Frage:
Wie überprüfen Organisationen, * was * gehackt wurde?
ᔕᖺᘎᕊ
2015-10-27 16:22:01 UTC
view on stackexchange narkive permalink

In Großbritannien wurde das Unternehmen TalkTalk kürzlich gehackt.

Später wurde nach "Untersuchung" festgestellt, dass der Hack nicht so schwerwiegend war, wie er hätte sein können (und weniger als erwartet).

Ich frage mich: Wie machen Organisationen (nicht unbedingt TalkTalk - das hat mich nur dazu veranlasst zu fragen) Überprüfen Sie, was gehackt wurde. Ich bin sicher, es gibt viele Möglichkeiten. aber was sind die "wichtigsten"?

In diesem Fall - wahrscheinlich indem Sie den Hacker fragen: http://www.wired.co.uk/news/archive/2015-10/26/talktalk-arrest
Neben all den tollen Antworten und nur als Nebenbemerkung: Die Öffentlichkeit erhält am häufigsten ein Ergebnis, das möglicherweise aus der Forensik resultiert. In diesem Fall gelten die Antworten. Bedenken Sie auch, dass jedes Ergebnis wie "Oh, es war wirklich nicht schlecht" nur eine blutige Lüge der Unternehmen sein kann. In Bezug auf die Feststellung, "* was * gehackt wurde", kann ein wesentlicher Teil dessen, was die Öffentlichkeit sieht, auch Spuren oder PR und Marketing aufweisen und nicht nur Forensik. Auch wenn Sie dies bei der Beantwortung der Frage möglicherweise ignorieren, wäre das Bild ohne diese Erwähnung unvollständig
@humanity Ich denke das ist möglich, ich habe nicht wirklich so darüber nachgedacht ..: /
IMHO haben sie nicht wirklich entdeckt, was gehackt wurde, sie haben einfach erraten, basierend auf dem, was durchgesickert ist, und sagten, dass dies als PR-Erklärung versucht, den wahrgenommenen Schaden zu verringern. Angesichts des schlechten Sicherheitsniveaus bezweifle ich, dass sie eine vertrauenswürdige Protokollierung gesichert haben.
@JamesRyan Ich dachte auch das Gleiche, da die Aussage sehr schnell war und seltsam schien, aber ehrlich gesagt ist mir * TalkTalk *: P egal - es war nur ein interessantes Thema, das mich neugierig machte. Ich habe gerade TalkTalk als Beispiel verwendet.
Ich denke, ein Hauptproblem bei der Behandlung dieser Probleme besteht darin, dass Untersuchungsexperten kompromittierte Protokolle als Beweismittel verwenden. Es scheint, als wäre es zu einfach, Protokolle zu ändern, um auf die IP-Adresse und die SWAT einer anderen unschuldigen Partei zu verweisen.
@JamesRyan [Kommentar von gowenfawr] (http://security.stackexchange.com/questions/103805/how-do-companies-check-what-has-been-hacked?noredirect=1#comment180783_103808) erklärt dies irgendwie
Neun antworten:
#1
+175
gowenfawr
2015-10-27 16:43:47 UTC
view on stackexchange narkive permalink

Mit einem Wort: Forensik

Computerforensik ist die Kunst, ein System zu untersuchen und festzustellen, was zuvor darauf passiert ist. Die Untersuchung von Datei- und Speicherartefakten, insbesondere von Dateizeitplänen, kann ein sehr klares Bild davon zeichnen, was der Angreifer getan hat, wann er es getan hat und was er aufgenommen hat.

Nur als Beispiel - bei einem Speicherauszug Auf einem Windows-System können nicht nur die von einem Angreifer eingegebenen Befehlszeilen extrahiert werden, sondern auch die Ausgabe, die er als Ergebnis der Ausführung dieser Befehle gesehen hat. Ziemlich nützlich bei der Bestimmung der Auswirkungen, wie?

Abhängig von der Frische des Kompromisses ist es möglich, ziemlich viel darüber zu erzählen, was passiert ist.


@AleksandrDubinsky schlug dies vor Seien Sie nützlich, um die verschiedenen Bereiche und Techniken der Computerforensik zu skizzieren, die ich gerne für Sie erledige. Sie umfassen, ohne darauf beschränkt zu sein, Folgendes (ich werde meine groben Begriffe verwenden; sie sind nicht offiziell oder umfassend):

Protokoll- / Monitorforensik : Die Verwendung von "externen" Daten wie zentralisierten Protokollen, Firewall-Protokollen, Paketerfassungen und IDS-Treffern liegt zwischen "Erkennung" und "Forensik". Einige der Daten, wie z. B. Protokolle (auch zentralisiert), können nicht als vollständig oder sogar wahrheitsgetreu eingestuft werden, da Angreifer sie filtern oder injizieren können, sobald sie die Kontrolle über das System haben. Off-the-System-Tools zur Paketprotokollierung wie Firewall, IDS oder Paketrekorder (wie (früher) NetWitness) werden wahrscheinlich nicht manipuliert, enthalten jedoch nur eine begrenzte Menge an Informationen. In der Regel nur eine Aufzeichnung von IP-Konversationen und manchmal Signaturen (z. B. HTTP-URLs), die mit böswilligen Aktivitäten verbunden sind.

