資料外洩 資訊安全 資安意識 數位鑑識 機敏資料 駭客

中間人攻擊結合ARP欺騙 手機上網營業秘密全都露

2017-11-08
隨著高科技的蓬勃發展,人們的生活早已與智慧型手機、電腦及網路密不可分,伴隨而來的便是層出不窮的資安事件與電腦犯罪案件。大多數的使用者在資安相關議題上所知有限,確有必要提升資安意識及加強防護,才不致輕易成為駭客或惡意程式的俎上肉。
話說某知名集團企業Seahawk向警方報案,懷疑公司的營業秘密遭到公司內部有心人士竊取導致外洩,嚴重危害公司營運。檢警展開調查,派遣數位鑑識小組到Seahawk集團蒐集並逐一分析各項跡證,以查明相關線索。

初步調查概況說明

根據Seahawk集團相關人員的案情說明,在近幾個月以來,公司發現幾項重大營運措施在啟動之前,似乎早已遭外流,因而被搶先一步推出相仿的優惠措施,甚至是功能相近的產品及服務,導致Seahawk集團的營運狀況大受影響。

但問題來了,若真是機密資料外洩所致,那外洩的可能途徑如USB儲存設備、郵件、聊天軟體、雲端服務等等,各種可能性皆須列入調查範圍。而且所牽涉到的公司內部人員及其所使用的電腦設備,亦須逐一清查,光憑想像便可得知這將會是一個耗費大量時間及資源的蒐證分析工作。截至目前為止,Seahawk集團高層一致懷疑是內鬼所為,也提供了可疑內部人員名單供檢警參考。

於此同時,大批鑑識人員攜帶了許多在CSI影集中才會見到的數位鑑識設備,在Seahawk集團內展開蒐證。此時Seahawk集團內部可謂風聲鶴唳,草木皆兵,更有員工僅是為了先前曾與同事有過齟齬,竟抹黑同事就是內鬼。Seahawk集團高層也不斷向警方施加壓力,要求儘速找出內鬼以安定人心,好讓各項業務回復正軌。

發現可疑檔案

鑑識小組成員經過數十天不眠不休地鑑識分析,不斷地過濾篩選以及交叉比對,初步鎖定了可疑目標,那就是IT部門的Larry。鑑識人員在他的電腦中發現一個副檔名為.old的檔案,有數十GB的大小,十分可疑。進一步檢視此檔案的檔案特徵值(File Signature),竟然與.gho類型檔案的檔案特徵值相吻合,如圖1所示。


▲圖1 與.gho類型檔案特徵值相吻合的檔案。

副檔名為.gho的檔案,即是俗稱的Ghost檔,它是由Symantec Ghost備份軟體對硬碟或是磁區進行克隆(Clone)所產生的映像檔。因此這類型的檔案內容可能是整個硬碟或是磁碟分區的內容,但無法直接檢視.gho檔的檔案內容,如圖2所示。


▲圖2 .gho檔案內容無法直接檢視。

檔案特徵值分析狀況

即便是鑑識軟體,也無法有效辨識bkp.old這個檔案的類型,如圖3所示,此檔案被歸類為「Unknown」。若以鑑識工具對bkp.old進行檔案特徵值分析,結果令人意外,竟是「Match」,如圖4所示,更遑論要對此類型的檔案進行索引或關鍵字搜尋了。


▲圖3 無法有效辨識bkp.old檔案的類型。


▲ 圖4 以鑑識工具對bkp.old進行檔案特徵值分析,結果顯示「Match」。

幸好鑑識人員未因為是商業版鑑識工具的分析結果便無條件完全採信,而是審慎地再以其他工具加以驗證,得到了如圖5所示的正確分析結果。因此,當發現證物電腦或儲存設備內含有未知類型的檔案時,有必要多加留意,裡頭可能包含有關鍵線索。


▲ 圖5 得到正確的分析結果。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!