數位鑑識 資料外洩 駭客入侵 硬碟救援

識破盜用帳密手法 蒐證鑑識還原嫁禍真相

2018-06-13
常言道:「商場如戰場」,每個企業除了戰戰兢兢經營之外,也必須要留意是否有妥善保護研發技術或與營業秘密相關的資料,以維繫競爭力不墜。倘若研發心血遭到破壞或竊取,對一個企業所造成的傷害及損失,將大到令人無法想像且難以估計。

來源是Sandy的筆電,所記錄的IP位址亦是那天Sandy所被分配的無誤,但存取檔案伺服器所用的帳密被R看出了異狀。在下午一點多時存取研發部技術文件所用的帳戶名稱是sandy,如圖5所示。


▲圖5 存取研發部技術文件時所用的帳戶名稱是sandy。

但在四點左右Sandy開始大量刪除研發部的技術文件時,竟是改用了lisa的帳密連線網路磁碟,如圖6~7所示,關鍵證據除了包括帳戶名稱、來源IP、檔案名稱外,更明確地記錄了存取行為是「DELETE」。


▲圖6 以lisa的帳號密碼連線網路磁碟。


▲圖7 改用lisa帳戶進行網路磁碟資料刪除動作。

可是,Sandy卻萬萬沒料到檔案伺服器上啟用的稽核原則詳實地記錄了她的操作行為。

那在Sandy做案用的筆電中能否找到相關的跡證呢?答案是有的,R出示了另一項關鍵證據,即Sandy筆電的操作歷程,顯示Sandy在當天下午一點多時本是以帳號sandy存取研發部的網路磁碟,但到四點之前就改以帳號lisa進行存取,所用以連線檔案伺服器的帳號切換變化如圖8之中的紅色底線所示。


▲圖8 切換不同的帳號來連線檔案伺服器。

那再說到先前的鑑識人員在一開始,為何竟未留意到檔案伺服器的安全日誌之中存在Sandy刪除檔案的詳細資訊?R認為這也是部分鑑識人員可能會犯的錯誤,那就是「先入為主」的毛病,往往只依照委託方人員的陳述,便完全採信而不加以求證,不知不覺間便可能受到不經意的誤導。

試想,R若是輕信IT人員所說的並未啟用稽核原則而不加以求證的話,便無可能再去查看安全日誌的相關內容了。

另外,若是經驗不足的鑑識人員,在不了解稽核原則機制的情況下,自然也就不清楚有無啟用稽核原則的差別。這就意謂著即便有啟用稽核原則,致使刪除行為留存在安全日誌內,鑑識人員也可能因為不知道其事件類型或該依什麼關鍵字去查找,而錯失了刪除檔案行為的相關記錄。

那若是把事件日誌全部從頭到尾仔細看過一遍呢?畢竟一個檔案伺服器可是多個部門多位人員在長時間使用著,事件檢視日誌也因此會有著大量的記錄,面對如此龐雜的內容,鑑識人員往往難以就所有事件檢視器日誌耐心地從頭至尾逐一審視,而可能僅是粗略帶過,又或甚至只看事發當天的日誌內容便驟下定論未發現異常,如此一來便無法察覺到在事發之日數天前的大量刪除記錄。

相信有不少讀者很關心一件事,那就是D0tc0m科技的研發技術文件有可能救回來呢?

檔案伺服器上的文件雖然不是在本機上遭到刪除的,而是Sandy透過網路存取共享資料夾來將文件刪除,但被刪除的這些文件不會因此消失得無影無蹤,只是被標記了已刪除的記號,因此在檔案總管中看似不復存在,但其實仍躺在檔案伺服器的硬碟內。只要在尚未被新進的資料覆蓋之前,仍有機會將其還原回來。圖9所示便是R以工具進行分析所找到之前被刪除的文件。


▲圖9 以工具進行分析找到先前被刪除文件。

雖說資料救援不是鑑識人員的主要任務,但在鑑識過程中的確會因為需要進一步釐清案情,而有還原被刪除資料的必要存在。

況且,這些可是D0tc0m科技的多年心血結晶,R便將那些已遭刪除的文件進行資料救援,成功地救回所有文件,如圖10所示。


▲圖10 成功救回所有文件。

結語

在一椿椿案情複雜的電腦犯罪調查案之中,鑑識人員當秉持著「凡事存疑」的精神,不因是委託方的陳述而盡信不疑,仍須加以小心求證以免有所疏漏。

而當似乎已找到答案之時,更要嚴謹地從其他相關跡證交叉比對,才能從看似合理之中察覺出不合理之處,釐清案情並還原嫁禍的犯罪手法。

<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!