Sofern im Kompromiss keine unverschlüsselte Netzwerkverbindung verwendet wurde, können diese Tools die Aktivität während eines Kompromisses nur selten detaillieren. Überprüfen Sie daher (zurück zur ursprünglichen Frage) nicht, was wurde gehackt." Wenn andererseits eine unverschlüsselte Verbindung (FTP) zum Exfiltrieren von Daten out verwendet wurde und vollständige Pakete aufgezeichnet wurden, ist es möglich, genau zu wissen, mit welchen Daten der Angreifer weggelaufen ist.

Live-Forensik : Die sogenannte "Live" -Forensik ist Teil der Incident Response und umfasst das Anmelden am System und das Umsehen. Die Ermittler können Prozesse aufzählen, in Anwendungen (z. B. im Browserverlauf) suchen und das Dateisystem nach Hinweisen darauf durchsuchen, was passiert ist. Auch dies dient normalerweise dazu, zu überprüfen, ob ein Kompromiss aufgetreten ist, und nicht, um das Ausmaß eines Kompromisses zu bestimmen, da ein kompromittiertes System Dateien, Prozesse, Netzwerkverbindungen und alles, was es will, ausblenden kann. Die positive Seite ist, dass es den Zugriff auf speicherresidente Dinge (Prozesse, offene Netzwerkverbindungen) ermöglicht, die nicht verfügbar sind, wenn Sie das System herunterfahren, um die Festplatte abzubilden (aber auch hier kann das System lügen, wenn es kompromittiert wird! )

Dateisystem-Forensik : Sobald eine Kopie der Festplatte erstellt wurde, kann sie auf einem sauberen System bereitgestellt und untersucht werden, wodurch die Gefahr besteht, dass das gefährdete Betriebssystem "lügt" "darüber, welche Dateien vorhanden sind. Es gibt Tools zum Erstellen von Zeitleisten unter Verwendung der verschiedenen verfügbaren Zeitstempel und anderer Metadaten. Einbeziehen von Dateidaten, Registrierungsdaten (unter Windows) und sogar Anwendungsdaten (z. B. Browserverlauf). Es werden nicht nur die Schreibzeiten für Dateien verwendet. Die Lesezeiten der Dateien können angeben, welche Dateien angezeigt wurden und welche Programme ausgeführt wurden (und wann). Verdächtige Dateien können durch saubere Antivirenprüfungen ausgeführt, Signaturen erstellt und übermittelt, ausführbare Dateien in Debugger geladen und untersucht werden, "Zeichenfolgen", die zur Suche nach Schlüsselwörtern verwendet werden. Unter Unix können "Verlaufs" -Dateien - sofern sie nicht vom Angreifer deaktiviert wurden - die vom Angreifer eingegebenen Befehle detailliert beschreiben. Unter Windows bietet der Schattenkopiedienst möglicherweise Momentaufnahmen früherer Aktivitäten, die seitdem bereinigt wurden.

Dies ist der am häufigsten verwendete Schritt , um den Umfang und das Ausmaß eines Kompromisses zu bestimmen und um festzustellen, auf welche Daten zugegriffen und / oder exfiltriert wurde. Dies ist die beste Antwort darauf, wie wir "überprüfen, was gehackt wurde".

Festplattenforensik : Gelöschte Dateien verschwinden aus dem Dateisystem, aber nicht aus die Scheibe. Außerdem können clevere Angreifer ihre Dateien im "Slack Space" vorhandener Dateien verstecken. Diese Dinge können nur gefunden werden, indem die Rohplattenbytes untersucht werden, und es gibt Tools wie The Sleuth Kit, mit denen diese Rohdaten auseinander gerissen und festgestellt werden können, was sie für die Vergangenheit bedeuten. Wenn eine .bash_history-Datei vorhanden war und der Angreifer sie als letzten Schritt vor dem Abmelden gelöscht hat, ist diese Datei möglicherweise noch als Festplattenblöcke vorhanden und kann wiederhergestellt werden. Ebenso können heruntergeladene Angriffstools und exfiltrierte temporäre Datendateien helfen, das Ausmaß des Kompromisses zu bestimmen.

