Энэ удаад Digital Forensic Investigation хэрхэн явагддаг тухай дээхэн үед лабораторын ажлын хүрээнд ажиллаж байсан нэгэн case-н тухай бичихээр шийдлээ.
Хэргийн тухайд гэвэл Украйн дахь нэгэн банкны АТМ машин халдлагад өртсөн бодит хэрэг бөгөөд уг хэрэг нь 2011 онд гарсан олон жил шийдэгдээгүй явсан хэрэг байсан. Анх нэгэн харилцагч уг АТМ-д бэлэн мөнгө орлогодох гүйлгээ хийсэн боловч тухайн гүйлгээний дараа харилцагчийн данснаас зөвшөөрөгдөөгүй гүйлгээ өөр дүнгээр зарлагадсан байсныг харилцагч олж мэдэн банканд мэдэгдсэнээр уг хэрэг шалгагдаж эхэлсэн байдаг.
Юуны түрүүнд манай профессор халдлагад өртсөн АТМ машины hard disk image файлыг хүлээн авсан бөгөөд бид Chain of Custody тэмдэглэлийг шалгаж үзэхэд тухайн улсад hard disk-г image болгон аваад шууд илгээсэн байсан ба integrity алдагдаагүй hash утгууд бүгд таарч байлаа.
Шалгалтын тухайд хард дискэнд шалгалт хийхэд өргөн ашиглагддаг бараг л стандарт болсон tool-үүдийг түлхүү ашигласан.
- Caine OS — Digital forensic-т зориулсан үйлдлийн систем бөгөөд маш олон төрлийн tool-үүдийг агуулдаг. (Security нарын Kali гэсэн үг)
- Autopsy — Диск анализ хийхэд их ашиглагддаг бөгөөд олон төрлийн модулиудыг өөртөө агуулдаг. Мөн Windows-н Registry hive-уудыг маш сайн задалж өгдөг.
- RegRipper — Registry анализ хийх, hive задлахад ашиглагддаг.
- EventViewer — Windows-н Event логийг анализ хийхэд ашиглагддаг.
- VirusTotal, Yara — Хортой програмыг анализ хийхэд ашиглагддаг.
Бидэнд мэдэгдэж байсан зүйл гэвэл хард дискний image файл (atm3_final.dd) болон харилцагчийн дансны дугаар (4261 4050 0005 5571) гэсэн мэдээллүүд байлаа.
Юуны түрүүнд уг АТМ машины тухай ерөнхий мэдээлэл гаргаж авах хэрэгтэй тул ямар үйлдлийн системтэй, ямар загварын машин байв гэдгээс эхэлсэн. Үүнийг олохын тулд Autopsy ашиглан image файлыг анализ хийж дараах мэдээллүүдийг олов.
Дээрхи үр дүнгээс АТМ машин нь тухайн үед Windows XP Service Pack 2 32 bit-н үйлдлийн системтэй байсан бөгөөд DIEBOLD-OPTEVA загварынх гэдэг нь харагдаж байна.
Үүний дараагаар бид үнэхээр зөв АТМ машины дискийг шалгаж байгаа эсэхээ мэдэх хэрэгтэй тул харилцагчийн дансны дугаараар шууд string хайлтыг Autopsy дээр хайж үзсэн.
Дансны дугаар гүйлгээний лог дотроос олдсон бөгөөд бэлэн мөнгөөр орлого хийсэний дараагаар данснаас нь дахин шилжүүлэг хийгдсэн лог олдсон.
Гүйлгээний логийг шалгаж үзэхэд нийтдээ 2 гүйлгээ хийгдсэн байсан. Эхний гүйлгээ нь 2013–05–12 20:16:08 CET хийгдсэн бол сэжигтэй гүйлгээ болох 2 дахь гүйлгээ нь 2013–05–12 20:17:49 CET хийгдсэн байсан. Эдгээр timestamp нь хэдий лог файл дотор бичигдсэн байгаа ч үүнийг өөрчлөх бүрэн боломжтой тул эдгээр огноонуудад хараахан итгэж болохгүй юм. Ихэнхи тохиолдолд халдлага үйлдэгч/хортой програм нь баригдахгүйн тулд timestamp огноонуудыг өөрчилж шалгалт хийж байгаа хүнийг төөрөгдүүлэх зорилготой байдаг.
