Digitaalinen rikostekniikka sotilaskyberpoikkeamien hallinnassa

Digitaalinen rikostekniikka sotilaskyberpoikkeamien hallinnassa poikkeaa olennaisesti kaupallisesta poikkeamien hallinnasta. Erot eivät ole ensisijaisesti teknisiä — samat rikostekniikan periaatteet ja monet samat välineet soveltuvat — vaan menettelyllisiä, oikeudellisia ja operationaalisia. Luokitelluista järjestelmistä kerätty todistemateriaali on käsiteltävä luokiteltuna materiaalina koko tutkinnan ajan. Rikostekniikkatodisteiden säilytysketjun on täytettävä sekä turvaltajaluokituksen vaatimukset että oikeudelliset todistusaineistostandardit, jos tutkimus saattaa tukea syytteeseenpanoa tai tiedustelun attribuutiota. Ja tutkinnan on usein edettävä häiritsemättä aktiivisia operaatioita — vaarannettua järjestelmää, joka tukee aktiivista missiota, ei voida yksinkertaisesti ottaa offline-tilaan rikostekniikkakuvausta varten.

Tässä artikkelissa käsitellään sotilaallisten rikostekniikkatutkimusten muovaavia rajoitteita, live-rikostekniikan ja muistianalyysin teknisiä lähestymistapoja, aikajanarekonstraktion välineitä ja tekniikoita sekä sitä, miten rikostekniikkatodisteet edistävät uhkatoimijan attribuutiota MITRE ATT&CK-kehyksen avulla.

Sotilasrikostekniikan rajoitteet: luokittelu ja säilytysketju

Tärkein rajoite sotilasrikostieteessä on luokittelu. Rikostekniikkavedos kiintolevystä SECRET-verkon työasemalta on itsessään SECRET-artefakti. Se on säilytettävä SECRET-akkreditoidulla medialla, käsiteltävä asianmukaisen turvaluvan omaavan henkilöstön toimesta, välitettävä vain hyväksyttyjä kanavia pitkin ja lopulta hävitettävä luokittelun hävittämisvaatimusten mukaisesti. Tämä rajoite vaikuttaa jokaiseen rikostekniikkatyönkulun osa-alueeseen: analyysiin käytettävä työasema on akkreditoitava todisteiden luokittelutasolle; rikostekniikka-analyysiohjelmiston on oltava hyväksytty käytettäväksi luokitelluissa järjestelmissä; ja rikostekniikkaraportit on kirjoitettava ja käsiteltävä asianmukaisella luokittelutasolla.

Säilytysketjuvaatimukset tarkoittavat, että jokainen rikostekniikkatodisteiden käsittely on dokumentoitava: kuka keräsi ne, milloin, mitä välineitä ja menettelyjä käyttäen, kuka vastaanotti ne, miten ne säilytettiin ja kuka pääsi niihin käsiksi myöhemmin. Kaupallisessa poikkeamien hallinnassa säilytysketju on tärkeä lähinnä oikeudenkäyntejä varten. Sotilaallisessa kontekstissa se on tärkeä useisiin tarkoituksiin: mahdollinen rikosoikeudellinen syytteeseenpano (sisäpiiriuhkia tai kansallisvaltion toimijoita vastaan, joissa syytteeseenpanoa tavoitellaan), vastatiedusteluoikeudenkäynnit ja attribuutioraportit komentovaltuuksille, jotka käyttävät todisteita operatiivisten päätösten tukena.

Sotilasdigitaalisen rikostekniikan oikeudellinen kehys toimii sotilastuomioistuinlakien (UCMJ Yhdysvaltojen puolustusministeriön kontekstissa) sekä offensiivista kyberoperaatioita ja tiedusteluaktiviteetteja koskevien Title 10 ja Title 50 -valtuuksien puitteissa. Oikeudellinen valtuus, jonka nojalla rikostekniikkatutkimus suoritetaan, määrää mitä todisteiden keräysmenetelmiä on valtuutettu ja mihin todisteita voidaan käyttää — nämä erot on rikostekniikkatiimin ymmärrettävä ja noudatettava.

Todisteiden keruu häiritsemättä operaatioita: live-rikostekniikka vs. tilannekuva

Perinteinen rikostekniikkamenetelmä — sammuta järjestelmä, ota levykuva, analysoi kuva — on yhteensopimaton sotilasoperationaalisten vaatimusten kanssa monissa skenaarioissa. Komentopalvelinta, joka aktiivisesti koordinoi käynnissä olevaa operaatiota, ei voida sammuttaa. Kriittistä viestintäreleä, joka saattaa olla vaarantunut, ei voida ottaa offline-tilaan sen tukiessa missiota. Sotilasrikostekniikka vaatii kykyä kerätä todisteita live-järjestelmistä häiritsemättä niiden operationaalista toimintoa.

