員工面前找出證據(jù)。

計(jì)算機(jī)取證公司TechFusion的總裁兼首席執(zhí)行官Alfred Demirjian在他從業(yè)的30多年中，對(duì)這樣的場(chǎng)景見(jiàn)多不怪——員工通過(guò)劫持電子郵件帳戶(hù)濫用公司互聯(lián)網(wǎng)，陰謀破壞自己以前的公司。商業(yè)軟件支持公司深入研究員工的社交媒體博文和文本，或者如果他們有公司提供的智能手機(jī)，則可以通過(guò)GPS跟蹤他們。

會(huì)給客戶(hù)一定的期限，TechFusion可以通過(guò)公司電子郵件來(lái)查看員工與客戶(hù)的交互。

Demirjian說(shuō)：“計(jì)算機(jī)取證將在暴露人的惡意行為方面發(fā)揮更大的作用。隨著該技術(shù)的不斷進(jìn)步，人們?cè)絹?lái)越難以隱瞞他們的不法行為，更容易讓他們承擔(dān)責(zé)任?！?/p>

自從Demirjian從業(yè)以來(lái)，技術(shù)已經(jīng)日趨成熟。他說(shuō)：“該行業(yè)從使用操作系統(tǒng)命令發(fā)展到基于軟件的命令。與工具所應(yīng)用的系統(tǒng)相比，現(xiàn)在更重要的是擁有使用工具的經(jīng)驗(yàn)。”

他補(bǔ)充說(shuō)，軟件的兼容性和功能越來(lái)越強(qiáng)。他說(shuō)：“它更快、更便宜。這讓取證工程師能夠執(zhí)行更多的任務(wù)?！?/p>

TechFusion參與了一些著名的案例，最近的一個(gè)是新英格蘭愛(ài)國(guó)者隊(duì)的四分衛(wèi)Tom Brady臭名昭彰的手機(jī)。當(dāng)NFL要求檢查他的文本時(shí)，Brady說(shuō)他的電話丟了。后來(lái)找到了這些文本。TechFusion還負(fù)責(zé)審查Odin Lloyd當(dāng)晚被殺害時(shí)在late-Aaron Hernandez家里拍攝到的監(jiān)控錄像。

計(jì)算機(jī)取證是數(shù)字取證科學(xué)的一個(gè)分支，涉及查找計(jì)算機(jī)和數(shù)字存儲(chǔ)介質(zhì)中的證據(jù)。計(jì)算機(jī)取證的目的是以可靠的取證方式檢查數(shù)字媒體，旨在識(shí)別、保存、恢復(fù)、分析和呈現(xiàn)關(guān)于數(shù)字信息的事實(shí)和鑒定結(jié)果。這涉及數(shù)據(jù)恢復(fù)的類(lèi)似技術(shù)和原理，還有創(chuàng)建合法審計(jì)跟蹤的附加指導(dǎo)和舉措。

計(jì)算機(jī)取證將在暴露人的惡意行為方面發(fā)揮更大的作用。隨著該技術(shù)的不斷進(jìn)步，人們?cè)絹?lái)越難以隱瞞他們的不法行為，更容易讓他們承擔(dān)責(zé)任。

Tanium首席安全架構(gòu)師Ryan Kazanciyan說(shuō)，取證是重建和分析數(shù)字證據(jù)的過(guò)程，以確定某一設(shè)備或者系統(tǒng)以前是被怎樣使用的。在最基本的層面上，所謂的數(shù)字證據(jù)可以采取以端點(diǎn)設(shè)備為中心的數(shù)據(jù)（例如硬盤(pán)或者內(nèi)存中的內(nèi)容）的形式，以網(wǎng)絡(luò)為中心的數(shù)據(jù)（例如，采集通過(guò)某一設(shè)備或者網(wǎng)站的所有網(wǎng)絡(luò)流量的完整數(shù)據(jù)包）的形式，或者以應(yīng)用程序?yàn)橹行牡臄?shù)據(jù)（例如與程序或者服務(wù)的使用相關(guān)的日志和其他記錄）等形式。

取證調(diào)查員的工作流程主要是由他們要嘗試回答的具體問(wèn)題來(lái)推進(jìn)的。通常需要使用取證的應(yīng)用情形的例子包括：

一名執(zhí)法人員逮捕了涉嫌國(guó)內(nèi)恐怖主義的某個(gè)人，并希望找到與以前或者計(jì)劃中的犯罪活動(dòng)有關(guān)的所有通信記錄、互聯(lián)網(wǎng)活動(dòng)和數(shù)據(jù)。

