Расследование взлома компьютерной системы напоминает расследование преступления. Следователи собирают улики, записывают странные факты и делают опись пропавшего и испорченного имущества. Анализ скомпрометированного компьютера можно проводить и во время атаки, и после неё.
Так как системным журналам взломанной системы доверять неразумно, используются другие утилиты, облегчающие анализ. Предназначение и возможности этих средств различаются, но обычно они создают побитовые копии носителя, связывают события с процессами, показывают низкоуровневую информацию о файловой системе и восстанавливают удалённые файлы, если это возможно.
Неплохой идеей также будет вести запись всех действий, выполняемых при изучении взломанной системы, с помощью команды script, как в следующем примере:
script -q <file-name>
Замените <file-name> именем файла журнала script. Никогда не сохраняйте файл журнала на жёстком диске скомпрометированной системы — для этого идеально подходит дискета или компакт-диск.
Записывая все свои действия, вы соберёте дополнительные сведения, которые будут очень полезны, если взломщик будет пойман.
10.4.1. Получение образа диска с уликами
Создание побитовой копии среды — это вполне выполнимый первый шаг. Если вы намерены проводить судебное разбирательство, он обязателен. Рекомендуется сделать две копии: одну для анализа и исследования, а вторую хранить вместе с оригиналом в качестве улики для суда.
Вы можете создать монолитный образ взломанной системы, который будет уликой при расследовании или пригодится для сравнения с проверенными образами, с помощью команды dd из пакета coreutils, включённого в Red Hat Enterprise Linux. Предположим, что в компьютере, образ которого вы хотите сделать, один жёсткий диск. Подключите этот диск к другому компьютеру и создайте файл образа с помощью dd, например так:
dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1
Эта команда создаёт один файл image1 и для ускорения использует размер блока 1k. Параметры conv=noerror,sync указывают dd продолжить чтение и сброс информации, даже если на подозрительном диске встречены плохие сектора. После этого можно приступать к изучению полученного образа или даже пытаться восстановить удалённые файлы.
10.4.2. Сбор информации после взлома
Тема цифровой судебной экспертизы и собственно анализа весьма широка, однако большинство инструментов зависят от архитектуры, и не могут применяться в общем случае. Несмотря на это, каким-то образом надо реагировать на инцидент, проводить анализ и восстановление. С подходящими знаниями и опытом Red Hat Enterprise Linux может стать превосходной платформой для проведения анализа, так как в неё включены различные утилиты для выполнения действий после взлома и восстановления.
В таблице 10-1 перечислены некоторые команды, связанные с аудитом и управлением файлами. Здесь также приведены некоторые примеры, помогающие правильно идентифицировать файлы и их атрибуты (например, разрешения и даты доступа) с целью сбора для анализа дальнейших улик или сведений. Все эти инструменты, в сочетании с системами обнаружения вторжения, брандмауэрами, защищёнными службами и другими мерами безопасности могут снизить возможный ущерб от атаки.
Замечание | |
---|---|
За подробными сведениями о каждом инструменте обратитесь к его странице man. |
Команда | Функция | Пример |
---|---|---|
dd | Создаёт побитовый образ (или дамп диска (disk dump)) файлов и разделов. Рассчитав контрольные суммы md5sums для каждого образа, и проверив их на совпадение, администраторы могут сравнить образ раздела или файла перед взломом с образом из взломанной системы. | dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt |
grep | Находит нужную строковую (текстовую) информацию в файлах и каталогах, а также помогает определить разрешения, атрибуты файла, изменения сценариев и т.д. В основном используется для перенаправления вывода команд ls, ps, or ifconfig. | ps auxw |grep /bin |
strings | Выводит строки печатаемых символов, содержащиеся в файле. Наиболее полезна для поиска аномалий в программах, например, команд mail с неизвестными адресами или операций записи в нестандартный файл журнала. | strings /bin/ps |grep 'mail' |
file | Определяет характеристики файлов, исходя из формата, кодировки, связанных библиотек (если они есть) и типа файла (двоичный, текстовый и т.д.). Эта команда полезна для определения, изменился ли набор статических библиотек, используемых программой, например, /bin/ls, что будет верным знаком того, что эта программа заменена злоумышленником. | file /bin/ls |
find | Выполняет поиск в каталогах определённых файлов. Это полезный инструмент для поиска по ключевому слову, дате и времени доступа, разрешениям и т.д. Он также полезен для администраторов, проводящих общесистемный аудит конкретных каталогов или файлов. | find -atime +12 -name *log* -perm u+rw |
stat | Выводит информацию о состоянии файла, включая время последнего доступа, разрешения, значения битов UID и GID, и т.д. Это может быть полезно для определения времени последнего использования или изменения программы во взломанной системе. | stat /bin/netstat |
md5sum | Вычисляет 128-битную контрольную сумму по алгоритму md5. Создайте с помощью этой команды текстовый файл, в котором будут перечислены все важные исполняемые файлы, часто изменяемые или заменяемые при взломе систем. Перенаправьте выводимые суммы в файл-базу данных контрольных сумм, а затем скопируйте его на носитель только для чтения, например CD-ROM. | md5sum /usr/bin/gdm >>md5sum.txt |
Таблица 10-1. Инструменты аудита файлов