Новости в последнее время пестрят историями о компьютерном шпионаже и другими сюжетами для технотриллеров. Я принципиально отказываюсь от использования приставки «кибер» при обсуждении этих тем (найдите определение термина «кибернетика» в Википедии, и вы поймете, почему), но если вам знакомы такие слова как Flamer, Stuxnet или CISA, вы знаете, о чем я говорю.
.
На самом деле существует относительно мало стандартов, позволяющих точно определить термин «компьютерная криминалистика». Этими словами можно обозначить извлечение данных из целевой системы (как правило, таким образом, чтобы сохранить данные и гарантировать, что они не будут случайно или намеренно изменены), анализ данных в системе, позволяющий увидеть, какие действия выполняют данная система и ее пользователи, анализ сетевого трафика, а также ряд других задач. Такой широкий спектр означает, что определить, есть ли у человека или компании особый опыт в этом деле, довольно трудно, и каждый может претендовать на звание эксперта в компьютерной криминалистике. Некоторые производители, в частности компания Guidance Software, которая производит решение для компьютерных расследований EnCase, предлагают услуги по сертификации конкретных продуктов, в то время как отраслевые организации, такие как SANS, предлагают более стандартизированные услуги сертификации, но все равно сложно сказать, что вы получите в результате, пригласив консультанта по криминалистике или попытавшись пройти обучение самостоятельно.
В отношении системы Exchange также не существует четкого определения. Я слышал, как некоторые ссылались на простые операции, такие как копирование содержимого почтовых ящиков с помощью службы ExMerge с целью экспертного восстановления, а также более сложные действия, такие как реконструкция хронологии разговоров на основе отслеживания сообщений и журналов службы SMTP. В целом, однако, я склонен думать о криминалистике в Exchange, как о равном сочетании операций восстановления данных, которые были случайно или умышленно удалены, и анализа данных, которые могут прояснить вам, что происходит.
Наглядный пример: недавно со мной связались представители компании, которая очень обеспокоена защитой от постоянных угроз повышенной сложности (APT) — вредоносных программ, которые собирают данные, а затем незаметно выводят их из сети. Они заметили необычный скачок исходящего сетевого трафика на определенный IP-адрес и нуждались в помощи по идентификации источника.
В данном случае собственные журналы компании показали примерно 2 Гбайт данных, передаваемых с сервера Exchange на этот IP-адрес в середине ночи. Я подозревал, что за этим может стоять процесс синхронизации почтового ящика, поэтому именно такую гипотезу я проверил в первую очередь.
Было бы здорово, если бы в системе Exchange была команда или отчет, показывающий объем данных, передаваемых конкретному пользователю. В системе есть журналы службы IIS, которые обеспечивают необходимый обзор подключений, проходящих через службу IIS, сортируя их по протоколам.
Изучая журналы, мы установили целевой IP-адрес, который, как оказалось, принадлежал клиентскому устройству, использовавшему подключение AT&T DSL и располагающемуся в районе Сан-Франциско. Повторный анализ IIS-журналов выявил, что сервер регистрировал большое количество HTTP-запросов с этого IP-адреса в течение рассматриваемого периода. Журналы IIS также позволили выяснить, от имени какой учетной записи были сделаны эти запросы.
Решающим стал следующий факт: строки журнала IIS, содержащие название клиентского приложения пользователя, указали, что запросы шли от устройства IPad. Конечно же, один из инженеров компании купил новый IPad в тот день и проводил синхронизацию своего почтового ящика с ним, вызвав необычный ночной скачок трафика.
Я признаю, что этот случай — не самый захватывающий пример криминалистики в Exchange, было бы гораздо интереснее, если бы мы поймали шпиона, раскрыли заговор или даже сделали что-нибудь с хранилищем почты. Однако он позволяет ряд выводов.
• Если у вас нет хорошего средства мониторинга сети, вы не поймете, когда в ней происходит что-то необычное. Вредоносные программы должны иметь какой-то способ незаметно вывести украденные данные из сети, так что наблюдение за трафиком является очень эффективным способом снижения рисков.
• Многие случаи появления необычного трафика имеют разумные объяснения.
• Важно включить ведение журнала службы IIS еще до того, как журнал может вам понадобиться. Без этих журналов было бы гораздо труднее понять, что именно происходит. Существует целая индустрия, которая вращается вокруг консолидации, анализа и архивирования журналов, но и основные функции ведения журнала, если вы активируете их, в системах Windows и Exchange могут предоставить исключительно полезные данные.
Механизм восстановления сообщений после их удаления, с последующим сохранением, гораздо интереснее, и о нем я планирую рассказать в следующей статье.