Comment les organisations vérifient-elles * ce * qui a été piraté?
Au Royaume-Uni, la société TalkTalk a récemment été piraté .
Il a été découvert plus tard, après "enquête", que le piratage n'était pas aussi grave qu'il aurait pu l'être (et moins que prévu).
Je me demande: comment les organisations (pas nécessairement TalkTalk - c'est exactement ce qui m'a poussé à demander) vérifient ce qui a été piraté? Je suis sûr qu'il y a plusieurs façons; mais quels sont les "principaux"?
En un mot: Forensics .
L'informatique judiciaire est l'art d'examiner un système et de déterminer ce qui s'est passé auparavant. L'examen des artefacts de fichier et de mémoire, en particulier les chronologies de fichier, peut brosser un tableau très clair de ce que l'attaquant a fait, quand il l'a fait et de ce qu'il a pris.
Juste à titre d'exemple - étant donné un vidage de mémoire d'un système Windows, il est possible d'extraire non seulement les lignes de commande tapées par un attaquant, mais également la sortie qu'ils ont vue à la suite de l'exécution de ces commandes . Assez utile pour déterminer l'impact, hein?
Selon la fraîcheur du compromis, il est possible d'en dire beaucoup sur ce qui s'est passé.
@AleksandrDubinsky a suggéré qu'il serait utile de décrire les différents domaines et techniques de l'informatique judiciaire, ce que je suis heureux de faire pour vous. Ils comprennent, sans s'y limiter, les éléments suivants (je vais utiliser mes termes approximatifs; ils ne sont ni officiels ni exhaustifs):
Logistique/surveillance des analyses : l'utilisation de données "externes" telles que les journaux centralisés, les journaux de pare-feu, les captures de paquets et les hits IDS chevauche la ligne entre "Détection" "et" Forensics ". Certaines données, comme les journaux (même centralisés), ne peuvent pas être fiables pour être complètes ou même véridiques, car les attaquants peuvent les filtrer ou les injecter une fois qu'ils ont le contrôle du système. Les outils de journalisation des paquets hors système tels que le pare-feu, les IDS ou les enregistreurs de paquets (tels que (anciennement) NetWitness ) sont peu susceptibles d'être falsifiés, mais ne contiennent qu'une quantité limitée d'informations; généralement juste un enregistrement des conversations IP et parfois des signatures (telles que des URL HTTP) associées à une activité malveillante.
Sauf si une connexion réseau non chiffrée a été utilisée dans le compromis, ces outils sont rarement en mesure de détailler l'activité pendant un compromis, et donc (pour revenir à la question d'origine) ne "cochez quoi a été piraté. " D'un autre côté, si une connexion non cryptée (ftp) a été utilisée pour exfiltrer les données out, et que des paquets complets ont été enregistrés, alors il est possible de savoir exactement avec quelles données l'attaquant s'est enfui.
Live Forensics : Plus correctement dans le cadre de la réponse aux incidents, ce que l'on appelle la "forensic" en direct implique de se connecter au système et de regarder autour. Les enquêteurs peuvent énumérer les processus, consulter les applications (par exemple, l'historique du navigateur) et explorer le système de fichiers à la recherche d'indications sur ce qui s'est passé. Encore une fois, cela est généralement conçu pour vérifier qu'un compromis s'est produit et non pour déterminer l'étendue d'un compromis, car un système compromis est capable de cacher des fichiers, des processus, des connexions réseau, vraiment tout ce qu'il veut. Le côté positif est qu'il permet d'accéder à des choses résidant en mémoire (processus, connexions réseau ouvertes) qui ne sont pas disponibles une fois que vous avez arrêté le système pour créer une image du disque (mais, encore une fois, le système peut mentir, s'il est compromis! )
Forensics du système de fichiers : Une fois qu'une copie du disque a été faite, elle peut être montée sur un système propre et explorée, supprimant toute chance de fonctionnement compromis système "mentir" sur les fichiers en place. Des outils existent pour créer des chronologies en utilisant la variété d'horodatages et d'autres métadonnées disponibles, incorporant des données de fichier, des données de registre (sous Windows), même des données d'application (par exemple, l'historique du navigateur). Ce ne sont pas seulement les temps d'écriture des fichiers qui sont utilisés; les temps de lecture des fichiers peuvent indiquer quels fichiers ont été consultés et également quels programmes ont été exécutés (et quand). Les fichiers suspects peuvent être exécutés via des vérificateurs antivirus propres, des signatures créées et soumises, des exécutables chargés dans des débogueurs et explorés, des "chaînes" utilisées pour rechercher des mots clés. Sous Unix, les fichiers "historique" - s'ils ne sont pas désactivés par l'attaquant - peuvent détailler les commandes entrées par l'attaquant. Sous Windows, le service de cliché instantané peut fournir des instantanés de l'activité passée qui a depuis été nettoyée.