Memory Forensics : Wenn der Ermittler früh genug dort sein und eine Momentaufnahme des Speichers des betreffenden Systems erhalten kann, kann er die Tiefen des Kompromisses gründlich ausloten. Ein Angreifer muss den Kernel kompromittieren, um ihn vor Programmen zu verbergen. Es gibt jedoch keine Möglichkeit, die Aktionen zu verbergen, wenn ein echtes Image des Kernelspeichers erstellt werden kann. Und genau wie die Plattenblöcke Daten enthalten, die inzwischen aus dem Dateisystem entfernt wurden, enthält der Speicherauszug Daten, die sich in der Vergangenheit im Speicher befanden (z. B. Befehlszeilenverlauf und Ausgabe!), Die noch nicht überschrieben wurden ... und die meisten Daten werden nicht schnell überschrieben.

Möchten Sie mehr? Es gibt Schulungsprogramme und Zertifizierungen zum Erlernen der Forensik. Das wahrscheinlich am häufigsten öffentlich zugängliche Training stammt von SANS. Ich habe die GCFA-Zertifizierung ("Forensic Analyst"). Sie können auch die Herausforderungen aus dem Honeynet-Projekt überprüfen, bei denen die Parteien im Wettbewerb stehen, um die Fälle zu entschlüsseln, in denen Disk-Images, Speicherabbilder und Malware-Beispiele von tatsächlichen Kompromissen stammen Sie können die in diesem Bereich verwendeten Tools und Erkenntnisse sehen.

Anti-Forensik ist ein heißes Thema in den Kommentaren - im Grunde: "Kann sich der Angreifer nicht einfach verstecken?" ihre Spuren? " Es gibt Möglichkeiten, sich davon zu lösen - siehe diese Liste von Techniken -, aber es ist alles andere als perfekt und nicht das, was ich als zuverlässig bezeichnen würde. Wenn Sie bedenken, dass "der" Gott "der Cyberspionage" so weit gegangen ist, die Firmware der Festplatte zu belegen, um den Zugriff auf ein System aufrechtzuerhalten, ohne Spuren auf dem System selbst zu hinterlassen - und wurde immer noch entdeckt - es scheint klar zu sein, dass es am Ende einfacher ist, Beweise zu erkennen, als sie zu löschen.