違規(guī)調(diào)查已經(jīng)發(fā)現(xiàn)有證據(jù)表明外部攻擊者訪問(wèn)了存有敏感知識(shí)產(chǎn)權(quán)的公司服務(wù)器。分析師希望確定最初的訪問(wèn)方式，有沒(méi)有數(shù)據(jù)被訪問(wèn)或者被盜取了，以及系統(tǒng)是否遭受了任何敵對(duì)攻擊（例如引入了惡意軟件）。

它是怎樣使用的，它是如何工作的？

Kazanciyan說(shuō)，傳統(tǒng)的計(jì)算機(jī)取證需要利用專(zhuān)門(mén)的軟件來(lái)勾畫(huà)出目標(biāo)系統(tǒng)的硬盤(pán)和物理內(nèi)存，并自動(dòng)將其解析為人類(lèi)可以識(shí)別的格式。這樣，調(diào)查人員可以檢查和搜索某類(lèi)文件或者應(yīng)用程序數(shù)據(jù)（例如，電子郵件或者網(wǎng)絡(luò)瀏覽器歷史）、時(shí)間點(diǎn)數(shù)據(jù)（例如，在取證時(shí)運(yùn)行的進(jìn)程或者開(kāi)放的網(wǎng)絡(luò)連接），以及歷史活動(dòng)留下的痕跡（例如，刪除的文件或者最近的活動(dòng)）。

他說(shuō)，被刪除的數(shù)據(jù)和歷史活動(dòng)在多大程度上能夠被恢復(fù)取決于一些因素，但是隨著時(shí)間的推移，一般會(huì)越來(lái)越難以恢復(fù)，并且與系統(tǒng)的活動(dòng)程度有關(guān)。

Kazanciyan說(shuō)，這種計(jì)算機(jī)取證方法仍然適用于集中的小規(guī)模調(diào)查，但對(duì)企業(yè)規(guī)模的任務(wù)來(lái)說(shuō)太耗時(shí)，資源太密集，例如在企業(yè)環(huán)境中監(jiān)控?cái)?shù)千個(gè)系統(tǒng)。

他說(shuō)：“因此，在過(guò)去十年中，能夠在‘實(shí)際系統(tǒng)中快速搜索證據(jù)并進(jìn)行分析的技術(shù)開(kāi)始蓬勃發(fā)展，成為所謂的端點(diǎn)檢測(cè)和響應(yīng)（EDR）市場(chǎng)的基礎(chǔ)?！盓DR產(chǎn)品通常提供以下功能的組合：

關(guān)鍵端點(diǎn)設(shè)備遠(yuǎn)程監(jiān)測(cè)的連續(xù)記錄——例如，執(zhí)行的過(guò)程或者網(wǎng)絡(luò)連接，提供關(guān)于系統(tǒng)活動(dòng)的隨時(shí)可用的時(shí)間表。他說(shuō)，這類(lèi)似于飛機(jī)上的黑盒子。能夠查看遠(yuǎn)程監(jiān)測(cè)信息后，可以不用通過(guò)系統(tǒng)的本地證據(jù)源來(lái)重建歷史事件。如果違規(guī)行為已經(jīng)發(fā)生了，再把調(diào)查技術(shù)部署到環(huán)境中，這樣做就沒(méi)有什么用了。

分析和搜索系統(tǒng)的本地證據(jù)取證源，即在正常系統(tǒng)工作期間由操作系統(tǒng)自己保留的內(nèi)容。這包括能夠快速、有針對(duì)性地搜索文件、進(jìn)程、日志條目、內(nèi)存中遺留的證據(jù)，以及整個(gè)系統(tǒng)中的其他證據(jù)。這完善了連續(xù)事件記錄器的應(yīng)用，可用于擴(kuò)大調(diào)查范圍，并找到可能未被保留的其他線索。

警報(bào)和檢測(cè)。產(chǎn)品可以主動(dòng)收集并分析上述數(shù)據(jù)的來(lái)源，并將其與結(jié)構(gòu)化威脅情報(bào)（例如，感染指標(biāo)），以及旨在檢測(cè)惡意活動(dòng)的規(guī)則或者其他啟發(fā)式內(nèi)容進(jìn)行比較。

對(duì)某個(gè)目標(biāo)主機(jī)收集證據(jù)。當(dāng)調(diào)查人員確定需要進(jìn)一步檢查系統(tǒng)時(shí)，他們可以對(duì)整個(gè)目標(biāo)系統(tǒng)的歷史遠(yuǎn)程監(jiān)測(cè)（如果存在并進(jìn)行了記錄）信息、硬盤(pán)和內(nèi)存上的文件上進(jìn)行“深度”的證據(jù)收集和分析。他說(shuō)，很多企業(yè)更傾向于盡可能地對(duì)實(shí)際系統(tǒng)進(jìn)行遠(yuǎn)程分類(lèi)分析，以代替全面的取證成像。

