最近更新文章
2017/11/23
AI辨識超越人力極限 惡意行為即時偵測分析
2017/11/22
齊全功能搶佔協作市場 整合平台點亮生產力
2017/11/22
對行動裝置做雲端鑑識 解析雲服務存取足跡
2017/11/21
IBM攜手星展銀推全新AI虛擬助理,更包含企金服務
2017/11/21
偵測、鑑識、回應兼備 端點安全更上層樓
2017/11/21
四個開源大數據工具 打造超高速輿情監控系統
2017/11/20
VMware協助台灣託管服務商轉型並交付新型服務
2017/11/20
打造私有雲協作平台 重新定義工作型態
2017/11/20
虛擬桌面VMware再出招 新版Horizon 7.2大提升
2017/11/19
Pure Storage 推出全新SAP自動化拷貝工具(CAT)
2017/11/17
打造智慧工廠 IPC大廠分享實戰經驗
2017/11/17
跨雲時代的轉型秘訣
2017/11/17
行為鑑識搭配防毒引擎 提升端點偵測效率
2017/11/16
威聯通科技引領雲端風潮 整合高速運算啟動AI應用
2017/11/16
Juniper Networks協助國立暨南國際大學擴充校園核心網路
2017/11/16
EDR跨足次世代防毒 挺進端點保護平台市場
2017/11/15
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
2017/11/15
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
2017/11/15
紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
2017/11/15
team+攜手VMware 打造俱行動安全管理的企業協作平台
2017/11/15
多功能工作站 設備擴充好利害
2017/11/15
SAP協助如興進行數位轉型
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/11/8

留心細節從不疑中見可疑 鑑識須嚴謹慎防無證成冤

中間人攻擊結合ARP欺騙 手機上網營業秘密全都露

Pieces0310
隨著高科技的蓬勃發展,人們的生活早已與智慧型手機、電腦及網路密不可分,伴隨而來的便是層出不窮的資安事件與電腦犯罪案件。大多數的使用者在資安相關議題上所知有限,確有必要提升資安意識及加強防護,才不致輕易成為駭客或惡意程式的俎上肉。
話說某知名集團企業Seahawk向警方報案,懷疑公司的營業秘密遭到公司內部有心人士竊取導致外洩,嚴重危害公司營運。檢警展開調查,派遣數位鑑識小組到Seahawk集團蒐集並逐一分析各項跡證,以查明相關線索。

初步調查概況說明

根據Seahawk集團相關人員的案情說明,在近幾個月以來,公司發現幾項重大營運措施在啟動之前,似乎早已遭外流,因而被搶先一步推出相仿的優惠措施,甚至是功能相近的產品及服務,導致Seahawk集團的營運狀況大受影響。

但問題來了,若真是機密資料外洩所致,那外洩的可能途徑如USB儲存設備、郵件、聊天軟體、雲端服務等等,各種可能性皆須列入調查範圍。而且所牽涉到的公司內部人員及其所使用的電腦設備,亦須逐一清查,光憑想像便可得知這將會是一個耗費大量時間及資源的蒐證分析工作。截至目前為止,Seahawk集團高層一致懷疑是內鬼所為,也提供了可疑內部人員名單供檢警參考。

於此同時,大批鑑識人員攜帶了許多在CSI影集中才會見到的數位鑑識設備,在Seahawk集團內展開蒐證。此時Seahawk集團內部可謂風聲鶴唳,草木皆兵,更有員工僅是為了先前曾與同事有過齟齬,竟抹黑同事就是內鬼。Seahawk集團高層也不斷向警方施加壓力,要求儘速找出內鬼以安定人心,好讓各項業務回復正軌。

發現可疑檔案

鑑識小組成員經過數十天不眠不休地鑑識分析,不斷地過濾篩選以及交叉比對,初步鎖定了可疑目標,那就是IT部門的Larry。鑑識人員在他的電腦中發現一個副檔名為.old的檔案,有數十GB的大小,十分可疑。進一步檢視此檔案的檔案特徵值(File Signature),竟然與.gho類型檔案的檔案特徵值相吻合,如圖1所示。


▲圖1 與.gho類型檔案特徵值相吻合的檔案。


副檔名為.gho的檔案,即是俗稱的Ghost檔,它是由Symantec Ghost備份軟體對硬碟或是磁區進行克隆(Clone)所產生的映像檔。因此這類型的檔案內容可能是整個硬碟或是磁碟分區的內容,但無法直接檢視.gho檔的檔案內容,如圖2所示。


▲圖2 .gho檔案內容無法直接檢視。


檔案特徵值分析狀況

即便是鑑識軟體,也無法有效辨識bkp.old這個檔案的類型,如圖3所示,此檔案被歸類為「Unknown」。若以鑑識工具對bkp.old進行檔案特徵值分析,結果令人意外,竟是「Match」,如圖4所示,更遑論要對此類型的檔案進行索引或關鍵字搜尋了。


▲圖3 無法有效辨識bkp.old檔案的類型。



▲ 圖4 以鑑識工具對bkp.old進行檔案特徵值分析,結果顯示「Match」。


幸好鑑識人員未因為是商業版鑑識工具的分析結果便無條件完全採信,而是審慎地再以其他工具加以驗證,得到了如圖5所示的正確分析結果。因此,當發現證物電腦或儲存設備內含有未知類型的檔案時,有必要多加留意,裡頭可能包含有關鍵線索。


▲ 圖5 得到正確的分析結果。


這篇文章讓你覺得滿意不滿意
送出
相關文章
威脅情資成抗駭關鍵 大數據AI助力解析攻擊
清查醫療資訊相關資產 落實使用者存取控制
Fortinet Security 361°資安研討會將於11月舉行
先進情資造就完善防護
記錄檔案伺服器存取軌跡 免費達成稽核調閱要求
留言
顯示暱稱:
留言內容:
送出