Criminalistică digitală în răspunsul la incidente cibernetice militare

Criminalistică digitală în contextul răspunsului la incidente cibernetice militare este fundamental diferită de răspunsul la incidente comerciale. Diferențele nu sunt în primul rând tehnice — aceleași principii criminalistice și multe dintre aceleași instrumente se aplică — ci procedurale, juridice și operaționale. Dovezile colectate din sistemele clasificate trebuie gestionate ca material clasificat pe tot parcursul investigației. Lanțul de custodie pentru dovezile criminalistice trebuie să satisfacă atât cerințele de clasificare de securitate cât și standardele probatorii juridice dacă investigația poate suporta urmărirea penală sau atribuirea informațiilor. Și investigația trebuie să procedeze frecvent fără a perturba operațiunile active — un sistem compromis care sprijină o misiune activă nu poate fi pur și simplu scos offline pentru imagistică criminalistică.

Acest articol acoperă constrângerile care modelează investigațiile criminalistice militare, abordările tehnice pentru criminalistică live și analiza memoriei, instrumentele și tehnicile pentru reconstrucția cronologiei și cum contribuie dovezile criminalistice la atribuirea actorilor de amenințare folosind cadrul MITRE ATT&CK.

Constrângerile criminalisticii militare: Clasificarea și lanțul de custodie

Cea mai fundamentală constrângere în criminalistică militară este clasificarea. O imagine criminalistică a unui hard drive de la o stație de lucru din rețeaua SECRET este ea însăși un artefact SECRET. Trebuie stocată pe suporturi acreditate pentru SECRET, gestionată de personal cu autorizările corespunzătoare, transmisă numai prin canale aprobate și în cele din urmă eliminată în conformitate cu cerințele de distrugere a clasificării. Această constrângere afectează fiecare aspect al fluxului de lucru criminalistic: stația de lucru unde se efectuează analiza trebuie acreditată pentru nivelul de clasificare al dovezilor; software-ul de analiză criminalistică trebuie aprobat pentru utilizare pe sistemele clasificate; iar rapoartele criminalistice trebuie scrise și gestionate la nivelul de clasificare corespunzător.

Cerințele lanțului de custodie înseamnă că fiecare gestionare a dovezilor criminalistice trebuie documentată: cine le-a colectat, când, cu ce instrumente și proceduri, cine le-a primit, cum au fost stocate și cine a accesat-le ulterior. Într-un context de răspuns la incidente comerciale, lanțul de custodie este important în primul rând pentru litigii. Într-un context militar, este important pentru multiple scopuri: potențiala urmărire penală (a amenințărilor din interior sau a actorilor statali unde urmărirea penală este urmărită), proceduri de contrainformații și raportarea atribuirii către autoritățile de comandă care vor folosi dovezile pentru a informa deciziile operaționale.

Cadrul juridic pentru criminalistică digitală militară operează sub statutele justiției militare (UCMJ în contextul DoD din SUA) precum și autoritățile Titlului 10 și Titlului 50 care guvernează operațiunile cibernetice ofensive și activitățile de informații. Autoritatea juridică sub care se desfășoară o investigație criminalistică determină ce metode de colectare a dovezilor sunt autorizate și pentru ce poate fi folosită dovada — aceste distincții trebuie înțelese și respectate de echipa criminalistică.

Colectarea dovezilor fără perturbarea operațiunilor: Criminalistică live vs instantaneu

Abordarea criminalistică tradițională — opriți sistemul, imaginați discul, analizați imaginea — este incompatibilă cu cerințele operaționale militare în multe scenarii. Un server de comandă care coordonează activ o operațiune în desfășurare nu poate fi oprit. Un releu de comunicații critic care poate fi compromis nu poate fi scos offline cât timp sprijină o misiune. Criminalistică militară necesită capacitatea de a colecta dovezi din sistemele live fără a perturba funcția lor operațională.

Criminalistică live implică colectarea datelor volatile dintr-un sistem în rulare înainte de a fi oprit sau izolat. Datele volatile — conținutul RAM, procesele în rulare, conexiunile de rețea deschise, modulele kernel încărcate, utilizatorii autentificați, conținutul clipboard-ului — dispar când alimentarea este scoasă. Pentru multe atacuri avansate, cele mai valoroase dovezi criminalistice există numai în memorie: malware fără fișiere care nu scrie niciodată pe disc, canale de comandă și control criptate vizibile numai în memorie, chei de criptare care deblochează depozite de date persistente. Criminalistică live capturează aceste dovezi înainte de a fi pierdute.

Secvența standard de colectare a criminalisticii live urmează ordinea volatilității: RAM mai întâi (cel mai volatil — secunde la minute), apoi conexiunile de rețea și tabelele de rutare, apoi procesele în rulare și fișierele deschise, apoi configurația sistemului și starea de autentificare, apoi artefactele de disc. Această ordine asigură că cele mai efemere dovezi sunt capturate înainte ca orice activitate de investigare suplimentară să le perturbe.

Criminalistică live de la distanță extinde această abordare pentru a colecta dovezi fără acces fizic la sistem: agenții criminalistici implementați prin platformele EDR pot colecta date volatile de la distanță, permițând achiziția criminalistică din sisteme care sunt inaccesibile fizic sau critice operațional. Pentru mediile clasificate air-gapped unde agenții EDR comerciali pot să nu fie aprobați, colectarea echivalentă trebuie efectuată de un analist autorizat cu acces fizic sau administrativ de la distanță la sistem.

