Анализ данных

В этой статье мы обсудим различные подходы к анализу доказательств, собранных на стадии сбора данных внутреннего расследования.

При проведении расследований часто приходится анализировать сетевые данные. При этом используется следующая процедура:

  1. Исследовать сетевые файлы журналов на предмет наличия событий, которые могут представлять интерес. Как правило, файлы журналов содержат огромные объемы данных, так что стоит делать выборку по определенным критериям. Например, имя пользователя, дата и время либо ресурс, к которому обращались.
  2. Исследовать систему сетевой защиты, proxy-сервер, систему обнаружения вторжения и файлы журналов служб удаленного доступа.
  3. Рассмотреть файлы журналов сетевого монитора для определения событий, произошедших в сети.
  4. С помощью любого сниффера рассмотреть сетевые пакеты.
  5. Определить, зашифрованы ли сетевые подключения, которые вы исследуете.

Анализ данных рабочих станций

Данные рабочих станций включают информацию о таких компонентах, как операционная система и установленные приложения. Используйте следующую процедуру, чтобы анализировать копию данных, полученных на стадии сбора данных.

  1. Идентифицируйте собранные материалы. Стоит учесть, что собранных с рабочих станций данных будет намного больше, чем необходимо для анализа инцидента. Следовательно, требуется заранее выработать критерии поиска событий, представляющих интерес для расследования. Например, можно использовать Microsoft Windows Sysinternals Strings tool для поиска файлов, расположенных в папке WindowsPrefetch. Эта папка содержит информацию о том, где, когда и какие приложения были запущены.
  2. Исследуйте данные операционной системы и любые данные, загруженные в память компьютера, чтобы определить, выполняются ли (подготовлены ли к запуску) любые приложения или процессы. Например, для того, чтобы увидеть, какие программы будут выполнены в процессе загрузки или входа в систему, можно использовать Windows Sysinternals AutoRuns.
  3. Исследуйте выполняющиеся прикладные программы, процессы, сетевые подключения. Например, можно найти прикладные программы с соответствующими названиями, но стартовавшие из ненормативных мест. Для выполнения подобных задач можно использовать Windows Sysinternals ProcessExplorer, LogonSession и PSFile.

Анализ носителей данных

Носители данных, собранные в ходе сбора данных, будут содержать много файлов. Однако придется проанализировать эти файлы, чтобы определить их причастность (или непричастность) к инциденту. Ввиду огромного количества файлов эта процедура может быть чрезвычайно сложной.

Для того чтобы извлечь и проанализировать данные, расположенные на собранных носителях данных, можно применить следующую процедуру:

  1. Проведите автономный анализ поразрядной копии оригинального доказательства.
  2. Определите, использовалось ли шифрование данных (Encrypting File System, EFS) в Windows Microsoft. Для установления факта применения EFS потребуется исследование определенных разделов реестра. Как просмотреть необходимые разделы, рассказано в статье «Encrypting File System in Windows XP and Windows Server 2003» (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx ) из Microsoft TechNet. Если вы подозреваете, что шифрование данных все же использовалось, придется определить, удастся ли прочитать зашифрованные данные. Это будет зависеть от многих обстоятельств: версии Windows, входит ли данный компьютер в домен, каким образом был развернут EFS. Для получения дополнительной информации о EFS можно обратиться к статье «The Encrypting File System» (http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx ) на Microsoft TechNet. Существуют и внешние инструментальные средства восстановления EFS, например Advanced EFS Data Recovery (http://www.elcomsoft.com/aefsdr.html ) от компании Elcomsoft.
  3. В случае необходимости распакуйте любые сжатые файлы.
  4. Создайте дерево каталогов. Может быть очень полезно графически представить структуру каталогов и файлов на носителях данных, чтобы затем эффективно анализировать файлы.
  5. Идентифицируйте файлы, представляющие интерес. Если вы знаете, какие файлы затронул инцидент безопасности, можно вначале сосредоточить расследование на этих файлах. Для сравнения известных файлов (входящих в состав операционной системы или прикладных программ) могут использоваться наборы хешей, созданные National Software Reference Library http://www.nsrl.nist.gov/ . Для категорирования и идентификации файлов можно использовать информационные сайты типа http://www.filespecs.com/ , Wotsit’s Format (http://www.wotsit.org/ ), http://www.processlibrary.com/  и Microsoft DLL Help (http://support.microsoft.com/dllhelp/Default.aspx  ).
  6. Исследуйте реестр для получения информации о процессе загрузки компьютера, установленных приложениях (включая загружаемые в процессе запуска) и т. д. Просмотреть информацию о системном реестре и детальное описание содержания системного реестра можно в Windows Server 2003 Resource Kit Registry Reference http://technet2.microsoft.com/WindowsServer/en/library/56a33a88-a7b2-4f21-ab5e-5c62d728619f1033.mspx?mfr=true . Для исследования реестра доступны различные инструментальные средства, включая RegEdit, входящий в состав операционной системы Windows, Windows Sysinternals RegMon for Windows http://go.microsoft.com/?linkId=6013256  и Registry Viewer <http://www.accessdata.com/products/ >от AccessData.
  7. Исследуйте содержание всех собранных файлов, чтобы идентифицировать те из них, которые могли бы представлять интерес.
  8. Изучите файлы метаданных, представляющие интерес, используя инструментальные средства типа Encase от Guidance Software (http://www.guidancesoftware.com/ ), The Forensic Toolkit (FTK) от AccessData (http://www.accessdata.com/ ) или ProDiscover от Technology Pathways (http://www.techpathways.com/ ). Следует учесть, что атрибуты файла (метка времени) могут показать время создания, последнего обращения и последнего изменения, которые могут быть полезны при исследовании инцидента.
  9. Для просмотра идентифицированных файлов используйте специальные средства просмотра этих файлов, что позволит просматривать файлы без использования создавшего эти файлы оригинального приложения. Обратите внимание, что выбор средства просмотра определяется типом файла. Если средство просмотра недоступно, используйте оригинальное приложение для исследования файла.

Проанализировав всю доступную информацию, вы сможете подготовить заключение. Однако на этой стадии чрезвычайно важно быть очень осторожным и гарантировать, что вы не обвините невиновную сторону. Если вы уверены в результатах, можете приступить к подготовке отчета.

Подготовка отчета о расследовании

В данном разделе мы рассмотрим создание итогового отчета по расследованию.

Сбор и упорядочение информации для отчета

В ходе расследования на каждой стадии создавались промежуточные отчеты о совершении определенных действий. На данной стадии следует упорядочить эту информацию по соответствующим категориям. Для этого:

  1. Соберите всю документацию и примечания, полученные на всех стадиях проведения расследования.
  2. Идентифицируйте те части документации, которые соответствуют целям расследования.
  3. Идентифицируйте факты, поддерживающие выводы, которые затем вы будете делать в отчете.
  4. Создайте список всех доказательств, которые будут представлены в отчете.
  5. Перечислите любые заключения, которые затем будут представлены в отчете.
  6. Классифицируйте информацию для ясности и краткости отчета.

Создание отчета

После упорядочения информации ее следует использовать для создания итогового отчета. Причем необходимо учитывать аудиторию, для которой он предназначен.

В отчете должны быть следующие разделы:

  1. Цель отчета. Ясно объясните цель отчета, опишите аудиторию, на которую он рассчитан, и причины создания данного отчета.
  2. Авторы отчета. Перечислите всех авторов и соавторов отчета, включая их позиции и обязанности в ходе расследования.
  3. Краткое описание инцидента. Опишите инцидент, объясните его воздействие. Описание должно быть составлено таким образом, чтобы не только технический специалист мог понять, что и как произошло.
  4. Доказательства. Обеспечьте описания доказательств, которые были получены в ходе расследования. При описании доказательств укажите, как оно было получено, когда, кем и каким образом.
  5. Подробности. Обеспечьте детальное описание того, как были проанализированы доказательства. Объясните результаты анализа. Перечислите процедуры, которыми сопровождалось расследование, и использованные методы анализа. Включите в отчет доказательства результатов.
  6. Заключение. Суммируйте результат расследования. Процитируйте определенные доказательства, чтобы подтвердить заключение, однако не описывайте слишком подробно, как было получено это доказательство. Заключение должно быть максимально ясным.
  7. Приложения. Включите любую основную информацию, упомянутую в отчете, типа сетевых диаграмм, документов, описывающих используемые компьютерные процедуры расследования, и краткие обзоры технологий, используемые при проведении расследования. Приложения должны обеспечить достаточно информации для читателя отчета, чтобы можно было понять суть инцидента настолько полно, насколько это возможно.

В таблицах приведена информация о различных инструментальных средствах, которые могут использоваться в компьютерных расследованиях.

Таблица 1. Значки инструментов

Таблица 2. Windows Sysinternals. Описание инструментальных средств

Таблица 3. Информация о командах Windows

Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com ) — руководитель программы подготовки администраторов информационной безопасности «Академии БМС Консалтинг». MVP in Windows Security