Dự Án Thực Hành Cuối Khóa CHFI v9 / Và Các Lớp Hacker Mũ Xám Level 3 _GCFI
Trường hợp rò rỉ dữ liệu
Mục đích của công việc này là tìm hiểu các loại rò rỉ dữ liệu khác nhau và thực hành các kỹ thuật điều tra của nó.
Tổng quan về tình huống
‘Iaman Informant’ đang làm quản lý bộ phận phát triển công nghệ tại một công ty quốc tế nổi tiếng OOO chuyên phát triển các công nghệ và tiện ích hiện đại.
Một ngày nọ, tại một nơi mà ‘Mr. Người đưa tin ‘đang đi công tác, anh ta nhận được lời đề nghị từ’ Kẻ âm mưu gián điệp ‘để rò rỉ thông tin nhạy cảm liên quan đến công nghệ mới nhất. Trên thực tế, ‘Mr. Kẻ âm mưu ‘là nhân viên của một công ty đối thủ, và’ Mr. Informant ‘quyết định chấp nhận lời đề nghị với số tiền lớn, và bắt đầu thiết lập một kế hoạch rò rỉ chi tiết.
‘Ông. Informant ‘đã cố tình che giấu kế hoạch rò rỉ. Anh ấy đã thảo luận nó với ‘Mr. Kẻ âm mưu ‘sử dụng dịch vụ e-mail như một mối quan hệ kinh doanh. Anh ta cũng gửi các mẫu thông tin bí mật thông qua lưu trữ đám mây cá nhân.
Sau khi nhận được dữ liệu mẫu, ‘Mr. Kẻ âm mưu ‘đã yêu cầu cung cấp trực tiếp các thiết bị lưu trữ đã lưu trữ (lượng lớn) dữ liệu còn lại. Cuối cùng, ‘Mr. Informant ‘đã cố gắng lấy các thiết bị lưu trữ của mình đi, nhưng anh ta và các thiết bị của mình đã bị phát hiện tại trạm kiểm soát an ninh của công ty. Và anh ta bị nghi ngờ làm rò rỉ dữ liệu của công ty.
Tại trạm kiểm tra an ninh, mặc dù các thiết bị của anh ấy (thẻ nhớ USB và đĩa CD) đã được kiểm tra một cách ngắn gọn (được bảo vệ bằng bộ chặn ghi di động), nhưng không có bằng chứng về bất kỳ sự rò rỉ nào. Và sau đó, chúng ngay lập tức được chuyển đến phòng thí nghiệm pháp y kỹ thuật số để phân tích thêm.
Các chính sách bảo mật thông tin trong công ty bao gồm:
- Các tệp điện tử bí mật phải được lưu trữ và lưu giữ trong các thiết bị lưu trữ bên ngoài được phép và các ổ đĩa mạng bảo mật.
- Các tài liệu giấy mật và tệp điện tử chỉ có thể được truy cập trong phạm vi thời gian cho phép từ 10:00 sáng đến 16:00 chiều với các quyền thích hợp.
- Không thể mang các thiết bị điện tử không được ủy quyền như máy tính xách tay, kho lưu trữ di động và thiết bị thông minh vào công ty.
- Tất cả nhân viên được yêu cầu phải đi qua hệ thống ‘Điểm kiểm tra an ninh’.
- Tất cả các thiết bị lưu trữ như HDD, SSD, thẻ nhớ USB và CD / DVD đều bị cấm theo quy tắc ‘Điểm kiểm tra bảo mật’.
Ngoài ra, mặc dù công ty quản lý các mạng nội bộ và bên ngoài riêng biệt và sử dụng các giải pháp DRM (Quản lý quyền kỹ thuật số) / DLP (Ngăn chặn mất dữ liệu) để bảo mật thông tin của họ, ‘Mr. Người cung cấp thông tin ‘có đủ thẩm quyền để qua mặt họ. Anh ấy cũng rất quan tâm đến CNTT (Công nghệ thông tin), và có một chút kiến thức về pháp y kỹ thuật số.
Trong trường hợp này, hãy tìm bất kỳ bằng chứng nào về việc rò rỉ dữ liệu và bất kỳ dữ liệu nào có thể được tạo ra từ các thiết bị điện tử của nghi phạm.
