免責事項: 私たちは実際の調査を行ったわけではありません。 これは大学の課題の一部で、私たちがフォレンジック調査員の役割を担い、どのような方法が適用できるかを判断したものです。 各自で調査結果を出し、事件を解決してください。 基本的なフォレンジック調査の報告書がどのようなものかを示すために、グローバルな方法論に従うことを試みました。
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – 。 [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
はじめに
コンピュータ技術は、人間の日常生活に欠かせない主要部分である。 また、金融詐欺、不正侵入、個人情報の盗難、知的財産権の盗難などのコンピュータ犯罪も急増しています。 これらのコンピュータ関連犯罪に対抗するために、コンピュータ・フォレンジックは非常に重要な役割を担っています。 「コンピュータ・フォレンジックでは、民事、刑事、行政事件の証拠としてデジタル情報を入手し、分析します (Nelson, B., ら。 2008)」
コンピュータ・フォレンジック調査は、一般に、コンピュータのハードディスクやその他のストレージデバイスから取得できるデータを、標準ポリシーと手順を遵守して調査し、これらのデバイスが不正アクセスによって侵害されているかどうかを判断します。 コンピュータ・フォレンジック調査官は、チームとして事件を調査し、様々な方法論(静的および動的)とツール(ProDiscoverまたはEncaseなど)を使用してフォレンジック分析を行い、組織内のコンピュータネットワークシステムの安全性を確保します。 コンピュータ・フォレンジック調査官は、自国のコンピュータ犯罪に関連する様々な法律や規制(例:英国のコンピュータ誤用法1990)、様々なコンピュータのオペレーティングシステム(例:Windows、Linux)とネットワークオペレーティングシステム(例:Win NT)に精通している必要があります。 Nelson, B., et al., (2008)によると、公的な調査と私的または企業調査は、コンピュータ・フォレンジック調査の下に位置する2つの特徴的なカテゴリです。 公的な調査は政府機関によって行われ、私的な調査は民間のコンピュータ・フォレンジック・チームによって行われる。 本報告書は、ルートンに拠点を置く新興の中小企業で事件が発生したため、民間調査に焦点を当てます。
本報告書には、コンピュータ調査モデル、データ収集とその種類、証拠の取得、フォレンジックツール、悪意のある調査、コンピュータ・フォレンジックの法的側面も含まれており、最後に、この中小企業を安全なネットワーク環境に置くために必要な勧告、対策、方針も提示されています。
ケーススタディ
ルートンに拠点を置く電子政府モデルの新規立ち上げSME(中小企業)は、最近、会計と製品記録の異常に気付き始めました。 システムログファイルの初期チェックを行ったところ、疑わしいエントリとIPアドレスが多数あり、大量のデータが会社のファイアウォールの外部に送信されていました。 また、最近、注文処理中に奇妙なメッセージが表示されることが多く、正規のものとは思えない支払いページにしばしば誘導されるという顧客からの苦情も寄せられています。
同社は汎用電子ビジネスパッケージ(OSCommerce)を使用しており、6人のITサポート専門家からなる小規模なチームを持っていますが、大規模なマルウェア/フォレンジック調査を実行する専門知識があるとは思っていないとのことです。
ハイテク領域での競争が激化する中、同社はシステムが侵害されていないことを確認することに不安を感じており、悪意のある活動が行われたかどうかを判断し、システム内にマルウェアがないことを確認するためにデジタル・フォレンジック調査官を雇用しています。
あなたの仕事は、チームの疑惑を調査し、マルウェアに感染したマシンを駆除する方法をチームに提案し、敷地内またはネットワーク上の他のマシンが感染していないことを確認することです。 また、デジタルフォレンジック調査を実施し、問題の原因を突き止めることができるかどうか、必要であれば、犯人に対する裁判を準備することも求めています。
この会社は、サーバーにWindows Server NTを使用しています。 パッチはITサポートチームによって毎月適用されていますが、パッチが適用されていないようなマシンが多数あることに気づきました。
成果物
この課題におけるあなたの成果物は、あなたが以下にアプローチする方法を議論する5000語のレポートです:
– マルウェア調査
– デジタル調査
あなたが使用する方法論の概要について説明し、選択した特定の方法が適切であるという理由に関して理由を持った議論を提供すべきです。
また、証拠を収集するために使用するプロセスを議論し、デジタル証拠を収集するときに従う必要がある関連ガイドラインを議論する必要があります。
Association of Chief Police Officers (ACPO)
この法医学調査は、Association of Chief Police Officers (ACPO) のガイドラインとその4つの原則に従って実施される予定です。 コンピュータベースの電子証拠に関わるACPOの4つの原則があります。 コンピュータ・フォレンジック調査を行う場合、これらの原則に従わなければなりません。 それらの原則の概要は以下の通りです(ACPO, 2013);
原則1: 3829>
原則1:コンピュータまたは記憶媒体に保存されたデータは、後に法廷で提示される可能性があるため、改ざんまたは変更してはならない。
原則2:人は、必要に応じてコンピュータまたは記憶媒体に保存された元のデータを取り扱うのに十分な能力がなければならず、その行為の関連性と経過を説明できる証拠も与えなければならない。
原則3:コンピュータベースの電子証拠に適用したすべての処理の監査証跡または他の文書を作成し保存する必要がある。 独立した第三者がそれらのプロセスを検証し、同じ結果を得ることができるべきである。
原則4:捜査の責任者は、法律とACPOの原則が順守されていることを会計するための全体的責任を持たなければならない。
コンピュータ捜査モデル
