روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اواخر سال گذشته آقای جیک ویلیامز با همان اکانت توییتر معروفش MalwareJake@ سوال مهمی را در مورد فقدانِ میدان دید در طول شناسایی حملات APT به توییتر پرسید. نتایج نشان میدهد که تحلیل اندپوینت، مهمترین بخش هر تحقیق مرتبط با APTهاست. همچنین، به طور حتم کالبدشکافیِ[1] اندپوینت در طول عملیات واکنش به رخداد (IR[2]) بسیار اهمیت دارد زیرا در بسیاری از موارد حملهی اولیه سر موعد خاصی رخ نمیدهد؛ بنابراین هیچ لاگِ مرتبط یا بکآپی برای شناسایی اولین قربانی و نحوهی انتقال مهاجمین از کامپیوتری به کامپیوتر دیگر وجود ندارد. ما دستکم سالی یکبار در طول فعالیتهای واکنش به رخداد خود چنین بحثهایی را با مشتریان خود داریم. در این موارد، از اسکریپتی بسیار ساده استفاده میکنیم که در هر کامپیوتر ویندوزیِ شبکهی سازمانی آپلود میشود تا لاگها، دادههای NTFS، ورودیهایی از رجیستری ویندوز و رشتههایی از فایلهای باینری را جمع کند. این کار برای پی بردن به این مسئله است مهاجمین با چه میزان دقتی از طریق این شبکه حرکت میکردند. فصل تعطیلات زمستانی است و مفتخریم این اسکریپت را با شما در همین حال و هوای سال نو به اشتراک میگذاریم. امید است بتوانیم در طول IR و تحقیقات روی هر APT/بدافزار میزان زیادی زمان را صرفهجویی کرده و میدان دید کافی برای شناسایی اندپوینتهای بالقوه آلوده را در پیسیها ارائه دهیم.
بیایید ابتدا با جمعآوریِ اطلاعات فایلسیستم از کامپیوتر با استفاده از ابزار کالبدشکافی بینظیرِ FLS (مزایای ادمین مورد نیاز است) از بستهی منبع بازِ Sleuthkit شروع کنیم. تنها چیزی که این سازهی رسمی ویندوز کم دارد پشتیبانی Windows XP/2003 است. اگر قصد دارید این ابزار را روی دستگاههای مجهز به ویندوز اکسپی/2003 اجرا کنید نیاز خواهید داشت FLS را از منابع با استفاده از MinGW ریکامپایلِ مجدد کنید. همچنین میتوانید نسخهی از پیش کامپایلشدهی ما را نیز دانلود کنید. از اینها گذشته نمیخواهیم به منظور جلوگیری از پاک شدن فضای غیراختصاصیاش نتایج را در هارد درایوِ کامپیوترها بنویسیم. بنابراین این ابزار از فولدر بزرگ اشتراکگذاریای استفاده خواهد کرد (حدوداً 300 مگابایت فضای آزاد برای یک کامپیوتر سازمانی) که میبایست از پیش آماده شود و از تمام کامپیوترهای داخل شبکه که این اسکریپت را اجرا میکنند قابل دسترسی باشد:
ساخت فهرستی کامل از ورودیهای فایلسیستم برای درایو سیستم کامپیوتر چند دقیقهای زمان میبرد. بعد از آن، آمادهی استخراج تعداد آینودهای[3] فایلهای رجیستریِ ویندوز میشویم که بسیار برایمان جالب هستند. در نهایت هم تمام رشتهها را از فایلهای رجیستری جمع میکنیم تا از این فضای غیراختصاصی و کلیدهای پاکشده هر نوع دادهای را مورد جستوجو قرار دهیم.
وقتی کارمان تمام شد، آماده میشویم برای انجام همین کار این بار با سیستم ویندوز و فایلهای امنیتی eventlog. برای تجزیهی لاگ به فایلها از ابزارهای منبع باز evtxexport و evtexport استفاده خواهیم کرد.
تمام لاگها در فولدر اشتراکگذاری ما جمعآوری خواهند شد تا ما بتوانیم در آن به جستجوی موارد جالب بپردازیم. در موردهای اخیرمان با Carbanak (کمپین طرح APT که کارش هدف قرار دادن سازمانهای مالی است و البته فعالیتهایش فقط به اینها محدود نمیشود) به دنبال چیزهایی بودی که به نحوی اشارهای داشتند به اسکریپتهای آلودهی Powershell. بنابراین بیایید رشتهی زیر را به نسخهی اسکریپتی که در اختیار داریم اضافه کنیم:
با این کار، شِمایی کلی از نحوهی انتقال مهاجمین از یک کامپیوتر به کامپیوتر دیگر را به همراه نشانگرهای زمانی و مصنوعاتِ NTFS، رجیستری و لاگهایی که واکنش به رخداد را سریع و مؤثر میکنند (و میدان دید اندپوینت خوبی را نیز در اختیار قرار میدهند) بدست خواهیم آورد. پیروز و سربلند باشید و واکنش به رخدادِ کریسمسیتان هم مبارک!
[1] forensics
[2] Incident Response
[3] به ساختمان دادههایی گفته میشود که در سیستمفایلهای شبیه به یونیکس مانند UFS استفاده میشود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
