دوره آموزشی SEC504 – بخش هشتم

آشنایی با Short-Term و Long-Term

در این بخش به آشنایی با Short-Term و Long-Term و مفاهیم مرتبط به آن می پردازیم.

Short-Term

برای محدود سازی کوتاه مدت در مرحله Containment، ما فقط می‌خواهیم پیشرفت مهاجم را تا جایی که امکان دارد متوفق نماییم و این کار باید به نحوی صورت گیرد که هیچ تغییر در سیستم ایجاد نشود. برای اینکه شواهد آسیب ندیده و یا دچار تغییر نشوند ما باید از سیستم یک ایمیج تهیه کنیم. برای محدود‌سازی کوتاه مدت و عدم تغییر در شواهد پیشنهاد می‌شود که موارد زیر انجام شود:

• قطع دسترسی به شبکه
• کشیدن کابل برق – البته این کار موجب از دست رفتن اطلاعات حافظه (RAM) یا آسیب دیدن‌هارد می‌شود.
• قرار دادن پورتی که به سیستم حادثه دیده وصل شده است در یک VLAN جداگانه جهت عدم آلودگی سیستم‌های دیگر
• تنظیم فیلترهای مناسب بر روی روترها و فایروال‌ها
• تغییر یک نام در DNS به یک آدرس IP متفاوت

گزینه دیگر بر اساس این واقعیت است که بیشتر مهاجمان بر اساس آدرس IP سیستم‌ها را مورد هدف قرار می‌دهند. در این مورد گزینه‌ای که درمهار کوتاه مدت استفاده می‌شود تغییر در DNS است، به گونه‌ای که نام‌های دامنه برای سیستم‌های آسیب دیده به یک آدرس متفاوت اشاره کنند، این آدرس جدید ‌می‌تواند جایی باشد که شما در آن یک سرویس جدید نصب کرده اید. هنگامی که این رکورد جدید DNS در شبکه پخش می‌شود، کاربران شما با تکیه بر نام دامنه جدید به سیستم جدید دسترسی خواهند داشت.

نکته

اگر نفوذگر از آدرس IP برای دسترسی به سیستم قربانی استفاده کند، او هنوز به آدرس قدیمی متصل خواهد شد و با تغییراتی که شما در سیستم ایجاد کرده اید، آدرس قبلی دیگر وجود نخواهد داشت. شما می‌توانید یک Honeypot را در آدرس قبلی قرار دهید و مسیر ترافیک نفوذگر را به آن هدایت کنید. بدین صورت شما می‌توانید اطلاعات مناسبی در مورد حمله و مشخصات نفوذگر بدست آورید.

شما همچنین می‌توانید از ابزارهایی مانند Word Web Bugs هم برای ردیابی مهاجم استفاده نمایید. این ابزار از لینک زیر قابل دسترسی می‌باشد:

اگر نفوذگر از آدرس IP برای دسترسی به سیستم قربانی استفاده کند، او هنوز به آدرس قدیمی متصل خواهد شد و با تغییراتی که شما در سیستم ایجاد کرده اید، آدرس قبلی دیگر وجود نخواهد داشت. شما می‌توانید یک Honeypot را در آدرس قبلی قرار دهید و مسیر ترافیک نفوذگر را به آن هدایت کنید. بدین صورت شما می‌توانید اطلاعات مناسبی در مورد حمله و مشخصات نفوذگر بدست آورید.

شما همچنین می‌توانید از ابزارهایی مانند Word Web Bugs هم برای ردیابی مهاجم استفاده نمایید. این ابزار از لینک زیر قابل دسترسی می‌باشد:

https://sourceforge.net/projects/adhd/

اقداماتی که در مرحله Containment (هم کوتاه مدت و هم بلند مدت) صورت می‌گیرد ممکن است موجب اختلال در فرآیند کسب و کار شود. بنابراین قبل از انجام اقدامات لازم در این مرحله، هماهنگی‌ها را انجام داده و مجوزهای لازم را اخذ نمایید. همچنین قبل از اینکه یک سیستم را از مدار خارج نمایید حتما با تیم واحد کسب و کار تماس حاصل نمایید. تهیه یک نامه یا سند و امضای مسئولین کسب و کار ‌می‌تواند به عنوان سند معتبر در نظر گرفته شود.

