Digital Forensics and Incident Response (DFIR) 數位鑑定與響應分析專業領域
這篇文章主要說明網路安全專家一個特別的領域 DFIR
筆者暫時翻譯為:數位鑑定與事件響應.
提到數位鑑定許多人會聯想到電影情節中 FBI為追查網路犯罪所進行的一連串分析與追蹤, 這篇文章就是討論這個領域的專業範圍
專業範圍
數位鑑定與分析的專業範圍可分為七大細分領域, 討論專業範圍的原因是,
一個團隊的組成可以多元化的有各自的專業背景
很難一個人對所有領域都十分精通,
因此在這專業領域範圍內, 團隊成員的專業可以相互互補
是哪七個細分專業領域呢?
- 病毒分析
- 安全日誌分析
- 安全工具與腳本開發
- 網路安全分析
- 關聯分析
- 記憶體分析
- 檔案系統分析
1. 病毒分析
病毒分析也是一個專門的領域, 主要目的為透過電腦系統行為與可疑檔案的分析
得知該惡意程式或是病毒的行為, 在知道這些行為之後就可以進行一些防護措施
一般來說, 病毒分析分為下列兩大類:
- 靜態分析: 在惡意可疑檔案執行前進行分析, 尋找相關可疑點
- 動態分析: 在檔案執行的情況下進行動態監控與分析
相關分析工具可參考
5 Steps to Building a Malware Analysis Toolkit Using Free Tools
2. 安全日誌分析
提起安全日誌分析, 目前有兩大工具最為普遍
- 開源 ELK
- 商用 Splunk
這類的分析主要分為三大步驟 1. 彙總收集各種日誌的來源, 2. 經過索引分析後 3.有意義的利用圖形與報表的方式呈現
其中最有價值的資訊為 “有意義的報表與圖形資訊”
有意義指的是可以讓系統管理員採取行動的資訊, 對於這部分 Splunk與ELK
- ELK X-Security https://www.elastic.co/v5
- Splunk Enterprise Security Addon https://splunkbase.splunk.com/app/263/
3. 安全工具與腳本開發
當需要開發簡單的安全分析或是測試工具時, 最為推薦的程式語言為 Python
可參考這資源列表, 有許多Python開發的安全分析模組與腳本
https://github.com/dloss/python-pentest-tools
4. 網路安全分析
網路安全分析主要指擷取網絡封包
針對網路封包進行分析 , 找出相對可疑的軌跡
網路分析的工具最常推崇的工具為 WireShark
其他相關網路封包分析工具可參考
https://github.com/caesar0301/awesome-pcaptools
5. 關聯分析
關聯分析的主要目的是將所有與該惡意程序相關的資訊產生關連關係
這關聯關係或是攻擊軌跡有助於我們進行整體的防護措施
而不只是單點的將該惡意程式阻擋, 甚至可以阻擋來源與感染路徑
其中一個著名免費版的工具為 Maltego
呈現”感染軌跡”也是許多防毒軟體未來所發展的方向
6. 記憶體分析
記憶體分析就必須提到 Volatility
這個工具可以對於擷取的記憶體進行許多的分析
因為記憶體資訊為揮發性資訊, 因此當記憶體整體的內容被截取儲存為檔案時候
記憶體資訊的事後分析讓我們可以了解當下電腦執行所有狀況
例如: 執行程序, 網路連線狀況, 開啟檔案, 可疑RootKit
https://github.com/volatilityfoundation/volatility/wiki/FAQ
7. 檔案系統分析
數位鑑定檔案分析開源工具主要目的為從檔案中找出重要線索, 最為知名為
商用工具主要應用在需要作為法律上電腦犯罪證據收集的一部分時使用
- FTK
- Encase
其他新的工具
GRR Rapid Response
遠程分析Windows, Mac, Linux的數位鑑定
只要在用戶端安裝一個分析收集資訊, 就可以在遠程進行分析
https://github.com/google/grr-doc
KnockKnock
https://objective-see.com/products/knockknock.html
OS Query
安全分析常需要因為不同的平台Mac, Windows, Linux 有不同的指令與工具
有沒有可以用 SQL query 的語句對於各種平台做分析呢? OSQuery!
osquery> SELECT uid, name FROM listening_ports l, processes p WHERE l.pid=p.pid;
https://github.com/certsocietegenerale/FIR