Einige Unternehmen verfügen möglicherweise auch über eine rückwirkende Protokollanalyse als Tool, mit dem Daten zu Eingriffen erfasst, aber nicht bearbeitet werden. Dies ist besorgniserregend häufig, wenn die Sicherheit des Unternehmens nicht als vollzeitbeschäftigt angesehen wird. In diesem Fall enthalten Protokolle möglicherweise alle Details zu den Daten, auf die zugegriffen wird, aber niemand betrachtet sie, bis auf andere Weise ein Verstoß festgestellt wird, sei es in Medienberichten oder bei Kunden, die sich über den Zugriff auf ihre Konten beschweren.
Würde ein betroffener Angreifer nicht alle diese Informationen bereinigen, bevor er das System verlässt? Wenn der Endspeicher begrenzt ist, kann der Angreifer entweder auf diesen Teil des Speichers zugreifen, um ihn zu löschen, oder er kann diesen Speicher überfluten, um alte Inhalte durch neue zu ersetzen. Konnte er nicht?
@YoMismo, die Kurzversion ist: "Es ist nicht so einfach." Während viele Angreifer versuchen, ihre Spuren von der Festplatte zu löschen, ist dies nicht einfach - darum geht es bei der Timeline-Analyse, um Aktivitäten aus Metadaten abzuleiten. Nur sehr wenige gehen noch weiter und versuchen, ihren Speicherbedarf zu begrenzen, und es ist unmöglich, dies vollständig zu tun - zumindest hinterlassen Sie einen Fußabdruck Ihres Footprint-Clearing-Programms! „Alle Daten hinterlassen Spuren. Die Suche nach Daten hinterlässt Spuren. Das Löschen von Daten hinterlässt Spuren. Das Fehlen von Daten kann unter den richtigen Umständen die klarste Spur von allen hinterlassen. “ - C. S. Friedman
@YoMismo Staatlich finanzierte Hacker können das tun. Selbst dann können sie versagen.
Vielen Dank für das Hinzufügen der Details. Ich stimme Alex zu, dass die Antwort vor dem Hinzufügen des Details nur auf ein ebenso undefiniertes Wort der "Forensik" verweist. Damit eine Antwort nützlich ist, müssen Sie auf einer dem Publikum vertrauten Ebene sprechen. Wenn Sie wissen, was Computerforensik ist, kennen Sie bereits die Antwort auf die Frage.
@YoMismo, ... Es war einmal, als ich beim Entwerfen eines besonders sensiblen Systems eine serielle Leitung mit den Pins für den Schnitt der Lesekommunikation protokollierte - buchstäblich eine Nur-Schreib-Schnittstelle, auf die das System am anderen Ende nur über zugreifen konnte jemand, der physisch einen gesicherten Bereich betritt. Es gibt einiges zu tun, wenn die Situation es erfordert.
Für einige Arten von Angriffen, wie z. B. Heartbleed, ist es unwahrscheinlich, dass Protokolle ausreichend detailliert sind, um die erforderlichen Informationen bereitzustellen. In solchen Fällen kann möglicherweise nicht festgestellt werden, ob ein Angriff stattgefunden hat. Sie müssen also das Schlimmste annehmen. Aus diesem Grund werden Sie manchmal umsichtige Unternehmen sehen, die Dinge sagen wie ["Wir wurden möglicherweise gehackt oder vielleicht auch nicht, aber bitte ändern Sie trotzdem Ihre Passwörter."] (Https://blog.lastpass.com/2015/06/lastpass -security-Notice.html /)
Gibt es keine schreibgeschützten Dateien, um das Löschen von Spuren zu verhindern?
@YoMismo `Da alle Teile miteinander verbunden sind, enthält die Umgebung des Feindes unschätzbare Nachrichten über seine Aktivitäten. Wenn Sie diese Umgebung lesen, lesen Sie ihre Entwürfe. Selbst der Staub spricht. Dies ist kein Buchwissen. Dies ist nicht einmal die Kenntnis des Außergewöhnlichen und Orthodoxen. Dies sind die Beobachtungen eines Pfadfinders vom Feld aus. Da alles, was geschieht, alles um sich herum beeinflusst, führt Sie das kleinste Phänomen zur vollständigen Ansicht. Dies gilt vom Wissen des Pfadfinders bis zur Gesamtvision des Generals. «Die Armee bewegen Die Kunst des KriegesSun Tzu
@gerrit, Alle vom Betriebssystem erzwungenen Dateischutzmaßnahmen können untergraben werden, sobald das Betriebssystem selbst gefährdet ist. Während [WORM] (https://en.wikipedia.org/wiki/Write_once_read_many) Hardware vorhanden ist, wäre sie nur für (als Beispiel) Protokolldateien nützlich, und es ist nicht praktisch genug, dass ich jemals jemanden gesehen habe, der dies IRL macht - Das Senden von Protokollen über das Netzwerk an ein SIEM ist viel einfacher und ebenso effektiv.
@gowenfawr Ich dachte an richtige Hardware-Schreibgeräte. Aber wenn das gesamte * Netzwerk * ​​komprimiert ist, wäre WORM-Hardware (physisches Drucken von Protokolldateien auf toten Bäumen sollte den Trick nicht tun?) Sicherer?
@gerrit dann würden Ihre Protokolle Anzeichen des Kompromisses aufzeichnen, bis der Angreifer den Punkt erreicht, an dem er die Kontrolle über den Protokolldämon erhält ... und Ihre Fähigkeit, diese Protokolle zu analysieren, wäre unglaublich eingeschränkt (Sie können kein Papier "grep") !)
@gerrit Das Datenvolumen, das moderne Anwendungen protokollieren, übersteigt im Allgemeinen die Druckfähigkeit bei weitem. Im Allgemeinen wäre das Schreiben auf ein nicht löschbares Medium (z. B. optische Nicht-RW-Laufwerke) ein praktikabler Ansatz.