نکته دیگری که در این مرحله باید به آن توجه داشته باشید، هماهنگی با شرکت ISP می‌باشد. این شرکت‌ها معمولا لاگ‌های مربوط به ارتباطات را در بازه‌های زمانی طولانی نگهداری می‌کنند. مراجعه به آن‌ها در صورت لزوم بسیار مفید می‌باشد.

Creating Forensics Images

اولین کاری که باید بر روی سیستم حادثه دیده انجام داد، تهیه ایمیج فارنزیکی می‌باشد. اغلب Incident Handler‌ ها زمانی که مشغول به کار می‌شوند، معمولا با سیستم‌هایی سر و کار دارند که از آنها هیچ Backup ای تهیه نشده است. پس شما اولین کاری که باید انجام دهید ایجاد همان ایمیج فارنزیکی می‌باشد.

توجه داشته باشید که شما به عنوان یک Incident Handler جهت تجزیه و تحلیل دقیق اطلاعات، باید با علم فارنزیک در سطوح مختلف آشنایی داشته باشد در غیر این صورت احتمال موفقیت شما در هنگام رسیدن پرونده به دادگاه کاهش می‌یابد. در صورت عدم آگاهی شما از علوم فارنزیک، یک وکیل ‌می‌تواند ادعا کند که شما سیستم را تغییر داده‌اید.

نکته

اگر قبل از تهیه ایمیج فارنزیکی و تهیه Backup از سیستم نیاز به انجام فعالیت خاصی دارید، باید کلیه موارد را ثبت کرده و لاگ آن را ذخیره نمایید. به عنوان مثال باید دستورات وارد شده بر روی سیستم و نتایج آن را ثبت نمایید. تهیه عکس با دوربین نیز در این مورد مناسب به نظر می‌رسد.

تهیه یک ایمیج فارنزیکی در مرحله Containment به عنوان یک منبع خوب برای انجام فرآیند فارنزیکی به حساب می‌آید. در این مرحله اطمینان حاصل نمایید که یک کپی هم از حافظه (RAM) و هم از فایل سیستم تهیه نموده اید. شما در برخی موارد قادر به ایجاد یک ایمیج فارنزیکی از کلیه سیستم‌ها نخواهید بود و در برخی از حوادث شما نیاز به انجام فرآیند فارنزیک به صورت زنده و یا Network Forensic دارید.

با این حال بهترین حالت برای تهیه ایمیج، ایمیج از نوع باینری و بیت به بیت می‌باشد. این نوع ایمیج گیری موجب دریافت همه موارد می‌باشد که فایل‌های حذف شده و فایل‌های Fragment شده را نیز شامل می‌شود.
یکی از محبوبترین ابزارهای ایجاد ایمیج باینری در لینوکس و ویندوز ابزار dd می‌باشد. ما از این ابزار برای تهیه ایمیج استفاده می‌کنیم و این ابزار در دوره‌های فارنزیک شرکت SANS مانند دوره FOR508 نیز آموزش داده می‌شود. این ابزار در اکثر توزیع‌های لینوکس موجود می‌باشد و برای ویندوز نیز در دسترس می‌باشد.

روش دیگر استفاده از سخت افزارهای Drive Duplicator می‌باشد که مستقل از سیستم عامل فعالیت می‌کنند و ‌می‌توانند از درایوهای شما کپی تهیه کنند.
همچنین ابزاری که برای تجزیه و تحلیل مموری از آن استفاده می‌شود متعلق به شرکت Mandiant است. این شرکت یک ابزار قدرتمند به نام Memoryze را برای کپچر کردن و آنالیز مموری بر روی ماشین‌های ویندوز منتشر نموده است.

