計算機取證技術跟蹤肇事者留下的蛛絲馬跡

Ryan+Francis

有人悄悄告訴老板，某個員工可能會離職，對此，他想盡可能的把客戶帶走，帶到他的新單位那里去。該公司引進了計算機取證專家，檢查員工在網上的活動，在員工面前找出證據。

計算機取證公司TechFusion的總裁兼首席執行官Alfred Demirjian在他從業的30多年中，對這樣的場景見多不怪——員工通過劫持電子郵件帳戶濫用公司互聯網，陰謀破壞自己以前的公司。商業軟件支持公司深入研究員工的社交媒體博文和文本，或者如果他們有公司提供的智能手機，則可以通過GPS跟蹤他們。

會給客戶一定的期限，TechFusion可以通過公司電子郵件來查看員工與客戶的交互。

Demirjian說：“計算機取證將在暴露人的惡意行為方面發揮更大的作用。隨著該技術的不斷進步，人們越來越難以隱瞞他們的不法行為，更容易讓他們承擔責任。”

自從Demirjian從業以來，技術已經日趨成熟。他說：“該行業從使用操作系統命令發展到基于軟件的命令。與工具所應用的系統相比，現在更重要的是擁有使用工具的經驗。”

他補充說，軟件的兼容性和功能越來越強。他說：“它更快、更便宜。這讓取證工程師能夠執行更多的任務。”

TechFusion參與了一些著名的案例，最近的一個是新英格蘭愛國者隊的四分衛Tom Brady臭名昭彰的手機。當NFL要求檢查他的文本時，Brady說他的電話丟了。后來找到了這些文本。TechFusion還負責審查Odin Lloyd當晚被殺害時在late-Aaron Hernandez家里拍攝到的監控錄像。

計算機取證是數字取證科學的一個分支，涉及查找計算機和數字存儲介質中的證據。計算機取證的目的是以可靠的取證方式檢查數字媒體，旨在識別、保存、恢復、分析和呈現關于數字信息的事實和鑒定結果。這涉及數據恢復的類似技術和原理，還有創建合法審計跟蹤的附加指導和舉措。

計算機取證將在暴露人的惡意行為方面發揮更大的作用。隨著該技術的不斷進步，人們越來越難以隱瞞他們的不法行為，更容易讓他們承擔責任。

Tanium首席安全架構師Ryan Kazanciyan說，取證是重建和分析數字證據的過程，以確定某一設備或者系統以前是被怎樣使用的。在最基本的層面上，所謂的數字證據可以采取以端點設備為中心的數據（例如硬盤或者內存中的內容）的形式，以網絡為中心的數據（例如，采集通過某一設備或者網站的所有網絡流量的完整數據包）的形式，或者以應用程序為中心的數據（例如與程序或者服務的使用相關的日志和其他記錄）等形式。

取證調查員的工作流程主要是由他們要嘗試回答的具體問題來推進的。通常需要使用取證的應用情形的例子包括：

一名執法人員逮捕了涉嫌國內恐怖主義的某個人，并希望找到與以前或者計劃中的犯罪活動有關的所有通信記錄、互聯網活動和數據。

違規調查已經發現有證據表明外部攻擊者訪問了存有敏感知識產權的公司服務器。分析師希望確定最初的訪問方式，有沒有數據被訪問或者被盜取了，以及系統是否遭受了任何敵對攻擊（例如引入了惡意軟件）。

它是怎樣使用的，它是如何工作的？

Kazanciyan說，傳統的計算機取證需要利用專門的軟件來勾畫出目標系統的硬盤和物理內存，并自動將其解析為人類可以識別的格式。這樣，調查人員可以檢查和搜索某類文件或者應用程序數據（例如，電子郵件或者網絡瀏覽器歷史）、時間點數據（例如，在取證時運行的進程或者開放的網絡連接），以及歷史活動留下的痕跡（例如，刪除的文件或者最近的活動）。

他說，被刪除的數據和歷史活動在多大程度上能夠被恢復取決于一些因素，但是隨著時間的推移，一般會越來越難以恢復，并且與系統的活動程度有關。

Kazanciyan說，這種計算機取證方法仍然適用于集中的小規模調查，但對企業規模的任務來說太耗時，資源太密集，例如在企業環境中監控數千個系統。

他說：“因此，在過去十年中，能夠在‘實際系統中快速搜索證據并進行分析的技術開始蓬勃發展，成為所謂的端點檢測和響應（EDR）市場的基礎。”EDR產品通常提供以下功能的組合：

關鍵端點設備遠程監測的連續記錄——例如，執行的過程或者網絡連接，提供關于系統活動的隨時可用的時間表。他說，這類似于飛機上的黑盒子。能夠查看遠程監測信息后，可以不用通過系統的本地證據源來重建歷史事件。如果違規行為已經發生了，再把調查技術部署到環境中，這樣做就沒有什么用了。

分析和搜索系統的本地證據取證源，即在正常系統工作期間由操作系統自己保留的內容。這包括能夠快速、有針對性地搜索文件、進程、日志條目、內存中遺留的證據，以及整個系統中的其他證據。這完善了連續事件記錄器的應用，可用于擴大調查范圍，并找到可能未被保留的其他線索。