Timestamp manipulation бол forensic investigator-уудад хамгийн их тохиолддог бөгөөд хамгийн төвөгтэй challenge-уудын нэг байдаг.
Гүйлгээний лог файлын meta data дундаас өөрчлөхөд хамгийн хэцүү утга болох $FILE_NAME утгыг шалгаж үзтэл уг файлыг 2016–04–28 03:55 CET өдөр уг файлд өөрчлөлт орсон болохыг илтгэж байв.
Дээрхи огноонууд хоорондоо таарахгүй байгаа бөгөөд гүйлгээ 2013 онд хийгдсэн байтал гүйлгээний лог файлд 2016 онд өөрчлөлт орсон байгаа нь timestamp manipulation буюу зориудаар хугацааны утгуудыг өөрчилсөн гэдэг нь харагдаж байна. Бидэнд илүү их мэдээлэл хэрэгтэй байгаа тул үргэлжлүүлэн disk image файлыг Caine үйлдлийн систем дээр mount хийж хандахад илүү хялбар болгов.
sudo mount atm3_final.dd /mnt/lab1
Ийнхүү disk image файлыг mount хийснээр бид registry утгуудад шууд хандах боломжтой болсон бөгөөд RegRipper tool ашиглан уг үйлдлийн систем дээр суулгасан бүх програмын жагсаалтыг SOFTWARE hive дээрээс гаргаж авсан. Гаргаж авсан үр дүнгээс sed ашиглан “winnt_cv” утгыг хайж уг үйлдлийн системийг хэзээ суулгасан болохыг олж тогтоосон.
Windows үйлдлийн системийн бүхий л event-үүд Event log файл дотор бичигддэг бөгөөд уг файлд шинжилгээ хийсэнээр хамгийн сүүлд хэзээ АТМ машин унтарсан болон ямар системийн хэрэглэгч нар бүртгэлтэй байсан гэх мэт мэдээллүүдийг гаргаж авч болох юм.
Autopsy ашиглан event log байрлах C:\WINDOWS\system32\config\ фолдер дотроос SecEvent, SysEvent, AppEvent лог файлуудыг олсон.
SecEvent лог файл дотор системд амжилттай нэвтэрсэн болон амжилтгүй нэвтрэх оролдлогуудын түүх хадгалагддаг бөгөөд уг файлыг нээж үзтэл зөвхөн ганцхан event байгаа нь уг лог файлд өөрчлөлт оруулж бусад event-үүдийг устгасан байгааг харж болно.
SysEvent лог файлыг шалгаж үзэхэд өмнөхтэй адилгүй маш олон event-үүд байсан. Эдгээр event-үүд дундаас ID 6005 нь лог сервис эхэлсэнийг илтгэх бөгөөд системийг restart хийхэд уг лог бичигддэг.
Event ID 6006 нь лог сервис зогссоныг илтгэх бөгөөд системийг shutdown хийх буюу унтраахад уг лог бичигддэг. Дээрхи логоос бид системийг 2011–03–19 07:28 UTC унтраасныг харж болно. Гэвч SecEvent логт өөрчлөлт орсон учир SysEvent-н логуудад мөн адил өөрчлөлт оруулсан байх магадлалтай юм. Ийм учраас бид энэхүү огноонд итгэж болохгүй юм.
SysEvent лог файлын meta data дундаас MFT table утгыг шалгаж үзэхэд уг лог файлд 2016–03–10 12:53 CET өдөр өөрчлөлт оруулсаныг харуулж байна.
За тэгэхээр уг Malware нь яаж АТМ машинд халдварлав? гэдэг асуулт гарч ирнэ. ATM машины хувьд Malware халдварлах хамгийн боломжит суваг бол USB port юм. Autopsy дээрээс АТМ машинд холбогдсон бүх USB төхөөрөмжүүдийг харах боломжтой.
Уг жагсаалтыг нэг бүрчлэн шалгаж үзэхэд төхөөрөмжийн ID нь 123456789ABCDEF бүхий сэжигтэй төхөөрөмж холбогдсон байсан нь олдсон.
