Ryan+Francis

有人悄悄告訴老板，某個員工可能會離職，對此，他想盡可能的把客戶帶走，帶到他的新單位那里去。該公司引進了計算機取證專家，檢查員工在網(wǎng)上的活動，在員工面前找出證據(jù)。

計算機取證公司TechFusion的總裁兼首席執(zhí)行官Alfred Demirjian在他從業(yè)的30多年中，對這樣的場景見多不怪——員工通過劫持電子郵件帳戶濫用公司互聯(lián)網(wǎng)，陰謀破壞自己以前的公司。商業(yè)軟件支持公司深入研究員工的社交媒體博文和文本，或者如果他們有公司提供的智能手機，則可以通過GPS跟蹤他們。

會給客戶一定的期限，TechFusion可以通過公司電子郵件來查看員工與客戶的交互。

Demirjian說：“計算機取證將在暴露人的惡意行為方面發(fā)揮更大的作用。隨著該技術(shù)的不斷進步，人們越來越難以隱瞞他們的不法行為，更容易讓他們承擔責任?！?/p>

自從Demirjian從業(yè)以來，技術(shù)已經(jīng)日趨成熟。他說：“該行業(yè)從使用操作系統(tǒng)命令發(fā)展到基于軟件的命令。與工具所應(yīng)用的系統(tǒng)相比，現(xiàn)在更重要的是擁有使用工具的經(jīng)驗?！?/p>

他補充說，軟件的兼容性和功能越來越強。他說：“它更快、更便宜。這讓取證工程師能夠執(zhí)行更多的任務(wù)。”

TechFusion參與了一些著名的案例，最近的一個是新英格蘭愛國者隊的四分衛(wèi)Tom Brady臭名昭彰的手機。當NFL要求檢查他的文本時，Brady說他的電話丟了。后來找到了這些文本。TechFusion還負責審查Odin Lloyd當晚被殺害時在late-Aaron Hernandez家里拍攝到的監(jiān)控錄像。

計算機取證是數(shù)字取證科學的一個分支，涉及查找計算機和數(shù)字存儲介質(zhì)中的證據(jù)。計算機取證的目的是以可靠的取證方式檢查數(shù)字媒體，旨在識別、保存、恢復(fù)、分析和呈現(xiàn)關(guān)于數(shù)字信息的事實和鑒定結(jié)果。這涉及數(shù)據(jù)恢復(fù)的類似技術(shù)和原理，還有創(chuàng)建合法審計跟蹤的附加指導(dǎo)和舉措。

計算機取證將在暴露人的惡意行為方面發(fā)揮更大的作用。隨著該技術(shù)的不斷進步，人們越來越難以隱瞞他們的不法行為，更容易讓他們承擔責任。

Tanium首席安全架構(gòu)師Ryan Kazanciyan說，取證是重建和分析數(shù)字證據(jù)的過程，以確定某一設(shè)備或者系統(tǒng)以前是被怎樣使用的。在最基本的層面上，所謂的數(shù)字證據(jù)可以采取以端點設(shè)備為中心的數(shù)據(jù)（例如硬盤或者內(nèi)存中的內(nèi)容）的形式，以網(wǎng)絡(luò)為中心的數(shù)據(jù)（例如，采集通過某一設(shè)備或者網(wǎng)站的所有網(wǎng)絡(luò)流量的完整數(shù)據(jù)包）的形式，或者以應(yīng)用程序為中心的數(shù)據(jù)（例如與程序或者服務(wù)的使用相關(guān)的日志和其他記錄）等形式。

取證調(diào)查員的工作流程主要是由他們要嘗試回答的具體問題來推進的。通常需要使用取證的應(yīng)用情形的例子包括：

一名執(zhí)法人員逮捕了涉嫌國內(nèi)恐怖主義的某個人，并希望找到與以前或者計劃中的犯罪活動有關(guān)的所有通信記錄、互聯(lián)網(wǎng)活動和數(shù)據(jù)。

違規(guī)調(diào)查已經(jīng)發(fā)現(xiàn)有證據(jù)表明外部攻擊者訪問了存有敏感知識產(chǎn)權(quán)的公司服務(wù)器。分析師希望確定最初的訪問方式，有沒有數(shù)據(jù)被訪問或者被盜取了，以及系統(tǒng)是否遭受了任何敵對攻擊（例如引入了惡意軟件）。

它是怎樣使用的，它是如何工作的？

Kazanciyan說，傳統(tǒng)的計算機取證需要利用專門的軟件來勾畫出目標系統(tǒng)的硬盤和物理內(nèi)存，并自動將其解析為人類可以識別的格式。這樣，調(diào)查人員可以檢查和搜索某類文件或者應(yīng)用程序數(shù)據(jù)（例如，電子郵件或者網(wǎng)絡(luò)瀏覽器歷史）、時間點數(shù)據(jù)（例如，在取證時運行的進程或者開放的網(wǎng)絡(luò)連接），以及歷史活動留下的痕跡（例如，刪除的文件或者最近的活動）。

