中國(guó)電信股份有限公司江蘇分公司操作維護(hù)中心 魏淵

網(wǎng)絡(luò)入侵后的痕跡提取分析

中國(guó)電信股份有限公司江蘇分公司操作維護(hù)中心 魏淵

網(wǎng)絡(luò)攻擊和入侵事件造成的影響和危害需要電信運(yùn)營(yíng)商引起足夠重視和采取應(yīng)對(duì)措施。在被黑客入侵后僅僅進(jìn)行數(shù)據(jù)恢復(fù)、安全加固尚不足以規(guī)避風(fēng)險(xiǎn)，這種做法過(guò)于被動(dòng)。通過(guò)對(duì)痕跡的提取分析了解入侵的過(guò)程和操作行為，能夠徹底清除后患，同時(shí)獲得證據(jù)線索和溯源。入侵痕跡提取分析的重要原則包括及時(shí)性、準(zhǔn)確性、合法性、多備份、環(huán)境安全、嚴(yán)格管理過(guò)程。主要從網(wǎng)絡(luò)層面提取入侵痕跡和從主機(jī)層面提取入侵痕跡。在進(jìn)行痕跡提取分析的時(shí)候，不推薦在運(yùn)行系統(tǒng)中直接查看各項(xiàng)痕跡，而應(yīng)將所有的痕跡數(shù)據(jù)全部而迅速地提取出來(lái)進(jìn)行備份，輔以截屏保留證據(jù)，對(duì)備份件進(jìn)行分析。在工具的選擇上，推薦使用命令行工具。

網(wǎng)絡(luò)入侵；痕跡提??；痕跡分析；系統(tǒng)加固

1 基本概念

網(wǎng)絡(luò)入侵是指在非授權(quán)的情況下，試圖登錄、處理、控制或破壞網(wǎng)絡(luò)信息系統(tǒng)的故意行為。在入侵過(guò)程中進(jìn)行的某些操作行為，在入侵結(jié)束后會(huì)保留在系統(tǒng)中或者保持一段時(shí)間，而這些遺留的操作行為即是判定異常行為構(gòu)成入侵的證據(jù)或線索，在本文中稱之為入侵痕跡。

在網(wǎng)絡(luò)被入侵后，通常網(wǎng)絡(luò)管理員想到的是對(duì)網(wǎng)絡(luò)進(jìn)行應(yīng)急響應(yīng)、數(shù)據(jù)恢復(fù)、漏洞修復(fù)以及安全加固等。這些應(yīng)對(duì)措施固然正確，卻不足以規(guī)避風(fēng)險(xiǎn)，還應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)入侵痕跡進(jìn)行提取分析。入侵痕跡提取分析通過(guò)技術(shù)手段盡可能準(zhǔn)確、及時(shí)地提取入侵痕跡，對(duì)其進(jìn)行深度剖析，以還原入侵的過(guò)程和操作行為，逆向操作使系統(tǒng)恢復(fù)到正常狀態(tài)并對(duì)薄弱點(diǎn)進(jìn)行加固，能夠徹底清除后患、規(guī)避日后風(fēng)險(xiǎn)，同時(shí)獲得證據(jù)線索和溯源，進(jìn)而保留對(duì)入侵者依法追究責(zé)任的權(quán)利。

2 重要原則

入侵痕跡提取分析的重要原則包括及時(shí)性、準(zhǔn)確性、合法性、多備份、環(huán)境安全、嚴(yán)格管理過(guò)程。在入侵過(guò)程中或之后，系統(tǒng)中必然存在很多入侵痕跡，但隨著時(shí)間的流逝，一方面可能由于入侵者自行刪除了某些入侵痕跡，如安全日志等，另一方面由于系統(tǒng)的運(yùn)行需要不斷進(jìn)行數(shù)據(jù)讀寫等，導(dǎo)致很多入侵痕跡被覆蓋或修改，因此提取入侵痕跡需要遵循的第一原則是及時(shí)性。準(zhǔn)確性是指通過(guò)科學(xué)的技術(shù)手段進(jìn)行提取以保證結(jié)果的真實(shí)可信度。合法性是指需要遵循法律法規(guī)。多備份是指在提取出痕跡數(shù)據(jù)后進(jìn)行備份，對(duì)備份文件執(zhí)行分析操作，這是由于分析操作很可能改變?cè)紨?shù)據(jù)，導(dǎo)致證據(jù)失效。環(huán)境安全是指存放入侵痕跡數(shù)據(jù)的存儲(chǔ)設(shè)備應(yīng)存放在安全的環(huán)境中。嚴(yán)格管理過(guò)程是指所有的手續(xù)和步驟都應(yīng)在嚴(yán)格的監(jiān)督管理之下進(jìn)行。