Уг USB төхөөрөмжийн Device Model болох VID_ffff&Pid_ffff утгаар хайлт хийж үзтэл Карт уншигч төхөөрөмж байсан нь тогтоогдсон. Мөн timestamp manipulation хийгдсэн огноотой (2016–03–10 12:53 CET) яг адилхан хугацаанд холбогдсон USB төхөөрөмжийг олсон.
За тэгэхээр Malware нь USB портоор дамжин системд халдварласан нь ойлгомжтой боллоо. Одоо харин системийн аль фолдерт ажиллаж байгаа, хаана картын мэдээллийг дамжуулж байгаа тухай олж мэдэх үлдлээ. Үүний тулд Caine систем дээр сэжиг бүхий executable файлуудыг нэг бүрчлэн анализ хийсэн бөгөөд RADMIN22.exe, lsass.exe файлуудыг олсон. lsass.exe файл нь C:\WINDOWS\system32 фолдер дотор ажиллаж байв. Уг malware нь гүйлгээний мэдээллийг C:\WINDOWS фолдер дотор tr12 нэртэй файлд DES шифрлэлт ашиглан хадгалдаг. Мөн уг malware нь PIN кодын өгөгдлийг цуглуулж, мэдээллийг C:\WINDOWS\kl файлд хадгалж байв.
Hex viewer ашиглан уг executable файлуудыг нээж үзтэл:
“C:\RAdmin2_2\RADMIN22.exe”
“C:\WINDOWS\lsass.exe”
Файлын толгой буюу header нь 4D5A гэсэн hex утгаар эхэлж байгаа бөгөөд энэ нь MZ гэсэн ASCII утга руу хөрвөж байна. MZ нь Windows-н Portable Executable файлыг илтгэдэг. Мөн уг executable файлуудыг VirusTotal ашиглан шалгаж үзэхэд дараах үр дүнг өгөв.
“C:\RAdmin2_2\RADMIN22.exe”:
“C:\WINDOWS\lsass.exe”:
Ийнхүү бид ямар замаар ямар төрлийн хортой програм системд нэвтэрч картын мэдээллийг хулгайлсан тухай илрүүлж чадлаа. Одоо харин уг АТМ машинд яаж USB төхөөрөмжөөс malware dropper файлыг хуулж ажиллуулж чадав? Үйлдлийн систем дээр ямар нэгэн антивирус ажиллаж байсан уу? Үйлдлийн систем security update хийгдсэн байсан уу? Админ хэрэглэгчийн нууц үг энгийн таахад хялбар байсан уу? зэрэг асуултанд хариулах нотолгоог олох нь зүйтэй юм.
Үйлдлийн систем security update хийгдсэн үгүйг бид SOFTWARE hive дотроос амархан мэдэж болно.
Build number нь 2600.xpsp_sp2_rtm.040803–2158 бөгөөд уг хувилбар нь 2004–08–03 өдөр гарсан байна. Үйлдлийн системийг 2005 онд суулгасан байтал ямар ч update хийгээгүй байсан гэсэн үг юм. Мөн Sygate хэмээх host-based аюулгүй байдлын програм ажиллаж байсан ч тухайн хувилбар болох 4.1 хувилбар нь тухайн онд нилээд хуучин байсан нь тогтоогдсон.
Системийн хэрэглэгчийн нууц үгийн тухайд windows нь бүх нууц үгийг SAM файлд хадгалдаг бөгөөд samdump2 tool ашиглан hash утгыг текст рүү салган авч crack хийхэд administrator хэрэглэгчийн нууц үг нь default нууц үг болох diebold байсныг харж болно.
Registry hive-уудыг цааш нь ухаад үзвэл маш их мэдээллүүд гарч ирэх бөгөөд энэ удаагийн бичвэрийн гол санаа нь forensic disk analysis хэрхэн явагддаг талаар ерөнхийд нь өгөхийг зорьсон. Уг case нь дээр үед гарч байсан ч гэсэн forensic investigation бол яг л миний бичсэнтэй төстэй явагдсаар байгааг хэлэх нь зүйтэй юм. Засч залруулах зүйл байвал сэтгэгдэл үлдээгээрэй. Баярлалаа :)