Im Rahmen des Hacks ist es unglaublich einfach, ihre Spuren zu löschen. Alles auf der Festplatte sind nur Daten. Wenn der Hacker Root hatte, kann er die Protokolle ändern, den Verlauf ändern und die Sicherungen ändern. Wenn Ihre Beweise nicht außerhalb des gefährdeten Systems aufgezeichnet werden, kann nicht darauf vertraut werden, dass sie korrekt sind, und sie können nur als Hilfsmittel verwendet werden.
@Peter nein, Forensik ist oft unzuverlässig, weil falsche Annahmen getroffen werden und es in Zukunft wahrscheinlich ist, dass Verurteilungen aufgehoben werden, wenn das Bewusstsein steigt, dass die Verwendung kompromittierter Daten als Beweismittel nicht stichhaltig ist.
@YoMismo Sie versuchen absolut, Dinge zu löschen. Ich erinnere mich, als ein Systemadministrator, mit dem ich zusammengearbeitet habe, das sicherste Protokoll sagte, das als Nadeldrucker verfügbar ist, der Protokollnachrichten auf Endlospapier druckt. Er behauptete, da die Hacker dies wussten, sei es nicht ungewöhnlich, einen Hack zu starten, indem eine große Menge protokollierbarer Ereignisse an den Server gesendet und ihm buchstäblich das Protokollpapier ausgeht, sodass der eigentliche Hack nicht aufgezeichnet werden konnte.
@CortAmmon, damit Sie mir zustimmen. Es mag nicht einfach sein, aber es ist definitiv möglich. Ich interessiere mich für ** was ** und ** wie **, diese Informationen können zugänglich sein oder nicht. Aber ich bin sehr daran interessiert zu wissen ** WANN **, da Sie möglicherweise immer gehackt werden (unabhängig von den Nachrichten, die Sie aufnehmen, da es so viele Variablen gibt, dass Sie nicht alle berücksichtigen können) ** wann ** scheint der entscheidende Punkt zu sein, um im Falle eines Verstoßes Gegenmeldungen zu erhalten. Ich stelle mir das gerne als Mord vor, die Polizei kann den Mörder fangen, er kann fliehen oder das Verbrechen wurde nicht bemerkt und daher nie untersucht.
"Dies ist der am häufigsten verwendete Schritt, um den Umfang und das Ausmaß eines Kompromisses zu bestimmen." Und einer der am leichtesten besiegten. Vor dem Zugriff auf die Datei kann ein Angreifer einfach die vorhandenen Zeitstempel lesen. Dann öffnen sie die Datei mit "Backup-Semantik" und schreiben schließlich die vorherigen Zeitstempel, nachdem die Zieldaten exfiltriert wurden. Der Nettoeffekt ist ein nicht nachweisbarer Dateisystemzugriff. Die Sicherungssemantik allein führt im Allgemeinen zu einem nicht erkennbaren Lesevorgang. Systeme werden weitaus häufiger kompromittiert, als der Systembetreiber weiß. Der einzig richtige Ansatz besteht darin, anzunehmen, dass alles kompromittiert ist.
@YoMismo Sie können nicht immer garantieren, dass Sie genau herausfinden können, wann. Sie können Ihre Protokolle verbessern und Ihre Protokolle sicherer machen. Wenn Sie jedoch glauben, dass Sie verletzt wurden, müssen Sie am Ende den Brotkrumen folgen. Je allgemeiner die Trails sind, desto wahrscheinlicher ist es, dass ein Hacker sich dessen bewusst ist und es entweder löscht oder möglicherweise einfach alles zusammen umgeht. Je spezifischer die Trails für Ihr Netzwerk sind, desto schwieriger ist es für sie, Sie daran zu hindern, Dinge zu sehen. Der beste Rat, den ich habe, ist die Tiefenverteidigung. Verlassen Sie sich niemals auf eine Gegenmaßnahme, um alles zu tun.
@YoMismo sieht den Text, den ich gerade zur Antwort über Anti-Forensik hinzugefügt habe, und enthält einen Link zu den "Was und Wie" -Angriffen, die Angreifer tun können, um ihre Spuren zu verwischen. Seien Sie sich bewusst, dass es eine sehr unvollkommene Wissenschaft ist und dass sogar die Profis trotz dieser Methoden erwischt werden.
@gowenfawr danke für die neuen Links, sie sind sehr aufschlussreich. Ich stimme der Tatsache zu, dass Spuren hinterlassen werden und es so viele Variablen gibt, dass Sie nicht alle berücksichtigen können (sowohl aus Sicht des Angreifers als auch der Forensik), sodass in einem Fall Spuren für die forensische Analyse zurückbleiben oder dies können hacke ein System in das andere. Die Sache ist, dass Sie ein Ereignis nicht untersuchen können, wenn Sie es nicht bemerkt haben. Diese Gruppen, über die Ihr zweiter Link spricht, wurden bemerkt, aber was ist mit den Einzelpersonen, Institutionen von Regierungen, die es nicht waren? wir werden nie davon erfahren. Nehmen Sie Kuckucksei als ...
Beispiel: Dieser Hacker wurde bemerkt, weil einige Cent in einem Konto nicht übereinstimmten. Ein betroffener Techniker begann zu untersuchen und endete mit einer gehackten Maschine, aber was ist mit den Maschinen mit dieser Kontoinkonsistenz, die möglicherweise ignoriert wurden? Was ist mit den Maschinen, bei denen nie bemerkt wurde, dass ein Hack stattgefunden hat? Sie können das nicht untersuchen, weil es nicht bemerkt wurde.
@YoMismo,, das ist eigentlich ein Thema, mit dem ich mich viel beschäftigt habe, aber es ist in dieser Frage weit entfernt. Sie haben dort eine gute neue Frage auf höchster Ebene - wie man mit den "unbekannten Unbekannten" umgeht, wie Rumsfeld es ausdrückte.
#2
+20
TheHidden
2015-10-27 16:39:23 UTC
view on stackexchange narkive permalink

