Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Uppdaterad | Publicerad - Windows

Vad bör man tänka på när man har en infekterad klient?

Innan man i panik rycker nätverkskabeln eller stänger av maskinen bör man....

Tänkt dig måndag morgon. Du sitter som vanligt och kikar igenom IDS-loggarna när du ser att en VPN-användare under helgen gjort flera konstiga anslutningar på både kända och okända portar mot en server i Kina. En del av anslutningarna har blockats av brandväggen och en del har släppts igenom. Av loggarna att döma ser det ut som det skickat en ansenlig mängd data genom uppkopplingarna. Snabbt kikar du i loggarna till VPN-server och identifierar användaren som den verkställande direktören på företaget. Svetten börjar rinna. Du känner all anledning till oro att hans dator kanske är infekterad med skadlig kod och att viktig information kan ha blivit stulen. Du rusar snabbt iväg till hans rum och ser han sitta där med arbetsdatorn.

Vad gör du?

I många fall kanske det inte handlar om en hög chef på företaget eller risk för en riktad attack. Den absoluta majoriteten av alla infektioner är masspridning av känd skadlig kod som används för tillgänglighetsattacker eller för att stjäla kreditkortinformation och inloggninsuppgifter. Gemensamt är dock att man bör göra en forensisk utredning där man använder forensiskt sunda metoder och det är en hel del man ska tänka på i början. Idag handlar det inte om man har infekterade klienter i sitt nätverk utan om man lyckas detektera dom eller ej. I takt med att minnet på klienterna blivit allt större och en ökad användning av kryptering har det blviit allt viktigare att man dumpar minnet på klienten innan man stänger av den för att göra en 1:1-kopia på disken. Ibland kan det även vara motiverat att göra en kopia på hela filsystemet när det körs. Bland de saker man kan hitta i minnet vid analys är bland annat dekrypterade binärer, kryptonycklar, aktiva nätverksanslutningar, dolda och hookade processer, konfigurationsfiler till den skadliga koden etc. En minnesdump kan ibland avsevärt underlätta eller vara helt avgörande för om en utredning ska lyckas eller ej.

Om det handlar om en virtualiserad server som blivit angripen och man inte vet hur man ska ta en minnesdump kan det vara enklare att "suspenda" maskinen och sedan kopiera ut filerna inklusive minnesdumpen till ett säkert ställe för vidare analys. Detta tillvägagångssätt fungerar oberoende av vilket gästoperativ som körs vilket gör det extra smidigt. I VMware som är den populäraste virtualiseringsmjukvaran så dumpas minnet till filen .vmem som ligger i samma katalog som gästoperativet.

Marknaden på klientsidan domineras av Windows och det är också där vi ser den största mängden skadlig kod. Vi ska därför kika närmare på några fria minnesdumpverktyg. Minnet i Windows kan dumpas på två olika sätt. Antingen via Kernel eller User-mode. Fördelen med att dumpa från Kernel-mode är att om det finns skadlig kod eller annat som körs som har anti-debugtekniska funktioner så är det inte säkert att resultatet blir helt tillförlitligt eller att man får med allt minne i dumpen.

Kernel mode dumpers:

Belkasoft Live RAM Capturer
http://forensic.belkasoft.com/en/ram-capturer

Moonsols Dumpit and Memory Toolkit
http://www.moonsols.com/resources/

User mode dumpers:

Volatility WinPmem
https://volatility.googlecode.com/svn/branches/scudette/docs/pmem.html

AccessData FTK Imager
http://www.accessdata.com/support/product-downloads

Mandiant Memoryze
https://www.mandiant.com/resources/downloads/

Så innan maskinen stängs av, se till att ha gjort en minnesdump. Den kan innehålla alla svar.