Mit einem Wort: Forensik
Computerforensik ist die Kunst, ein System zu untersuchen und festzustellen, was zuvor darauf passiert ist. Die Untersuchung von Datei- und Speicherartefakten, insbesondere von Dateizeitplänen, kann ein sehr klares Bild davon zeichnen, was der Angreifer getan hat, wann er es getan hat und was er aufgenommen hat.
Nur als Beispiel - bei einem Speicherauszug Auf einem Windows-System können nicht nur die von einem Angreifer eingegebenen Befehlszeilen extrahiert werden, sondern auch die Ausgabe, die er als Ergebnis der Ausführung dieser Befehle gesehen hat. Ziemlich nützlich bei der Bestimmung der Auswirkungen, wie?
Abhängig von der Frische des Kompromisses ist es möglich, ziemlich viel darüber zu erzählen, was passiert ist.
@AleksandrDubinsky schlug dies vor Seien Sie nützlich, um die verschiedenen Bereiche und Techniken der Computerforensik zu skizzieren, die ich gerne für Sie erledige. Sie umfassen, ohne darauf beschränkt zu sein, Folgendes (ich werde meine groben Begriffe verwenden; sie sind nicht offiziell oder umfassend):
Protokoll- / Monitorforensik : Die Verwendung von "externen" Daten wie zentralisierten Protokollen, Firewall-Protokollen, Paketerfassungen und IDS-Treffern liegt zwischen "Erkennung" und "Forensik". Einige der Daten, wie z. B. Protokolle (auch zentralisiert), können nicht als vollständig oder sogar wahrheitsgetreu eingestuft werden, da Angreifer sie filtern oder injizieren können, sobald sie die Kontrolle über das System haben. Off-the-System-Tools zur Paketprotokollierung wie Firewall, IDS oder Paketrekorder (wie (früher) NetWitness) werden wahrscheinlich nicht manipuliert, enthalten jedoch nur eine begrenzte Menge an Informationen. In der Regel nur eine Aufzeichnung von IP-Konversationen und manchmal Signaturen (z. B. HTTP-URLs), die mit böswilligen Aktivitäten verbunden sind.
Sofern im Kompromiss keine unverschlüsselte Netzwerkverbindung verwendet wurde, können diese Tools die Aktivität während eines Kompromisses nur selten detaillieren. Überprüfen Sie daher (zurück zur ursprünglichen Frage) nicht, was wurde gehackt." Wenn andererseits eine unverschlüsselte Verbindung (FTP) zum Exfiltrieren von Daten out verwendet wurde und vollständige Pakete aufgezeichnet wurden, ist es möglich, genau zu wissen, mit welchen Daten der Angreifer weggelaufen ist.
Live-Forensik : Die sogenannte "Live" -Forensik ist Teil der Incident Response und umfasst das Anmelden am System und das Umsehen. Die Ermittler können Prozesse aufzählen, in Anwendungen (z. B. im Browserverlauf) suchen und das Dateisystem nach Hinweisen darauf durchsuchen, was passiert ist. Auch dies dient normalerweise dazu, zu überprüfen, ob ein Kompromiss aufgetreten ist, und nicht, um das Ausmaß eines Kompromisses zu bestimmen, da ein kompromittiertes System Dateien, Prozesse, Netzwerkverbindungen und alles, was es will, ausblenden kann. Die positive Seite ist, dass es den Zugriff auf speicherresidente Dinge (Prozesse, offene Netzwerkverbindungen) ermöglicht, die nicht verfügbar sind, wenn Sie das System herunterfahren, um die Festplatte abzubilden (aber auch hier kann das System lügen, wenn es kompromittiert wird! )
Dateisystem-Forensik : Sobald eine Kopie der Festplatte erstellt wurde, kann sie auf einem sauberen System bereitgestellt und untersucht werden, wodurch die Gefahr besteht, dass das gefährdete Betriebssystem "lügt" "darüber, welche Dateien vorhanden sind. Es gibt Tools zum Erstellen von Zeitleisten unter Verwendung der verschiedenen verfügbaren Zeitstempel und anderer Metadaten.
