Linux Forensics
Gebruik Trickest om maklik en outomatiese werksvloei te bou wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente. Kry Toegang Vandag:
Aanvanklike Inligting Versameling
Basiese Inligting
Eerstens word dit aanbeveel om 'n USB met bekende goeie binêre lêers en biblioteke daarop te hê (jy kan net Ubuntu kry en die /bin, /sbin, /lib, en /lib64 lêers kopieer), monteer dan die USB, en wysig die omgewingsveranderlikes om daardie binêre lêers te gebruik:
Sodra jy die stelsel opgestel het om goeie en bekende binêre lêers te gebruik, kan jy begin om basiese inligting te onttrek:
Verdagte inligting
Terwyl jy die basiese inligting verkry, moet jy vir vreemde dinge soos die volgende ondersoek:
Rootprosesse hardloop gewoonlik met lae PIDS, so as jy 'n rootproses met 'n groot PID vind, kan jy vermoed
Kontroleer geregistreerde aanmeldings van gebruikers sonder 'n skaal binne
/etc/passwd
Kontroleer vir wagwoordhasies binne
/etc/shadow
vir gebruikers sonder 'n skaal
Geheue-afvoer
Om die geheue van die lopende stelsel te verkry, word dit aanbeveel om LiME te gebruik. Om dit te kompileer, moet jy dieselfde kernel gebruik as die slagoffer se masjien.
Onthou dat jy LiME of enige ander ding nie kan installeer op die slagoffer se masjien nie, aangesien dit verskeie veranderinge daaraan sal maak
Dus, as jy 'n identiese weergawe van Ubuntu het, kan jy apt-get install lime-forensics-dkms
gebruik
In ander gevalle moet jy LiME van github aflaai en dit kompileer met die korrekte kernelkoppe. Om die presiese kernelkoppe van die slagoffer se masjien te verkry, kan jy net die gids /lib/modules/<kernel weergawe>
na jou masjien kopieer, en dan LiME daarmee kompileer:
LiME ondersteun 3 formate:
Rou (elke segment aanmekaar gekonkatenasie)
Geglooi (soortgelyk aan rou, maar met nulle in regter bietjies)
Lime (aanbevole formaat met metadata)
LiME kan ook gebruik word om die storting via die netwerk te stuur in plaas van dit op die stelsel te stoor deur iets soos: path=tcp:4444
Skyfbeelding
Afskakel
Eerstens, sal jy die stelsel moet afskakel. Dit is nie altyd 'n opsie nie aangesien die stelsel soms 'n produksieserver sal wees wat die maatskappy nie kan bekostig om af te skakel nie.
Daar is 2 maniere om die stelsel af te skakel, 'n normale afskakeling en 'n "trek die prop" afskakeling. Die eerste een sal die prosesse toelaat om soos gewoonlik te beëindig en die lêersisteem om gesinkroniseer te word, maar dit sal ook die moontlike malware toelaat om bewyse te vernietig. Die "trek die prop" benadering mag 'n bietjie inligtingverlies meebring (nie baie van die inligting gaan verlore gaan aangesien ons reeds 'n beeld van die geheue geneem het nie) en die malware sal nie enige geleentheid hê om iets daaraan te doen nie. Daarom, as jy vermoed dat daar 'n malware mag wees, voer net die sync
bevel op die stelsel uit en trek die prop uit.
'n Beeld van die skyf neem
Dit is belangrik om te let dat voordat jy jou rekenaar aan iets wat met die saak verband hou, koppel, moet jy seker maak dat dit as slegs lees gekoppel gaan word om te verhoed dat enige inligting gewysig word.
Skijfafbeelding voor-ontleding
Beeldvorming van 'n skyfafbeelding met geen verdere data nie.
Gebruik Trickest om maklik en outomatiseer werkstrome te bou wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente. Kry Vandaag Toegang:
Soek na bekende Malware
Gewysigde Stelsel lêers
Linux bied gereedskap vir die verseker van die integriteit van stelselkomponente, wat noodsaaklik is om potensieel problematiese lêers op te spoor.
RedHat-gebaseerde stelsels: Gebruik
rpm -Va
vir 'n omvattende ondersoek.Debian-gebaseerde stelsels:
dpkg --verify
vir aanvanklike verifikasie, gevolg deurdebsums | grep -v "OK$"
(nadatdebsums
metapt-get install debsums
geïnstalleer is) om enige probleme te identifiseer.