[ Xin lưu ý: Nếu bạn gặp bất kỳ sự cố nào khi nhấp vào liên kết để tải xuống tệp, vui lòng “nhấp chuột phải” và chọn “lưu dưới dạng”.]
Hệ thống và thiết bị mục tiêu
| Mục tiêu | Thông tin chi tiết | |
|---|---|---|
| Máy tính cá nhân (PC) | Kiểu | Hệ thống ảo |
| CPU | 1 bộ xử lý (2 lõi) | |
| RAM | 2.048 MB | |
| Kích thước ổ cứng | 20 GB | |
| Hệ thống tập tin | NTFS | |
| Địa chỉ IP | 10.11.11.129 | |
| Hệ điều hành | Microsoft Windows 7 Ultimate (SP1) | |
| Phương tiện có thể tháo rời # 1 (RM # 1) * | Kiểu | Thiết bị lưu trữ di động USB |
| Không có nối tiếp. | 4C530012450531101593 | |
| Kích thước | 4 GB | |
| Hệ thống tập tin | exFAT | |
| Phương tiện có thể tháo rời # 2 (RM # 2) | Kiểu | Thiết bị lưu trữ di động USB |
| Không có nối tiếp. | 4C530012550531106501 | |
| Kích thước | 4 GB | |
| Hệ thống tập tin | FAT32 | |
| Phương tiện có thể tháo rời # 3 (RM # 3) | Kiểu | CD-R |
| Kích thước | 700 MB | |
| Hệ thống tập tin | UDF |
* Thẻ nhớ USB được ủy quyền để quản lý các tập tin điện tử bí mật của công ty.
Thông tin dữ liệu thu được
Máy tính cá nhân (PC) – Hình ảnh ‘DD’
| Liên kết tải xuống | pc.7z.001 , pc.7z.002 , pc.7z.003 (tổng 5,05 GB được nén bởi 7zip) – băm |
| Hình ảnh S / W | FTK Imager 3.4.0.1 |
| Định dạng hình ảnh | được chuyển đổi từ VMDK |
Máy tính cá nhân (PC) – Hình ảnh ‘EnCase’
| Liên kết tải xuống | pc.E01 , pc.E02 , pc.E03 , pc.E04 (tổng cộng 7,28 GB được nén bởi EnCase) – hash |
| Hình ảnh S / W | EnCase Imager 7.10.00.103 |
| Định dạng hình ảnh | E01 (Định dạng nén của Expert Witness) được chuyển đổi từ VMDK |
Phương tiện có thể tháo rời # 1 (RM # 1) – Hình ảnh ‘EnCase’
| Liên kết tải xuống | rm # 1.E01 (tổng 74,5 MB được nén bởi EnCase) – hash |
| Hình ảnh S / W | FTK Imager 3.3.0.5 (bị chặn ghi bởi Tableau USB Bridge T8-R2) |
| Định dạng hình ảnh | E01 (Định dạng nén nhân chứng của chuyên gia) |
* RM # 1 không bắt buộc
Phương tiện có thể tháo rời # 2 (RM # 2) – Hình ảnh ‘DD’
| Liên kết tải xuống | rm # 2.7z (tổng 219 MB được nén bởi 7zip) – hash |
| Hình ảnh S / W | FTK Imager 3.3.0.5 (bị chặn ghi bởi Tableau USB Bridge T8-R2) |
| Định dạng hình ảnh | DD |
Phương tiện có thể tháo rời # 2 (RM # 2) – Hình ảnh ‘EnCase’
| Liên kết tải xuống | rm # 2.E01 (tổng 243 MB được nén bởi EnCase) – băm |
| Hình ảnh S / W | EnCase Imager 7.09.00.111 (bị chặn ghi bởi Tableau USB Bridge T8-R2) |
| Định dạng hình ảnh | E01 (Định dạng nén nhân chứng của chuyên gia) |
Phương tiện có thể tháo rời # 3 (RM # 3) – Hình ảnh ‘Raw / CUE’
| Liên kết tải xuống | rm # 3-type1,7z (tổng 92,8 MB được nén bởi 7zip) – băm |
| Hình ảnh S / W | FTK Imager 3.3.0.5 |
| Định dạng hình ảnh | RAW ISO / CUE (đôi khi là BIN / CUE) * |
* Tệp RAW ISO là một bản sao nhị phân nguyên từng khu vực của các bản nhạc trong đĩa gốc và tệp CUE là một tệp văn bản thuần túy lưu trữ thông tin của đĩa và các bản nhạc.
