數位鑑識

太正常就是異常所在 證物自始掉包竟可騙過科學工具

數位鑑識須在不疑處有疑 僅靠靜態分析易陷盲點

2020-04-28
公司多年的研發成果及心血結晶,若遭競爭對手不法取得,可能危及公司治理甚至生存。數位鑑識本該是維持市場公平競爭的最後一道防線,但愈是看似合理之處,愈應於不疑處有疑,才能在複雜的案情中找出破案契機,並且讓正義得以伸張。

 

現今的世界,除了軍事衝突的戰爭之外,還有一類無形的戰爭,發生在國與國之間,或是企業組織之間,目的自然是為了取得有利的情報甚至是機密資料,以獲取更大的競爭優勢。

對手推相仿產品啟疑竇昔日外洩案重啟調查

事情要從兩年多以前開始說起,S公司懷疑有內鬼竊取公司營業秘密相關資料,經高層討論之後,決定控告一位IT部門的離職員工阿達,但因調查結果未發現明確事證,最後便以查無實據收場。近幾個月,該案又在S公司內引發關注,起因是競爭對手W公司推出一系列新產品,其功能與S公司的產品竟達到相去不遠的水準,僅有外觀上的微幅差異。

S公司的技術向來領先其他競爭對手甚多,在W公司推出功能完全不遜色的產品之後,如今S公司已無法保持業界領先,這無疑是對S公司競爭力的一大打擊,對銷售量及市占率勢必造成相當大的衝擊。S公司高層召開緊急會議,商討對策及因應之道。與會者一致認為競爭對手W公司能在短時間內便追上S公司的技術水平,案情恐不單純,有極大可能與當年的那個營業秘密外洩案件有關。

S公司質疑當年的調查可能有所疏漏,但該案的專案小組成員不表認同,咸認為根據當初鑑識團隊所出具的鑑識報告中,已清楚敘明未發現有與竊取營業秘密相關的跡證,因此,對於已簽結的案件實無再追查的必要。但此時S公司揚言開記者會將新事證公諸於世,專案小組便決定重啟調查並約詢相關人員以進一步釐清案情。

阿宏回憶起當初的情況並向專案小組說明,當年阿宏與阿達幾乎是同時間到職,一起在S公司任職的時間約莫半年左右,當他聽阿達說要離職時,心裡也感到不捨,畢竟大家都相處一段時間了,也有著共同打拼的革命情感。此外,阿宏也覺得阿達的技術底子很深,走了對公司而言甚是可惜。

在辦理離職交接程序的當天下午,阿宏奉長官指示到機房找阿達要向他收回筆電時,不料卻瞥見阿達電腦螢幕上似乎正在執行一些程序,如圖1所示。阿達連忙拉著阿宏到外面抽煙,直說難得忙裡偷閒要好好聊一下才行。

圖1  阿達電腦的螢幕上正在執行一些程序。

基於對阿達的信任,阿宏當時不疑有他,但在阿達離職後,阿宏始終對那天他所看到的異狀感到不安,便下定決心向長官報告此事。S公司當時便提起訴訟,至於後續的情形,各位透過前面的敘述已經知道了,那就是並未查到與營業秘密外流的任何相關跡證。

深埋記憶乍現萬惡Asura舊案未了模糊疑點滋生

R請阿宏回想一下,阿達可曾說過或做過些什麼值得留意的事?阿宏想了半响,緩緩說出了一個字眼:「Asura」。R一聽心頭一震,阿宏接著說道,阿達曾對他說過,Asura是一個神秘的組織,專門從事「資料」的販售,而且這些資料絕非是尋常人透過網路即可輕易蒐集到的,據悉曾看過部分資料的人甚至敢斷言,這些資料根本就是由受害者單位的內部才有可能取得的。