他說(shuō)：“取證領(lǐng)域的創(chuàng)新主要集中在簡(jiǎn)化和自動(dòng)化這些過(guò)程，確保即使在最大和最復(fù)雜的網(wǎng)絡(luò)中也可以執(zhí)行這些過(guò)程，并將其應(yīng)用于主動(dòng)攻擊檢測(cè)以及高效的應(yīng)急響應(yīng)上?！?/p>

取證對(duì)于應(yīng)急響應(yīng)至關(guān)重要

Syncyity總裁兼首席執(zhí)行官John Jolly認(rèn)為，取證對(duì)于應(yīng)急響應(yīng)過(guò)程至關(guān)重要，對(duì)常規(guī)響應(yīng)和即時(shí)響應(yīng)也很有用。例如，當(dāng)公司處理一起成功的網(wǎng)絡(luò)釣魚(yú)攻擊事件時(shí)，可以使用取證過(guò)程來(lái)形成事實(shí)，例如，誰(shuí)點(diǎn)擊了鏈接，誰(shuí)被成功的釣魚(yú)，成為受害人，以及實(shí)際訪問(wèn)或者盜走了哪些信息。

他說(shuō)，這有助于安全部門(mén)計(jì)劃適當(dāng)?shù)捻憫?yīng)措施，并評(píng)估報(bào)告要求。Jolly說(shuō)：“例如，取證過(guò)程會(huì)幫助您確定10個(gè)用戶(hù)進(jìn)行了點(diǎn)擊，但網(wǎng)絡(luò)釣魚(yú)者并沒(méi)有成功，因?yàn)閻阂庥蛎呀?jīng)被鎖住了?！?/p>

如果企業(yè)知識(shí)產(chǎn)權(quán)被內(nèi)部人員或者外部攻擊者偷走，出現(xiàn)這種事件時(shí)，取證過(guò)程將幫助執(zhí)法部門(mén)確定具體時(shí)間和事件發(fā)生順序，可以用來(lái)調(diào)查或者起訴攻擊者。他說(shuō)：“在這種情況下，取證過(guò)程必須以滿足證據(jù)監(jiān)管鏈的方式進(jìn)行，并能夠演示和保存監(jiān)管鏈。”

Jolly說(shuō)，在這種網(wǎng)絡(luò)釣魚(yú)場(chǎng)景中，一個(gè)關(guān)鍵因素是，該公司預(yù)先規(guī)劃了對(duì)釣魚(yú)攻擊的響應(yīng)和取證過(guò)程，并將其應(yīng)用于事件響應(yīng)平臺(tái)，因此這個(gè)過(guò)程是可重復(fù)、可預(yù)測(cè)和可衡量的。

他說(shuō)，這個(gè)過(guò)程還能夠針對(duì)不同場(chǎng)景適當(dāng)?shù)剡M(jìn)行演繹，例如，誰(shuí)被釣魚(yú)攻擊了、被盜走的東西有沒(méi)有價(jià)值、是否符合內(nèi)部政策和外部監(jiān)管要求。

Jolly補(bǔ)充說(shuō)：“分析和安全部門(mén)只需按照既定的規(guī)程進(jìn)行分析，完成響應(yīng)過(guò)程的同時(shí)建立好取證記錄。公司需要可預(yù)測(cè)和可重復(fù)的響應(yīng)，因?yàn)檫@節(jié)省了時(shí)間、金錢(qián)，并通過(guò)盡快阻止不可避免的攻擊來(lái)減輕攻擊的影響?！?/p>

他說(shuō)，建立過(guò)程并使其可以審計(jì)，會(huì)讓企業(yè)受益匪淺——他們能夠隨著時(shí)間的推移來(lái)衡量過(guò)程并進(jìn)行改進(jìn)，并且還向內(nèi)部股東和外部監(jiān)管機(jī)構(gòu)表明他們正在使用最佳實(shí)踐，并按照適當(dāng)?shù)木S護(hù)標(biāo)準(zhǔn)進(jìn)行操作。

