Kryminalistyka cyfrowa w wojskowym incydencie cybernetycznym: dochodzenie i reagowanie

Kryminalistyka cyfrowa w kontekście wojskowym — systematyczne zbieranie, zachowywanie i analizowanie dowodów cyfrowych po incydencie cybernetycznym — służy dwóm celom, które nie zawsze są zbieżne: wspieraniu natychmiastowego przywrócenia operacji i gromadzeniu dowodów wystarczających do atrybucji, a potencjalnie konsekwencji prawnych lub wojskowych. Jest to fundamentalne napięcie operacyjne, które wojskowe organizacje reagowania na incydenty muszą rozwiązać przed wystąpieniem incydentu, a nie w środku kryzysu.

Komercyjna kryminalistyka jest zoptymalizowana pod kątem dowodów prawnych i ścigania. Wojskowa kryminalistyka cybernetyczna jest przede wszystkim zoptymalizowana pod kątem zrozumienia ataku i wspierania decyzji operacyjnych — atrybucja aktora, analiza TTP w celu identyfikacji innych potencjalnie skompromitowanych systemów, przywrócenie zdolności operacyjnej — przy jednoczesnym zachowaniu swobody działania dla konsekwencji prawnych lub operacyjnych, jeśli taka decyzja zostanie podjęta później.

Analiza pamięci: Volatility i techniki kryminalistyki na żywo

Volatility jest de facto standardem dla analizy kryminalistycznej pamięci open source. Analizuje zrzuty RAM (pozyskane z systemów na żywo za pomocą takich narzędzi jak winpmem, LiME lub migawka VMware) w celu odzyskania cennych dowodów: uruchomione procesy i ich relacje rodzic-dziecko, ustanowione połączenia sieciowe, załadowane moduły jądra, odszyfrowane ciągi z zaszyfrowanych ładunków, klucze rejestru i uchwyty plików dostępne tylko w pamięci, a nie na dysku.

Dla systemów Windows wtyczki Volatility zapewniają szczegółową analizę: pslist/pstree do wyliczania procesów z hierarchiami rodzic-dziecko, netscan do połączeń sieciowych (w tym połączeń TCP do infrastruktury C2), malfind do wykrywania wstrzyknięcia złośliwych stron pamięci do legalnych procesów, dlllist do wyliczania bibliotek DLL załadowanych przez każdy proces. Dla systemów Linux wtyczki linux_bash i linux_netstat zapewniają podobne możliwości.

Czas przechwytywania pamięci jest krytycznym ograniczeniem operacyjnym. Zrzut pamięci z systemu z 32 GB RAM zajmie znaczną ilość czasu w zależności od prędkości przechowywania. Dla systemów na żywo w środowiskach wrażliwych na czas taktyka "kryminalistyki na żywo" — przechwytywanie tylko kluczowych artefaktów pamięci zamiast pełnego zrzutu — może być operacyjnie korzystniejsza, nawet jeśli jest mniej kompletna kryminalistycznie.

Zachowywanie dowodów i łańcuch dowodowy

Łańcuch dowodowy — udokumentowany zapis każdego dotknięcia dowodów cyfrowych, kto i kiedy — jest niezbędny, aby dowód kryminalistyczny wytrzymał kontrolę w kontekście prawnym lub sądowo-wojskowym. Dla wojskowych badaczy incydentów cybernetycznych oznacza to: dokumentowanie, kiedy i jak dowody zostały pozyskane (w tym wartości skrótów do weryfikacji integralności), rejestrowanie wszystkich analiz przeprowadzonych na dowodach, przechowywanie oryginalnych dowodów (zaszyfrowanych dysków i zrzutów pamięci) w ograniczonym dostępie i niezmiennym przechowywaniu, wykonywanie analizy tylko na zweryfikowanych kopiach.

Haszowanie SHA-256 każdego pliku dowodowego przy pozyskiwaniu oraz przed i po każdej sesji analitycznej dostarcza matematyczny dowód, że dowód nie był modyfikowany. Narzędzia kryminalistyczne takie jak dd i dcfldd automatyzują ten proces. Przechowywanie dowodów powinno obejmować zarówno podstawowe, jak i kopię zapasową przechowywania z dziennikiem dostępu.

Kryminalistyka sieciowa: Zeek i rekonstrukcja ruchu

Dowody sieciowe — zapisy ruchu, dzienniki DNS, NetFlow — zapewniają chronologię wydarzeń incydentu, która może być niedostępna z pojedynczego skompromitowanego hosta. Zeek (dawniej Bro) jest de facto standardem dla analizy sieci: generuje ustrukturyzowane dzienniki (conn.log, dns.log, http.log, ssl.log, files.log) z surowego ruchu przechwyconego przez skonfigurowane dublowanie portów lub pasywne odgałęzienia. Dzienniki te mogą być przeglądane retrospektywnie dzięki buforowanemu przechwytywaniu pełnych pakietów.

Rekonstrukcja ruchu z pełnych pakietów zapewnia najwyższą rozdzielczość kryminalistyczną: Wireshark i tcpdump mogą odtworzyć rzeczywistą zawartość sesji z przechwyconego ruchu pakietów, umożliwiając badaczom odtworzenie eksfiltrowanej zawartości, zobaczenie dokładnych poleceń wydanych w sesjach SSH lub weryfikację zawartości podejrzanych pobrań. Dla zaszyfrowanych sesji (TLS) rekonstrukcja zawartości jest niemożliwa bez kluczy sesji; jednak metadane (czas trwania sesji, wolumeny danych, certyfikaty serwera) pozostają kryminalistycznie cenne.

Mapowanie MITRE ATT&CK: strukturyzacja wyników kryminalistycznych

Mapowanie wyników kryminalistycznych do macierzy MITRE ATT&CK — hierarchicznej taksonomii TTP (Tactics, Techniques, Procedures) zagrożeń cybernetycznych — zapewnia ustrukturyzowany sposób komunikowania obserwowanego zachowania atakujących. Zamiast surowych szczegółów technicznych, mapowanie ATT&CK dostarcza znormalizowany opis, który jest zrozumiały dla analityków w różnych organizacjach i platformach wymiany informacji.

ATT&CK Navigator pozwala badaczom wizualizować cały łańcuch ataku jako mapę cieplną macierzy ATT&CK, ujawniając pełną sygnaturę TTP ataku. Dla wojskowych organizacji ta sygnatura TTP jest głównym wynikiem analitycznym dochodzenia kryminalistycznego: informuje zadania threat huntingu w innych potencjalnie skompromitowanych systemach, ulepszenia wykrywania poprzez dostrajanie reguł SIEM i wymianę danych atrybucyjnych z organizacjami sojuszniczymi przez standardowe formaty wymiany danych wywiadowczych (STIX/TAXII). W kontekście MON jest to fundament dla skutecznej współpracy w ramach Grupy ds. Cyberobrony.