Live-rikostekniikka tarkoittaa haihtuvien tietojen keräämistä käynnissä olevasta järjestelmästä ennen sen sammuttamista tai eristämistä. Haihtuvat tiedot — RAM-sisältö, käynnissä olevat prosessit, avoimet verkkoyhteydet, ladatut ytimen moduulit, kirjautuneet käyttäjät, leikepöydän sisältö — katoavat virran katketessa. Monissa edistyneissä hyökkäyksissä arvokkain rikostekniikkatodiste on vain muistissa: tiedostottoman haittaohjelma, joka ei koskaan kirjoita levylle; salatut komento-ja-hallintakanavat, jotka näkyvät vain muistissa; salausavaimet, jotka avaavat pysyvät tietovarastot. Live-rikostekniikka kaappaa nämä todisteet ennen niiden katoamista.

Standardin live-rikostekniikkakerättävyysjärjestys noudattaa haihtuvuusjärjestystä: ensin RAM (haihtuvinta — sekunteja tai minuutteja), sitten verkkoyhteydet ja reititystaulukot, sitten käynnissä olevat prosessit ja avoimet tiedostot, sitten järjestelmäkonfiguraatio ja todennustila ja sitten levyartefaktit. Tämä järjestys varmistaa, että kaikkein lyhytkestoisimmat todisteet kaapataan ennen kuin mikään muu tutkimustoiminta häiritsee niitä.

Etä-live-rikostekniikka laajentaa tätä lähestymistapaa todisteiden keräämiseen ilman fyysistä pääsyä järjestelmään: EDR-alustojen kautta käyttöönotetut rikostekniikka-agentit voivat kerätä haihtuvia tietoja etäyhteyden kautta, mahdollistaen rikostekniikkahankinnan järjestelmiltä, joihin ei ole fyysistä pääsyä tai jotka ovat operatiivisesti kriittisiä. Air gap -luokitelluissa ympäristöissä, joissa kaupallisia EDR-agentteja ei ehkä ole hyväksytty, vastaava keruu on suoritettava turvaluvan omaavan analyytikon toimesta, jolla on fyysinen tai etähallintaoikeus järjestelmään.

Muistitiede: Volatility luokitelluissa ympäristöissä

Volatility Framework on alan standardi avoimen lähdekoodin väline muistitieteessä. Se analysoi RAM-vedoksia (hankittu live-rikostekniikkavälineillä kuten DumpIt, WinPmem tai AVML Linuxilla) rekonstruoidakseen järjestelmän tilan hankintahetkellä: käynnissä olevat prosessit (mukaan lukien prosessit, jotka piilottautuivat prosessitaulukosta juurikit-tekniikoilla), ladatut ytimen moduulit, verkkoyhteydet, muistiin ladatut rekisterin haarat, äskettäin suoritetut komennot ja haittaohjelman suorituksen artefaktit.

Muistin hankintatekniikoiden luokitelluissa ympäristöissä on oltava hyväksyttyjä kohteen luokittelutasolle. Fyysisen muistin hankintavälineet, jotka toimivat käyttöjärjestelmän omien muistinkäyttöliittymien kautta (kuten /proc/mem Linuxissa tai WinPmem Windowsissa), ovat yleensä vähemmän tunkeutuvia ja todennäköisemmin hyväksyttäviä kuin tekniikat, jotka vaativat ydinajureiden lataamisen. Korkeimmilla luokittelutasoilla muistin hankintamenettelyt saattavat olla määritelty järjestelmän turvallisuussuunnitelmassa ja niitä on noudatettava täsmälleen.

Tärkeimmät Volatility-laajennukset sotilaspoikkeamien hallinnassa ovat: pstree ja psscan (luettelee käynnissä olevat prosessit ja havaitsee piilotetut prosessit), netscan (luettelee verkkoyhteydet ja havaitsee suljetut mutta muistissa vielä olevat yhteydet), malfind (havaitsee injektoidun koodin prosessimuistitilassa), dlllist ja ldrmodules (luettelee ladatut DLL-tiedostot ja havaitsee DLL-kaappauksen) sekä cmdline/cmdscan/consoles (palauttaa komentojen suoritushistorian konsoliprosesseista).