當(dāng)被問(wèn)及計(jì)算機(jī)取證的未來(lái)發(fā)展時(shí)，Demirjian說(shuō)：“以后絕不會(huì)是現(xiàn)在這種方式。未來(lái)會(huì)更加注重預(yù)防。數(shù)據(jù)恢復(fù)的方式將會(huì)發(fā)生變化。一旦人們開(kāi)始丟失數(shù)據(jù)，他們就開(kāi)始使用遠(yuǎn)程備份來(lái)防止數(shù)據(jù)丟失。取證也會(huì)同樣如此。企業(yè)將實(shí)施取證應(yīng)用程序，如果發(fā)生事故，他們憑借數(shù)據(jù)，能夠跟蹤發(fā)生了什么。他們將不再需要保留硬件?！?/p>

他說(shuō)，這些企業(yè)將采用記錄所有操作和功能的服務(wù)，并且只需要申請(qǐng)查看日志即可。所有信息將被取證存儲(chǔ)，以確保可靠性。

取證的例子

Tanium提供了一個(gè)實(shí)例，網(wǎng)絡(luò)監(jiān)視設(shè)備發(fā)出警報(bào)，表明企業(yè)工作站“Alice”與攻擊者“Eve”相關(guān)聯(lián)的互聯(lián)網(wǎng)主機(jī)的IP地址進(jìn)行了通信。

調(diào)查人員首先需要弄清楚為什么Alice與Eve的IP地址進(jìn)行了通信。主機(jī)是否感染了惡意軟件？如果是這樣，它是怎樣進(jìn)入系統(tǒng)的，可以利用哪些留下的痕跡來(lái)找到同樣受影響的系統(tǒng)？Alice曾經(jīng)訪問(wèn)過(guò)其他系統(tǒng)或者資源嗎，或者事件只是發(fā)生在一臺(tái)主機(jī)中？Eve的最終目標(biāo)是什么？

如果Alice已經(jīng)采用了能夠提供連續(xù)記錄功能的EDR產(chǎn)品，那么，調(diào)查人員可能會(huì)首先查看其遠(yuǎn)程監(jiān)測(cè)信息并搜索Eve的IP地址（10.10.10.135）。這可以識(shí)別每一連接事件的上下文環(huán)境（時(shí)間、相關(guān)進(jìn)程/惡意軟件、關(guān)聯(lián)的用戶(hù)帳戶(hù)）。（圖1）

分析師通過(guò)Tanium Trace對(duì)AlphaPC進(jìn)行深度分析，調(diào)查屬于Eve的IP地址。

然后，分析師可以根據(jù)這些發(fā)現(xiàn)，進(jìn)行時(shí)間軸分析，以確定惡意軟件入侵主機(jī)之前的事件，以及與之相關(guān)的惡意活動(dòng)（可能由Eve“人工”推動(dòng)，也可能是全自動(dòng)的）。例如，調(diào)查可能表明，惡意軟件是通過(guò)使用了含有惡意軟件文檔的惡意電子郵件引入系統(tǒng)的。被感染后，遠(yuǎn)程監(jiān)測(cè)會(huì)記錄Eve使用惡意軟件竊取用戶(hù)的憑據(jù)，記錄她試圖訪問(wèn)Alice公司環(huán)境中與之相連的其他系統(tǒng)。（圖2）

惡意Excel文檔釋放了惡意軟件Z4U8K1S8.exe。然后，攻擊者通過(guò)命令和控制會(huì)話過(guò)程與系統(tǒng)進(jìn)行交互。Tanium Trace記錄攻擊者執(zhí)行的進(jìn)程和活動(dòng)。

如果Alice的系統(tǒng)沒(méi)有運(yùn)行EDR“飛行記錄儀”，調(diào)查員仍然可以使用系統(tǒng)的本地證據(jù)源，得出與前面總結(jié)的相同的時(shí)間軸事件。但是，這需要更大的投入，在時(shí)間軸上更有可能出現(xiàn)缺口。（圖3）

然后，分析師將根據(jù)調(diào)查中確定的信息制定IOC（感染指標(biāo)，Indicators of Compromise）。

調(diào)查了Alice系統(tǒng)中出現(xiàn)的事故后，調(diào)查人員可能會(huì)有許多描述Eve攻擊手段的大量遺留證據(jù)或者感染指標(biāo)，例如，她的工具、策略和程序。這些可用于搜索整個(gè)企業(yè)的取證證據(jù)和遠(yuǎn)程監(jiān)測(cè)記錄，以期發(fā)現(xiàn)有哪些其他系統(tǒng)也被攻擊者攻擊了。然后對(duì)新發(fā)現(xiàn)的被攻擊主機(jī)進(jìn)行深入取證分析。該過(guò)程不斷重復(fù)，直到調(diào)查員覺(jué)得他們已經(jīng)充分地研究了事件，了解了其根源和影響，并準(zhǔn)備進(jìn)行修復(fù)。