Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 10. Vorfallsreaktion | Nach vorne |
Das Untersuchen eines Computereinbruchs ist wie das Untersuchen eines Tatorts. Kriminalbeamte sammeln Beweise, bemerken verdächtige Hinweise, und notieren Verluste und Schäden. Eine Analyse eines Computereinbruchs kann entweder noch während der Attacke geschehen oder post-mortem (nach der Attacke).
Obwohl man System-Logdateien auf einem angegriffenen System nicht trauen kann, gibt es kriminaltechnische Utensilien, die Ihnen bei der Analyse helfen. Der Zweck und die Features dieser Tools variieren, aber allgemein erstellen diese bit-image Kopien der Medien, fassen Ereignisse und Prozesse zusammen, zeigen detaillierte Dateisysteminformationen und stellen Dateien wo möglich wieder her.
Es ist auch ratsam, alle durchgeführten Untersuchungen auf einem kompromittierten System aufzuzeichnen, in dem Sie den Befehl script wie im folgenden Beispiel verwenden:
script -q <file-name> |
Ersetzen Sie <file-name> mit dem Dateinamen für das script-Log. Speichern Sie die Log-Datei immer auf einem anderem Medium als die Festplatte des kompromittierten Systems — ein Diskette ist zum Beispiel ein bewährtes Medium für diesen Zweck.
Indem Sie Ihre Aktionen aufzeichnen, wird ein Audit-Trail erstellt, der wertvoll sein kann, falls der Angreifer gefasst wird.
Das Erstellen einer bit-image Kopie der Medien ist ein sinnvoller erster Schritt. Wenn wir Daten untersuchen, ist dies eine Anforderung. Es wird empfohlen, zwei Kopien zu erstellen; eine für die Analyse und Untersuchung, und eine zweite, die zusammen mit dem Original gespeichert wird und als Beweismittel in jeglichen rechtlichen Verfahren gilt.
Sie können den Befehl dd, der Teil des coreutils-Pakets in Red Hat Enterprise Linux ist, verwenden, um ein monolithisches Abbild eines kompromittierten Systems zu erstellen und dies als Beweis in einer Untersuchung oder für den Vergleich mit vertrauenswürdigen Images zu verwenden. Nehmen Sie an, es besteht eine einzelne Festplatte in einem System, von dem Sie ein Abbild machen möchten. Fügen Sie diese Festplatte als Slave zu Ihrem System hinzu und verwenden Sie den Befehl dd, um eine Image-Datei zu erstellen:
dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1 |
Dieser Befehl erstellt eine einzige Datei mit dem Namen image1, und verwendet einen 1k Block. Die Option conv=noerror,sync zwingtdd dazu, mit dem Lesen und Ablegen von Daten fortzufahren, auch wenn defekte Sektoren auf dem verdächtigen Laufwerk gefunden werden. Jetzt können Sie die resultierende Image-Datei studieren oder versuchen, gelöschte Dateien wiederherzustellen.
Das Thema digitale Untersuchungen und Analysen ist relativ breitgefächert, dennoch sind die Tools ziemlich Architektur-spezifisch und können nicht allgemein angewendet werden. Vorfallsreaktion, Analyse und Wiederherstellung sind jedoch wichtige Themen. Mit dem richtigen Wissen und Erfahrung wird Red Hat Enterprise Linux zu einer ausgezeichneten Plattform für solche Arten von Analysen, da es verschiedene Utilities für Reaktionen nach einem Einbruch und für die Wiederherstellung bietet.
Tabelle 10-1 beschreibt im Detail einige Befehle für das Prüfen und Verwalten von Dateien. Es werden außerdem einige Beispiele aufgelistet, die Sie zum richtigen Identifizieren von Dateitypen und Dateiattributen (wie z.B. Berechtigungen und Zugangsdaten) benötigen, so dass Sie weitere Beweise für die Analyse sammeln können. Diese Tools, kombiniert mit Intrusion Detection Systemen, Firewalls, gehärtete Services und andere Sicherheitsmaßnahmen, können potentielle Schäden bei einer Attacke reduzieren.
![]() | Hinweis |
---|---|
Detaillierte Informationen über jedes Tool finden Sie auf den jeweiligen man-Seiten. |
Befehl | Funktion | Beispiel |
---|---|---|
dd | Erstellt eine bit-image Kopie (oder disk dump) von Dateien und Partitionen. Kombiniert mit einer Prüfung der md5sums von jedem Image können Administratoren ein Image der Partition oder der Datei vor dem Bruch mit einem Image, das nach dem Bruch erstellt wurde, vergleichen und prüfen, ob die Prüfsummen übereinstimmen. | dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt |
grep | Findet nützliche (Text)-Informationen über und innerhalb von Dateien und Verzeichnissen wie zum Beispiel Berechtigungen, Dateiattribute, Skriptänderungen und vieles mehr. Wird hauptsächlich als Pipe-Befehl eines anderen Befehls wie ls, ps oder ifconfig verwendet | ps auxw |grep /bin |
strings | Druckt Ketten druckbarer Zeichen in einer Datei aus. Dies ist sehr nützlich für das Prüfen von ausführbaren Dateien auf Anomalien wie z.B. mail-Befehle an unbekannte Adressen oder das Loggen in einer Nicht-Standard-Logdatei. | strings /bin/ps |grep 'mail' |
file | Legt die Charakteristiken von Dateien basierend auf Format, Kodierung, Bibliotheken die verknüpft werden (falls vorhanden) und Dateityp (binär, Text, etc.) fest. Es ist nützlich für das Feststellen, ob eine ausführbare Datei wie /bin/ls mittels statischen Bibliotheken geändert wurde, was ein sicheres Zeichen dafür ist, das die ausführbare Datei durch eine von einem bösartigen Benutzer installierte Datei ersetzt wurde. | file /bin/ls |
find | Durchsucht Verzeichnisse auf bestimmte Dateien. Es ist ein nützliches Tool für das Durchsuchen der Verzeichnisstruktur nach Schlüsselwörtern, Datum und Zeit des Zugangs, Berechtigungen, und so weiter. Dies ist nützlich für Administratoren, die allgemeine Systemprüfungen für Verzeichnisse oder Dateien durchführen. | find -atime +12 -name *log* -perm u+rw |
stat | Zeigt verschiedene Informationen über eine Datei an, inklusive Zeitpunkt des letzten Zugriffs, Berechtigungen, UID und GID-Einstellungen und vieles mehr. Nützlich für das Prüfen, wann eine ausführbare Datei in einem korrumpierten System zuletzt verwendet und/oder verändert wurde. | stat /bin/netstat |
md5sum | Berechnet die 128-bit Prüfsummen mit dem md5-Hash-Algorithmus. Sie können diesen Befehl verwenden, um eine Textdatei mit einer Liste aller wichtigen Executables, die bei einem Systemeinbruch verändert oder ersetzt werden könnten, zu erstellen. Leiten Sie die Summen in eine Datei um, um eine einfache Datenbank mit Prüfsummen zu erhalten, und kopieren Sie dann die Datei auf ein Medium mit Nur-Leseberechtigungen, wie z.B. CD-ROM. | md5sum /usr/bin/gdm >>md5sum.txt |
Tabelle 10-1. Datei-Prüf-Tools
Zurück | Zum Anfang | Nach vorne |
Implementieren des Vorfallsreaktionsplans | Nach oben | Wiederherstellen von Ressourcen |