看不到的痕迹证据——近源攻击事件回溯

其他

案例

随笔

声音

知识

电子取证是一门严谨的科学，鉴定人员必须善用工具而不过分依赖工具。当取证工具力不从心之时，切莫轻言放弃，鉴定人员更要冷静沉着，越是能够掌握物证的特性，越有可能突破重重取证难关，在错综复杂的案情中发现破案关键。

某工厂发生了一起匪夷所思的商业间谍入侵事件。有个身份不明的人假扮为集团总部派来巡查信息系统的高级管理人员，抢在真正的信息安全巡检工程师之前抵达，冒名接受热诚款待并深入IT部门“督察指导”，表面上逐一实地检查主机房的网络设备、主机群及各项重要服务，甚至抽查办公区域及车间，实则趁夜回到主机房停留了几个小时，隔天一早就离开厂方安排的饭店，不知去向。

鉴定专家介入 厘清事件蹊跷

事后该厂上下并未发现实物损失所以没有声张，但是聘请鉴定专家R进行调查，希望厘清其中蹊跷。首先是，该名商业间谍为何要冒险亲身进入主机房？R认为，尽管远程连线更加方便，但若其目的是拷贝大量数据，且必须要在一定时间之内完成的话，则必然要采用最高效的方式，那就是直接在目标电脑接上储存设备。此外，若他本人以总部督察身份亲自进入机房动手，可以最大程度确保任务过程顺利不致受到干扰，即使出现状况也能立刻排除。

R以一台电脑进行示范，从本地磁盘把文件夹及文件拷贝到USB外接式储存设备，这个操作本身其实是不会直接在操作系统留下记录。因此，这件事是“看不到”的，这也意味着，倘若只把焦点放在显在的证据时，往往便只会据此进行分析调查，如此一来便忽略了“看不到”的痕迹证据。其实，即使没有如DLP等外部防护系统，仅仅只从该电脑本身来查看，“拷贝资料到外部储存装置”这件事仍可能由USB储存设备的插拔记录找到蛛丝马迹，如图1所示。

图1 USB储存设备的插拔记录。

即使USB插拔记录的时间戳（Timestamp）会有不准确的情况，我们也可以从事件查看器找到一些线索。事实上，与PnP有关的事件日志，记录了USB储存设备的使用记录，包括时间点、Vendor ID、Product ID及序号，如图2所示。

图2 事件日志中存在USB储存设备使用记录。

借助jumplist 确认拷贝事实

即便证实了在那时段有使用USB储存设备，但还有什么证据能够证明有拷贝数据这回事呢？答案就是“jumplist”。从中可以明确看出拷贝数据至外部设备的发生时间点及目的地路径，且在将本机现有分区的磁盘盘符排除后，得知字段Full Path中显示的E盘即属于USB外接式设备上的分区，如图3所示。

图3 jumplist可得知拷贝资料的时间及目的地路径。

到此已得知外部设备的相关信息，但该如何查出是本机上的哪个分区中的哪些文件被拷贝带走呢？R模拟了当晚商业间谍拷贝大量资料的情况，查看各分区文件系统的Timeline变化。果然，被选取及拷贝到外部设备的那些来源文件，其访问时间（Accessed Time）都变成了拷贝数据当下的时间点，如图4中的「存取日期」栏位内容所示。

图4 来源文件的Timestamp变化。

采用仿真程序 挂载导出所窃资料

鉴定专家R判断，当晚间谍的目标十分明确，即IT人员制作的定期备份资料或整个硬盘的备份文件，这是其首要目标。另外，除了获取备份资料，他还需要连夜进行仿真，挂载刚得手的备份文件，将里头的重要资料导出，毕竟这可是跟买家谈价格的筹码，如图5所示。

图5 挂载备份文件。

之所以要进行仿真，是因为商业间谍想卖的不只是资料，还有整套“系统”，所以必须让扮演不同角色及提供相关服务的计算机都开机运行才行。

R以一个由Windows计算机所生成的完整镜像文件为例开始进行示范，“仿真”的原理在于将静态的镜像文件用工具进行挂载，以模拟出原有硬盘内容，如图6所示。

图6 挂载镜像以模拟出原有硬盘内容。

然后，再根据硬盘内容生成一份快照（Snapshot），就像是为该计算机造了一个分身虚拟机以进行“开机”，如图7所示。

图7 建立快照。

此时，这份快照即等同于该电脑，但是可以在缺少该电脑硬件的情况下开机运行，模拟仿真成功即可看到登入画面，如图8所示。至于密码，肯定是他白天大摇大摆“视察”时就已顺利得到。

图8 仿真成功即可开机运行。

这个手法确实十分高明，一般来说，如果想把几台电脑给偷出来，那就一定会闹出不小的动静，毕竟体积如此庞大过于显眼，对罪犯而言绝非明智之举，但若是采用“仿真”技术，那就如同是把想偷的那些计算机“缩小”，再装进准备好的储存设备后悄无声息地带走。

共犯使用Dual Messengers应用分身彼此联系

至于商业间谍是如何能即时在通讯群内收发信息，以致全厂上下都对其身份毫无怀疑？当日陪同假冒上级“巡检”的IT部门人员回忆，过程中时不时就看到他用WhatsApp及Telegram等聊天App，奇怪的是界面与一般常见的似乎不太一样，如图9、图10所示。

图9 WhatsApp画面。       

图10 Telegram画面。

原来这“Dual Messengers”是 iPhone 上的「应用分身」，可让用户在一台 iPhone 上同时使用原始及分身 App。许多人知道部分品牌的安卓手机上有应用分身的存在，却不曾想 iPhone 上竟然同样也有，而且这“Dual Messengers”之中不仅仅有 WhatsApp，还包括了如图 11 所示的聊天类 App。

图11 iPhone上的应用分身。

即便得到这部iPhone，恐怕也不能从其中恢复出分身App的聊天内容，这是因为“Dual Messengers”并未在本地存储数据。另外，想要直接对聊天记录进行截图也不行，因为一开启「Dual Messengers」就得先输入Passcode解锁才行，如图12所示。

图12 要求输入Passcode。

此外，不排除这个商业间谍曾在该集团的总部任职过，或曾到过旗下某厂进行信息安全巡查，因此对于整个运作流程了如指掌，熟悉环节上有所漏洞。也正是由于如此，他才能在真正的巡检人员抵达前，冒充其身份顺利带走资料且进行仿真，但这也成为后续调查的线索。

【编者按】天空中没有翅膀的痕迹，但鸟儿已经飞过……

原文始发于微信公众号（信息时代的犯罪侦查）：“看不到”的痕迹证据——近源攻击事件回溯