| Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Инспектор
Вы можете этот курс.
Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 18:
Компоновка и использование набора инструментов для расследования хакерских атак, то есть для "живого ответа" в системе Windows
Auditpol
Команда Auditpol является одной из тех команд, которые могут определять последующие команды, выполняющиеся в системе. Auditpol перечисляет политику аудита локальной системы, если ее выполняют без каких-либо параметров. Если политика аудита не включена или установлена неправильно, то следующие команды не дадут ничего полезного для расследования. Утилиту Auditpol можно найти в комплекте ресурсов (Resource Kits) систем Windows NT и 2000, распространяемых компанией Microsoft.
У Auditpol много функций, таких как изменение политики, которые не обсуждаются в этом разделе, но они могут быть полезны для системного администратора. Здесь мы покажем способность этой команды просматривать политику аудита.
Совет. Убедитесь, что у вас правильная версия утилиты Auditpol, предназначенная для операционной системы машины-жертвы. Утилита Auditpol системы Windows NT не подходит в точности для машины с системой Windows 2000, потому что различные операционные системы имеют различные характеристики аудита.
Реализация
Чтобы запустить Auditpol, напечатайте следующую команду:
D:\> auditpol
Следующий вывод показывает результаты выполнения команды Auditpol на машине-жертве:
Running ... (X) Audit Enabled System = No Logon = Success and Failure Object Access = No Privilege Use = Success and Failure Process Tracking = No Policy Change = Success and Failure Account Management = Success and Failure Directory Service Access = No Account Logon = Success and Failure
Обратите внимание, что аудит был включен. Кроме того, машина-жертва отслеживает отдельные элементы. Так как регистрация входов/выходов в систему работала, то мы сможем выполнить несколько следующих команд ( Loggedon и NTLast ), чтобы определить, не вернется ли какая-либо интересная информация. Если бы мы обнаружили, что аудит заблокирован, то было бы бесполезно выполнять команду Dumpel для просмотра файла журнала безопасности (security log).
Loggedon
Всегда полезно знать, кто в настоящее время вошел в систему машины-жертвы. Возможно, вход был сделан не через Web-сервер, а, скорее всего, по NetBIOS. Инструмент Loggedon обеспечит эту информацию. Утилиту Loggedon можно получить на сайте http://www.sysinternals.com.
Реализация
Утилита Loggedon проста в использовании. Чтобы применить ее в сценарии живого ответа, наберите следующую команду:
D:\> loggedon
Следующий скрипт выдает информацию, полученную в инциденте, описанном в разделе "Пример из жизни". Заметьте, что единственный человек, вошедший в систему локально или удаленно - это администратор. В нашем примере, VICTIM2K - это имя NetBIOS нашей системы.
LoggedOn v1.1 - Logon Session Displayer
Copyright (C) 1999-2000 Mark Russinovich
SysInternals - www.sysinternals.com
Users logged on locally:
VICTIM2K\Administrator
No one is logged on via resource shares.
Примечание. Хотя при помощи этого инструмента вы не видите других пользователей, вошедших в систему, это не означает, что никто другой не обращается в этот момент к вашей системе. Loggedon указывает только на те входы в систему, которые сделаны в надлежащей последовательности. Если кто-то пробрался в систему через "черный ход" (backdoor), этот инструмент об этом не сообщит.
NTLast
Конечно, хорошо бы знать, кто в настоящее время имеет доступ к системе, но если преступник в данный момент не активен, а вошел в систему ранее, эту информацию нельзя получить, используя только Loggedon. Чтобы получить такую информацию, мы можем использовать инструмент с NTLast, написанный Дж. Д. Глазером (J.D. Glaser) из компании Foundstone, Inc. Утилиту NTLast можно свободно загрузить с сайта http://www.foundstone.com.
Примечание. Этот инструмент контролирует события входа в систему и выхода из нее, и сообщает, когда они выполняются. Следовательно, эти события должны регистрироваться в журнале событий, и именно поэтому мы проверяли их в начале с помощью инструмента Auditpol.
Реализация
Чтобы посмотреть наличие успешных входов в систему, инструмент NTLast выполняется с ключом -s, как показано ниже:
D:\> ntlast -s
Чтобы посмотреть наличие неудавшихся входов в систему, используйте ключ -f.
D:\> ntlast -f
Инструмент сообщает время, дату, название учетной записи и начальное имя NetBIOS для успешных или неудавшихся входов в систему, в зависимости от ключа, который вы используете.
В разделе "Пример из жизни" мы выполняли эту команду и получили следующую информацию об успешных входах в систему.
Administrator VICTIM2K VICTIM2K Thu Mar 21 08:20:33pm 2002 Administrator VICTIM2K VICTIM2K Thu Mar 21 12:03:46pm 2002 Administrator VICTIM2K VICTIM2K Thu Mar 21 11:03:12am 2002 Administrator VICTIM2K VICTIM2K Thu Mar 21 10:12:55am 2002
Здесь нет никакой информации, имеющей отношение к случаю, рассмотренному в разделе "Пример из жизни" в конце этой лекции.
Dump Event Log (dumpel)
Инструмент Event Viewer является единственным инструментом, устанавливающимся вместе с основной частью систем Windows NT или 2000, и предназначен для просмотра журнала системных событий. Он имеет графический пользовательский интерфейс (GUI), а инструмент GUI не должен выполняться во время расследования, потому что инструментальные средства GUI затрагивают многочисленные системные файлы жесткого диска машины-жертвы, изменяя метки даты и времени.
Возможно, наилучший метод поиска регистрации системных событий состоит в использовании инструмента Dump Event Log, выполняющегося из командной строки. Этот инструмент делает дамп зарегистрированных событий в удобочитаемом формате для автономного анализа. Этот формат может быть далее импортирован в электронную таблицу и рассортирован по определенным событиям. Инструмент Dumpel поставляется с комплектом ресурсов систем Windows NT и 2000, или его можно загрузить отдельно с сайта http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.
Реализация
В операционных системах Windows 2000 и NT поддерживаются три файла регистрации системных событий.
- Файл регистрации системных событий (System Event Log).
- Файл регистрации событий приложений (Application Event Log).
- Файл регистрации событий, связанных с безопасностью (Security Event Log).
Эти файлы регистрации системных событий сохраняются в закрытом формате и поэтому не могут легко читаться (если вообще могут), когда машина-жертва автономна. Однако вы можете использовать инструмент Dumpel, чтобы отыскать все три файла регистрации на живой системе. Следующая команда найдет системный файл регистрации:
D:\> dumpel -l system
Следующая команда сделает дамп файла регистрации событий приложений:
D:\> dumpel -l application
Следующая команда сделает дамп файла регистрации событий, связанных с безопасностью:
D:\> dumpel -l security
В нашем примере из жизни файлы регистрации, показанные на рисунках с 18.1 по 18.3, были получены с помощью утилиты Dumpel. После рассмотрения трех файлов регистрации, мы решили, что никакая информация, имеющая отношение к примеру нашего инцидента, не появилась.
увеличить изображение
Рис. 18.1. Файл регистрации системных событий (System Event Log), полученный инструментом dumpel
увеличить изображение
Рис. 18.2. Файл регистрации событий приложений (Application Event Log), полученный инструментом dumpel
увеличить изображение
Рис. 18.3. Файл регистрации событий, связанных с безопасностью (System Event Log), полученный инструментом dumpel
Сергей Хлюкин