ابزار دیگر برای تجزیه و تحلیل مموری از آن استفاده می‌شود Volatility Framework می‌باشد.

Determine the Risk of Continuing Operations

در این بخش شما باید اطمینان حاصل نمایید که یک ارتباط قابل اعتماد را با سیستم آسیب دیده برقرار کرده اید. بهترین شیوه ارتباطی، اغلب اتصال از طریق سیستم مدیر است. لاگ‌های ثبت شده در سیستم را از این طریق مشاهده نمایید و سعی کنید تا متوجه شوید که مهاجم تا به کجا نفوذ کرده است.

دقت داشته باشید که گاهی اوقات سیستم‌های آسیب دیده برای فرآیندهای سازمان شما بسیار حیاتی هستند. در این حالت باید برای تصمیم گیری نهایی با مدیران کسب و کار هماهنگی‌های لازم را انجام دهید و یک راهکار به منظور حفاظت از سیستم در بلند مدت ارائه نمایید و در صورت نیاز به خارج نمودن سیستم از مدار، حتما مستندات لازم را ارائه نموده وامضای مدیران کسب و کار برای این منظور اخذ نمایید.

Long Term

در مرحله Long-term Containment ممکن است ایمیج ایجاده شده تحت تاثیر قرار گیرد. ولی جای نگرانی وجود ندارد، چراکه ما یک نسخه پشتیبان از آن برای انجام تجزیه و تحلیل فارنزیکی تهیه نموده‌ایم.

در حالت ایده‌آل ما می‌توانیم سیستم حادثه دیده را برای مدت طولانی به صورت آفلاین قرار دهیم. در این حالت ما کلیه اثراتی که توسط نفوذگر ایجاد شده است را به صورت کامل از بین می‌بریم که احتمالا این کار با بازسازی سیستم یا بازگرداندن از یک نسخه Backup صورت می‌گیرد. در چنین مواردی گام‌های مربوط به Long-term Containment شامل ریشه کن کردن کامل یا همان Eradiction می‌باشد. به عبارت دیگر پس از ایجاد یک ایمیج فارنزیکی ما به سمت مرحله Eradiction حرکت می‌کنیم.

البته برای سیستم‌های تولیدی حساس، خرابی و یا Downtime طولانی معمولا مجاز نبوده و امکان پذیر نمی‌باشد. در چنین مواردی Incident Handler‌ ها در مرحله Containment باقی مانده و اقدامات مربوط به Long-term Containment را در سیستم زنده یا Live System انجام می‌دهند.

Long-term Actions

اقدامات مختلفی جهت Long-term Containment وجود دارد اما تا حد زیادی بیشترین مورد به Patch نمودن سیستم‌های آسیب دیده و مورد بهره برداری قرار گرفته، اختصاص می‌یابد. Incident Handler‌ ها باید علاوه بر سیستم‌های آسیب دیده، سیستم‌های مشابه و نزدیک به آن را نیز بررسی نمایند و اقدام به پاکسازی آن‌ها نمایند و اطمینان حاصل کنند که این سیستم‌ها در معرض خطر نیستند.

در صورتی که فرآیند Patch نمودن سیستم‌ها در کوتاه مدت عملیاتی نباشد، شما ممکن است بخواهید تا از سیستم‌های پیشگیری از نفوذ یا IPS‌ها استفاده کنید که ‌می‌تواند برخی از فعالیت‌های نفوذگر را مسدود نماید.
گزینه دیگر در Long-term Containmen که منجر به نگهداری سیستم می‌شود، استفاده Null Routing است. در این روش روترها به گونه‌ای پیکربندی می‌شوند که بسته‌های مرتبط به آدرس IP مبدا یا مقصد مورد استفاده در حمله را حذف کنند.