Malware/Rootkit Detectors
Lees die volgende bladsy om meer te leer oor gereedskap wat nuttig kan wees om malware te vind:
pageMalware AnalysisSoek geïnstalleerde programme
Om doeltreffend te soek na geïnstalleerde programme op beide Debian- en RedHat-stelsels, oorweeg om stelsellogs en databasisse te benut saam met handmatige kontroles in algemene gidsies.
Vir Debian, ondersoek
/var/lib/dpkg/status
en/var/log/dpkg.log
om besonderhede oor pakketaanvullings te kry, gebruikgrep
om te filter vir spesifieke inligting.RedHat-gebruikers kan die RPM-databasis ondersoek met
rpm -qa --root=/mntpath/var/lib/rpm
om geïnstalleerde pakkette te lys.
Om sagteware wat handmatig geïnstalleer is of buite hierdie pakketsbestuurders geïnstalleer is, te ontdek, verken gidsies soos /usr/local
, /opt
, /usr/sbin
, /usr/bin
, /bin
, en /sbin
. Kombineer gidslysings met stelselspesifieke opdragte om uitvoerbare lêers te identifiseer wat nie verband hou met bekende pakkette nie, wat jou soektog na alle geïnstalleerde programme verbeter.
Gebruik Trickest om maklik en outomatiseer werkafvloei te bou wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente. Kry Vandaag Toegang:
Herstel Verwyderde Lopende Binêre Lêers
Stel jou voor 'n proses wat uitgevoer is vanaf /tmp/exec en toe verwyder is. Dit is moontlik om dit te onttrek
Inspekteer Autostart-plekke
Beplande Take
Dienste
Paaie waar 'n kwaadwillige program geïnstalleer kan word as 'n diens:
/etc/inittab: Roep inisialiseringsskripte soos rc.sysinit aan, wat verder na aanloopskripte lei.
/etc/rc.d/ en /etc/rc.boot/: Bevat skripte vir diensaanloop, die laasgenoemde word gevind in ouer Linux-weergawes.
/etc/init.d/: Gebruik in sekere Linux-weergawes soos Debian vir die stoor van aanloopskripte.
Dienste kan ook geaktiveer word via /etc/inetd.conf of /etc/xinetd/, afhangende van die Linux-variant.
/etc/systemd/system: 'n Gids vir stelsel- en diensbestuurskripte.
/etc/systemd/system/multi-user.target.wants/: Bevat skakels na dienste wat in 'n multi-gebruiker vlak gestart moet word.
/usr/local/etc/rc.d/: Vir aangepaste of derdeparty-dienste.
~/.config/autostart/: Vir gebruikerspesifieke outomatiese aanlooptoepassings, wat 'n skuilplek vir gebruikersgerigte kwaadwillige sagteware kan wees.
/lib/systemd/system/: Stelselwye verstek eenheidslêers wat deur geïnstalleerde pakkette voorsien word.
Kernelmodules
Linux-kernelmodules, dikwels deur kwaadwillige sagteware as rootkit-komponente gebruik, word by stelselbegin gelaai. Die kritieke gids en lêers vir hierdie modules sluit in:
/lib/modules/$(uname -r): Hou modules vir die lopende kernelweergawe.
/etc/modprobe.d: Bevat konfigurasie lêers om modulelaaiing te beheer.
/etc/modprobe en /etc/modprobe.conf: Lêers vir globale module-instellings.
Ander Autostart-plekke
Linux gebruik verskeie lêers om programme outomaties uit te voer met gebruiker aanmelding, wat moontlik kwaadwillige sagteware kan bevat:
/etc/profile.d/*, /etc/profile, en /etc/bash.bashrc: Uitgevoer vir enige gebruiker aanmelding.
~/.bashrc, ~/.bash_profile, ~/.profile, en ~/.config/autostart: Gebruikerspesifieke lêers wat tydens hul aanmelding loop.
/etc/rc.local: Loop nadat alle stelseldienste begin het, wat die einde van die oorgang na 'n multi-gebruiker omgewing aandui.
Ondersoek Logboeke
Linux-stelsels hou gebruikersaktiwiteite en stelselgebeure dop deur verskeie log lêers. Hierdie logboeke is noodsaaklik vir die identifisering van ongemagtigde toegang, kwaadwillige infeksies, en ander veiligheidsvoorvalle. Sleutel log lêers sluit in:
/var/log/syslog (Debian) of /var/log/messages (RedHat): Vang stelselwye boodskappe en aktiwiteite op.