Il s'agit de étape la plus couramment utilisée pour déterminer la portée et l'étendue d'un compromis, et pour déterminer quelles données peuvent ou non avoir été consultées et/ou exfiltré. Ceci est la meilleure réponse à la façon dont nous "vérifions quoi a été piraté."
Analyse légale du disque : les fichiers supprimés disparaissent du système de fichiers, mais pas du disque. De plus, les attaquants intelligents peuvent cacher leurs fichiers dans "l'espace libre" des fichiers existants. Ces choses ne peuvent être trouvées qu'en examinant les octets de disque bruts, et des outils comme The Sleuth Kit existent pour déchirer ces données brutes et déterminer ce que cela signifie pour le passé. S'il y avait un fichier .bash_history et que l'attaquant l'a supprimé comme dernière étape avant de se déconnecter, alors ce fichier peut toujours exister en tant que blocs de disque et être récupérable. De même, les outils d'attaque téléchargés et les fichiers de données temporaires qui ont été exfiltrés peuvent aider à déterminer l'étendue du compromis.
Forensics de la mémoire : Si l'enquêteur peut y arriver assez tôt et obtenir un instantané de la mémoire du système impliqué, alors il peut sonder complètement les profondeurs de le compromis. Un attaquant doit compromettre le noyau pour se cacher des programmes, mais il n'y a aucun moyen de cacher ce qui a été fait si une vraie image de la mémoire du noyau peut être créée. Et tout comme les blocs de disque contiennent des données qui ont depuis été supprimées du système de fichiers, le vidage de la mémoire contient des données qui étaient en mémoire dans le passé (telles que l'historique et la sortie de la ligne de commande!) Qui n'ont pas encore été écrasées ... et la plupart les données ne sont pas écrasées rapidement.
Vous en voulez plus? Il existe des programmes de formation et des certifications pour apprendre la médecine légale; la formation publique la plus courante est probablement celle de SANS . Je détiens leur certification GCFA ("Forensic Analyst"). Vous pouvez également consulter les défis du projet Honeynet , dans lesquels les parties s'affrontent pour démêler les images de disque, les vidages de mémoire et les échantillons de logiciels malveillants des compromis réels - elles soumettent leurs rapports de ce qu'elles ont trouvé, donc vous pouvez voir les types d'outils utilisés et les résultats obtenus dans ce domaine.
Anti-Forensics est un sujet brûlant dans les commentaires - en gros, "l'attaquant ne peut-il pas simplement cacher ses traces?" Il y a des moyens de l'abandonner - voir cette liste de techniques - mais c'est loin d'être parfait et pas ce que j'appellerais fiable. Quand on considère que "le" Dieu "du cyberespionnage" est allé jusqu'à occuper le firmware du disque dur pour maintenir l'accès à un système sans laisser de trace sur le système lui-même - et toujours détecté - il semble clair qu'en fin de compte, il est plus facile de détecter des preuves que de les effacer.
En travaillant dans le secteur de la technologie, la façon dont je le ferais serait la suivante:
Trouvez le hack, le trou, le point faible.
Vérifiez le syslog, dmesg, access.log et error.log pour confirmer la thèse. (lorsque vous piratez un réseau, vous avez normalement le système en panne dans le cas de TalkTalk, il s'agissait d'une injection MySQL, cela aurait laissé des erreurs dans le journal mysql.err quant à l'effraction, vous devez le casser.)
Répliquez le hack, la réplication du hack vous permettra de voir à quelle profondeur le hack peut aller et vous permettra d'estimer les dommages.
Si vous trouvez le trou, vous pouvez reproduire l'attaque, reproduire l'attaque et vous verrez ce que l'attaquant a vu.
En plus de l'excellente réponse sur la criminalistique (et les commentaires), certaines organisations utilisent des systèmes de détection d'intrusion tels que `` Snort '' (détection d'intrusion réseau) et OSSEC (système de détection basé sur l'hôte) ainsi que de nombreux autres fournisseurs tels que Cisco, etc., qui enregistrent divers aspects d'un comportement inhabituel ou non autorisé.
Par exemple, les systèmes de détection d'intrusion basés sur l'hôte enregistrent souvent les modifications de fichiers sur les serveurs afin qu'une enquête médico-légale puisse montrer quels fichiers ont été modifiés au cours d'une période donnée et qu'un enquêteur judiciaire peut l'utiliser pour reconstituer les activités de certains utilisateurs ou attaquants.