Wenn ich im Technologiesektor arbeite, würde ich wie folgt vorgehen:

    Finden Sie den Hack, das Loch, die Schwachstelle.

  1. Überprüfen Sie das Syslog, Dmesg, Access.log und Error.log, um die These zu bestätigen. (Wenn Sie sich in ein Netzwerk hacken, haben Sie normalerweise das Problem, dass das System im Fall von TalkTalk eine MySQL-Injection ist. Wenn Sie dies getan hätten, wären Fehler im mysql.err-Protokoll zurückgeblieben. p>

  2. Replizieren Sie den Hack. Wenn Sie den Hack replizieren, können Sie sehen, wie tief der Hack gehen kann, und den Schaden abschätzen.

  3. ol>

    Wenn Sie das Loch finden, können Sie den Angriff replizieren, den Angriff replizieren und sehen, was der Angreifer gesehen hat.

Diese Antwort ist eine gute Ergänzung zu den anderen Antworten, da sie darauf hinweist, dass ein "Hack" im Allgemeinen keinen vollständigen Zugriff auf ein System gewährt, sondern häufig ein Leck in einem bestimmten Teil des Systems darstellt.
Warum haben Sie keine nummerierte Liste verwendet? (Sie können "," durch "." ersetzen, um dies zu tun)
weil ich nicht wollte.
Ich denke nicht, dass das richtig ist. Erstens meine ich mit "MySQL-Injection" nur "SQL-Injection", es ist keine Sicherheitslücke, die auf MySQL beschränkt ist. Zweitens glaube ich nicht, dass das Fehlerprotokoll der Datenbank unbedingt eine Ablaufverfolgung enthalten würde, wenn sich mein Injektionsangriff ändern soll: ... wobei userId = '123'in ... wo userId =' 'oder 1 = 1 dies ist Perfekt gültiges SQL und die Datenbank würden es nicht als Fehler identifizieren.
@DaveyDaveDave Ich sagte MySQL, weil ich MySQL-Datenbanken verwende. Es ist nur eine Gewohnheit, es einzugeben, aber ja, Sie haben Recht. Zweitens würden Sie annehmen, dass es sich eher um eine Datenmanipulation als um eine Injektion handelt. Ich bezweifle sehr, dass sie eine so kleine SQL-Anweisung hatten, dass sie keinen Fehler verursacht hätte, insbesondere in der Talk-Talk-Referenz. Um die Art von Informationen zu erhalten, die der Hacker gemacht hat, hätte es eine Reihe von SQL-Anweisungen geben müssen, und er hat sie höchstwahrscheinlich beendet; Ich kann dich an ein schönes Spiel weitergeben, wenn du es 2 mal ausprobieren möchtest.
@DaveyDaveDave hat auch vergessen zu erwähnen, eine gute Möglichkeit, ein Tabellenschema zu erhalten, besteht darin, den Code absichtlich zu brechen. Ich bezweifle auch, dass die erste Injektion zuerst funktioniert hat. Wenn ich in eine SQL-Datenbank gelangen wollte, würde ich zuerst versuchen, eine Karte zu finden, damit ich die richtigen Türen öffnen kann.
@silverpenguin: vernünftige Punkte, aber alles, was ich zu zeigen versuchte, ist, dass Ihre allgemeine Behauptung, "um einzubrechen, muss man es brechen", nicht unbedingt wahr ist.
@DaveDaveDave SQL-Server protokollieren normalerweise Abfragen, die für die Datenbank durchgeführt wurden. Es ist ziemlich einfach, diese eine Abfrage zu finden, die "oder 1 = 1" in der Abfragezeichenfolge enthält, da dies in den meisten Fällen nicht von einer normalen SQL-Abfrage verwendet wird (zumindest würde sie in meinem Kopf Warnglocken setzen). Eine einfache Forensik kann uns zumindest sagen, welche ungewöhnlichen Abfragen ausgeführt wurden, insbesondere wenn die meisten Abfragen verbindliche Anweisungen verwenden und somit die Mehrheit aller ausgeführten Abfragen darstellen würden.
#3
+7
David Scholefield
2015-10-27 16:59:29 UTC
view on stackexchange narkive permalink

Zusätzlich zu der hervorragenden Antwort auf Forensik (und Kommentare) verwenden einige Unternehmen Intrusion Detection-Systeme wie "Snort" (Network Intrusion Detection) und OSSEC (Host Based Detection System) sowie viele andere von Anbietern wie Cisco usw. B. verschiedene Aspekte ungewöhnlichen oder nicht autorisierten Verhaltens aufzeichnen.