R亦曾略有所聞,心想阿達應是專門從事竊取資料的僱傭兵,受僱於Asura組織,奉命到S公司竊取所有系統包括ERP、財會系統、CRM等等的資料,得手之後便消失無蹤。且Asura組織厲害之處在於,它可不是只是竊取幾個備份檔而已,甚至連整套系統,包含使用者端、商業邏輯端、資料庫端全都可以重現,當然這克隆(Clone)出來的系統是否可以運作,就牽涉到License控管機制的破解,不過這恐難不倒Asura組織。

想必Asura組織便是以竊取自各個組織單位的資料,向其競爭對手或有興趣者兜售以牟取暴利。競爭對手陣營便可利用這些夢寐以求的資料,達到技術水準大爆發的目的以快速超越競爭對手。更恐怖的是,Asura組織甚至已專業化經營到了可以讓客戶指定下單的地步,完全有能力做到針對特定對象下手或竊取特定範疇的資料。

至於阿達何以要鋌而走險為專門從事竊取資料的組織賣命?俗話說得好,「殺頭的生意有人做,賠錢的生意無人做」,正是這個道理。更何況以阿達嫻熟的電腦技術,要不露痕跡地由受害組織內部盜取資料簡直易如反掌。

R根據阿宏提供的資訊,得知當天下午阿宏意外瞥見阿達電腦螢幕上所執行的程序中依稀有個特別的字眼「bcp」,其後則是一堆奇怪的參數。R斷定阿達所執行的便是Bulk Copy Program,其指令便是「bcp」,是用於SQL資料庫匯入匯出的工具,具備穩定且執行速度快的特性。

諸多新事證陸續浮現抽絲剝繭疑惑只增不減

專案小組在對W公司進行搜索之後,取得了大量與S公司營業秘密相關的資料,甚至還包括一台Asura組織旗下僱傭兵工程師當初為W公司建置部署時所使用的筆電,提供做為建資料庫及倒回資料之用。鑑識人員在該筆電中找到建置部署時所使用的各種工具及sql語法、日誌等資料,如圖2所示。

圖2  找到建置部署時所使用的各種工具及sql語法、日誌等資料。

鑑識團隊亦從該台筆電的硬碟中找到了幾份VM,其內有為數不少的txt純文字檔,從其內容及檔案的時間戳記研判,這便是當時阿達於離職前自S公司所匯出的資料,進一步查看了批次檔等程序的語法,得知確有運用Bulk Copy工具,將ERP等系統的資料全數導出,如圖3所示。

圖3  從批次檔等程序的語法,判斷確有運用Bulk Copy工具。

而由阿達選擇將匯出資料存成txt純文字檔的情況研判,阿達這麼做有兩個好處,一是匯出資料為字元型態最是適合不同平台間的資料庫移植,不致因來源主機與目的地主機的硬體架構,或作業系統不同而有移植失敗的風險。二則是最重要的一點,將資料庫的資料化整為零匯出至純文字檔,相較Dump檔不論從檔案大小或檔案格式的角度,更不會令旁人起疑。

那資料表的結構呢?毫無疑問,也是阿達自資料庫中導出所需的DDL,再於還原資料庫時使用,如圖4所示。

圖4  查看所使用資料表的結構。

至於該系統還有一個秘密的特殊機制,須運用演算法進行編碼以鎖定系統存取權限,但看來也早被阿達摸清該機制的做法且竊得關鍵的編碼程式,如圖5所示,便可如法泡製並順利讓部署好的系統於W公司運行了。

圖5  發現阿達已經摸清特殊機制並竊得關鍵的編碼程式。

有些資訊是無法光從拿到未經組織的數據而取得,但若是以Asura組織所採取的手法來說則是最高竿且萬無一失的,它是將整套系統克隆一份,等於是將資料庫及應用程式全給移植過來,因此能確保在交貨之後,其客戶可順利掌握整套系統的精髓,並能成功加以運用。