KruseII、W.G. によれば、KruseIIは、「コンピュータ捜査のためのモデル」である。 and Heiser, J.G. (2010)によると、コンピュータ調査とは、証拠を特定し、それらの証拠を保存し、抽出し、それぞれのプロセスを記録し、それらの証拠を検証し、それらを分析して根本原因を見つけ、それによって勧告または解決策を提供することであるとしています。 各コンピューター・フォレンジック・モデルは、法執行や電子証拠開示など、特定の分野に焦点を合わせています。 普遍的に受け入れられている単一のデジタルフォレンジック調査モデルは存在しない。 しかし、デジタルフォレンジックモデルの枠組みは、あらゆる種類の事件や新技術をサポートできるように、柔軟でなければならないと一般に受け入れられています(Adam, R., 2012)。
Kent, K., et.al, (2006) は、デジタルフォレンジックの調査は非技術者でも行うことができるという Venter (2006) の考えから、4 段階フォレンジック過程 (FSFP) という基本デジタルフォレンジックの調査モデルを開発しました。 このモデルは、他のどのモデルよりも柔軟性があり、組織は発生した状況に応じて最適なモデルを採用することができます。 このような理由から、今回の調査にはこのモデルを採用しました。 FSFP には、図に示すように、次の 4 つの基本プロセスが含まれます。
図 1: FSFP 法医学調査モデル
Source: Kent, K., et.al, (2006)
「証拠の保存と記録」の矢印マークは、捜査の過程ですべての証拠を保存し記録する必要があることを表しています。 3829>
Scope of Investigation
本件のフォレンジック調査の範囲は以下の通りです。
- 5W (Why, When, Where, What, Who) に関する悪質行為を特定すること。
- ネットワークにおけるセキュリティ上の欠陥を特定する。
- ネットワークシステムが侵害された場合の影響を調べる。 et al., (2008)によると、フォレンジック調査を開始する前の法的課題は次のとおりです。
-
法執行機関の支援が必要かどうかを判断し、必要な場合は調査中に支援を受けられるか、または調査終了時に調査報告書を法執行機関に提出しなければなりません。
-
法律顧問と話し合い、調査の不適切な処理中に提起されうる問題を特定する。
-
顧客の機密およびプライバシー問題が説明されていることを確認する。
初期準備
調査を開始するにあたり、調査を効率的に行うために準備が必要なのは明らかであろう。 これは、調査の事前対策と考えられる(Murray, 2012)。
-
事故の評価から、事故の重大性など、利用可能なすべての情報を収集する。
-
ネットワークのダウンタイム、インシデントからの回復期間、収益の損失、機密情報の損失など、中小企業のビジネスに対する調査の影響を確認する。
-
ペンドライブ、フラッシュドライブ、外付けハードディスク、CD、DVD、メモリーカード、リモートコンピュータなどの外部ストレージデバイスを特定する。
-
この調査で使用可能なフォレンジックツールを特定する。
-
調査中に行われたすべての活動を文書化し、調査で行われた行動方針を検証するために法廷で使用することができます。
-
ターゲットデバイスのハードドライブをイメージングして、データの整合性を保つために MD5 でハッシュ化。
収集
「収集段階は、データの完全性を維持するガイドラインと手順に従いながら、関連データの可能なソースからデータを識別、ラベル付け、記録、取得することです」(CJCSM 6510.01B, 2012). コンピュータ・フォレンジック調査において収集されるデータには、2つの種類があります。 それらは、揮発性データと不揮発性データ(永続的データ)です。 揮発性データとは、システムの電源が入っているときに存在し、電源を切ると消去されるデータのことで、ランダムアクセスメモリ(RAM)、レジストリ、キャッシュなどがこれにあたります。 不揮発性データは、電源のオン・オフにかかわらずシステム上に存在するデータで、HD内のドキュメントなどがこれにあたる。 揮発性データは短命であるため、コンピュータ・フォレンジック調査官は、それを捕捉する最適な方法を知っておく必要があります。 証拠はローカルまたはリモートで収集することができます。
Volatile Data
次の図は、揮発性データをキャプチャする方法を示しています。 フォレンジックワークステーションは、ターゲットマシン(この場合はWindows NT Server)があるのと同じLAN内に設置する必要があります。 Cryptcat」ツールは、Windows NTサーバーのポートをリッスンするために、フォレンジック・ワークステーションで使用することができます。 Windows NTサーバーに信頼できるツールセットの光学ドライブを作成し、信頼できるコンソールのcmd.を開く。exeを使用して、次のコマンドを使用する:
cryptcat <ip address> 6543 -k key
フォレンジックワークステーションでデータを取り込むために、次のコマンドを使用する。
cryptcat -l -p 6543 -k key ><file name>
図 2: Volatile Data Collection setup
ソース: レイノ、A, (2012)
次の表は、Graphic User Interfaceツール、およびその使用法と結果をコンピュータ・フォレンジック調査で使用することができます。
表1: Volatile Data Forensic Tools and their usage and outcome
Source: The Volatile Data Forensic Tools in the computer fornsic investigation.The Table 3は、揮発性データのフォレンジックツール、およびその使用法と結果です。 Reino, A., (2012)
HBGray’s FastDump – ローカル物理メモリ取得
HBGray’s F-Response – リモート物理メモリ取得
ipconfig – 対象システムの詳細を収集する。
netusers and qusers – ログインユーザーの特定
