Информационная безопасность

Форензика

Stuxnet 2010. Первый известный cyberweapon. Обнаружен случайно. Форензический анализ занял месяцы: 4 zero-day уязвимости, 2 stolen digital certificates, целевая атака на Siemens контроллеры иранских центрифуг. 2+ года в сети незаметно. Каждый артефакт - на диске, в памяти, в сетевых логах - рассказывал часть истории. Форензика сложила пазл.

  • Stuxnet 2010: месяцы форензического анализа раскрыли первый известный nation-state cyberweapon
  • Target 2013: memory forensics POS терминалов обнаружила BlackPOS - работал только в RAM, disk forensics нашла бы лишь лаунчер
  • OJ Simpson 1995: идеальные DNA доказательства отклонены из-за нарушения chain of custody. Применимо к digital forensics

Disk Forensics: анализ файловой системы

2010 год. Stuxnet. Обнаружен компанией VirusTotal. Forensic анализ: 4 zero-day уязвимости, первый malware нацеленный на SCADA системы, написан на нескольких языках. Анализ занял месяцы. Forensic investigators восстановили полную историю: заражение через USB, lateral movement, целевое поражение Siemens Step 7 контроллеров. Disk forensics позволила понять атаку которая была активна 2+ года незаметно.

Write blocker - обязательно при работе с оригинальным носителем. Любая операция чтения на FAT/NTFS диске изменяет Access timestamps. Forensic образ + write blocker = доказательная ценность сохранена. Без write blocker суд может отклонить доказательства.

Диск изъят как доказательство. Какой первый шаг?

Memory Forensics: анализ RAM

2014 год. Target breach. После инцидента форензический анализ RAM скомпрометированных POS терминалов показал malware который не писал ничего на диск - работал только в памяти. BlackPOS: захватывал данные карт из RAM в момент транзакции. Disk forensics нашла бы только лаунчер. Memory forensics раскрыла полную картину. RAM - временное хранилище, но именно там всё происходит: running processes, encryption keys, network connections, malware payload.

Process Hollowing - продвинутая техника: создать легитимный процесс (svchost.exe) в suspended state, заменить его код malware, запустить. Volatility malfind обнаруживает: svchost.exe с кодом который не соответствует оригинальному PE файлу на диске. PID совпадает, путь совпадает, но memory content - malware.

Volatility pslist показывает svchost.exe. Volatility malfind показывает аномальный RWX регион в этом процессе. Что это?

Network Forensics: анализ трафика

2013 год. NSA leak (Snowden). XKEYSCORE система - полный захват и анализ интернет трафика глобально. Network forensics в меньшем масштабе: захват трафика в корпоративной сети для расследования. 2022 год. Пример: компания обнаружила подозрительный трафик к необычным IP в 3 ночи. NetFlow анализ показал: 50GB данных переданы за 2 часа. PCAP анализ: зашифрованный C2 трафик с характерными паттернами Cobalt Strike Beacon.

JA3 и JA3S fingerprinting: TLS ClientHello содержит список поддерживаемых cipher suites, extensions. Уникальная комбинация -> хеш. Cobalt Strike, Metasploit имеют характерные JA3 хеши. Детектировать C2 даже в зашифрованном HTTPS трафике. База JA3: https://ja3er.com/.

NetFlow показывает: 50GB данных ушло с file server на внешний IP в 3:00 ночи. PCAP не сохранялся. Что можно установить?

Chain of Custody: доказательная ценность

O.J. Simpson trial 1995. DNA доказательства были неопровержимы. Но защита успешно оспорила chain of custody: 'как мы знаем что кровь не была контаминирована?'. Процессуальные нарушения сделали технически убедительные доказательства юридически ненадёжными. В цифровой форензике: технически найти атакующего недостаточно - доказательства должны выдержать scrutiny суда. Chain of custody документирует каждое касание доказательства.

DFIR (Digital Forensics and Incident Response) сертификации: SANS FOR508 (Advanced Incident Response), GIAC GCFE (Certified Forensic Examiner), EnCase Certified Examiner (EnCE). Коммерческие форензические инструменты суды признают: EnCase, FTK (Forensic Toolkit), Cellebrite для мобильных устройств.

Форензика нужна только для судебных разбирательств

Форензика - основа понимания инцидента: как атакующий попал, что сделал, что взял. Без форензики нельзя гарантировать полную eradication

Microsoft Exchange ProxyShell: организации без форензики удаляли webshell и считали инцидент завершённым. Атакующие создавали persistence (scheduled tasks, новые AD аккаунты) которые оставались. Форензика нашла бы все persistence механизмы и предотвратила повторение.

Форензический образ диска создан без write blocker. Defender запустил сканирование оригинала. Проблема?

Итоги

  • Disk Forensics: образ с md5 верификацией, работа только с копией. TSK/Autopsy для анализа. Write blocker обязателен
  • Memory Forensics: RAM содержит то чего нет на диске (fileless malware, encryption keys). Volatility3: pslist, malfind, netstat
  • Network Forensics: Wireshark (PCAP), NetFlow (metadata), Zeek (logs), JA3 fingerprinting для C2 детектирования
  • Chain of Custody: каждое касание доказательства задокументировано. Hash верификация. Нарушение = юридически недопустимо

Связанные темы

Форензика применяется в IR для понимания атак и анализа malware:

  • Incident Response — Форензика - ключевая фаза IR для root cause analysis
  • Malware Analysis — Форензические техники используются для извлечения и анализа malware
  • SIEM и мониторинг — SIEM логи - источник данных для network и system forensics

Вопросы для размышления

  • Почему fileless malware (работающий только в RAM) труднее обнаружить стандартными средствами?
  • Что такое JA3 fingerprint и как он помогает детектировать C2 в зашифрованном трафике?
  • Почему chain of custody важна даже для внутренних корпоративных расследований (не только для суда)?

Связанные уроки

  • sec-34 — Форензика - часть Incident Response для root cause analysis
  • sec-24 — Malware анализ использует форензические техники
  • sec-33 — Форензика использует логи собранные SIEM
  • os-22-debugging
Форензика

0

1

Войти