Beispielsweise protokollieren hostbasierte Intrusion Detection-Systeme häufig Dateiänderungen auf Servern, sodass eine forensische Untersuchung zeigen kann, welche Dateien innerhalb eines bestimmten Zeitraums und einer forensischen Untersuchung geändert wurden Der Ermittler kann dies verwenden, um die Aktivitäten einiger Benutzer oder Angreifer zusammenzufassen.

Angreifer hinterlassen außerdem Spuren in Protokollen in der gesamten Infrastruktur, von Firewall-Protokollen über Serverprotokolle bis hin zu Dienstprotokollen (Web, SMTP usw.) und Diese können wichtige Hinweise liefern. Es ist jedoch für Angreifer möglich, diese Protokolle zu ändern, es sei denn, sie wurden als sicher und unveränderlich konzipiert, z. durch Zentralisieren von Protokollen auf einem schreibgeschützten Medium.

Sobald ein Angreifer privilegierten Zugriff erhält, sind die Handschuhe ausgezogen und Protokolle können manipuliert oder gelöscht werden.

Am Ende hängt es von der Bereitschaft ab - ob sich die Organisation auf das Eindringen vorbereitet hat und die forensische Übung, die folgen wird. Dies sollte Teil der Sicherheitsplanung jedes Unternehmens sein.

Es hängt auch davon ab, ob der Angreifer jedes Protokoll findet / kennt.
@DanHenderson, aber woher kennen Sie den Unterschied zwischen einem nicht gefundenen und einem gepflanzten falschen Protokoll?
Weil Sie eine Möglichkeit benötigen, um sicherzustellen, dass Protokolle nicht manipuliert werden können (oder zumindest eine Absprache erfordern, um dies zu tun). Der beste Weg, dies zu erreichen, besteht darin, entweder Protokolle auf ein einmal beschreibbares Medium zu schreiben (in * nix-Systemen können Sie ein Laufwerk als "nur anhängen" bereitstellen) oder auf einen sicheren, zentralisierten Protokollserver zu schreiben.
@JamesRyan Ein gefundenes, gefälschtes Protokoll stimmt mit den anderen gefundenen, gefälschten Protokollen überein. Ein nicht gefundenes Protokoll widerspricht den gefälschten Protokollen.
#4
+5
Dave
2015-10-28 04:35:29 UTC
view on stackexchange narkive permalink

Ich habe dies noch nicht erwähnt und es ist wahrscheinlich eine wichtige Ressource für eine solche Untersuchung, insbesondere eine, die sich mit dem Datenzugriff befasst:

RDBMS-Prüfung kann eine wichtige sein Ressource, um genau zu bestimmen, auf welche Daten wann und von wem zugegriffen wurde. Dies hängt natürlich davon ab, wie oder ob es konfiguriert wurde.

Beispielsweise ermöglicht SQL Server Audit das Abrufen von Benutzer-IDs, Zeitstempeln und den tatsächlichen Abfragen, an die gesendet wurde Der Server ermöglicht somit eine vollständige Neuerstellung des gestohlenen Datensatzes.

In den Auditsystemen sollten Redundanzen eingebaut sein, um Manipulationen am Audit-Trail zu verhindern. Einige davon können im RDBMS gespeichert sein, andere können in externe Quellen geschrieben werden. SQL Server kann Audits im Windows-Sicherheitsprotokoll protokollieren.

#5
+4
Sevaara
2015-10-27 16:56:41 UTC
view on stackexchange narkive permalink

gowenfawr erwähnte die Systemforensik, aber die Identifizierung des gefährdeten Assets erfolgt fast immer über Protokolle. Protokolle / sollten / zeigen immer das gefährdete Asset an, wenn Sie hart genug suchen. Unabhängig davon, ob Sie über ein IDS verfügen, das externe Anmeldungen / Bruteforce-Versuche / SQL-Injection-Versuche erkennt, oder ob Sie Protokolle manuell nach dem suchen, was ich gerade erwähnt habe, gibt es verschiedene Möglichkeiten, um Sie auf einen Verstoß aufmerksam zu machen.

Sobald das Asset vorhanden ist Wurde festgestellt, können Sie mit der forensischen Untersuchung des Vermögenswerts beginnen. Meistens für zusätzliche Informationen, die von Protokollen möglicherweise nicht gemeldet werden, insbesondere wenn es so aussieht, als ob eine Datei gelöscht wurde, um den Zugriff für den Angreifer aufrechtzuerhalten. Durch das schrittweise Scrapen und Analysieren der Speicherfunktionen der abgelegten Datei kann das Sicherheitsteam / IR-Team besser verstehen, was vor sich geht, wie der Kompromiss ursprünglich aufgetreten ist, welche Sicherheitsanfälligkeit ausgenutzt wurde und möglicherweise die Quelle des Angriffs ist ( die wahre Quelle).