/var/log/auth.log (Debian) of /var/log/secure (RedHat): Neem outentiseringspogings, suksesvolle en mislukte aanmeldings op.
Gebruik
grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log
om relevante outentiseringsgebeure te filter./var/log/boot.log: Bevat stelselbeginboodskappe.
/var/log/maillog of /var/log/mail.log: Log e-posbedieneraktiwiteite, nuttig vir die opsporing van e-posverwante dienste.
/var/log/kern.log: Berg kernelboodskappe op, insluitend foute en waarskuwings.
/var/log/dmesg: Hou toestelbestuurderboodskappe vas.
/var/log/faillog: Neem mislukte aanmeldingspogings op, wat help met veiligheidskrisisondersoeke.
/var/log/cron: Log cron-werkuitvoerings.
/var/log/daemon.log: Volg agtergronddiensaktiwiteite.
/var/log/btmp: Dokumenteer mislukte aanmeldingspogings.
/var/log/httpd/: Bevat Apache HTTPD-fout- en toegangslogboeke.
/var/log/mysqld.log of /var/log/mysql.log: Log MySQL-databasisaktiwiteite.
/var/log/xferlog: Neem FTP-lêeroordragte op.
/var/log/: Kontroleer altyd vir onverwagte logboeke hier.
Linux-stelsellogboeke en ouditsubstelsels kan gedeaktiveer of uitgevee word in 'n indringing of kwaadwillige voorval. Omdat logboeke op Linux-stelsels gewoonlik van die nuttigste inligting oor skadelike aktiwiteite bevat, verwyder indringers dit gereeld. Daarom is dit belangrik om by die ondersoek van beskikbare log lêers te let op gaping of uit plek ininskrywings wat 'n aanduiding van uitveeg of manipulasie kan wees.
Linux hou 'n opdraggeskiedenis vir elke gebruiker by, gestoor in:
~/.bash_history
~/.zsh_history
~/.zsh_sessions/*
~/.python_history
~/.*_history
Verder bied die last -Faiwx
opdrag 'n lys van gebruikersaanmeldings. Kontroleer dit vir onbekende of onverwagte aanmeldings.
Kontroleer lêers wat ekstra regte kan verleen:
Ondersoek
/etc/sudoers
vir onverwagte gebruikersregte wat moontlik toegeken is.Ondersoek
/etc/sudoers.d/
vir onverwagte gebruikersregte wat moontlik toegeken is.Ondersoek
/etc/groups
om enige ongewone groeplidmaatskappe of -regte te identifiseer.Ondersoek
/etc/passwd
om enige ongewone groeplidmaatskappe of -regte te identifiseer.
Sommige programme genereer ook hul eie logboeke:
SSH: Ondersoek ~/.ssh/authorized_keys en ~/.ssh/known_hosts vir ongemagtigde afgeleë verbindinge.
Gnome Desktop: Kyk na ~/.recently-used.xbel vir onlangs benaderde lêers via Gnome-toepassings.
Firefox/Chrome: Kontroleer blaaiergeskiedenis en aflaaie in ~/.mozilla/firefox of ~/.config/google-chrome vir verdagte aktiwiteite.
VIM: Ondersoek ~/.viminfo vir gebruiksdetails, soos benaderde lêerpaadjies en soekgeskiedenis.
Open Office: Kontroleer vir onlangse dokumenttoegang wat dui op gekompromitteerde lêers.
FTP/SFTP: Ondersoek logboeke in ~/.ftp_history of ~/.sftp_history vir lêeroordragte wat moontlik ongemagtig is.
MySQL: Ondersoek ~/.mysql_history vir uitgevoerde MySQL-navrae, wat moontlik ongemagtigde databasisaktiwiteite kan onthul.
Less: Analiseer ~/.lesshst vir gebruiksgeskiedenis, insluitend besigtigde lêers en uitgevoerde opdragte.
Git: Ondersoek ~/.gitconfig en projek .git/logs vir veranderinge aan bewaarplekke.
USB Logboeke
usbrip is 'n klein stukkie sagteware geskryf in suiwer Python 3 wat Linux-log lêers (/var/log/syslog*
of /var/log/messages*
afhangende van die distribusie) ontled om USB-gebeurtenisgeskiedenis tabele saam te stel.
Dit is interessant om alle USB's wat gebruik is te ken en dit sal meer nuttig wees as jy 'n gemagtigde lys van USB's het om "oortredingsgebeure" te vind (die gebruik van USB's wat nie binne daardie lys is nie).