doskey/history – コマンド履歴の収集
netfile – サービスおよびドライバの特定
最後に、クリップボード内容の収集もコンピュータ・フォレンジックの調査において非常に重要なことである。 SME に異常が残っている場合、実行中のプロセス、ネットワーク接続、およびメモリに保存されているデータから、多くの重要な証拠を取得することが可能です。
Non-Volatile Data
揮発性データを取得したら、次は不揮発性データについて調べてみましょう。 不揮発性データ収集の最初のステップは、ターゲット・システム全体のコンテンツをコピーすることです。 これは「フォレンジック・イメージング」とも呼ばれます。 イメージングを行うことで、フォレンジック調査の際に発生するデータの誤動作や変化を抑え、元のデータを証拠として保存することができます。 フォレンジックイメージングは、EnCase、ProDiscover、FTKなどのフォレンジックツールによって作成されます。 フォレンジック調査官は、書き込みブロッカーを使用してターゲットシステムに接続し、これらのフォレンジックツールのいずれかを使用して、ターゲットドライブの全内容を別のストレージデバイスにコピーします。 ハードディスク・クローニングは、システム全体の複製を作成することに他なりません。 フォレンジック・イメージングとハードドライブ・クローニングの違いは、フォレンジック・イメージングはフォレンジック・ツールがないとアクセスできないが、ハードドライブ・クローニングはマウント・ドライブがあれば簡単にアクセスできることである。 ハードディスククローニングは、Rawイメージのみを含み、すべてのビットがコピーされ、他の余分なコンテンツは追加されません。 フォレンジック・イメージングには、ハッシュやタイムスタンプなどのメタデータが含まれ、空のブロックはすべて圧縮される。 フォレンジックイメージングは、デジタル証拠の完全性を保証するために、MD5 または SHA-2 でハッシュ化されます (Nelson, B., et al., 2008)。 フォレンジックイメージングはオフラインの調査で行うことができます。 オンライン調査では、ethereal や Wireshark ツールを使用して、ライブのネットワークトラフィックを行うことができます。 不揮発性データの収集では、ファイアウォールログ、アンチウィルスログ、ドメインコントローラログを調査対象として収集する予定です。 また、Webサーバーログ、Windowsイベントログ、データベースログ、IDSログ、アプリケーションログも収集します。 すべてのデジタルエビデンスを収集したら、それらをChain of the Custody Log文書に記録する必要があります。 Chain of the custody log documentation は、調査の最初から最後まで、この調査報告書が提出されるまで、証拠の完全性を維持するためのものです (Nelson, B., et al., 2008)。
さらなる処理を実行する前に、ディスクをビットごとにイメージ化して、ボリューム全体にアクセスし、削除済みファイルを含む元のメディアをコピーする必要があります。 ディスクのイメージ化後、データが本物であることを確認するため、すべてをハッシュ化し、調査中もデータの整合性を維持する必要があります。 ハッシュ値は複数の場所に記録し、データ収集時から調査終了時まで、データに一切変更を加えないようにしなければなりません。 ほとんどのツールは、読み取り専用の状態でメディアにアクセスすることで、これを実現します(SANS, 2010)。 ターゲット システムのハード ドライブ、外部ストレージ デバイス、および Windows NT Server ハード ドライブは、この場合のデジタル フォレンジック調査のために取得する必要があります。
検査
一旦、利用可能な証拠をすべて収集した後は、各種コンピューター フォレンジック調査ツールを使用して検査を実施する必要があります。 また、ファイルシステム、Windowsレジストリ、ネットワーク、データベースのフォレンジック調査を以下のように行います:
Files System Examination
NTFS は New Technology File System で、NTFS Disk はファイルです。 MFTはすべてのファイルとディスクの情報を含むマスターファイルテーブルであり、NTFSの最初のファイルでもある。 MFTのレコードは、メタデータとも呼ばれる。 メタデータはデータに関するデータである(Nelson, B., et.al.) ファイルは、常駐と非駐の2つの方法でMFTに保存することができる。 512バイト未満のファイルは常駐ファイルとしてMFTに収容され、512バイト以上のファイルは非常駐ファイルとしてMFTの外部に保存される。 Windows NTでは、ファイルを削除すると、OSによってファイル名が変更され、一意のIDでごみ箱に移動される。 OSは元のパスと元のファイル名の情報をinfo2ファイルに保存します。 しかし、ファイルがごみ箱から削除された場合、関連するクラスタは新しいデータのために利用可能であるとマークされます。 NTFSは、その削除された領域を取り戻すのに高速であるとして、それはFATよりも効率的です。 NTFSディスクはデータストリームであり、別の既存のファイルに追加することができます。 データ ストリーム ファイルは次のように保存できます:
C:echo text_mess > file1.txt:file2.txt
このファイルは次のコマンドで取得できます:
C:more < file1.txt:file2.txt
このファイルは次のコマンドで取得できます。txt:file2.txt
W2K.Stream および Win2K.Team は、データストリームを利用して開発されたウイルスであり、元のデータストリームを変更することを目的として開発されたウイルスであります。 調査員として、WindowsのファイルシステムであるFATとNTFSを深く認識する必要があります(Nelson, B., et. al., 2008)。
Windows Registry Examination
(カーベイ、エイチ)によると、Windowsレジストリは、WindowsのファイルシステムであるFATとNTFSを深く認識する必要があるとのことです。 2005)によると、レジストリは、フォレンジック調査官が検索できるデータを含むため、ログファイルとして扱うことができます。関連するキー値は「Lastwrite」時間と呼ばれ、FILEIMEとして保存され、ファイルの最終修正時間とみなされます。 ファイルでは、ファイルの変更日時を正確に知ることは困難な場合が多いが、Lastwriteはレジストリが最後に変更された時刻を示す。 ファンタスティックは、組織のWindowsレジストリを分析するために、以下に示すいくつかの特定の手順(Carvey, H., 2005)を確認し、組織内外の問題が知られていると会社の評判を保護し維持するために解決されています。
Windowsレジストは、Windows 98、Windows CE、Windows NTおよびWindows 2000でMicrosoftが使用するコンピュータ内のデータベースの順序で、ユーザーまたはユーザーアプリケーションとハードウェアデバイスの設定を格納し、プログラムまたはプロセスの実行中に基準点として使用されている(Windows、2013)です。 Windows レジストリの一般的な構造は、次のような「ハイブ」に分割されます:
-
HKEY_CLASSES_ROOT: 必要なプログラムが実行されるようにします。
-
HKEY_CURRENT_USER: 現在システムにログインしているユーザーの一般情報を含みます。
-
HKEY_USERS: 特定のシステム上のユーザーのすべての情報が含まれています。
-
HKEY_CURRENT_CONFIG: システムの現在の構成に関する情報を格納します。
Windows レジストは揮発性および不揮発性の情報で構成されています。 これは、成功するフォレンジック調査レポートを得るために、コンピュータのフォレンジック調査を受ける前に、調査員が少なくとも、ハイブ、キー、データ、および Window レジストリの値のそれぞれの意味と機能を熟知している必要があることを意味します。 この機能により、Luton SME に影響を与えるマルウェアは、マシンの電源が入ったときに、ユーザーの直接の対話なしに持続的に実行できます。これは、自動起動するようにすでにプログラムされているか、ユーザーがいくつかの特定のコマンドまたはプロセスを実行したときに実行されるからです。 Luton SME はこの攻撃を受けているかもしれません。顧客の支払いページを不正なものにリダイレクトするのです。
フォレンジック調査員は、自動起動の場所を調べて、Luton SME の問題が、ユーザー、マルウェア、または組織上の攻撃者によって実行されたアクションに起因するかどうかを判断することが可能です。 (Carvey, H., 2005) によれば、自動起動位置にアクセスする確実な方法は、自動起動位置のリストを提供できる SysInternals.com の AutoRuns ツールを使うことです。
User Activity: ユーザーのアクションとアクティビティを HKEY_CUREENT_USER ハイブに調査することができ、これは HKEY_USERSID ハイブに作成されているものです。 ユーザー情報は、HKEY_CURRENT_USERにマッピングされます。 NTUSER.DATは、ユーザーのレジストリ仕様設定に関する情報を保持します。 このハイブを調査することで、フォレンジック調査官は、ユーザーによって実行されたアクティビティとアクションの良い手がかりを得ることができます。 MRU は、ユーザーによって実行された最近の特定のアクションを保持し、将来の参考のためにアクティビティを追跡します。 たとえば、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU は、ユーザーが実行したコマンドの実行リストを保持します。 実行ボックスで実行された各コマンドは、次のようにハイブにキー値のエントリを追加します:
図3.実行ボックスで実行された各コマンドは、次のようにハイブにキー値のエントリを追加します。 ExplorerRunMRU キーの内容.
Source: Carvey, H., (2005)
フォレンジック調査員は、このハイブを調査して、上記のように MRU リストから各コマンドの最終書き込み時刻を突き止めることができます。 これにより、SME Luton の調査員は、組織に影響を及ぼしているのがユーザーの活動、マルウェアの動作、または攻撃であるかどうかをレジストリから分析することができるようになります。 2005)HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist にある UserAssist は、一般的にグローバル一意な識別子のように見える 2 つのキーで構成されており、ユーザーがシステムでアクセスした各オブジェクト、アプリケーションなどの暗号化された記録を保持します。 調査員が暗号化された記録にアクセスした場合、もはや確定的ではありませんが、ユーザーがアプリケーションを通じてマルウェアを起動するために行った何らかの行動や、ユーザーが行ったかもしれない活動を示しているかもしれません。
USB 取り外し可能ストレージ: Farmer, College and Vermont (2008) によると、システムに接続されたすべてのデバイスは、次のキー HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR でコンピュータ レジストリに保持されているとのことです。 下図は、USBメモリのドライブIDの例です:
Figure4: USBSTORキーの内容例、デバイスのインスタンスIDを表示.
Source: Carvey, H., (2005)
マウントされたドライブのハイブを使用して、調査者がレジストリに保持されたデバイス ID コンテンツを分析すると、Luton SME 組織にマウントされていたデバイスを知る手がかりが得られます。 各値のキーをしつこく調べれば、調査者はリムーバブル USB ストレージ デバイスを特定し、それらを parentidprefix.
