無痕瀏覽走過不留紀錄　記憶體鑑識仍有跡證可循

受駭端主機鑑識

俗話說「水能載舟，亦能覆舟」，許多企業為了增加營收，取得更高的商機，紛紛投入近年來受到矚目的「物聯網」，卻也使得遭受網路攻擊的機會大幅增加。多種不同的連網設備所存在的系統漏洞均不相同，使得惡意人士得以針對不同的系統漏洞進行駭侵攻擊。然而，每種連網裝置都會產生系統服務的紀錄檔案，也就是俗稱的日誌檔（Log），鑑識人員可以藉由分析日誌檔找出異常紀錄，以釐清裝置所遭受到的網路攻擊手法為何。

目前主流的電腦作業系統大致上可分為兩種，主要是Windows系統和Linux系統，而本文將以Linux系統作為範例說明，系統相關版本及規格為IP設定為192.168.17.128，作業系統採用Ubuntu 4.4.3，而弱點主機相關套件版本有Apache 2.2.14、PHP 5.3.2-1 ubuntu4.30及MySQL 5.1.41。

在不同的作業系統中，鑑識人員可以透過日誌檔，查看不同應用程式的紀錄，藉由異常行為的日誌檔紀錄，協助鑑識人員縮小調查範圍，更能將資源著重於特定惡意紀錄進行分析，而非海底撈針般，茫然於系統中找尋惡意行為紀錄。以Linux系統為例，其日誌檔都會存在「/var/log」路徑下，如圖1所示。

▲圖1 檢視「/var/log」目錄下的日誌檔。

由於本文是使用SQL Injection做為攻擊手法，可以得知與資料庫有關，因此鑑識人員可以在MySQL資料夾內的mysql.log日誌檔中找到曾經輸入過的SQL指令。

而相關的連線紀錄，則儲存在「apache2」資料夾內的access.log日誌檔中。

攻擊端主機鑑識

多數的網路攻擊事件，都是利用Web應用程式做為媒介，例如使用電子郵件傳送釣魚網站網址、將惡意網站藏匿在圖片中，或是入侵網站以蒐集他人個資等惡意攻擊行為。

而在民眾隱私權意識高漲的時代，各家瀏覽器廠商均推出無痕瀏覽模式，並宣稱不會留下瀏覽紀錄，以提供使用者更高的隱私性，然而事情總是一體兩面，有心人士為了隱匿自己的蹤跡，往往也會選擇無痕瀏覽模式進行惡意行為。

依據NetMarketShare於2017年1月至2月統計可知，Google Chrome為目前全球最多人使用的瀏覽器之一，因此本文使用Google Chrome的無痕瀏覽模式進行攻擊行為之實驗，如圖2所示。

▲圖2 Google Chrome無痕瀏覽模式。

雖然瀏覽器在無痕瀏覽模式時，並不會於電腦中的Cache、Cookie或History Record留下任何紀錄，但任何應用程式執行時，作業系統都會將資料儲存在記憶體內，使其得以順利執行。

由此可推論，當開啟瀏覽器執行無痕模式瀏覽網頁時，雖然不會在電腦中儲存任何檔案，但是可能會將瀏覽網頁的紀錄、輸入之字串等資訊暫存於記憶體中，因此將嘗試使用記憶體鑑識技術作為鑑識蒐證方法。這裡將使用FTK Imager進行記憶體萃取，並使用WinHex進行分析，其步驟如下：

▲圖3 使用FTK Imager來對記憶體進行萃取。

▲圖4 使用WinHex來檢視記憶體中的資訊。

情境模擬 實地演練

小婷在網路上經營衣著穿搭部落格，因其獨特的穿搭風格及甜美的長相，深受大家的喜愛，許多年輕女性都會參考她的穿搭方式，在網路上頗具知名度及影響力。所以，小婷與其好友萌發共同創業想法，希望自己架設網站行銷流行衣物，建立新創流行品牌，希望藉由自己的高人氣，吸引消費者到他們建立的行銷網站購買流行服飾，小婷也因此獲得不少利潤。

但近日來，陸續有消費者反應在該網站的使用者註冊資料疑似外洩，導致消費者逐漸不願意到網站上進行消費，連帶影響整體銷售業績。

小婷與其好友懷疑可能是遭駭客入侵，才會導致顧客個資外洩，於是小婷便請求司法機關進行調查，調查人員接獲案件需求後，便會同鑑識人員便前往小婷公司進行調查，並針對網站相關伺服器進行鑑識。

首先，鑑識人員先從網站伺服器中查詢連線紀錄，發現IP 192.168.17.1在2017年2月13日16時40分時，有大量連線紀錄，且其時間間隔相近，所以鑑識人員高度懷疑網站遭受駭客攻擊。

然而，在鑑識人員的細心調查下，發現網站伺服器可能還遭到SQL Injection攻擊，進一步在mysql.log日誌檔內搜尋其連線資訊，發現有遭受SQL Injection攻擊的指令字串，如圖5所示。

▲圖5 SQL Injection攻擊之指令字串。

由上述鑑識調查結果，調查人員已經知道駭客的IP位址，經過一連串的IP追查後，發現該IP的使用者為小雅，於是調查人員鎖定駭客小雅後，經由合法程序進入小雅家，發現正在運作的電腦一台，同時發現小雅有使用無痕模式瀏覽網頁的習慣，鑑識人員隨即進行現場鑑識，希望初步取得揮發性證據，並透過FTK Imager進行記憶體的萃取，如圖6所示。

▲圖6 使用FTK Imager進行記憶體萃取。