همچنین ممکن است نیاز به تغییر کلمات عبور مربوط به حساب‌هایی که توسط نفوذگر مورد حمله قرار گرفته شده است، باشد. به همین ترتیب روابط بین ماشین‌ها ممکن است نیاز به تغییر داشته باشند تا نفوذگر با دسترسی به یک محیط، قادر به دسترسی غیرمجاز به بخش‌ها و یا سیستم‌های دیگر نباشد.
مورد دیگر مربوط به روترها و فایروال‌ها می‌باشد. Rule‌ ها یا قوانینی که در فایروال‌ها تعریف می‌شوند یا کنترل‌های دسترسی که در روترها تنظیم می‌شوند بابد به صورت سخت گیرانه‌تری تنظیم گردد تا از حملات عمیق‌تر جلوگیری به عمل آورند.

البته شما ممکن است نیاز داشته باشید تا حساب‌‌های ایجاد شده توسط مهاجم را حذف نمایید و پروسس‌های ایجاد شده را از بین ببرید که این پروسس‌ها معمولا به عنوان Backdoor برای ارتباط از راه دور مهاجم به سیستم‌ها استفاده می‌گردد.

توجه داشته باشید با توجه به انجام اقدامات مذکور هنوز فرآیند Incident Handling به پایان نرسیده است و این امر تنها به Patch نمودن سیستم‌ها ختم نمی‌شود. شما هنوز اقدامات مربوط به Eradiction، Recovery و Lesson Learned را انجام نداده اید.
همچنین باید مشورت و همراهی با صاحبان سیستم را ادامه دهید.

Eradiction

پس از انجام مراحل گذشته، توجه شما را به سخت‌ترین بخش از پاسخگویی به حادثه جلب می‌کنیم که مرحله Eradiction می‌باشد.

در حال حاضر اصطلاحا خونریزی متوقف شده است و باید به ریشه کردن حادثه بپردازیم. پاکسازی کامل و ایمن از هر کد مخرب و ابزارهای دیگری که توسط نفوذگر برروی سیستم قربانی نصب شده است مانند ابزارهای غیرقانونی، بدافزارها، بازگرانی سرویس در برابر حملات انکار سرویس و مواردی از این دست می‌بایست در این مرحله صورت گیرد. به همین دلیل است که GIAC Advanced Incident Handler Certificate زمان زیادی را برای پوشش دادن مطالب مربوط به کدهای مخرب صرف می‌کند.

فرمت نمودن دیسک و نصب مجدد سیستم عامل از ابتدا ممکن است یک میانبر ارزشمند در فرآیند پاسخگویی به حادثه باشد. همچنین درست است که تخریب کامل محتویات دیسک موجب از بین رفتن هر کد مخربی می‌شود ولی کماکان این فرصت وجود دارد که نفوذگر بتواند از طریق همان کانل، پس از نصب مجدد سیستم عامل نیز به سیستم دسترسی پیدا کند.

بهترین روش برای تعیین علت حادثه، کشف دلیل آلودگی و در اصطلاح Vector of Infection و در ادامه اقدام برای جلوگیری از به وقوع پیوستن دوباره آن است. داشتن مهارت در حوزه‌های شبکه و فارنزیک در انجام این اقدامات بسیار موثر خواهد بود.

Restoring from Backups

پشتیبان گیری و استفاده از آن به عنوان یک سیاست امنیتی، به ظاهر ساده به نظر می‌رسد، ولی این فرآیند اغلب آن طور که باید انجام نمی‌شود. همچنین Backup‌ های تهیه شده، اغلب تست نمی‌شوند تا مشخص شود که آیا در محیط عملیاتی بازگردانی آن به درستی صورت می‌گیرد یا خیر.