Aikajanarekonstraktion: lokien ja verkkovirtojen korrelointi

Aikajanarekonstraktion rakentaa kronologisen kirjauksen hyökkääjän toiminnasta alkuperäisestä pääsystä havaitsemishetkeen saakka. Se korreloi todisteita useista lähteistä: Windows-tapahtumalokeja, Linux auditd:tä, tiedostojärjestelmän metatietoja (luomis-, muokkaus- ja käyttöaikaleimoja), verkkovirtarekistereitä (Zeek/Bro-logit, NetFlow), välityspalvelinlogeja ja muistitieteen löydöksiä.

Windows-tapahtumaloki-analyysi on aikajanarekonstraktion ydin Windows-järjestelmissä. Tärkeimmät tapahtumatunnukset hyökkäysaikajanarekonstrauktioon ovat: 4624/4625 (onnistunut/epäonnistunut kirjautuminen), 4688 (prosessin luominen — vaatii auditointipolitiikan, joka mahdollistaa komentorivikirjauksen), 4698/4702 (ajoitetun tehtävän luominen/muokkaus), 7045 (uusi asennettu palvelu), 1102 (auditointiloki tyhjennetty — itsessään indikaattori hyökkääjän rikostekniikanvastaisesta toiminnasta) ja 4720/4722/4726 (käyttäjätilin luominen, käyttöönotto ja poisto).

Linux auditd tarjoaa vastaavan kirjauksen Linux-järjestelmissä oikein konfiguroituna. Tärkeimmät auditointisäännöt hyökkäysaikajanarekonstrauktiolle kirjaavat arkaluonteisten komentojen suorituksia (id, whoami, passwd, su, sudo), tiedostomuutoksia arkaluonteisissa hakemistoissa (/etc, /bin, /sbin), odottamattomien prosessien verkkoyhteysyrityksiä ja oikeuksien muutoksia (setuid/setgid-operaatiot).

Zeek (aiemmin Bro) -verkkoanalyysikehys käsittelee pakettikaappauksia tai live-verkkoliikennettä ja tuottaa jäsenneltyjä lokitiedostoja, jotka kattavat HTTP-transaktiot, DNS-kyselyt, TLS-yhteydet (mukaan lukien sertifikaattimetatiedot), SSH-yhteydet ja havaitut protokollarikkomukset. Zeek-logit mahdollistavat verkon aikajanarekonstruktion — päätepisteiden lokeista johdetun hyökkääjän sivuttaisliike-aktiviteetin yhdistämisen verkkoviestinnän kirjauksiin korroboroitua aikajanaa varten.

Attribuutioanalyysi MITRE ATT&CK Navigatorin avulla

Attribuutio — tietyn tapahtuman yhdistäminen tiettyyn uhkatoimijaan — vaatii konvergenssia useista todistelajeista. Yksittäisen tapahtuman digitaalinen rikostekniikkatodiste tarjoaa TTP-todisteita: hyökkääjän käyttämät spesifit tekniikat, käyttämänsä välineet ja komento-ja-hallintaan käyttämänsä infrastruktuurin. Kun nämä TTPs:t verrataan tunnettuihin toimijaprofiileihin, voidaan tehdä attribuutiopäätelmä.

MITRE ATT&CK Navigator on verkkosovellus, jonka avulla analyytikot voivat visualisoida tekniikkakattavuuden ATT&CK-matriisissa ja merkitä tekniikat tietyn tutkinnan todisteilla. Analyytikko yhdistää jokaisen rikostekniikassa havaitun tekniikan ATT&CK-tunnukseensa luoden visuaalisen "lämpökartan" hyökkääjän käyttäytymisestä. Tätä lämpökarttaa verrataan sitten tunnettujen uhkaryhmien julkaistuihin profiileihin — jos havaittu tekniikkajoukko vastaa läheisesti tunnettua toimijaa, se on attribuutioindikaattori.

Attribuutiolla on sotilaallisessa kontekstissa operationaalinen merkitys tutkinnan ulkopuolella: tietyn valtiotoimijan attribuutio ohjaa komentovaltuuden päätöstä siitä, miten reagoida, mitä tiedustelutietoa jakaa kumppaneille ja mitä vastatiedustelutoimia tehdä. Rikostekniikkatodisteiden, jotka tukevat attribuutiota, on oltava dokumentoitu riittävällä tarkkuudella komentovaltuustason tarkasteluun — epäviralliset havainnot eivät riitä; todistusketjun rikostekniikka-artefakteista attribuutioarvioon on oltava selkeästi dokumentoitu ja puolustettavissa.