在上述的6個(gè)原則中，及時(shí)性直接關(guān)系到對(duì)入侵行為的重構(gòu)還原是否順利，應(yīng)當(dāng)被優(yōu)先確保。此外，及時(shí)性不僅體現(xiàn)在入侵痕跡的提取分析具有時(shí)效性，還體現(xiàn)在提取分析信息時(shí)的順序性，運(yùn)行系統(tǒng)中部分易變信息比其他信息變化更頻繁，為了盡量提取分析到符合系統(tǒng)被入侵的真實(shí)信息，需要將易變信息排序，首先提取分析保留時(shí)間最短、變化最頻繁的信息，非易變信息則可以稍后提取分析。

3 入侵痕跡提取

為了找到黑客的入侵痕跡，應(yīng)分析入侵者在系統(tǒng)中實(shí)施了哪些操作。不同的入侵者具備不同的技術(shù)手段和思維方式，因此，列舉出一份入侵操作清單是不現(xiàn)實(shí)的，但仍然可以總結(jié)出入侵的一般步驟。

3.1 網(wǎng)絡(luò)入侵的一般步驟

網(wǎng)絡(luò)入侵的一般步驟包含4個(gè)方面：

1）進(jìn)入系統(tǒng)：通常是通過(guò)掃描目標(biāo)主機(jī)或Web網(wǎng)站的信息，例如應(yīng)用服務(wù)、開放端口等，再根據(jù)各種漏洞或脆弱賬戶密碼等進(jìn)行利用，進(jìn)入系統(tǒng)；

2）提升權(quán)限：通常是檢查是否存在可提升權(quán)限的漏洞、是否存在脆弱賬戶密碼、是否存在權(quán)限設(shè)置出錯(cuò)等，提升權(quán)限，最終獲得管理員權(quán)限；

3）放置后門：后門是指繞過(guò)安全性控制實(shí)現(xiàn)對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法，黑客在進(jìn)入系統(tǒng)后通常都會(huì)留有一個(gè)后門方便再次進(jìn)入系統(tǒng)；

4）清理日志：清理自己在系統(tǒng)中的操作痕跡。

3.2 從網(wǎng)絡(luò)層面提取入侵痕跡

從網(wǎng)絡(luò)層面可以通過(guò)對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)、網(wǎng)絡(luò)設(shè)備日志和配置文件檢查等手段來(lái)提取入侵痕跡。

1）通過(guò)網(wǎng)絡(luò)側(cè)部署的異常流量監(jiān)測(cè)系統(tǒng)、入侵檢測(cè)系統(tǒng)、防火墻或路由設(shè)備來(lái)確定網(wǎng)絡(luò)流量有無(wú)異常，在確認(rèn)攻擊行為存在時(shí)能夠?qū)粜袨檫M(jìn)行溯源。

2）通過(guò)檢查網(wǎng)絡(luò)設(shè)備日志中是否存在未授權(quán)訪問(wèn)或非法登錄事件，用以配合定位攻擊源。例如安全日志中異常登錄時(shí)間、未知用名登錄、非法登錄訪問(wèn)以及某賬號(hào)的頻繁登錄和惡意操作。

3）通過(guò)檢查網(wǎng)絡(luò)設(shè)備配置文件有無(wú)異常，是否被修改，對(duì)比網(wǎng)絡(luò)層防護(hù)的安全控制策略，檢查網(wǎng)絡(luò)設(shè)備配置以及安全策略是否存在異常。

3.3 從主機(jī)層面提取入侵痕跡

在主機(jī)層面可以通過(guò)檢查被入侵服務(wù)器的日志、賬號(hào)、進(jìn)程、服務(wù)、自啟動(dòng)項(xiàng)、病毒、木馬、網(wǎng)絡(luò)連接、共享目錄、定時(shí)作業(yè)、注冊(cè)表等來(lái)獲取入侵痕跡。