Les attaquants laisseront également des traces dans les journaux partout dans l'infrastructure, des journaux du pare-feu aux journaux du serveur, des journaux de service (web, smtp, etc.) et ceux-ci peuvent fournir des indices essentiels. Cependant, il est possible pour les attaquants de modifier ces journaux à moins qu'ils n'aient été conçus pour être sécurisés et inaltérables, par exemple en centralisant les journaux sur un support en écriture seule.
Une fois qu'un attaquant a obtenu un accès privilégié, les gants sont retirés et les journaux peuvent être falsifiés ou supprimés.
En fin de compte, cela dépendra de l'état de préparation - si l'organisation s'est préparée à l'intrusion et à l'exercice médico-légal qui s'ensuivra. Cela devrait faire partie de la planification de la sécurité de chaque entreprise.
Je n'ai pas encore vu cela mentionné et c'est également une ressource majeure pour une telle enquête, en particulier celle qui concerne l'accès aux données:
L'audit SGBDR peut être une ressource majeure pour déterminer exactement quelles données ont été consultées, quand et par qui. Cela dépend bien sûr de la façon dont, ou si, il a été configuré.
Par exemple, SQL Server Audit permet de récupérer les ID utilisateur, les horodatages et les requêtes réelles soumises au serveur, permettant ainsi une reconstruction complète de l'ensemble de données volé.
Les systèmes d'audit doivent avoir des redondances intégrées pour empêcher la falsification avec la piste d'audit. Certains de ces éléments peuvent être stockés dans le SGBDR et certains peuvent être écrits dans des sources externes. SQL Server peut consigner les audits dans le journal de sécurité Windows.
gowenfawr a mentionné la criminalistique du système, mais l'identification de l'actif compromis se fait presque toujours via des journaux. Les journaux/doivent/indiquent toujours l'actif compromis si vous recherchez assez fort. Que vous ayez un IDS qui détecte les connexions externes/tentatives de bruteforce/tentatives d'injection SQL ou si vous recherchez manuellement les journaux pour ce que je viens de mentionner, il existe plusieurs façons de porter une violation à votre attention.
Une fois l'actif identifié, vous pouvez commencer l'examen médico-légal de l'actif. Surtout pour des informations supplémentaires que les journaux peuvent ne pas rapporter, surtout s'il semble qu'un fichier a été supprimé pour maintenir l'accès à l'attaquant. Gratter la mémoire et analyser ce que fait le fichier déposé, étape par étape, aidera l'équipe de sécurité/l'équipe IR à comprendre ce qui se passe, comment le compromis s'est produit initialement, la vulnérabilité utilisée et potentiellement la source de l'attaque ( la vraie source).
Ils peuvent vérifier plusieurs choses que je peux mentionner au hasard:
- Syslog
- Journaux du pare-feu
- Journaux d'IDS et de routeur (s)
- Système de fichiers
- Événements
- Tâches planifiées
Dans le cas de Talk Talk, nous savons que les données volées sont utilisées pour cibler des personnes.
- Nous savons que ces personnes sont appelées par quelqu'un prétendant appartenir à Talk Talk et sont ensuite amenées à fournir leurs coordonnées bancaires.
- Nous savons que les coordonnées bancaires cessent d'être utiles après un court laps de temps si elles sont connues puis piratées.
- Nous savons donc que les coordonnées bancaires piratées seraient utilisées RAPIDEMENT si elles étaient extraites de TalkTalk.
- Par conséquent, il est raisonnable de supposer que les coordonnées bancaires ne figuraient pas dans les données qui ont été prises.
Il y a beaucoup de surveillance par les banques britanniques, etc. pour voir quel est l'impact, cette surveillance détectera suffisamment de cas, ainsi que les cas signalés par les clients des banques, pour donner un bon idéal de l'impact à ce jour.
Si quelqu'un est entré par effraction dans votre maison à l'aide d'une clé volée et n'a rien volé, comment le sauriez-vous? Souvent, vous le feriez. Pensez à la façon dont vous détecteriez l'événement. Cela pourrait être aussi stupide qu'une lettre ouverte sur le plan de travail de votre cuisine que vous ne vous souvenez pas d'avoir lu. Il n'y a fondamentalement aucune distinction ici. Cela aide si vous trouvez des rayures sur votre serrure lors des dix premières tentatives d'entrée avant que le cambrioleur ne détermine finalement quelle clé était réellement la vôtre (lire: journaux de sécurité).
En termes de ce qui a été pris, plutôt que de la façon dont, les grandes entreprises et agences utilisent l'inspection approfondie des paquets pour enregistrer ce qui a été transféré dans/hors de leur réseau.
Les appareils enregistrent tout le trafic et peuvent utiliser IDS pour les alertes. Après qu'un incident se soit produit, ils peuvent analyser l'ampleur de l'attaque.
Voici quelques outils standard de l'industrie: