Криминалистика компьютерной памяти на практике: Как эффективно анализировать оперативную память
Покупка
Издательство:
ДМК Пресс
Авториз. перевод:
Слинкин Алексей Александрович
Год издания: 2023
Кол-во страниц: 256
Дополнительно
Вид издания:
Практическое пособие
Уровень образования:
ВО - Специалитет
ISBN: 978-5-93700-157-3
Артикул: 817230.01.99
Книга знакомит читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с применением свободно распространяемых инструментов и фреймворков для анализа памяти. В издании принят практический подход, используются образы памяти из реальных инцидентов. Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников.
Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей.
- Полная коллекция по информатике и вычислительной технике
- ДМК Пресс. Информационная безопасность
- ДМК Пресс. Информационные системы и технологии
- ДМК Пресс. ИТ-технологии для профессионалов
- Интермедиатор. Информационная безопасность (сводная)
- Интермедиатор. Информационные системы и технологии (сводная)
- Интермедиатор. ИТ-технологии для профессионалов (сводная)
- Локальные компьютерные сети. Программное обеспечение локальных сетей. ОС
- Системное и сетевое администрирование
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Светлана Островская, Олег Скулкин Криминалистика компьютерной памяти на практике
Practical Memory Forensics Jumpstart effective forensic analysis of volatile memory Svetlana Ostrovskaya Oleg Skulkin BIRMINGHAM—MUMBAI
Криминалистика компьютерной памяти на практике Как эффективно анализировать оперативную память Светлана Островская Олег Скулкин Москва, 2023
УДК 004.056 ББК 16.8 О76 Редактор: Островская Светлана – ведущий специалист по реагированию на инциденты и компьютерной криминалистике в Group-IB. Светлана Островская, Олег Скулкин О76 Криминалистика компьютерной памяти на практике: Как эффектив- но анализировать оперативную память / авторизован. пер. с англ. А. А. Слинкина. – М.: ДМК Пресс, 2023. – 256 с.: ил. ISBN 978-5-93700-157-3 Книга знакомит читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с применением свободно распространяемых инструментов и фреймворков для анализа памяти. В издании принят практический подход, используются образы памяти из реальных инцидентов. Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников. Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей. УДК 004.056 ББК 16.8 First published in the English language under the title ‘Practical Memory Forensics – (9781801070331)’ Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Copyright ©Packt Publishing 2022 © Оформление, издание, перевод, ДМК Пресс, 2022 ISBN (анг.) 978-1-80107-033-1 ISBN (рус.) 978-5-93700-157-3
Написание этой книги было очень увлекательным и сложным путешествием, и я искренне благодарна своей семье, друзьям и коллегам – всем, кто верил в меня и поддерживал всеми возможными способами. Отдельное спасибо моему другу и коллеге Олегу, который одним прекрасным зимним днем предложил мне написать книгу, положив начало этому путешествию. – Светлана Островская Я благодарен команде издательства Packt за эту возможность и, конечно, Светлане, принявшей этот вызов, – словами не выразить, как я рад, что в моей команде есть такие талантливые люди. – Олег Скулкин
Оглавление Предисловие от издательства ........................................................ 11 Отзывы и пожелания ........................................................................................11 Список опечаток ...............................................................................................11 Нарушение авторских прав .............................................................................11 Об авторах ......................................................................................... 12 О рецензентах ................................................................................... 13 Предисловие ...................................................................................... 14 Целевая аудитория ...........................................................................................14 Структура ..........................................................................................................14 Как извлечь максимум пользы из этой книги ................................................15 Скачайте цветные изображения .....................................................................16 Условные обозначения .....................................................................................16 Оставайтесь на связи ........................................................................................16 Поделитесь своими мыслями ..........................................................................17 ЧАСТЬ I. ОСНОВЫ КРИМИНАЛИСТИКИ ПАМЯТИ .............. 19 Глава 1. Зачем нужна криминалистика памяти? ......................... 21 Основные преимущества криминалистики памяти ......................................22 Без следов ......................................................................................................22 Найди меня в памяти ...............................................................................22 Фреймворки ..............................................................................................23 Living off the land ......................................................................................24 На страже конфиденциальности .................................................................24 Цели и методы исследования ..........................................................................25 Устройство потерпевшего ............................................................................25 Устройство подозреваемого ........................................................................26 Сложности исследования памяти ....................................................................26 Инструменты ................................................................................................26
Критические системы ..................................................................................26 Нестабильность .............................................................................................27 Кратко ................................................................................................................27 Глава 2. Создание дампов памяти ................................................. 28 Введение в управление памятью ....................................................................28 Адресное пространство ................................................................................28 Виртуальная память .....................................................................................29 Разбиение на страницы ...............................................................................29 Разделяемая память .....................................................................................30 Стек и куча ....................................................................................................31 Анализ живой памяти ......................................................................................32 Windows .........................................................................................................32 Linux и macOS ...............................................................................................34 Создание полного и частичного дампа памяти .............................................34 Популярные инструменты и методы создания дампов ................................36 Виртуально или физически .........................................................................36 Локально или удаленно ................................................................................37 Как выбрать ...................................................................................................38 О времени .....................................................................................................38 Кратко ................................................................................................................39 ЧАСТЬ II. КРИМИНАЛИСТИКА ПАМЯТИ В WINDOWS ...... 41 Глава 3. Создание дампа памяти в Windows ................................ 43 Трудности создания дампов памяти в Windows.............................................44 Подготовка к созданию дампа памяти в Windows .........................................44 Создание дампа памяти с помощью FTK Imager............................................45 Создание дампа памяти с помощью WinPmem .............................................48 Создание дампа памяти с помощью Belkasoft Live RAM Capturer ................50 Создание дампа памяти с помощью Magnet RAM Capture .........................................................................................53 Кратко ................................................................................................................54 Глава 4. Реконструкция пользовательской активности .............. 55 Технические требования ..................................................................................56 Анализ запущенных приложений ...................................................................56 Введение в Volatility .....................................................................................56 Идентификация профиля ............................................................................57 Поиск активных процессов ..........................................................................58 Поиск завершившихся процессов ...............................................................59 Поиск открытых документов ...........................................................................62 Документы в памяти процессов ..................................................................62 Исследование истории браузера .....................................................................64 Анализ Chrome с помощью плагина yarascan ............................................65 Анализ Firefox с помощью Bulk Extractor ...................................................66 Анализ Tor с помощью Strings .....................................................................69 Оглавление 7
Исследование коммуникационных приложений ...........................................70 Почта, почта, почта ......................................................................................71 Мессенджеры ................................................................................................72 Восстановление паролей пользователя ..........................................................74 Hashdump ......................................................................................................74 Cachedump .....................................................................................................74 Lsadump .........................................................................................................75 Пароли в открытом виде ..............................................................................75 Обнаружение криптоконтейнеров ..................................................................76 Следы пользовательской активности в реестре .............................................80 Виртуальный реестр .....................................................................................80 Установка MemProcFS...................................................................................81 Работа с реестром Windows .........................................................................82 Кратко ................................................................................................................87 Глава 5. Поиск следов вредоносных программ и их анализ ..... 88 Поиск вредоносных процессов ........................................................................88 Имена процессов ..........................................................................................89 Обнаружение аномального поведения .......................................................90 Анализ аргументов командной строки ...........................................................94 Аргументы командной строки процессов ..................................................95 История команд ............................................................................................96 Исследование сетевых соединений .................................................................99 Процесс-инициатор....................................................................................100 IP-адреса и порты .......................................................................................102 Обнаружение внедрения кода в память процесса .......................................104 Внедрение DLL ............................................................................................104 Удаленное внедрение DLL .....................................................................104 Рефлексивное внедрение DLL................................................................107 Внедрение переносимых исполняемых файлов ......................................110 Внедрение в пустой процесс ......................................................................113 Процесс-двойник ........................................................................................115 Поиск следов закрепления .............................................................................118 Автозапуск при загрузке или входе в систему .........................................118 Создание учетной записи ..........................................................................120 Создание или изменение системных процессов .....................................122 Запланированная задача ...........................................................................124 Построение таймлайна ..................................................................................126 Таймлайн на основе файловой системы ...................................................126 Таймлайн на основе памяти ......................................................................128 Кратко ..............................................................................................................129 Глава 6. Альтернативные источники энергозависимых данных .............................................................130 Исследование файлов гибернации ................................................................130 Получение файла гибернации ...................................................................131 Анализ файла hiberfil.sys ............................................................................135 8 Оглавление
Изучение файлов подкачки ...........................................................................138 Получение файлов подкачки .....................................................................138 Анализ pagefile.sys ......................................................................................140 Поиск по строкам .......................................................................................141 Карвинг файлов ..........................................................................................145 Анализ аварийных дампов ............................................................................149 Создание аварийного дампа ......................................................................151 Имитация отказа системы .........................................................................152 Создание дампа процесса ..........................................................................152 Анализ аварийных дампов ........................................................................155 Аварийные дампы системы ...................................................................156 Анализ дампа процесса ..........................................................................159 Кратко ..............................................................................................................162 ЧАСТЬ III. КРИМИНАЛИСТИКА ПАМЯТИ В LINUX ...........163 Глава 7. Создание дампа памяти в Linux .....................................165 Трудности создания дампов памяти в Linux ................................................166 Подготовка к созданию дампа памяти в Linux .............................................166 Создание дампа памяти с помощью LiME ....................................................168 Создание дампа памяти с помощью AVML ...................................................170 Создание профиля Volatility ..........................................................................171 Кратко ..............................................................................................................174 Глава 8. Реконструкция действий пользователя .......................176 Технические требования ................................................................................176 Исследование запущенных программ ..........................................................177 Анализ истории Bash ......................................................................................180 Поиск открытых документов .........................................................................181 Восстановление файловой системы ..............................................................183 Проверка истории браузера ...........................................................................189 Изучение коммуникационных приложений ................................................192 Поиск примонтированных устройств ...........................................................194 Обнаружение криптоконтейнеров ................................................................197 Кратко ..............................................................................................................198 Глава 9. Обнаружение вредоносной активности .......................200 Исследование сетевой активности ................................................................201 Анализ вредоносной активности ..................................................................206 Изучение объектов ядра .................................................................................219 Кратко ..............................................................................................................222 ЧАСТЬ IV. КРИМИНАЛИСТИКА ПАМЯТИ В MACOS ..........223 Глава 8. Создание дампа памяти в macOS ..................................225 Трудности создания дампов памяти в macOS ..............................................226 Подготовка к созданию дампа памяти в macOS ...........................................226 Оглавление 9
Создание дампа памяти с помощью osxpmem .............................................228 Создание профиля Volatility ..........................................................................232 Кратко ..............................................................................................................235 Глава 11. Обнаружение и анализ вредоносной активности в macOS.............................................................................................236 Особенности анализа macOS с помощью Volatility ......................................237 Технические требования ................................................................................237 Исследование сетевых соединений ...............................................................237 Анализ процессов и их памяти ......................................................................240 Восстановление файловой системы ..............................................................242 Получение данных из пользовательских приложений ................................245 Поиск вредоносной активности ....................................................................247 Кратко ..............................................................................................................250 Предметный указатель ..................................................................252 10 Оглавление
Предисловие от издательства Отзывы и пОжелания Мы всегда рады отзывам наших читателей. Расскажите нам, что вы думаете об этой книге – что понравилось или, может быть, не понравилось. Отзывы важны для нас, чтобы выпускать книги, которые будут для вас максимально полезны. Вы можете написать отзыв на нашем сайте www.dmkpress.com, зайдя на страницу книги и оставив комментарий в разделе «Отзывы и рецензии». Также можно послать письмо главному редактору по адресу dmkpress@gmail.com; при этом укажите название книги в теме письма. Если вы являетесь экспертом в какой-либо области и заинтересованы в издании новой книги, заполните форму на нашем сайте по адресу http://dmkpress.com/ authors/publish_book/ или напишите в издательство по адресу dmkpress@gmail.com. СпиСОк ОпечатОк Хотя мы приняли все возможные меры для того, чтобы обеспечить высокое качество наших текстов, ошибки все равно случаются. Если вы найдете ошибку в одной из наших книг – возможно, ошибку в основном тексте или программном коде, – мы будем очень благодарны, если вы сообщите нам о ней. Сделав это, вы избавите других читателей от непонимания текста и поможете нам улучшить последующие издания этой книги. Если вы найдете какие-либо ошибки в коде, пожалуйста, сообщите о них главному редактору по адресу dmkpress@gmail.com, и мы исправим их в следующих тиражах. нарушение автОрСких прав Пиратство в сети Интернет по-прежнему является насущной проблемой. Издательство « ДМК Пресс» очень серьезно относится к вопросам защиты авторских прав и лицензирования. Если вы знаете о незаконной публикации какой-либо из наших книг в сети Интернет, пожалуйста, пришлите нам ссылку на интернет- ресурс, чтобы мы могли применить санкции. Ссылку на подозрительные материалы можно прислать по адресу dmkpress@ gmail.com. Мы высоко ценим любую помощь по защите наших авторов, благодаря которой мы можем предоставлять вам качественные материалы.
Об авторах Светлана Островская – ведущий консультант по компьютерной криминалистике и реагированию на инциденты в компании Group-IB, одной из глобальных лидеров в области предотвращения и расследования высокотехнологичных преступлений и онлайн-мошенничества. Помимо активного участия в реагировании на инциденты, Светлана имеет богатый опыт преподавания в различных регионах, включая Россию, страны СНГ, Ближний Восток, Африку, Европу и страны Азиатско-Тихоокеанского региона. Она является соавтором статей по информационной безопасности и компьютерной криминалистике, а также ряда учебных программ, в т. ч. по криминалистике оперативной памяти, криминалистике Linux, криминалистике Windows, реагированию на инциденты и проактивному поиску угроз. Олег Скулкин – руководитель лаборатории цифровой криминалистики и исследования вредоносного кода в компании Group-IB. Олег более десяти лет занимался компьютерной криминалистикой и реагированием на инциденты, киберразведкой и исследованием угроз. Является автором и соавтором многочисленных публикаций, а также регулярно выступает на отраслевых конференциях. Сертифицирован GIAC GCFA (сертифицированный специалист по цифровой криминалистике) и GCTI (сертифицированный специалист по ки- берразведке).
О рецензентах Рохит Тамма – старший руководитель программы, сотрудник Microsoft. Более 10 лет работает в области безопасности, занимался менеджментом и консультированием в области безопасности приложений и облаков, безопасности мобильных устройств, тестирования на проникновение и безопасного кодирования. Рохит является соавтором книги «Learning Android Forensics», изданной Packt, где рассказывает о различных способах компьютерно-технической экспертизы на мобильных платформах. Связаться с ним можно через аккаунт в Твиттере @RohitTamma. Игорь Михайлов занимается компьютерно-технической экспертизой уже 21 год. За это время посетил множество семинаров и учебных курсов в ведущих компаниях (в т. ч. Guidance Software, AccessData и Cellebrite) и отделах КТЭ в государственных организациях в России. Обладает опытом и навыками проведения КТЭ, реагирования на инциденты, КТЭ сотовых телефонов, КТЭ уничтоженных устройств, КТЭ вредоносных программ, восстановления данных, анализа цифровых образов, КТЭ видеозаписей, анализа больших данных и т. д. Принимал участие в проведении нескольких тысяч компьютерно-технических экспертиз. В работе применяет передовые инструменты и методы глубокого анализа. Использует программы и оборудование для КТЭ от ведущих отраслевых компаний. Написал три пособия по КТЭ сотовых телефонов и реагированию на инциденты на русском языке. Был рецензентом книги «Windows Forensics Cookbook» Олега Скулкина и Скар де Курсье, изданной Packt.
Предисловие Криминалистика памяти – эффективный метод анализа, применимый в различных областях, от реагирования на инциденты до анализа вредоносного ПО. Для опытного специалиста память – важный источник ценных данных. Криминалистика памяти дает информацию о контексте, в котором работал пользователь, позволяет находить следы вредоносных программ, а в некоторых случаях еще и дает возможность собрать все кусочки головоломки и раскрыть сложную целевую атаку. Авторы познакомят вас с основными концепциями криминалистики памяти, после чего постепенно перейдут к более сложным вопросам активного поиска угроз и исследования вредоносных программ с применением свободно распространяемых инструментов и фреймворков для анализа памяти. В книге принят практический подход и используются дампы памяти из реальных инцидентов. Это позволит лучше понять предмет и выработать навыки, необходимые для исследования и реагирования на инциденты, связанные с вредоносной активностью и сложными целевыми атаками. В книге затрагиваются вопросы внутреннего устройства Windows, Linux и macOS, а также обсуждаются методы и инструменты для обнаружения, исследования и активного поиска угроз с помощью криминалистики памяти. Прочитав книгу, вы будете хорошо подкованы в вопросах криминалистики оперативной памяти и получите практический опыт использования необходимых техник и инструментов. Вы сможете самостоятельно создать и проанализировать дампы памяти, изучить действия пользователя, обнаружить следы бесфайловых вредоносных программ и установить действия, выполненные злоумышленниками. Целевая аудитОрия Эта книга ориентирована на специалистов по реагированию на инциденты и компьютерной криминалистике, на специалистов по кибербезопасности, системных администраторов, исследователей вредоносного ПО, студентов и энтузиастов, интересующихся исследованием оперативной памяти. Предполагается наличие базового понимания принципов работы вредоносных программ. Знание внутреннего устройства операционных систем будет полезным, но не является обязательным. В целом тем, рассмотренных в данной книге, будет вполне достаточно для начинающих. Структура В главе 1 «Зачем нужна криминалистика памяти?» объясняется, почему криминалистика памяти является неотъемлемой частью исследования многих современных компьютерных инцидентов. На реальных примерах описываются
основные цели и методы исследования, применяемые специалистами по компьютерной криминалистике и реагированию на инциденты (DFIR), а также обсуждаются проблемы, с которыми они сталкиваются в повседневной работе. В главе 2 «Создание дампов памяти» вы познакомитесь с основными методами и инструментами получения дампов оперативной памяти и связанными с этим проблемами. Кроме того, вы узнаете о плюсах и минусах анализа памяти « вживую» и дампов. В главе 3 «Создание дампа памяти в Windows» обсуждаются соответствующие инструменты и их подходы к работе с памятью Windows. Даются советы по выбору подходящего инструмента и рассматриваются примеры их работы. Методики, рассматриваемые в главе 4 «Реконструкция пользовательской активности», во многих случаях имеют первостепенное значение, потому что позволяют лучше понять, что происходит. Описываются методы, основанные на анализе не только активных процессов и сетевых соединений, но и частей реестра Windows и файловой системы, находящихся в памяти. В главе 5 «Поиск следов вредоносных программ и их анализ» речь идет о том, что современные вредоносные программы стараются оставлять как можно меньше следов на диске, и именно поэтому анализ памяти становится критически важным элементом исследования. Объясняется, как искать следы вредоносных программ в памяти процессов, в реестре Windows, в журналах событий и в частях файловой системы, находящихся в памяти. В главе 6 «Альтернативные источники энергозависимых данных» отдается должное тому факту, что не всегда возможно создать дамп памяти для анализа, однако всегда есть шанс найти часть энергозависимых данных на диске. Рассматриваются альтернативные источники таких данных в Windows, а также инструменты и методы их анализа. В главе 7 «Создание дампа памяти в Linux» демонстрируются основные различия между процессами создания дампов памяти в Windows и Linux. Описывается конфигурирование инструментов для Linux и примеры их применения. Глава 8 «Реконструкция действий пользователя» посвящена процессу реконструкции действий пользователя в системах на базе Linux, который несколько отличается от такового в Windows. Описаны способы выявления действий пользователя по дампам памяти Linux. Главной темой главы 9 «Обнаружение вредоносной активности» являются методы поиска следов вредоносной активности в системах на базе Linux и ее анализ. В главе 10 «Создание дампа памяти в MacOS» рассматриваются инструменты создания дампа памяти macOS, так что в итоге вы будете знать о техниках снятия дампов памяти со всех популярных операционных систем. Глава 11 «Обнаружение и анализ вредоносной активности в macOS» посвящена исследованию действий пользователя, а также поиску и анализу следов вредоносной активности в памяти macOS. как извлечь макСимум пОльзы из этОй книги Мы старались описывать все подробно и проводить читателя шаг за шагом по всему процессу. Поэтому вам понадобится только компьютер или виртуальная машина с установленными Windows и Linux. Предисловие 15