هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

الاستجابة الأوليه لحوادث الاختراق لسيرفرات Windows

الاستجابة لحوادث الاختراق تبدا بالتحقق ان هناك اختراق او لا . احيانا يظن مدير الشبكه ان هناك اختراق في الشبكة ويقوم باستدعاء المختصين للتحقق من الامر  واجراء الخطوات اللازمة والصحيحه للبدء في التحقيق واحتواء الحادثه. لكي نحدد ان هناك اختراق او لا يجب ان نقوم باستجابه اولية والتي هي عباره عن جمع بيانات بشكل مباشر من السيرفر وتحليلها. بما أن نحن لا نعرف اذا كان هناك اختراق او لا, يجب الانتباه اثناء جمع المعلومات كي لا نفسد الدليل اثناء تنفيذ الاوامر على السيرفر.

يجب على المحقق الجنائي ان يملك مجموعة اداوات موثوقة يستخدمها اثناء جمع المعلومات, هذه الادوات تكون موضوعة على DVD او فلاش USB يستخدمه اثناء الاستجابة للحوادث . هذه الادوات يجب ان يتم فحصها ومعرفة الاعتماديات التي تعتمد عليها مثل ماهي المكتبات التي تعتمد عليها والتغييرات التي تجريها على النظام . هذا مهم جدا لكي نستطيع التفريق بين التغيرات التي حصلت من قبل الهاكر او الهجوم ومن تلك التغيرات التي احدثتها الادوات ( ان امكن يجب اتباع طرق لا تؤدي الي تغييرات كبيره في النظام بقدر المستطاع) . يمكن فحص هذا عن طريقة عدة ادوات مثل filemon او procmon والتي تستطيع من خلالهم ان تعرف الملفات التي يتم انشائها او تغييرها   والمكتبات المستخدمه او الاتصالات .. الخ. ايضا يجب ان تكون الأدوات موثوقة ومن اهم الادوات هو سطر اوامر لينكس(bash ) وسطر اوامر وندوز (cmd.exe) . لا يمكن ابدا الاعتماد على سطر الاوامر الموجود في النظام بسبب انه غير موثوق فيه ولا يمكن الاعتماد عليه في اعطاء نتائج فقد يمكن عند تشغيل cmd.exe يكون مستبدل بملف خبيث او تم التعديل عليه ليعطي نتائج غير صحيحه .

تخزين البيانات المستخرجه من الدليل :

البيانات التي يتم استخراجها من الدليل لا يجب ابدا تخزينها في نفس الجهاز بسبب ان الدليل يجب عدم تغييره ابدا . انشاء , حذف او تعديل اي شي في الدليل غير مقبول نهائيا . لذلك يمكن استخدام هارديسك لتخزين هذه المعلومات او استخدام اداة netcat وارسال البيانات عن طريق الشبكة الى جهاز اخر . اذا كانت الشبكة غير موثوق فيها يجب تشفير الاتصال واستخدام اداة Cryptcat .

ماهي المعلومات التي يجب جمعها كاستجابة اوليه :

كل البيانات التي يتم جمعها يتم ارسالها الى جهاز في الشبكة عن طريق اداة netcat

  1. التاريخ والوقت
  2. اسماء المتسخدمين الذي يستخدمون النظام والذي سجل دخولة سواء محليا او من جهاز اخر على الشبكه او الانترنت
  3. جمع اسماء الملفات مع تاريخ الانشاء والتعديل والحجم والصلاحيات  يمكن تنفيذ هذا باستخدام الامر dir /t:a /a /s /o:d c: \ هذا الامر لكل ملفات قرص السي
  4. المنافذ المفتوحه في النظام, يمكن استخراجهم عن طريق اداة netstat كذلك البرامج المتصلة بكل منفذ استخدم اي اداة موثوقة لعمل ذلك
  5. اسماء العمليات التي في النظام من ناحية الkernel وليس عن طريق windows API يجب الانتباه الى هذه النقطه الكثير الملفات الخبيثه المتقدمه يمكن ان تتلاعب في النظام بحيث يخبرك ان لا شي موجود وليس هناك اي عملية تعمل ولكن يمكن كشف هذا عن طريق عرض العلميات من خلال الـkernel نفسه, هناك الكثير من الادوات تقوم بهذا
  6. خذ صوره من الرجستري بالكامل او اذا كان لديك اداة تستخرج مفاتيح معينه ومهمه مثل اهم المفاتيح التي في العاده يتم فحصها
  7. استخراج معلومات الـ Event Log
  8. اخذ صورة من RAM

بهذه الطريقة جمعنا الكثير من المعلومات والتي نستطيع تحليلها . هذا لا يعني ان هذه المعلومات فقط هي المعلومات التي نستطيع جمعها . هناك الكثير من الادوات والمعلومات التي يمكنك ان تجمعها كاستجابة اوليه . في حالة ما كان هناك اختراق فعلي فيتم اخذ صوره كاملة من النظام واستخدام الطرق التقليديه في التحليل والتعمق اكثر .

تعليق واحد
  1. husamأبريل 27, 2017

    التدوينة ممتازة ياعلي, مجال التحقيق الجنائي مجال ممتع ومشوق

اضف تعليق