Wireless SSID にマップすることができます。 (Carvey, H., 2005) によると、コンピュータで使用されるワイヤレス ネットワークの SSID は、HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface で見つけることができるそうです。 キーバリューに移動すると、グローバル一意な識別子のように見えるサブキーが含まれており、これを開くと、調査者はバイナリデータ型の形で各無線SSIDを明らかにするActiveSettingsに移動することができます。 右クリックで修正すると、SSIDがプレーンな文字で表示されます。 IPアドレスやその他のネットワーク情報は、HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUIDで見つけることができますが、調査者は、その人のIPアドレスが上記のウィンドウレジストリで発見されるようであれば、Luton SME組織のユーザーを特定のタイムフレームに結びつけるためにこの情報を使用することができます。
Windows レジストリは、調査者が Luton SME 組織に提示できる利用可能なデータの取得場所を知っていれば、フォレンジック調査において重要な証拠資料となることもあります。 Fantasticは、Webページのリダイレクトを引き起こしたかもしれない基本的なWindowsレジストリのいくつかを分析し、ユーザーの活動やユーザーが実行したすべての必要なプログラム、サーバーや組織のコンピュータで使用したデバイスを追跡し、ユーザーのIPアドレスも明らかにしようとしました。 パケットフォレンジックやパケットマイニングと呼ばれることもあります。 ネットワーク フォレンジックの基本的な目的は同じで、メール、クエリー、Web コンテンツの閲覧など、ネットワーク トラフィックのパケットに関する情報を収集し、この情報を 1 つのソースに保管し、さらに検査を実施することです (WildPackets, 2010)。 1 つ目は、セキュリティ関連で、ネットワークを監視して疑わしいトラフィックやあらゆる種類の侵入を検出するものです。 攻撃者は、感染したホストからすべてのログ ファイルを削除することが可能であるため、この状況では、ネットワーク ベースの証拠がフォレンジック分析で使用されます。 ネットワーク・フォレンジックの2つ目の用途は、法執行機関に関するもので、捕捉されたネットワーク・トラフィックから、ネットワークを介して転送されたファイルの収集、キーワード検索、電子メールやその他の類似セッションを通じて行われた人間のコミュニケーションの分析に取り組むことが可能である。 (Hunt, 2012)
Tools and Techniques of Network Forensics
フォレンジックに適したブータブル DVD/CD-ROM、USB フラッシュ ドライブ、あるいはフロッピー ディスクを使って、あらゆる操作を実行することが可能です。 まず、メモリをダンプする必要がありますが、これは十分なサイズのUSBフラッシュ・ドライブで行うことが望ましいです。 また、揮発性データを収集する際には、リスクアセスメントを行い、調査において非常に有用なライブデータを収集することが安全かどうか、適切かどうかを評価する必要があります。 フォレンジック調査の要件を満たすために、プロセス全体を通じてフォレンジックツールキットを使用する必要があります。 これらのツールは信頼できるものであるべきで、自由に配布されているものから商業的なものまで入手することができます。 (7safe, 2013)
-
Process Listings.
-
Service Listings.
-
システム情報などの信頼できるツールの助けで、実行中のマシンからいくつかの非常に重要で目立たない情報を収集しなければならない。
-
Logged on and registered users.
-
Network connections.
-
Registry information.
-
Binary dump of memory.
(7safe, 2013)ネットワークフォレンジックスツールは多くの種類があって、それぞれ異なる機能を持っている。 単なるパケットスニッファーもあれば、識別、フィンガープリンティング、ロケーション、マッピング、電子メール通信、Web サービスなどを扱うものもあります。 下の表は、ネットワーク・フォレンジックに使用できるオープンソースのツールとその機能の一部をリストアップしたものです。 (Hunt, 2012)
ツール プラットフォーム ウェブサイト 属性 TCPDumpWindump Unix&Windows WW.tcpdump.TCPDump> 。org
F NetStumbler Windows www.netstumbler.NetStumbler.com F Wireshark Unix & Windows www.wireshark.org F Sleuth Kit Unix www.Netstumbler.com Wireshark Unix
F R C Argus Unix www.qosient.com/argus F L SNORT Windows/Unix WW.Snort.FM> WWW.FM> 。org F F: フィルター & 収集、L: ログ解析、R: データ ストリームの再組み立て、C: データの相関、A: アプリケーション レイヤー ビュー
表 2: ネットワーク ホレンシック ツール
ソース。 (Hunt, 2012)
Database Forensics Examination
データベースとは、ファイルまたはファイルの集まりの形で表現されたデータや情報の集まりのことである。 データベースからデータを取り出すには、一連のクエリを使用します。 データベース・フォレンジックとは、コンピュータ調査や分析技術を応用して、データベースから証拠を集め、法廷に提出することと定義できます。
ケーススタディでは、大量のデータがデータベースから送信されていることが言及されているので、今ファンタスティックチームのタスクは、フォレンジックツールの助けを借りて、データベースのフォレンジック調査を実行することです。 データベースフォレンジックは、データの識別、保存、分析に焦点を当てます。 Khanuja, H.K., and Adane, D.S., (2011)によると、ユーザーがデータベースにアクセスするには、データベースサーバーから認可や認証などの権限を取得する必要があります。 認証が完了すると、そのユーザーだけがデータにアクセスできるようになり、意図すればデータを変更することもできるようになります。 ここで、データベースの監査ログをチェックすれば、データへのアクセス許可を得たユーザーのリストを入手することができる。 Dave, P., (2013)によれば、調査の助けにより、データベース構造を定義するために使用されるDDL(データ定義言語)とデータベース内のデータ管理に使用されるDML(データ操作言語)の操作を追跡し、データベースで起こった前後のトランザクションがあるかどうかを識別することができます。 この調査はまた、意図的にユーザーによって削除され、それらを回復することができる任意のデータ行があるかどうかを知るために私たちを助けることができる、それはまた、データのセキュリティ違反がデータベース内で発生したことを証明または反証するのに役立ち、それは私たちがデータベースの侵入の範囲を決定するのに役立ちます。 Windowsフォレンジックツールv1.0.03は、DMV(Distributed Management Views)とDBCC(Database Consistency Checker)コマンドを実行し、前述のように侵入を証明または否定するのに十分なデータを収集するカスタマイズした設定ファイルとともに使用される(Fowler, K., 2007)。 私たちは、データを調べて、隠しファイルや異常なファイルが表示されているかどうかを確認します。 次に、異常なプロセスが実行されているかどうか、異常なソケットが開かれているかどうかを確認します。 また、アプリケーションの要求が異常に発生していないかどうかを調べます。 次に、アカウントをチェックし、異常なアカウントが表示されていないかどうかを調べます。 また、パッチレベルのシステムが更新されているかどうかも調べます。 これらの分析結果によって、悪意のある行為が行われていないかどうかを把握します。 その後、フォレンジック調査のために、メモリの完全分析、ファイルシステムの完全分析、イベントの相関関係、タイムライン分析など、さらなる戦略を立てる(Nelson, B., et al.、2008)。 この事例では、ネットワークシステムに悪意ある行為が存在し、それは我々の初期分析でも確認されています。 悪意のあるコードの能力とその目的を発見するために、マルウェアの実行形式を解析する必要があります。 マルウェアの実行ファイル解析は、静的解析と行動解析に分けられます。
マルウェア解析
Verizonの「2012 Data Breach Investigations Report」によると、99%の脆弱性は数日以内にデータが漏洩し、85%は数週間かかって調査されたとのことでした。 これは、セキュリティ部門にとって深刻な問題です。なぜなら、攻撃者は侵害された環境で作業する時間を多く得られるからです。 より多くの「自由な時間」は、より多くのデータを盗み、より深刻な被害をもたらすことになります。 これは主に、現在のセキュリティ対策が、より複雑な脅威に対処するためのものではないという事実によるものです (2012 Data Breach Investigations Report, Verizon, 2012)。
マルウェア犯罪現場調査のポイント:Windows PCの特定の部分には、マルウェアのインストールと利用を特定するデータが十分に保管されていることです。 取引されたフレームワークの法的調査には、レコード ハッシュ値、署名の混乱、パック ファイル、衝突ログ、システム復元ポイント、およびページ ファイルの監査が含まれています。 ファイルシステムおよびイベントログの世界的な調査は、マルウェアがシステム上でアニメーション化された時期の演習を区別するために指示されるかもしれません。 さらに、高度な専門家は、自動起動領域などの異常なエントランスや、マルウェアのインストール時に行われた調整についてレジストリを確認することもできます。 キーワード検索を行い、マルウェアへの言及や他の交渉中のホストとの関連付けを発見することもできます。 電子メールの添付ファイル、Web閲覧履歴、不正なログオンなど、通常の攻撃経路が認識されます。
Syngress “Malware Forensics – Investigating and Analyzing Malicious Code, 2003” によると、次のような調査を行う必要があるようです。
-
Search for Known Malware
-
Review Installed Programs
-
Examine Prefetch
-
Inspect Executables
-
Review Auto-Autodesk
- Search for Known Malware
- Scan Scan Prefetch
Inspect Executable
-
スケジュールされたジョブの確認
-
ログの確認
-
ユーザーアカウントの確認
-
ファイルシステムの検査
-
Examine Registry
-
Restore Points
-
Keyword Searching
マルウェア解析を始める前に、以下のことを行ってください。 VMwareやNorton Ghostなどのマルウェア解析環境を構築する必要があります。 VMwareは仮想ベースのマルウェア解析環境、Norton Ghostは専用のマルウェア解析環境です。
静的解析
静的解析とは、マルウェアプログラミングを実行せずに解析を行うタイプのマルウェア解析のことです。 静的解析は、動的解析よりも安全な解析という点で優れています。 マルウェアプログラムを実行しないため、ファイルを削除したり変更したりする心配がありません。 静的マルウェア解析は、マルウェアが実行されたり影響を与えたりしないように設計されている別のオペレーティングシステムで行うのが常に最善です。 なぜなら、調査員が誤ってマルウェアプログラムをダブルクリックして実行し、システムに影響を与えてしまう可能性があるからです。 静的解析には、File Fingerprinting、Virus Scanning、Packer Detection、Strings、Inside the FE File Format、Disassembly (Kendall, K., 2007) など多くの方法があります。
Dynamic Analysis
Dynamic Analysis とは、マルウェア コードが実行されてその動作を観察するタイプのマルウェア解析のことを指します。 Behaviour Malware Analysisとも呼ばれます。 Dynamic Analysisは、マルウェア解析環境を犠牲にする覚悟がない限り、安全に実施することはできません。 マルウェアの機能の挙動を監視するだけで、マルウェアを解析することができる。 動的マルウェア解析を行うためのツールは数多くありますが、SysInternals社のProcess MonitorやWiresharkが最も利用されているフリーウェアのツールです(Kendall, K., 2007)<3829><7740>Kendall, K. によると、マルウェアの挙動を監視することで、マルウェアを解析することができます。 (2007) によると、ほとんどすべてのマルウェアのケースで、単純な静的および動的マルウェア解析により、特定のマルウェア コードに対してマルウェア調査者が必要とするすべての回答が見つかります。
調査結果
調査の結果、以下のようにまとめました。
-
会社のコンピューターへの攻撃者の持続的リモート アクセスを特定。
-
フォレンジック分析により、システムが侵害されていたことが判明。
-
OS パッチが一部のシステムでインストールされていないことが確認された。
-
感染したシステムで、疑わしいマルウェアが見つかりました。
-
そのマルウェアとその機能 & マルウェアの目的は、それが「スパミング」マルウェアであると結論付けることでした。
-
攻撃者は、支払いゲートウェイの適切なWebサイトのリンクを提供することによって、マルウェアを使用してクライアントのシステムにアクセスしていたと判断しました。 したがって、従業員のトレーニングやセキュリティに関する定期的なトレーニングは、ネットワーク セキュリティを強化します。 そのため、ウイルス対策ソフトウェア、最新のアップデートのタイムリーなインストール、インターネットトラフィックの監視など、古典的な保護手段を前面に押し出しています。 (2002) によると、マルウェアから保護するための主な対策があります。
-
認証およびパスワード保護
-
アンチウイルス ソフトウェア
-
ファイアウォール(ハードウェアまたは ソフトウェア
-
DMZ (demilitarized zone)
-
IDS (Intrusion Detection System)
-
パケットフィルタールーターおよびスイッチ
-
プロキシサーバー
-
VPN(仮想プライベートネットワーク)
-
ロギングおよび audit
-
Access control time
-
Proprietary software/hardware is not available in public domain
In order: The case of our case, 最も有用なのは次のようなものです。
-
Firewall
Logging and Audit
-
Firewall はユーザーのコンピュータに入るすべての Web ページを確認する。 各Webページは、悪意のあるコードがないか、ファイアウォールで傍受、分析されます。 ユーザーがアクセスしたWebページに悪意のあるコードが含まれている場合、そのページへのアクセスはブロックされます。 同時に、要求されたページが感染していることを通知する表示も行われる。
ログを取るということは、情報システムで発生したイベントに関する情報を収集し、保存することを意味します。 例えば、誰が、いつ、システムにログオンしようとしたか、この試みはどのように終わったか、誰が、どの情報資源を使用したか、何が、誰が情報資源を変更したか、などである。
監査は、蓄積したデータを、ほぼリアルタイムで迅速に行う分析である(Shiner, D.L.D., and Cross, M., 2002)。 ロギングと監査の実施には、主に以下の目的があります。
-
ユーザーと管理者の説明責任、
-
イベントの再現機会の提供、
-
情報セキュリティ違反の検出、
-
問題点を発見し分析する情報の提供、など。
Security Policies
組織レベルのセキュリティ機構を評価するための完全な基準は、国際規格ISO 17799で提示されています。 2000年に採択された「情報セキュリティマネジメントの実践規範」である。 ISO 17799は、英国規格BS 7799の国際版である。 ISO 17799には、情報セキュリティマネジメントの実践的なルールが記載されており、管理的、手続き的、物理的なセキュリティ対策を含む組織レベルのセキュリティ機構を評価する基準として用いることができる(ISO/IEC 17799:2005)。
実践的なルールは、以下のセクションに分かれています。
-
セキュリティポリシー;
-
情報セキュリティの組織;
-
資産管理;
-
人的資源セキュリティ;
-
物理及び環境セキュリティ;
通信及び運用管理。
-
-
アクセス・コントロール;
-
情報システムの取得、開発および保守;
-
情報セキュリティ・インシデント管理;
-
事業継続マネジメント;
-
コンプライアンス。
これらのセクションでは、世界中の政府機関や商業組織で現在実装されている組織レベルのセキュリティ機構について説明しています (ISO1799, 2005)。
インターネットに対する何らかのビジネス要件の組み合わせに対する上記の必要性を考慮すると、いくつかの疑問が出てくるでしょう。 組織のニーズを満たすために、どのようなソフトウェアやハードウェア、組織的な対策を実施しなければならないのか。 リスクはどの程度か。 インターネットを活用して業務を遂行するための組織の倫理基準はどうあるべきか。 誰がその責任を負うべきなのか? これらの質問に対する答えの基礎となるのが、組織のための概念的なセキュリティポリシーです(Swanson, M., 2001)。
次のセクションでは、インターネットでの安全な作業のための仮想的なセキュリティポリシーの断片を紹介します。 これらの断片は、安全装置の主な種類の分析に基づいて設計された。
セキュリティポリシーは、ハードウェアとソフトウェアを使用して実装される技術的ポリシーと、システムを使用する人とそれを実行する人によって行われる管理ポリシーに分けられる(Swanon, M., 2001)
組織のための共通のセキュリティポリシー。
-
どんな情報システムでもセキュリティポリシーを持たなければならない
-
セキュリティポリシーは組織の管理者によって承認されなければならない
-
セキュリティポリシーはシンプルで理解できる形ですべての従業員に届くべきである
-
セキュリティポリシーには以下が含まれなければなりません。
-
情報セキュリティの定義、その主な目的と範囲、およびメカニズムとしての重要性。
-
情報セキュリティの目的と原則に関する指導者の立場
-
情報セキュリティを提供するための一般および特定の責任
-
セキュリティポリシーに関する文書へのリンク、たとえば詳細な安全ガイドラインやユーザーに対する規則セキュリティ政策は一定の要件を満たす必要があります。
-
国内外の法令に対応すること
-
セキュリティ問題に関する人員のトレーニング規定を含むこと
-
悪質ソフトの検出と防止を含むこと
-
セキュリティ違反に対する結果を規定すること。
-
事業継続要件を考慮する
-
セキュリティポリシーの規定を見直し、更新する手続きの責任者を定義しなければならない
-
以下の場合、セキュリティポリシーを改訂する必要がある。
-
組織の組織基盤における変化
-
組織の技術基盤における変化
-
セキュリティポリシーの定期見直しの対象は、下記の特性である。
-
対策のコストと組織のパフォーマンスへの影響(ISO/IEC 17799:2005)
レポート作成
フォレンジックのレポートは法廷での証拠を強調し、さらに証拠を集めて法廷審理で使用できるよう支援するものでもあります。 報告書には、調査の範囲を含める必要があります。 コンピュータ・フォレンジック調査官は、正式な報告書、書面報告書、口頭報告書、検査計画書など、コンピュータ・フォレンジック報告書の種類を把握しておかなければならない。 正式な報告書には、調査結果からの事実が含まれています。 書面による報告書は、宣言書または宣誓供述書のようなもので、宣誓の下に宣誓することができるため、明確、正確かつ詳細でなければなりません。 口頭での報告書は、あまり構造化されておらず、まだ取り上げられていない調査領域に対応する予備的な報告書です。 審査計画は、彼/彼女が証拠を正当化しているときに期待される質問を理解するために調査官を助ける構造化された文書である。 検査計画は、弁護士がコンピュータ・フォレンジック調査で使用される用語や機能を理解するのにも役立つ(Nelson, B., et al.、2008)。 一般に、コンピュータ・フォレンジック報告書には、以下の機能が含まれる。
-
レポートの目的
-
レポートの著者
-
事件の概要
-
証拠
-
分析
-
分析>Conclusions
-
Supporting Documents
ProDiscoverなど、フォレンジック調査レポートを作成するツールは多数存在します。 FTKとEnCase(Nelson, B.,
結論
本レポートは、コンピュータ・フォレンジック調査およびマルウェア調査を様々な方法とツールを用いて実施する方法をまとめたものである。 また、ACPOの4つの原則とIS017799セキュリティポリシーの手順が含まれており、セキュリティネットワークアーキテクチャを改善するために、すべての組織で実施する必要があります。 また、First Four Step Forensic Investigationモデルを分析し、なぜこのケースでフォレンジック調査を実施するためにこのモデルを選択したのかも説明しています。 また、調査を開始する前の重要な準備ステップも記載しています。 そして、この報告書には分析部分があり、私たちが様々な方法で収集したデータを分析して、調査結果を得ました。 この報告書には、将来的にセキュリティ侵害を回避するための提言も含まれています。
デジタル・フォレンジック調査は、すべての事件が他の事件と異なるため、困難なプロセスです。 コンピュータ・フォレンジック調査員は、調査を行うために技術的および法的な面で十分な能力がなければなりません。 コンピュータ・フォレンジック調査官が提供する証拠は、事件の重要な一部となり得るため、調査報告書は正確で詳細なものでなければなりません。 http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Accessed on 12th January 2014.