#6
+3
user45139
2015-10-27 16:59:10 UTC
view on stackexchange narkive permalink

Sie können verschiedene Dinge überprüfen, die ich zufällig erwähnen kann:

  • Syslog
  • Firewall-Protokolle
  • Protokolle von IDS und Routern
  • Dateisystem
  • Ereignisse
  • Geplante Aufgaben
#7
+1
Lightness Races in Orbit
2015-10-28 05:48:25 UTC
view on stackexchange narkive permalink

Wenn jemand mit einem gestohlenen Schlüssel in Ihr Haus eingebrochen ist und nichts gestohlen hat, wie würden Sie es wissen? Oft würdest du. Überlegen Sie, wie Sie das Ereignis erkennen würden. Es könnte so albern sein wie ein offener Brief auf Ihrer Küchenarbeitsplatte, an den Sie sich nicht erinnern können, gelesen zu haben. Grundsätzlich gibt es hier keinen Unterschied. Es ist hilfreich, wenn Sie bei den ersten zehn Eingabeversuchen Kratzspuren auf Ihrem Schloss finden, bevor der Einbrecher schließlich festgestellt hat, welcher Schlüssel tatsächlich Ihnen gehört (siehe: Sicherheitsprotokolle).

Worüber redest du?
@Begueradj: Es ist eine ziemlich klare Analogie. Mit welchem ​​Teil davon hast du Probleme?
Zum Beispiel das Küchenteil. Wir sprechen über Forensik. Vielleicht haben Sie die Frage nicht verstanden?
@Begueradj: Ich habe es perfekt verstanden, vielen Dank. Forensik kann für den Laien als analog modelliert werden, wie ein Hausbesitzer sein Eigentum auf Anzeichen von Schäden / Verlusten untersucht, die ohne eine solche Aktivität äußerlich nicht erkennbar sind. Das OP berücksichtigte angeblich nur den Fall, in dem das Sofa und der Fernseher fehlen, und konnte sich daher nicht vorstellen, wie subtilere Formen von Diebstahl / Infiltration erkannt werden könnten. Das führte dazu, dass diese Frage gestellt wurde und letztendlich diese Antwort. Lassen Sie mich wissen, wenn Sie weitere Fragen haben.
"Analogie" schafft eine Beziehung zwischen 2 Ideen. Dies ist keine Analogie - es ist eine Ellipse.
@schroeder: Nein, es ist eine Analogie.
@Begueradj: Die Frage erfordert keine forensischen Antworten. Nach meiner Erfahrung (3-Mann-Läden sowie "Branchenführer") ist Forensik in der Regel ein Begriff, von dem niemand im Unternehmen jemals gehört hat, außer sie sind CSI-Fans.
@schroeder Ich habe noch nie _ellipsis_ gelesen, die in irgendeiner Weise verwendet wurde, auch nicht aus der Ferne, und meine Suche findet keine verwandten Definitionen. Es hätte geholfen, ein Zitat für diejenigen von uns aufzunehmen, deren Englisch anscheinend fehlt.
#8
+1
Petah
2015-10-28 15:33:40 UTC
view on stackexchange narkive permalink

In Bezug auf das, was genommen wurde, und nicht wie, verwenden größere Unternehmen und Agenturen eine eingehende Paketinspektion, um aufzuzeichnen, was in / aus ihrem Netzwerk übertragen wurde.

Geräte zeichnen den gesamten Datenverkehr auf und können ihn nutzen IDS zur Alarmierung. Nachdem ein Vorfall aufgetreten ist, können sie das Ausmaß des Angriffs analysieren.

Einige gängige branchenübliche Tools hierfür sind:

#9
+1
Ian Ringrose
2015-10-29 01:36:58 UTC
view on stackexchange narkive permalink

Im Fall von Talk Talk wissen wir, dass die gestohlenen Daten verwendet werden, um Personen anzusprechen.

  • Wir wissen, dass diese Personen von jemandem angerufen werden, der behauptet, von Talk Talk zu stammen, und dann dazu verleitet werden, ihre Bankdaten anzugeben.
  • Wir wissen, dass Bankdaten nicht mehr nützlich sind Nach kurzer Zeit, wenn bekannt ist, wurden sie gehackt.
  • Wir wissen daher, dass gehackte Bankdaten SCHNELL verwendet werden, wenn sie aus TalkTalk entnommen werden.
  • Daher ist es vernünftig, dies anzunehmen Die Bankdaten waren nicht in den Daten enthalten, die erfasst wurden.

Die britischen Banken usw. werden viel überwachen, um zu sehen, welche Auswirkungen dies hat. Diese Überwachung wird ausreichend aufgreifen Fälle, zusammen mit gemeldeten Fällen von Bankkunden, um ein gutes Ideal der Auswirkungen zu geben.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...