一、主題:當MIS碰上駭客入侵該怎麼辦之問題三?
二、說明:
當企業發現自己已遭駭客入侵後,企業IT管理人員該如何採取行動?本次資安診療室將從實務層面來建議企業緊急應變的處理方式。
三、問題 :
3.在危機處理的過程中,如果有報案需要的話,要注意有哪些資料需要保留以作為證據的?又這些資料該如何保留?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
##CONTINUE##
電腦稽核記錄檔有助於網管人員或執法人員了解異常事件之發生經過,從紀錄檔中之特殊攻擊技巧、存取方式、上網習性,均可以做為確認入侵者的參考依據。
所以以下列出常見的保留資料作為參考。
--------------------------------------------------------------------
設備:閘道端
需要保留資料:路由器的LOG記錄
方法:
大部分家用或一般中小企業採用的ADSL Router是沒有記錄LOG的,如果事前有利用syslog伺服器來收集的話,此時就須將這些紀錄保存,來找出被入侵當時的路由資料。
需要保留資料: 防火牆、IDS/IDP的LOG紀錄
方法:
大部分市面上常見的防火牆、IDS/IDP或者是家用的IP分享器均有LOG的紀錄檔,所差別在於較大型的設備有提供報表界面可以列印出來事件發生當時的記錄,如果是比較陽春型的設備就只能尋找是否有將LOG匯出的功能作為資料保存之用。
--------------------------------------------------------------------
設備: 伺服器端
需要保留資料: 存放被入侵資料的硬碟
方法:
為了保存被入侵時伺服器最完整的資料,最好的方法是利用專門採集被刪除資料的軟體(例如:EnCase)來作為證明犯罪事實之依據,但大多數廠商並沒有這樣的設備,所以利用能將硬碟完整複製的工具(例如:Ghost)完整保存所有硬碟被入侵時狀況,以方便事後資料的比對及找尋。
需要保留資料: 網頁服務的LOG紀錄
方法:
提供網頁服務的以IIS來說其記錄檔預設值是放置在[C:\WINNT\system32\LogFiles\W3SVC1\exxxxxxx.log ];而apache預設則是放在[ /usr/local/apache//log目錄 ],其中有access_log與error_log檔。請備份所有有關的LOG資料作為Web Server被入侵時的參考。
需要保留資料: 網頁服務所在的實體路徑內被入侵後的檔案備份
方法:
IIS預設的實體路徑[ C:\Inetpub\wwwroot ]而apache預設的路徑[ /usr/local/apache//htdocs ],請備份所有資料含所有被入侵的網頁或木馬,作為被入侵時的參考。並且可點選被植入之網頁查看其原始碼,是否有被更動過。
需要保留資料: 資料庫的稽核記錄
方法:
知名大廠的資料庫都會有其資料庫存取的稽核記錄,不過預設為避免影響資料庫效能大多數是沒有開啟,如果有的話也請備份或匯出作為資料被竄改的參考。
需要保留資料: 資料庫被入侵後的資料庫備份檔
方法:
如果是採用SQL Injection的入侵手法,很有可能資料庫內容的資料已經被竄改,回複之前請先將已經被入侵的資料庫備份,事後可搜尋資料庫欄位資料作為比對。
需要保留資料: 事件檢視器的被入侵後記錄
方法:
Windows平台均有事件檢視器記錄著事件發生時系統的狀況,請將應用程式記錄檔、安全性記錄檔、系統記錄檔按右鍵另存紀錄檔的方式保存。
--------------------------------------------------------------------
設備: 使用者端
需要保留資料: 防毒軟體的記錄
方法:
如果駭客採用惡意程式的植入,防毒軟體應該會有紀錄檔說明抓到木馬程式的日期,雖然也有可能防毒軟體沒有偵測到惡意程式,但如果駭客採用多次嘗試可能會有機會發現。
需要保留資料: 系統、開機程序的服務、註冊表(Registry)資料
方法:
被植入的惡意程式一定要在系統運作,所以可以使用Process Explorer、AutoRuns、FileMon、RegMon、TCPView等免費小工具來做檢測紀錄。
需要保留資料: 上網的暫存資料紀錄
方法:
如果是使用IE經由上網而感染植入惡意程式,在windows平台下可在[C:\Documents and Settings\帳號\Local Settings\Temp ]與[C:\Documents and Settings\帳號\Local Settings\Temporary Internet Files ]發現一些cookies、被植入的惡意程式程式檔案、木馬程式等備份收集之後可確費使用者被感染植入的時間。
--------------------------------------------------------------------
結論:
一個資安事件的發生,並不只是單一的設備、機器或程式所造成。在現今越來越多樣化的攻擊手法中可發現駭客已經較少採用大規模的入侵作戰而改採用單一目標的深入攻擊。據相關研究報告指出顯示駭客攻擊標的也從以往的政府單位及大型企業漸漸改為中小型企業是甚至使用者家用電腦中,使得現今的入侵手法不再是只有專業的資安人員才需要了解及防範,而是應該落實教育使用者正確使用電腦使用習慣(例如:上網行為的警覺性),來作為MIS以及使用者都應落實的企業緊急應變的處理方式。
--------------------------------------------------------------------
相關連結:
當MIS碰上駭客入侵該怎麼辦之問題一?
當MIS碰上駭客入侵該怎麼辦之問題二?
當MIS碰上駭客入侵該怎麼辦之問題三?