Criminalistică memoriei: Volatility în mediile clasificate

Cadrul Volatility este instrumentul open-source standard în industrie pentru criminalistică memoriei. Analizează dump-uri RAM (achiziționate prin instrumente de criminalistică live precum DumpIt, WinPmem sau AVML pe Linux) pentru a reconstrui starea unui sistem la momentul achiziției: procese în rulare (inclusiv procesele care se ascundeau din tabelul de procese prin tehnici rootkit), module kernel încărcate, conexiuni de rețea, hive-uri de registru încărcate în memorie, comenzi executate recent și artefacte ale execuției malware.

Tehnicile de achiziție a memoriei pentru mediile clasificate trebuie aprobate pentru utilizare la nivelul de clasificare al sistemului țintă. Instrumentele de achiziție a memoriei fizice care operează prin interfețele de acces la memorie ale propriului sistem de operare (precum /proc/mem pe Linux sau WinPmem pe Windows) sunt în general mai puțin intruzive și mai probabil să fie aprobabile decât tehnicile care necesită încărcarea de drivere kernel. Pentru cele mai înalte niveluri de clasificare, procedurile de achiziție a memoriei pot fi specificate în planul de securitate al sistemului și trebuie urmate exact.

Plugin-urile Volatility cheie pentru răspunsul la incidente militare includ: pstree și psscan (enumerați procesele în rulare și detectați procesele ascunse), netscan (enumerați conexiunile de rețea și detectați conexiunile care au fost închise dar sunt încă în memorie), malfind (detectați codul injectat în spațiul de memorie al proceselor), dlllist și ldrmodules (enumerați DLL-urile încărcate și detectați deturnarea DLL) și cmdline/cmdscan/consoles (recuperați istoricul execuției comenzilor din procesele de consolă).

Reconstrucția cronologiei: Corelarea jurnalelor și a fluxurilor de rețea

Reconstrucția cronologiei construiește o înregistrare cronologică a activității atacatorului de la momentul accesului inițial până la punctul de detectare. Corelează dovezi din mai multe surse: Jurnalele de evenimente Windows, Linux auditd, metadatele sistemului de fișiere (crearea, modificarea, marcajele temporale de acces), înregistrările de flux de rețea (jurnalele Zeek/Bro, NetFlow), jurnalele proxy și constatările criminalisticii memoriei.

Analiza Jurnalelor de evenimente Windows este nucleul reconstrucției cronologiei pe sistemele Windows. ID-urile de evenimente cheie pentru reconstrucția cronologiei atacului includ: 4624/4625 (autentificare reușită/eșuată), 4688 (creare proces — necesită activarea politicii de audit pentru logarea liniei de comandă), 4698/4702 (creare/modificare sarcini planificate), 7045 (serviciu nou instalat), 1102 (jurnalul de audit șters — el însuși un indicator al activității anti-criminalistice a atacatorului) și 4720/4722/4726 (creare cont de utilizator, activare și ștergere).

Linux auditd oferă logare echivalentă pe sistemele Linux când este configurat corespunzător. Regulile cheie de audit pentru reconstrucția cronologiei atacului înregistrează execuțiile comenzilor sensibile (id, whoami, passwd, su, sudo), modificările fișierelor în directoare sensibile (/etc, /bin, /sbin), tentativele de conexiune la rețea din procese neașteptate și schimbările de privilegii (operațiunile setuid/setgid).

Zeek (anterior Bro) cadrul de analiză de rețea procesează capturile de pachete sau traficul de rețea live și produce fișiere jurnal structurate care acoperă tranzacțiile HTTP, interogările DNS, conexiunile TLS (inclusiv metadatele certificatelor), conexiunile SSH și violările de protocol detectate. Jurnalele Zeek permit reconstrucția cronologiei rețelei — potrivind activitatea de mișcare laterală a atacatorului inferată din jurnalele endpoint cu înregistrările de comunicații de rețea pentru a construi o cronologie coroborată.

Analiza atribuirii folosind MITRE ATT&CK Navigator

Atribuirea — conectarea unui incident specific la un actor specific de amenințare — necesită convergență între mai multe tipuri de dovezi. Dovezile criminalistice digitale dintr-un singur incident furnizează dovezi TTP: tehnicile specifice pe care le-a folosit atacatorul, instrumentele pe care le-a implementat, infrastructura pe care a folosit-o pentru comandă și control. Când aceste TTP-uri sunt comparate cu profilurile actorilor cunoscuți, se poate face inferința de atribuire.

MITRE ATT&CK Navigator este o aplicație web care permite analiștilor să vizualizeze acoperirea tehnicilor pe matricea ATT&CK și să adnoteze tehnicile cu dovezi dintr-o investigație specifică. Analistul mapează fiecare tehnică observată criminalistic la ID-ul ATT&CK corespunzător, creând o "hartă termică" vizuală a comportamentului atacatorului. Această hartă termică este apoi comparată cu profilurile publicate ale grupurilor de amenințare cunoscute — dacă setul de tehnici observat se potrivește îndeaproape cu profilul unui actor cunoscut, constituie un indicator de atribuire.

Atribuirea într-un context militar are semnificație operațională dincolo de cea investigativă: atribuirea unui actor statal specific informează decizia autorității de comandă despre cum să răspundă, ce informații să partajeze cu partenerii și ce acțiuni de contrainformații să întreprindă. Dovezile criminalistice care suportă atribuirea trebuie documentate cu suficientă rigoare pentru a rezista scrutinului la nivelul autorității de comandă — observațiile informale sunt insuficiente; lanțul de dovezi de la artefactele criminalistice la evaluarea atribuirii trebuie clar documentat și defensibil.