Installasie
Voorbeelde
Meer voorbeelde en inligting binne die github: https://github.com/snovvcrash/usbrip
Gebruik Trickest om maklik te bou en werkstrome outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskaplike gereedskap. Kry Vandaag Toegang:
Oorsig van Gebruikersrekeninge en Aanmeldaktiwiteite
Ondersoek die /etc/passwd, /etc/shadow en sekuriteitslogs vir ongewone name of rekeninge wat geskep is en/of gebruik is in nabyheid van bekende ongemagtigde gebeure. Kyk ook vir moontlike sudo-bruteforce-aanvalle. Verder, kyk na lêers soos /etc/sudoers en /etc/groups vir onverwagte voorregte wat aan gebruikers gegee is. Laastens, soek na rekeninge met geen wagwoorde of maklik gerade wagwoorde.
Ondersoek Lêersisteem
Analise van Lêersisteemstrukture in Malware-ondersoek
Wanneer malware-voorvalle ondersoek word, is die struktuur van die lêersisteem 'n belangrike bron van inligting, wat beide die volgorde van gebeure en die inhoud van die malware onthul. Tog ontwikkel malware-skrywers tegnieke om hierdie analise te bemoeilik, soos die wysiging van lêer tydstempels of die vermyding van die lêersisteem vir data berging.
Om hierdie teen-forensiese metodes te teenwerk, is dit noodsaaklik om:
Voer 'n deeglike tydlyn-analise uit met behulp van gereedskap soos Autopsy om gebeurtenis tydlyne te visualiseer of Sleuth Kit's
mactime
vir gedetailleerde tydlyn data.Ondersoek onverwagte skripte in die stelsel se $PATH, wat dalk skul of PHP-skripte insluit wat deur aanvallers gebruik word.
Ondersoek
/dev
vir atipiese lêers, aangesien dit tradisioneel spesiale lêers bevat, maar moontlik malware-verwante lêers kan bevat.Soek na verskuilde lêers of gidsname met name soos ".. " (dot dot spatie) of "..^G" (dot dot control-G), wat skadelike inhoud kan verberg.
Identifiseer setuid-root lêers deur die opdrag te gebruik:
find / -user root -perm -04000 -print
Dit vind lêers met verhoogde regte wat deur aanvallers misbruik kan word.Ondersoek verwyderingstydstempels in inode-tabelle om massiewe lêerverwyderings op te spoor, moontlik duiend op die teenwoordigheid van rootkits of trojane.
Inspekteer aaneenlopende inodes vir nabygeleë skadelike lêers nadat een geïdentifiseer is, aangesien hulle saam geplaas kon wees.
Kontroleer algemene binêre gidsname (/bin, /sbin) vir onlangs gewysigde lêers, aangesien hierdie deur malware verander kan word.
Let daarop dat 'n aanvaller die tyd kan verander om lêers te laat voorkom asof hulle wettig is, maar hy kan nie die inode verander nie. As jy vind dat 'n lêer aandui dat dit geskep en verander is op dieselfde tyd as die res van die lêers in dieselfde vouer, maar die inode is onverwags groter, dan is die tydmerke van daardie lêer verander.
Vergelyk lêers van verskillende lêersisteemweergawes
Opsomming van Lêersisteemweergawe Vergelyking
Om lêersisteemweergawes te vergelyk en veranderinge te identifiseer, gebruik ons vereenvoudigde git diff
opdragte:
Om nuwe lêers te vind, vergelyk twee gide:
Vir gewysigde inhoud, lys veranderinge terwyl spesifieke lyne geïgnoreer word:
Om uitgeveërde lêers op te spoor:
Filter opsies (
--diff-filter
) help om te spesifiseer soos bygevoeg (A
), verwyder (D
), of gewysig (M
) lêers.A
: Bygevoegde lêersC
: Gekopieerde lêersD
: Verwyderde lêersM
: Gewysigde lêersR
: Hernoemde lêersT
: Tipe veranderinge (bv., lêer na simbooliese skakel)U
: Ongesmerge lêersX
: Onbekende lêersB
: Gebreekte lêers
Verwysings
Boek: Malware Forensics Field Guide vir Linux-stelsels: Digitale Forensics Field Guides
Gebruik Trickest om maklik te bou en outomatiseer werkstrome aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels. Kry Vandag Toegang:
Last updated