他說，被刪除的數(shù)據(jù)和歷史活動在多大程度上能夠被恢復(fù)取決于一些因素，但是隨著時間的推移，一般會越來越難以恢復(fù)，并且與系統(tǒng)的活動程度有關(guān)。

Kazanciyan說，這種計算機取證方法仍然適用于集中的小規(guī)模調(diào)查，但對企業(yè)規(guī)模的任務(wù)來說太耗時，資源太密集，例如在企業(yè)環(huán)境中監(jiān)控數(shù)千個系統(tǒng)。

他說：“因此，在過去十年中，能夠在‘實際系統(tǒng)中快速搜索證據(jù)并進行分析的技術(shù)開始蓬勃發(fā)展，成為所謂的端點檢測和響應(yīng)（EDR）市場的基礎(chǔ)?！盓DR產(chǎn)品通常提供以下功能的組合：

關(guān)鍵端點設(shè)備遠程監(jiān)測的連續(xù)記錄——例如，執(zhí)行的過程或者網(wǎng)絡(luò)連接，提供關(guān)于系統(tǒng)活動的隨時可用的時間表。他說，這類似于飛機上的黑盒子。能夠查看遠程監(jiān)測信息后，可以不用通過系統(tǒng)的本地證據(jù)源來重建歷史事件。如果違規(guī)行為已經(jīng)發(fā)生了，再把調(diào)查技術(shù)部署到環(huán)境中，這樣做就沒有什么用了。

分析和搜索系統(tǒng)的本地證據(jù)取證源，即在正常系統(tǒng)工作期間由操作系統(tǒng)自己保留的內(nèi)容。這包括能夠快速、有針對性地搜索文件、進程、日志條目、內(nèi)存中遺留的證據(jù)，以及整個系統(tǒng)中的其他證據(jù)。這完善了連續(xù)事件記錄器的應(yīng)用，可用于擴大調(diào)查范圍，并找到可能未被保留的其他線索。

警報和檢測。產(chǎn)品可以主動收集并分析上述數(shù)據(jù)的來源，并將其與結(jié)構(gòu)化威脅情報（例如，感染指標），以及旨在檢測惡意活動的規(guī)則或者其他啟發(fā)式內(nèi)容進行比較。

對某個目標主機收集證據(jù)。當調(diào)查人員確定需要進一步檢查系統(tǒng)時，他們可以對整個目標系統(tǒng)的歷史遠程監(jiān)測（如果存在并進行了記錄）信息、硬盤和內(nèi)存上的文件上進行“深度”的證據(jù)收集和分析。他說，很多企業(yè)更傾向于盡可能地對實際系統(tǒng)進行遠程分類分析，以代替全面的取證成像。

他說：“取證領(lǐng)域的創(chuàng)新主要集中在簡化和自動化這些過程，確保即使在最大和最復(fù)雜的網(wǎng)絡(luò)中也可以執(zhí)行這些過程，并將其應(yīng)用于主動攻擊檢測以及高效的應(yīng)急響應(yīng)上?！?/p>

取證對于應(yīng)急響應(yīng)至關(guān)重要

Syncyity總裁兼首席執(zhí)行官John Jolly認為，取證對于應(yīng)急響應(yīng)過程至關(guān)重要，對常規(guī)響應(yīng)和即時響應(yīng)也很有用。例如，當公司處理一起成功的網(wǎng)絡(luò)釣魚攻擊事件時，可以使用取證過程來形成事實，例如，誰點擊了鏈接，誰被成功的釣魚，成為受害人，以及實際訪問或者盜走了哪些信息。

他說，這有助于安全部門計劃適當?shù)捻憫?yīng)措施，并評估報告要求。Jolly說：“例如，取證過程會幫助您確定10個用戶進行了點擊，但網(wǎng)絡(luò)釣魚者并沒有成功，因為惡意域名已經(jīng)被鎖住了?！?/p>

如果企業(yè)知識產(chǎn)權(quán)被內(nèi)部人員或者外部攻擊者偷走，出現(xiàn)這種事件時，取證過程將幫助執(zhí)法部門確定具體時間和事件發(fā)生順序，可以用來調(diào)查或者起訴攻擊者。他說：“在這種情況下，取證過程必須以滿足證據(jù)監(jiān)管鏈的方式進行，并能夠演示和保存監(jiān)管鏈?！?/p>

Jolly說，在這種網(wǎng)絡(luò)釣魚場景中，一個關(guān)鍵因素是，該公司預(yù)先規(guī)劃了對釣魚攻擊的響應(yīng)和取證過程，并將其應(yīng)用于事件響應(yīng)平臺，因此這個過程是可重復(fù)、可預(yù)測和可衡量的。

