Форензика
вирусологФорензика — прикладная наука о раскрытии преступлений, связанных с информационными технологиями, об исследовании цифровых доказательств, методах поиска, получения и закрепления доказательств. Слово «Форензика» появилось в русском языке от английского слова Forensics, что означает наука об исследовании доказательств или попросту говоря компьютерная криминалистика.
А теперь что такое форензика простыми словами, это сбор цифровых доказательств. (Цель компьютерной криминалистики - провести структурированное исследование, сохранив документированную цепочку доказательств, чтобы точно узнать, что произошло на устройстве и кто несет за это ответственность)
Специалисты в области форензики незаменимы при необходимости быстро обнаружить и проанализировать инциденты ИБ. Перед ними ставятся всегда следующие задачи:
разобраться в способе реализации взлома
построить сценарий атаки
восстановить хронологию атаки
собрать оставшиеся следы атаки
разработать необходимые меры защиты для предотвращения от подобной и по возможности от других атак, улучшая процесс обеспечения ИБ в целом
уменьшить и восстановить нанесенный ущерб
В случае необходимости в их задачи так же входит формирование экспертного заключения по факту инцидента ИБ в случае расследования такового, например, судебными органами. Ведь по нормам законодательства необходимо сначала подтвердить сам факт преступления и определить его состав, и только затем можно возбудить уголовное дело, в данном случае по фактам компьютерных преступлений. Также в обязанности специалистов компьютерной криминалистики входит обнаружение неконтролируедамых изменений систем и сбои программного обеспечения, нарушение правил доступа и несоблюдение политики или рекомендаций по «Информационной безопасности».
Сейчас все больше и больше крупных компаний в обязательном порядке организовывают специализированный отдел или хотя бы штат из нескольких экспертов по форензике. К таким компаниям относятся не только компании сферы информационных технологий, но также и компании относительно далекие от нее, например, финансовые (т.к. при расследовании финансовых преступлений большинство доказательств можно найти в компьютерных системах).
Классификация форензики
1) Network forensics имеет отношение к расследованиям в области сетевого стека. Данный раздел ставит перед собой задачи сбора, записи и анализа сетевых событий, для обнаружения источника атак или других проблемных инцидентов.
2) Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
3) Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
4) Mobile device forensics занимается всем, что касается особенностей извлечения данных с мобильных устройств.
5) Hardware forensic — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.
Методы форензики
Выделяют два основных подхода экспертиз:
1) Статический анализ используется для создания образа жесткого диска или дампа оперативной памяти, выявления и восстановления удаленных файлов, остатков аномальных файлов в %TEMP% и системных директориях, сбора истории серфинга веб-браузера, системных логов, получения списка запущенных в памяти процессов и открытых коннектов сети.
2) Динамический анализ использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.
Основные инструменты форензики
Есть специализированный дистрибутив специально под задачи форензики:
Digital Evidence & Forensics Toolkit: DEFT Linuix
Разработан на Lubuntu, имеет удобный графический интерфейс. OS оснащена набором профильных утилит, антивирусы, системы поиска в кэше браузера, сканеры и утилитаы для выявления руткитов и другими инструментами необходимыми при поиске скрытых на диске данных.
В основном эта система применяется для анализа последствий взлома систем, определения потерянных и скомпрометированных данных, и конечно для сбора цифровых доказательств совершения киберпреступлений.
Инструменты для создания образа диска, раздела или отдельного сектора:
FTK Imager — инструмент для клонирования носителей данных в Windows.
dc3dd — улучшенные версии стандартной консольной утилиты dd в Linux.
Guymager — специализированное приложение для создания точных копий носителей.
Paragon и Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.
Обработка сформированных образов дисков:
Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.
Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).
Сбор данных с жестких дисков:
Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, VeraCrypt PGP и Bitlocker.
Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.
Live RAM Capturer — утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.
Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от Windows XP до Windows 10 (включая Windows Server).
Анализ файлов найденных на жестких дисках:
Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.
HxD — годный HEX-редактор.
eCryptfs Parser рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.
CrowdInspect помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом.
Извлечение данных из файлов:
PhotoRec — утилита для восстановления данных(видеофайлов, документов и архивов с жестких дисков, компакт-дисков и других носителей) и файлов изображений.
Bulk_extractor — утилита для вылавливания email, IP-адресов и телефонов из файлов.
Поиск артефактов на HDD:
FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).
NTFS USN Journal parser — парсер журналов USN для томов NTFS.
RecuperaBit — утилита для восстановления данных NTFS.
На этом я пожалуй закончу, хотя перечислять различные крутые инструменты можно до бесконечности)
В заключении хотелось бы отметить, что форензика как ответвление в ИБ менее развито, нежели тестирование на проникновение, но не менее интересное и обширное.