1）檢查系統(tǒng)日志中未授權(quán)訪問(wèn)或非法登錄事件或者檢查中間件、FTP（文件傳輸協(xié)議）等日志中檢測(cè)非正常訪問(wèn)行為或攻擊行為；

2）檢查系統(tǒng)非正常賬號(hào)和隱藏賬號(hào)；

3）檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)；

4）檢查系統(tǒng)是否存在非法服務(wù)；

5）檢查系統(tǒng)各用戶“啟動(dòng)”目錄下是否存在未授權(quán)程序；

6）使用防病毒軟件檢查文件，掃描硬盤上所有的文件檢查是否存在病毒、木馬、蠕蟲；

7）檢查非正常網(wǎng)絡(luò)連接和開放的端口；

8）檢查非法共享目錄；檢查當(dāng)前定時(shí)作業(yè)情況，是否存在不明定時(shí)執(zhí)行作業(yè)；

9）檢查注冊(cè)表，注冊(cè)表是Windows操作系統(tǒng)及其所支持的應(yīng)用程序的中心配置數(shù)據(jù)庫(kù)，存儲(chǔ)了大量信息，成為獲取潛在證據(jù)的最好資源。

4 入侵痕跡分析

由于數(shù)據(jù)的易變性和取證技術(shù)的及時(shí)性原則，在進(jìn)行痕跡提取分析的時(shí)候，并不推薦在運(yùn)行系統(tǒng)中直接查看各項(xiàng)痕跡，而應(yīng)將所有的痕跡數(shù)據(jù)全部而迅速地提取出來(lái)進(jìn)行備份，輔以截屏保留證據(jù)，對(duì)備份件進(jìn)行分析。在工具的選擇上，推薦使用命令行工具，命令行工具往往比較簡(jiǎn)潔，且容易通過(guò)批處理或腳本工具自動(dòng)化執(zhí)行。

入侵痕跡分析的技術(shù)方法涉及到密碼破解、數(shù)據(jù)隱藏分析、數(shù)據(jù)恢復(fù)、關(guān)鍵字挖掘等。密碼破解是對(duì)已加密數(shù)據(jù)進(jìn)行解密的技術(shù)，數(shù)據(jù)隱藏分析是確認(rèn)是否存在隱藏?cái)?shù)據(jù)以及隱藏在何處的技術(shù)，數(shù)據(jù)恢復(fù)是將已刪除的消息進(jìn)行恢復(fù)的技術(shù)，關(guān)鍵字挖掘是按敏感詞匯搜索匯集各個(gè)關(guān)聯(lián)文件的技術(shù)。

入侵痕跡分析的目的之一是重構(gòu)入侵行為，因此?？紤]到的方面是時(shí)間框架分析和文件關(guān)聯(lián)性分析。時(shí)間框架分析通常通過(guò)建立文件的最后修改目錄來(lái)重構(gòu)入侵時(shí)各種操作的發(fā)生次序，文件關(guān)聯(lián)性分析是指通過(guò)分析散落在各處的文件內(nèi)在的聯(lián)系從而對(duì)被入侵系統(tǒng)有更深入的了解。

5 總結(jié)

通過(guò)對(duì)入侵痕跡的提取分析，一方面，我們可以通過(guò)重構(gòu)入侵行為，分析入侵行為對(duì)網(wǎng)絡(luò)信息系統(tǒng)產(chǎn)生的直接破壞、潛在隱患和深層次影響，以便能夠徹底清除后患、規(guī)避日后風(fēng)險(xiǎn)；另一方面，我們可以追溯到入侵者，在入侵行為造成較大損失的情況下，能夠?qū)θ肭终咭婪ㄗ肪控?zé)任。

根據(jù)諾卡德交換原理“凡接觸，必留下痕跡”可以知道，無(wú)論是怎樣的入侵手段，始終都會(huì)留下痕跡線索，作為網(wǎng)絡(luò)安全管理人員，任務(wù)就是找到這些線索，并根據(jù)這些線索使自己所維護(hù)管理的系統(tǒng)更加安全穩(wěn)固。◆