他說，這個過程還能夠針對不同場景適當?shù)剡M行演繹，例如，誰被釣魚攻擊了、被盜走的東西有沒有價值、是否符合內(nèi)部政策和外部監(jiān)管要求。

Jolly補充說：“分析和安全部門只需按照既定的規(guī)程進行分析，完成響應(yīng)過程的同時建立好取證記錄。公司需要可預(yù)測和可重復(fù)的響應(yīng)，因為這節(jié)省了時間、金錢，并通過盡快阻止不可避免的攻擊來減輕攻擊的影響。”

他說，建立過程并使其可以審計，會讓企業(yè)受益匪淺——他們能夠隨著時間的推移來衡量過程并進行改進，并且還向內(nèi)部股東和外部監(jiān)管機構(gòu)表明他們正在使用最佳實踐，并按照適當?shù)木S護標準進行操作。

當被問及計算機取證的未來發(fā)展時，Demirjian說：“以后絕不會是現(xiàn)在這種方式。未來會更加注重預(yù)防。數(shù)據(jù)恢復(fù)的方式將會發(fā)生變化。一旦人們開始丟失數(shù)據(jù)，他們就開始使用遠程備份來防止數(shù)據(jù)丟失。取證也會同樣如此。企業(yè)將實施取證應(yīng)用程序，如果發(fā)生事故，他們憑借數(shù)據(jù)，能夠跟蹤發(fā)生了什么。他們將不再需要保留硬件?！?/p>

他說，這些企業(yè)將采用記錄所有操作和功能的服務(wù)，并且只需要申請查看日志即可。所有信息將被取證存儲，以確?？煽啃?。

取證的例子

Tanium提供了一個實例，網(wǎng)絡(luò)監(jiān)視設(shè)備發(fā)出警報，表明企業(yè)工作站“Alice”與攻擊者“Eve”相關(guān)聯(lián)的互聯(lián)網(wǎng)主機的IP地址進行了通信。

調(diào)查人員首先需要弄清楚為什么Alice與Eve的IP地址進行了通信。主機是否感染了惡意軟件？如果是這樣，它是怎樣進入系統(tǒng)的，可以利用哪些留下的痕跡來找到同樣受影響的系統(tǒng)？Alice曾經(jīng)訪問過其他系統(tǒng)或者資源嗎，或者事件只是發(fā)生在一臺主機中？Eve的最終目標是什么？

如果Alice已經(jīng)采用了能夠提供連續(xù)記錄功能的EDR產(chǎn)品，那么，調(diào)查人員可能會首先查看其遠程監(jiān)測信息并搜索Eve的IP地址（10.10.10.135）。這可以識別每一連接事件的上下文環(huán)境（時間、相關(guān)進程/惡意軟件、關(guān)聯(lián)的用戶帳戶）。（圖1）

分析師通過Tanium Trace對AlphaPC進行深度分析，調(diào)查屬于Eve的IP地址。

然后，分析師可以根據(jù)這些發(fā)現(xiàn)，進行時間軸分析，以確定惡意軟件入侵主機之前的事件，以及與之相關(guān)的惡意活動（可能由Eve“人工”推動，也可能是全自動的）。例如，調(diào)查可能表明，惡意軟件是通過使用了含有惡意軟件文檔的惡意電子郵件引入系統(tǒng)的。被感染后，遠程監(jiān)測會記錄Eve使用惡意軟件竊取用戶的憑據(jù)，記錄她試圖訪問Alice公司環(huán)境中與之相連的其他系統(tǒng)。（圖2）

惡意Excel文檔釋放了惡意軟件Z4U8K1S8.exe。然后，攻擊者通過命令和控制會話過程與系統(tǒng)進行交互。Tanium Trace記錄攻擊者執(zhí)行的進程和活動。

如果Alice的系統(tǒng)沒有運行EDR“飛行記錄儀”，調(diào)查員仍然可以使用系統(tǒng)的本地證據(jù)源，得出與前面總結(jié)的相同的時間軸事件。但是，這需要更大的投入，在時間軸上更有可能出現(xiàn)缺口。（圖3）

然后，分析師將根據(jù)調(diào)查中確定的信息制定IOC（感染指標，Indicators of Compromise）。

調(diào)查了Alice系統(tǒng)中出現(xiàn)的事故后，調(diào)查人員可能會有許多描述Eve攻擊手段的大量遺留證據(jù)或者感染指標，例如，她的工具、策略和程序。這些可用于搜索整個企業(yè)的取證證據(jù)和遠程監(jiān)測記錄，以期發(fā)現(xiàn)有哪些其他系統(tǒng)也被攻擊者攻擊了。然后對新發(fā)現(xiàn)的被攻擊主機進行深入取證分析。該過程不斷重復(fù)，直到調(diào)查員覺得他們已經(jīng)充分地研究了事件，了解了其根源和影響，并準備進行修復(fù)。