SQL Injection OWASP 數位鑑識 駭客攻擊 資安

無痕瀏覽走過不留紀錄 記憶體鑑識仍有跡證可循

Injection做為攻擊手法,針對受駭端主機及攻擊端主機討論完整的鑑識分析方法,以找出攻擊端及受駭端之證據關聯性,串聯整起資安攻擊事件。

受駭端主機鑑識

俗話說「水能載舟,亦能覆舟」,許多企業為了增加營收,取得更高的商機,紛紛投入近年來受到矚目的「物聯網」,卻也使得遭受網路攻擊的機會大幅增加。多種不同的連網設備所存在的系統漏洞均不相同,使得惡意人士得以針對不同的系統漏洞進行駭侵攻擊。然而,每種連網裝置都會產生系統服務的紀錄檔案,也就是俗稱的日誌檔(Log),鑑識人員可以藉由分析日誌檔找出異常紀錄,以釐清裝置所遭受到的網路攻擊手法為何。

目前主流的電腦作業系統大致上可分為兩種,主要是Windows系統和Linux系統,而本文將以Linux系統作為範例說明,系統相關版本及規格為IP設定為192.168.17.128,作業系統採用Ubuntu 4.4.3,而弱點主機相關套件版本有Apache 2.2.14、PHP 5.3.2-1 ubuntu4.30及MySQL 5.1.41。

在不同的作業系統中,鑑識人員可以透過日誌檔,查看不同應用程式的紀錄,藉由異常行為的日誌檔紀錄,協助鑑識人員縮小調查範圍,更能將資源著重於特定惡意紀錄進行分析,而非海底撈針般,茫然於系統中找尋惡意行為紀錄。以Linux系統為例,其日誌檔都會存在「/var/log」路徑下,如圖1所示。


▲圖1 檢視「/var/log」目錄下的日誌檔。

由於本文是使用SQL Injection做為攻擊手法,可以得知與資料庫有關,因此鑑識人員可以在MySQL資料夾內的mysql.log日誌檔中找到曾經輸入過的SQL指令。

而相關的連線紀錄,則儲存在「apache2」資料夾內的access.log日誌檔中。

攻擊端主機鑑識

多數的網路攻擊事件,都是利用Web應用程式做為媒介,例如使用電子郵件傳送釣魚網站網址、將惡意網站藏匿在圖片中,或是入侵網站以蒐集他人個資等惡意攻擊行為。

而在民眾隱私權意識高漲的時代,各家瀏覽器廠商均推出無痕瀏覽模式,並宣稱不會留下瀏覽紀錄,以提供使用者更高的隱私性,然而事情總是一體兩面,有心人士為了隱匿自己的蹤跡,往往也會選擇無痕瀏覽模式進行惡意行為。

依據NetMarketShare於2017年1月至2月統計可知,Google Chrome為目前全球最多人使用的瀏覽器之一,因此本文使用Google Chrome的無痕瀏覽模式進行攻擊行為之實驗,如圖2所示。


▲圖2 Google Chrome無痕瀏覽模式。

雖然瀏覽器在無痕瀏覽模式時,並不會於電腦中的Cache、Cookie或History Record留下任何紀錄,但任何應用程式執行時,作業系統都會將資料儲存在記憶體內,使其得以順利執行。

由此可推論,當開啟瀏覽器執行無痕模式瀏覽網頁時,雖然不會在電腦中儲存任何檔案,但是可能會將瀏覽網頁的紀錄、輸入之字串等資訊暫存於記憶體中,因此將嘗試使用記憶體鑑識技術作為鑑識蒐證方法。這裡將使用FTK Imager進行記憶體萃取,並使用WinHex進行分析,其步驟如下:


首先,利用FTK Imager進行記憶體萃取。使用FTK Imager來對記憶體進行萃取,從左上角之【File】選單中選擇【Capture Memory】,則可進行記憶體之萃取,如圖3所示。


▲圖3 使用FTK Imager來對記憶體進行萃取。


利用WinHex進行記憶體分析。使用WinHex開啟上述步驟所得到的檔案,即可檢視記憶體中儲存的資訊,以進行記憶體分析,如圖4所示。


▲圖4 使用WinHex來檢視記憶體中的資訊。

情境模擬 實地演練

小婷在網路上經營衣著穿搭部落格,因其獨特的穿搭風格及甜美的長相,深受大家的喜愛,許多年輕女性都會參考她的穿搭方式,在網路上頗具知名度及影響力。所以,小婷與其好友萌發共同創業想法,希望自己架設網站行銷流行衣物,建立新創流行品牌,希望藉由自己的高人氣,吸引消費者到他們建立的行銷網站購買流行服飾,小婷也因此獲得不少利潤。

但近日來,陸續有消費者反應在該網站的使用者註冊資料疑似外洩,導致消費者逐漸不願意到網站上進行消費,連帶影響整體銷售業績。

小婷與其好友懷疑可能是遭駭客入侵,才會導致顧客個資外洩,於是小婷便請求司法機關進行調查,調查人員接獲案件需求後,便會同鑑識人員便前往小婷公司進行調查,並針對網站相關伺服器進行鑑識。

首先,鑑識人員先從網站伺服器中查詢連線紀錄,發現IP 192.168.17.1在2017年2月13日16時40分時,有大量連線紀錄,且其時間間隔相近,所以鑑識人員高度懷疑網站遭受駭客攻擊。

然而,在鑑識人員的細心調查下,發現網站伺服器可能還遭到SQL Injection攻擊,進一步在mysql.log日誌檔內搜尋其連線資訊,發現有遭受SQL Injection攻擊的指令字串,如圖5所示。


▲圖5 SQL Injection攻擊之指令字串。

由上述鑑識調查結果,調查人員已經知道駭客的IP位址,經過一連串的IP追查後,發現該IP的使用者為小雅,於是調查人員鎖定駭客小雅後,經由合法程序進入小雅家,發現正在運作的電腦一台,同時發現小雅有使用無痕模式瀏覽網頁的習慣,鑑識人員隨即進行現場鑑識,希望初步取得揮發性證據,並透過FTK Imager進行記憶體的萃取,如圖6所示。


▲圖6 使用FTK Imager進行記憶體萃取。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!