Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows

Auditpol

Команда Auditpol является одной из тех команд, которые могут определять последующие команды, выполняющиеся в системе. Auditpol перечисляет политику аудита локальной системы, если ее выполняют без каких-либо параметров. Если политика аудита не включена или установлена неправильно, то следующие команды не дадут ничего полезного для расследования. Утилиту Auditpol можно найти в комплекте ресурсов (Resource Kits) систем Windows NT и 2000, распространяемых компанией Microsoft.

У Auditpol много функций, таких как изменение политики, которые не обсуждаются в этом разделе, но они могут быть полезны для системного администратора. Здесь мы покажем способность этой команды просматривать политику аудита.

Реализация

Чтобы запустить Auditpol, напечатайте следующую команду:

D:\> auditpol

Следующий вывод показывает результаты выполнения команды Auditpol на машине-жертве:

Running ...

(X) Audit Enabled

System                      = No    
Logon                       = Success and Failure   
Object Access               = No    
Privilege Use               = Success and Failure   
Process Tracking            = No    
Policy Change               = Success and Failure   
Account Management          = Success and Failure   
Directory Service Access    = No    
Account Logon               = Success and Failure

Обратите внимание, что аудит был включен. Кроме того, машина-жертва отслеживает отдельные элементы. Так как регистрация входов/выходов в систему работала, то мы сможем выполнить несколько следующих команд ( Loggedon и NTLast ), чтобы определить, не вернется ли какая-либо интересная информация. Если бы мы обнаружили, что аудит заблокирован, то было бы бесполезно выполнять команду Dumpel для просмотра файла журнала безопасности (security log).

Loggedon

Всегда полезно знать, кто в настоящее время вошел в систему машины-жертвы. Возможно, вход был сделан не через Web-сервер, а, скорее всего, по NetBIOS. Инструмент Loggedon обеспечит эту информацию. Утилиту Loggedon можно получить на сайте http://www.sysinternals.com.

Реализация

Утилита Loggedon проста в использовании. Чтобы применить ее в сценарии живого ответа, наберите следующую команду:

D:\> loggedon

Следующий скрипт выдает информацию, полученную в инциденте, описанном в разделе "Пример из жизни". Заметьте, что единственный человек, вошедший в систему локально или удаленно - это администратор. В нашем примере, VICTIM2K - это имя NetBIOS нашей системы.

LoggedOn v1.1 - Logon Session Displayer
Copyright (C) 1999-2000 Mark Russinovich
SysInternals - www.sysinternals.com

Users logged on locally:
        VICTIM2K\Administrator

No one is logged on via resource shares.

NTLast

Конечно, хорошо бы знать, кто в настоящее время имеет доступ к системе, но если преступник в данный момент не активен, а вошел в систему ранее, эту информацию нельзя получить, используя только Loggedon. Чтобы получить такую информацию, мы можем использовать инструмент с NTLast, написанный Дж. Д. Глазером (J.D. Glaser) из компании Foundstone, Inc. Утилиту NTLast можно свободно загрузить с сайта http://www.foundstone.com.

Реализация

Чтобы посмотреть наличие успешных входов в систему, инструмент NTLast выполняется с ключом -s, как показано ниже:

D:\> ntlast -s

Чтобы посмотреть наличие неудавшихся входов в систему, используйте ключ -f.

D:\> ntlast -f

Инструмент сообщает время, дату, название учетной записи и начальное имя NetBIOS для успешных или неудавшихся входов в систему, в зависимости от ключа, который вы используете.

В разделе "Пример из жизни" мы выполняли эту команду и получили следующую информацию об успешных входах в систему.

Administrator   VICTIM2K    VICTIM2K    Thu Mar 21 08:20:33pm 2002  
Administrator   VICTIM2K    VICTIM2K    Thu Mar 21 12:03:46pm 2002  
Administrator   VICTIM2K    VICTIM2K    Thu Mar 21 11:03:12am 2002  
Administrator   VICTIM2K    VICTIM2K    Thu Mar 21 10:12:55am 2002

Здесь нет никакой информации, имеющей отношение к случаю, рассмотренному в разделе "Пример из жизни" в конце этой лекции.

Dump Event Log (dumpel)

Инструмент Event Viewer является единственным инструментом, устанавливающимся вместе с основной частью систем Windows NT или 2000, и предназначен для просмотра журнала системных событий. Он имеет графический пользовательский интерфейс (GUI), а инструмент GUI не должен выполняться во время расследования, потому что инструментальные средства GUI затрагивают многочисленные системные файлы жесткого диска машины-жертвы, изменяя метки даты и времени.

Возможно, наилучший метод поиска регистрации системных событий состоит в использовании инструмента Dump Event Log, выполняющегося из командной строки. Этот инструмент делает дамп зарегистрированных событий в удобочитаемом формате для автономного анализа. Этот формат может быть далее импортирован в электронную таблицу и рассортирован по определенным событиям. Инструмент Dumpel поставляется с комплектом ресурсов систем Windows NT и 2000, или его можно загрузить отдельно с сайта http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.

Реализация

В операционных системах Windows 2000 и NT поддерживаются три файла регистрации системных событий.

• Файл регистрации системных событий (System Event Log).
• Файл регистрации событий приложений (Application Event Log).
• Файл регистрации событий, связанных с безопасностью (Security Event Log).

Эти файлы регистрации системных событий сохраняются в закрытом формате и поэтому не могут легко читаться (если вообще могут), когда машина-жертва автономна. Однако вы можете использовать инструмент Dumpel, чтобы отыскать все три файла регистрации на живой системе. Следующая команда найдет системный файл регистрации:

D:\> dumpel -l system

Следующая команда сделает дамп файла регистрации событий приложений:

D:\> dumpel -l application

Следующая команда сделает дамп файла регистрации событий, связанных с безопасностью:

D:\> dumpel -l security

В нашем примере из жизни файлы регистрации, показанные на рисунках с 18.1 по 18.3, были получены с помощью утилиты Dumpel. После рассмотрения трех файлов регистрации, мы решили, что никакая информация, имеющая отношение к примеру нашего инцидента, не появилась.

увеличить изображение
Рис. 18.1. Файл регистрации системных событий (System Event Log), полученный инструментом dumpel

увеличить изображение
Рис. 18.2. Файл регистрации событий приложений (Application Event Log), полученный инструментом dumpel

увеличить изображение
Рис. 18.3. Файл регистрации событий, связанных с безопасностью (System Event Log), полученный инструментом dumpel