در صورتی که یک سیستم دچار مشکل شده باشد، شما باید آخرین Backup ای که تهیه شده و سالم می‌باشد (هم از نظر خود نسخه پشتیبان و هم از نظر عدم آلودگی) را بازگردانی نمایید. پیش از بازگرداندن Backup، شما باید موارد زیر را انجام دهید:

• Wipe نمودن درایو
• Reformate نمودن درایو
• نصب مجدد سیستم عامل به روزرسانی آن و نصب وصله‌های امنیتی جدید
• بازگردانی داده‌های حذف شده از طریق بازگردانی Backup
• اضافه نمودن داده‌های از دست رفته به صورت دستی
• رفع آسیب‌پذیری‌های موجود در سیستم که باعث ایجاد این مشکل شده است

اگر هیچ نسخه پشتیبانی در دسترسی نیست، باید داده‌ها را به صورت دستی با استفاده از یک USB Stroage انتقال داده و سیستم عامل را مجدد نصب کنید. البته این مورد کمی خطرناک می‌باشد.

به هر صورت شما در پایان بخش Eradiction قرار دارید. حادثه رخ داده است و شما نشان می‌دهید که یک حادثه را به خوبی پشت سر گذاشته اید و شما یک قهرمان هستید. ولی پس از شش ساعت، مشکل مجدد باز می‌گردد و آن گاه شما دیگر یک قهرمان نخواهید بود. توجه داشته باشید که شما باید مراحلی که در این بخش به آن اشاره شد همانند Reformationg و وصله نمودن آسیب‌پذیری را به درستی انجام دهید، در غیر این صورت موارد ایجاد شده توسط نفوذگر هنوز باقی مانده و امکان بروز مشکل و ایجاد دسترسی توسط وی وجود خواهد داشت.

همچنین باز هم باید به این نکته اشاره کنیم که فرآیند کسب و کار را هم باید مد نظر قرار دهید و هماهنگی‌های لازم را قبل از اقدام در این مرحله با تیم کسب و کار انجام دهید.

Removing Malicious Software

یکی از روش‌های مقابله با بد افزارها، استفاده از نرم افزارهای آنتی ویروس می‌باشد. اگر مهاجم سیستم را با نصب یک روت کیت تغییر داده باشد، باید سیستم عامل را از یک منبع معتبر دانلود نموده و آن را مجدد نصب نمایید و سپس از نصب وصله‌های امنیتی و بروزرسانی سیستم عامل اطمینان حاصل نمایید.

همچنین شما باید واحدهای کسب و کار آسیب دیده را تشویق نمایید تا بازسازی را تحت نظارت شما انجام دهند. به این ترتیب شما می‌توانید اطمینان حاصل نمایید که آن‌ها فرآیند مورد نظر شما را درک نموده و آن‌ها را به درستی انجام می‌دهند. علاوه بر این، آن‌ها ‌می‌توانند تایید کنند که سیستم پس از بازسازی به درستی کار می‌کند. در نهایت هم از نصب شدن کلیه وصله‌ها اطمینان حاصل نمایید.

نکته دیگری که حائز اهمیت می‌باشد این است که نفوذگران معمولا از سرویس‌های قانونی و معمول شبکه مانند SSH و Remote Desktop برای حفظ و گسترش ارتباط خود استفاده می‌کنند. پس بسیار مهم است که لاگ‌های مربوط به این سرویس‌ها و سرویس‌های قانونی دیگر را نیز مانیتور نموده و آدرس‌های IP مشکوک و ورودی همزمان از یک شناسه کاربری را ثبت و بررسی نمایید.

Improving Defenses

هنگامی که یک سیستم مورد نفوذ قرار می‌گیرد، نفوذگر از تمام تکنیک‌ها و روش‌های خود برای آسیب رساندن استفاده می‌کند و بازسازی سیستم به تنهایی کافی نمی‌باشد. شما علاوه بر بازگردانی سیستم باید موارد زیر را هم در نظر داشته و امنیت سیستم را بهبود ببخشید:

• تنظیم فیلترهای مختلف برای فایروال و روتر
• اختصاص یک نام و آدرس IP جدید برای سیستم
• استفاده از Null Routing که در بخش‌های گذشته به آن اشاره شد
• انجام تغییرات در DNS
• نصب وصله‌های امنیتی و ایمن سازی (Hardening) سیستم