-
ACPO (2013), “Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Available at http://www.australiansecuritymagazine.com.au/, accessed on 31st December 2013.
-
Aquilina, M.J.., (2003), “Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), “Windows Forensics and Incident Recovery”, Boston.Imported Services, Inc: Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, “Cyber Incident Handling Program”, Chairman of Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013)、「SQL-データベース・フォレンジックというキャリア!」。 Available at http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, accessed on 2nd January 2014.
-
Fowler, K., (2007), “Forensic Analysis of a SQL Server 2005 Database Server”, Available at https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, accessed on 2nd January 2014.
-
Han, D.R.., (2012), “SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, available at www.isaca.org/journal, accessed on 05 Jan 2014
-
Hunt, R…, (2012), “New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp.377 – 381.
-
ISO/IEC 17799:2005, (2005), “Information technology – Security techniques – Code of practice for information security management”, Available at http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Accessed on 10 January 2014.1.0.
-
ISO1799, (2005), “ISO 17799 Information and Resource Portal”, Available at http://17799.denialinfo.com/ , Accessed on 10th January 2014.
-
Kendall, K, (2007), “Practical Malware Analysis”, Mandiant Intelligent Information Security, Available at http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accessed on 10th January 2014.
-
Kent, K, and Grance, T…, (2006), “Guide to Integrating Forensic Techniques into Incident Response”, Available at: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Accessed on 13th January 2014.
-
Kent, K., et.al, (2006). “Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86):
-
Khanuja, H.K., and Adane, D.S., (2011), “Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., and Heiser, J.G., (2010), “Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
-
Microsoft, (2013), “Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et.al., (2008), “Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: コーステクノロジー.
-
Nolan, Richard, et.al. 技術スタッフのためのインシデントレスポンスへのフォレンジックガイド。 http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), “Forensics of a Windows System”, Roche.
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Available at: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Accessed on 13th January 2014.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: バーリントン.
-
Swanson, M., (2001), “NIST Security Self-Assessment Guide for Information Technology Systems” Available at http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Accessed on 9th January 2014.
-
US-CERT, (2012), “Computer Forensics”, Available at http://www.us-cert.gov/reading-room/forensics.pdf, accessed on 30th December 2013.
-
Venter, J.P.., (2006), “Process Flows for Cyber Forensics Training and Operations”, Available at http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, accessed on 30th December 2013.
-
Wong, L.W., (2006) “Forensic Analysis of the Windows Registry” Available at http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Accessed on 10th January 2014
-
-