近年來個人隱私意識高漲,許多匿名技術因此快速發展。然而,不法份子若利用匿名技術進行駭客攻擊時,如何找出數位證據並發現真正的幕後黑手將是一大重要議題。本文針對利用Cross-Site Scripting進行攻擊的攻擊端主機進行數位鑑識,以記憶體鑑識方法證明攻擊端之不法行為,串聯整起資安攻擊事件。
而根據圖6所示,可知攻擊手法除了將使用者導向另一個網頁,同時也取得使用者的Cookie值,由此鑑識人員推斷,使用者的身分遭到冒用的機率極高。
根據上述鑑識調查結果,鑑識人員合理地推斷IP 140.xxx.xxx.142為可疑目標,經過一連串的IP追查後,發現該IP的使用者為C君,於是調查人員鎖定C君後,經由合法程序進入C君家,並且發現一台正在運行的電腦。
鑑識人員在調查訪談過程中知道C君有使用無痕模式瀏覽網頁的習慣,並發現C君的Google瀏覽器有擴充功能EditThisCookie,於是鑑識人員高度懷疑C君即為不法人士,隨即進行現場鑑識,希望初步取得揮發性證據,便透過FTK Imager進行記憶體的萃取,如圖8所示。
 |
| ▲圖8 使用FTK Imager進行記憶體萃取。 |
鑑識人員利用FTK Imager取得記憶體的映像檔後,隨即透過WinHex工具搜尋記憶體的內容,查看是否能夠找到C君電腦有連線到該網站伺服器的紀錄,因此利用該網站網址為關鍵字進行搜尋,如圖9所示。
 |
| ▲圖9 以網址「140.xxx.xxx.142」為關鍵字搜尋。 |
而其搜尋結果,確實發現C君曾經連線瀏覽該網頁,如圖10所示。
 |
| ▲圖10 找出連線到該網站的紀錄。 |
因為已經搜尋到連線資訊,於是鑑識人員進一步搜尋是否有輸入XSS語法的紀錄,並利用已知的攻擊語法進行關鍵字搜尋,如圖11所示。
 |
| ▲圖11 以「document.cookie」為關鍵字搜尋。 |
透過所得鑑識結果,確實發現C君不僅曾經連線至該網站,並有輸入XSS語法之嫌疑,如圖12所示。
 |
| ▲圖12 疑似XSS語法之字串。 |
由於已知的XSS攻擊語法包含有抓取Cookie值,因此鑑識人員進一步搜尋,發現C君確實有從Guestbook這個被攻擊的頁面抓取使用者的Cookie,如圖13所示。
 |
| ▲圖13 攻擊者在Guestbook頁面抓取使用者的Cookie。 |
同時,也發現C君有上傳不雅圖片的行為,如圖14所示。
 |
| ▲圖14 攻擊者有上傳不雅圖片的行為。 |
最後,經調查人員訊問下,C君終於承認其利用XSS攻擊手法冒用該網站會員的身分,調查人員隨即將C君移送法辦。
結語
在數位達爾文主義及網路攻擊手法日新月異的情況下,企業更應該要注意新的攻擊手法,以便盡快進行防禦,將可能造成的傷害降至最低。若不幸發生資安攻擊事件,多半需要尋求執法機關的協助以保障自身權益。
因此,鑑識人員從數位證據中找出蛛絲馬跡,並推測其攻擊手法及攻擊來源,還原整起資安事件,是重要關鍵。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>