Einbeziehen von Dateidaten, Registrierungsdaten (unter Windows) und sogar Anwendungsdaten (z. B. Browserverlauf). Es werden nicht nur die Schreibzeiten für Dateien verwendet. Die Lesezeiten der Dateien können angeben, welche Dateien angezeigt wurden und welche Programme ausgeführt wurden (und wann). Verdächtige Dateien können durch saubere Antivirenprüfungen ausgeführt, Signaturen erstellt und übermittelt, ausführbare Dateien in Debugger geladen und untersucht werden, "Zeichenfolgen", die zur Suche nach Schlüsselwörtern verwendet werden. Unter Unix können "Verlaufs" -Dateien - sofern sie nicht vom Angreifer deaktiviert wurden - die vom Angreifer eingegebenen Befehle detailliert beschreiben. Unter Windows bietet der Schattenkopiedienst möglicherweise Momentaufnahmen früherer Aktivitäten, die seitdem bereinigt wurden.
Dies ist der am häufigsten verwendete Schritt , um den Umfang und das Ausmaß eines Kompromisses zu bestimmen und um festzustellen, auf welche Daten zugegriffen und / oder exfiltriert wurde. Dies ist die beste Antwort darauf, wie wir "überprüfen, was gehackt wurde".
Festplattenforensik : Gelöschte Dateien verschwinden aus dem Dateisystem, aber nicht aus die Scheibe. Außerdem können clevere Angreifer ihre Dateien im "Slack Space" vorhandener Dateien verstecken. Diese Dinge können nur gefunden werden, indem die Rohplattenbytes untersucht werden, und es gibt Tools wie The Sleuth Kit, mit denen diese Rohdaten auseinander gerissen und festgestellt werden können, was sie für die Vergangenheit bedeuten. Wenn eine .bash_history-Datei vorhanden war und der Angreifer sie als letzten Schritt vor dem Abmelden gelöscht hat, ist diese Datei möglicherweise noch als Festplattenblöcke vorhanden und kann wiederhergestellt werden. Ebenso können heruntergeladene Angriffstools und exfiltrierte temporäre Datendateien helfen, das Ausmaß des Kompromisses zu bestimmen.
Memory Forensics : Wenn der Ermittler früh genug dort sein und eine Momentaufnahme des Speichers des betreffenden Systems erhalten kann, kann er die Tiefen des Kompromisses gründlich ausloten. Ein Angreifer muss den Kernel kompromittieren, um ihn vor Programmen zu verbergen. Es gibt jedoch keine Möglichkeit, die Aktionen zu verbergen, wenn ein echtes Image des Kernelspeichers erstellt werden kann. Und genau wie die Plattenblöcke Daten enthalten, die inzwischen aus dem Dateisystem entfernt wurden, enthält der Speicherauszug Daten, die sich in der Vergangenheit im Speicher befanden (z. B. Befehlszeilenverlauf und Ausgabe!), Die noch nicht überschrieben wurden ... und die meisten Daten werden nicht schnell überschrieben.
Möchten Sie mehr? Es gibt Schulungsprogramme und Zertifizierungen zum Erlernen der Forensik. Das wahrscheinlich am häufigsten öffentlich zugängliche Training stammt von SANS. Ich habe die GCFA-Zertifizierung ("Forensic Analyst"). Sie können auch die Herausforderungen aus dem Honeynet-Projekt überprüfen, bei denen die Parteien im Wettbewerb stehen, um die Fälle zu entschlüsseln, in denen Disk-Images, Speicherabbilder und Malware-Beispiele von tatsächlichen Kompromissen stammen Sie können die in diesem Bereich verwendeten Tools und Erkenntnisse sehen.
Anti-Forensik ist ein heißes Thema in den Kommentaren - im Grunde: "Kann sich der Angreifer nicht einfach verstecken?" ihre Spuren? " Es gibt Möglichkeiten, sich davon zu lösen - siehe diese Liste von Techniken -, aber es ist alles andere als perfekt und nicht das, was ich als zuverlässig bezeichnen würde. Wenn Sie bedenken, dass "der" Gott "der Cyberspionage" so weit gegangen ist, die Firmware der Festplatte zu belegen, um den Zugriff auf ein System aufrechtzuerhalten, ohne Spuren auf dem System selbst zu hinterlassen - und wurde immer noch entdeckt - es scheint klar zu sein, dass es am Ende einfacher ist, Beweise zu erkennen, als sie zu löschen.