警報和檢測。產品可以主動收集并分析上述數據的來源，并將其與結構化威脅情報（例如，感染指標），以及旨在檢測惡意活動的規則或者其他啟發式內容進行比較。

對某個目標主機收集證據。當調查人員確定需要進一步檢查系統時，他們可以對整個目標系統的歷史遠程監測（如果存在并進行了記錄）信息、硬盤和內存上的文件上進行“深度”的證據收集和分析。他說，很多企業更傾向于盡可能地對實際系統進行遠程分類分析，以代替全面的取證成像。

他說：“取證領域的創新主要集中在簡化和自動化這些過程，確保即使在最大和最復雜的網絡中也可以執行這些過程，并將其應用于主動攻擊檢測以及高效的應急響應上。”

取證對于應急響應至關重要

Syncyity總裁兼首席執行官John Jolly認為，取證對于應急響應過程至關重要，對常規響應和即時響應也很有用。例如，當公司處理一起成功的網絡釣魚攻擊事件時，可以使用取證過程來形成事實，例如，誰點擊了鏈接，誰被成功的釣魚，成為受害人，以及實際訪問或者盜走了哪些信息。

他說，這有助于安全部門計劃適當的響應措施，并評估報告要求。Jolly說：“例如，取證過程會幫助您確定10個用戶進行了點擊，但網絡釣魚者并沒有成功，因為惡意域名已經被鎖住了。”

如果企業知識產權被內部人員或者外部攻擊者偷走，出現這種事件時，取證過程將幫助執法部門確定具體時間和事件發生順序，可以用來調查或者起訴攻擊者。他說：“在這種情況下，取證過程必須以滿足證據監管鏈的方式進行，并能夠演示和保存監管鏈。”

Jolly說，在這種網絡釣魚場景中，一個關鍵因素是，該公司預先規劃了對釣魚攻擊的響應和取證過程，并將其應用于事件響應平臺，因此這個過程是可重復、可預測和可衡量的。

他說，這個過程還能夠針對不同場景適當地進行演繹，例如，誰被釣魚攻擊了、被盜走的東西有沒有價值、是否符合內部政策和外部監管要求。

Jolly補充說：“分析和安全部門只需按照既定的規程進行分析，完成響應過程的同時建立好取證記錄。公司需要可預測和可重復的響應，因為這節省了時間、金錢，并通過盡快阻止不可避免的攻擊來減輕攻擊的影響。”

他說，建立過程并使其可以審計，會讓企業受益匪淺——他們能夠隨著時間的推移來衡量過程并進行改進，并且還向內部股東和外部監管機構表明他們正在使用最佳實踐，并按照適當的維護標準進行操作。

當被問及計算機取證的未來發展時，Demirjian說：“以后絕不會是現在這種方式。未來會更加注重預防。數據恢復的方式將會發生變化。一旦人們開始丟失數據，他們就開始使用遠程備份來防止數據丟失。取證也會同樣如此。企業將實施取證應用程序，如果發生事故，他們憑借數據，能夠跟蹤發生了什么。他們將不再需要保留硬件。”

他說，這些企業將采用記錄所有操作和功能的服務，并且只需要申請查看日志即可。所有信息將被取證存儲，以確保可靠性。

取證的例子

Tanium提供了一個實例，網絡監視設備發出警報，表明企業工作站“Alice”與攻擊者“Eve”相關聯的互聯網主機的IP地址進行了通信。

調查人員首先需要弄清楚為什么Alice與Eve的IP地址進行了通信。主機是否感染了惡意軟件？如果是這樣，它是怎樣進入系統的，可以利用哪些留下的痕跡來找到同樣受影響的系統？Alice曾經訪問過其他系統或者資源嗎，或者事件只是發生在一臺主機中？Eve的最終目標是什么？

如果Alice已經采用了能夠提供連續記錄功能的EDR產品，那么，調查人員可能會首先查看其遠程監測信息并搜索Eve的IP地址（10.10.10.135）。這可以識別每一連接事件的上下文環境（時間、相關進程/惡意軟件、關聯的用戶帳戶）。（圖1）

分析師通過Tanium Trace對AlphaPC進行深度分析，調查屬于Eve的IP地址。

然后，分析師可以根據這些發現，進行時間軸分析，以確定惡意軟件入侵主機之前的事件，以及與之相關的惡意活動（可能由Eve“人工”推動，也可能是全自動的）。例如，調查可能表明，惡意軟件是通過使用了含有惡意軟件文檔的惡意電子郵件引入系統的。被感染后，遠程監測會記錄Eve使用惡意軟件竊取用戶的憑據，記錄她試圖訪問Alice公司環境中與之相連的其他系統。（圖2）

惡意Excel文檔釋放了惡意軟件Z4U8K1S8.exe。然后，攻擊者通過命令和控制會話過程與系統進行交互。Tanium Trace記錄攻擊者執行的進程和活動。

如果Alice的系統沒有運行EDR“飛行記錄儀”，調查員仍然可以使用系統的本地證據源，得出與前面總結的相同的時間軸事件。但是，這需要更大的投入，在時間軸上更有可能出現缺口。（圖3）

然后，分析師將根據調查中確定的信息制定IOC（感染指標，Indicators of Compromise）。

調查了Alice系統中出現的事故后，調查人員可能會有許多描述Eve攻擊手段的大量遺留證據或者感染指標，例如，她的工具、策略和程序。這些可用于搜索整個企業的取證證據和遠程監測記錄，以期發現有哪些其他系統也被攻擊者攻擊了。然后對新發現的被攻擊主機進行深入取證分析。該過程不斷重復，直到調查員覺得他們已經充分地研究了事件，了解了其根源和影響，并準備進行修復。