另一方面,長官們好奇地詢問R在重啟調查時,是如何能夠察覺先前鑑識團隊未能發現的異常之處?R笑著說道,他當時便立即著手調出證物映像檔及原始證物,以仔細查看是否有任何疏漏之處。

動態分析直觀尋靈感察覺證物掉包撥亂反正

R首先進行原始證物硬碟及證物映像檔之間的Hash值比對,比對結果為相符,表示此證物映像檔確由原始證物硬碟所產生,且內容完全一致。再對證物映像檔進行各項跡證的分析,對照先前鑑識報告的內容,確無不相符之處。但經驗告訴R,還不能太早急著下定論,還要看看是否有其他可能性存在。

當晚臨睡前,回想白天時一幕幕映入眼中的畫面,突然間R靈光一閃,彷佛發現了什麼。隔天,R跑了一趟證物室,便印證了他的判斷,那就是「證物」有問題。

長官們無不大吃一驚,連忙要R快點說清楚,因為若然如此,便等於在說先前鑑識團隊的調查結果是有問題的。R便娓娓道來他的發現,首先,再次分析的確未發現什麼異常,但也許就是太正常了,讓R感到一絲的不安,便決定換一個面向來查看證物,他把證物映像檔透過工具進行掛載及模擬,對其產生一份快照(Snapshot),如同是把證物映像檔轉成了一份VM,再將其開機(Boot up)後便可堂而皇之地進入嫌疑犯的電腦中瀏覽查看,如圖6所示。

圖6  進入嫌疑犯的電腦中瀏覽查看。

動態分析相對靜態分析的好處就是,前者較能直觀地獲得一些靈感,R看了一下系統基本資訊,嘴角泛出微笑,這便是第一個可疑之處,如圖7所示。

圖7  檢視系統基本資訊。

R又在檔案總管中逛了一下,看到了如圖8所示的工具及公用程式,其中載明的資訊令答案已呼之欲出。

圖8  在檔案總管中看到的工具與公用程式。

檢視了這些工具及公用程式的檔案時間戳記,再綜合前述發現後,R已了然於胸,這證物硬碟並非是這台廠牌為IBM的證物筆電裡原有的那顆硬碟。而是自一台HP筆電所拔出的硬碟,然後嫌疑犯以它置換了證物筆電裡頭的原有硬碟,以達到偷天換日的效果。

長官們個個露出不可置信的表情,紛紛表示懷疑,這樣一置換硬碟之後,阿達的這台IBM筆電還能正常開機使用嗎?R笑著解釋,由於這兩台筆電所採用的作業系統皆為Windows 10,其對硬體的支援度相當地好之故,在置換硬碟後能順利開機的可能性是很高的。R料想,阿達必然也知道如此特性且已有測試驗證過才是。這也是為何阿達在順利竊取資料之後,能夠完全滅證而不留下任何蛛絲馬跡的原因所在,因為他根本是直接釜底抽薪把證物硬碟給掉包了。

至此,眾人已了解何以先前鑑識團隊未能察覺異狀的盲點所在,這也是絕大多數鑑識人員會犯的毛病,那就是鑑識人員往往仰賴各種鑑識工具對證物的靜態分析結果,來告訴他們證物裡有些什麼跡證,若這些跡證與案情無關,鑑識人員便會依序勾好檢核表中的各個檢核項目,準備結案收工了。

至於為何營業秘密具有如此高的價值?試想若競爭對手能花一筆費用便可輕鬆享用你們公司多年的研發成果及心血結晶,那該是多麼划算的交易。

國與國之間更是如此,機密外洩甚至可能危及國家安全,因此,保密須要顧及的層面很多,不會光是只有駭客入侵的威脅而已。

結語

數位鑑識是一門嚴謹的科學,當鑑識人員採用嚴謹的分析程序、工具以及方法,之後所得到的結論本應是無庸置疑的。但愈是看似合理之處,愈應於不疑處有疑,才能夠在錯綜複雜的案情中尋得破案的契機。

<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!