Phương tiện có thể tháo rời # 3 (RM # 3) – Hình ảnh ‘DD’
| Liên kết tải xuống | rm # 3-type2,7z (tổng 78,6 MB được nén bởi 7zip) – hash |
| Hình ảnh S / W | FTK Imager 3.3.0.5 + bchunk (http://he.fi/bchunk) |
| Định dạng hình ảnh | DD được chuyển đổi từ ‘RAW ISO + CUE’ |
Phương tiện có thể tháo rời # 3 (RM # 3) – Hình ảnh ‘EnCase’
| Liên kết tải xuống | rm # 3-type3.E01 (tổng 90,2 MB được nén bởi EnCase) – hash |
| Hình ảnh S / W | EnCase Imager 7.09.00.111 |
| Định dạng hình ảnh | E01 (Định dạng nén nhân chứng của chuyên gia) |
Thông tin dữ liệu bổ sung
Tệp hạt giống
| Liên kết tải xuống | seed-files.7z (tổng 150 MB được nén bởi 7zip) – hash |
| Thông tin tệp | – Tệp hạt giống được lưu trữ trong RM # 1 và ổ đĩa mạng dùng chung – Tệp cơ sở để tạo tệp hạt giống được chọn ngẫu nhiên từ Govdocs1 – Trang đầu tiên của mỗi tệp hạt giống được thêm theo cách thủ công – Danh sách tệp hạt giống và giá trị băm |
Điểm thực hành pháp y kỹ thuật số
Sau đây là tổng hợp các điểm thực hành chi tiết liên quan đến hình ảnh trên.
| Điểm thực hành | Sự miêu tả |
|---|---|
| Hiểu các loại rò rỉ dữ liệu | – Thiết bị lưu trữ > HDD (Hard DiskDrive), SSD (Solid State Drive) > Ổ flash USB, Thẻ nhớ Flash > CD / DVD (với Ổ đĩa quang) – Truyền mạng > Chia sẻ tệp, Kết nối máy tính từ xa > E-mail, SNS (Dịch vụ mạng xã hội) > Dịch vụ đám mây, Messenger |
| Windows Forensics | – Nhật ký sự kiện Windows – Các tệp và thư mục đã mở – Lịch sử sử dụng ứng dụng (có thể thực thi) – Bản ghi ghi đĩa CD / DVD – Thiết bị bên ngoài được gắn vào PC – Dấu vết kết nối ổ đĩa mạng – Bộ nhớ đệm hệ thống – Cơ sở dữ liệu Windows Search – Bản sao ổ đĩa |
| Hệ thống tập tin pháp y | – FAT, NTFS, UDF – Siêu dữ liệu (NTFS MFT, mục FAT Directory) – Dấu thời gian – Nhật ký giao dịch (NTFS) |
| Pháp y trình duyệt web | – Lịch sử, Bộ nhớ cache, Cookie – Lịch sử sử dụng Internet (URL, Từ khóa tìm kiếm…) |
| Pháp y qua e-mail | – Kiểm tra tệp MS Outlook – E-mail và tệp đính kèm |
| Cơ sở dữ liệu pháp y | – Cơ sở dữ liệu MS Extensible Storage Engine (ESE) – Cơ sở dữ liệu SQLite |
| Phục hồi dữ liệu đã xóa | – Phục hồi dựa trên siêu dữ liệu – Phục hồi dựa trên chữ ký & nội dung (còn gọi là Khắc) – Thùng rác của Windows – Kiểm tra khu vực không sử dụng |
| Phân tích hành vi người dùng | – Xây dựng dòng thời gian pháp y của các sự kiện – Hình dung dòng thời gian |
Câu hỏi
- Giá trị băm (MD5 & SHA-1) của tất cả hình ảnh là gì?
Giá trị băm xác minh và chuyển đổi có khớp nhau không? - Xác định thông tin phân vùng của ảnh PC.
- Giải thích chi tiết thông tin hệ điều hành đã cài đặt.
(Tên hệ điều hành, ngày cài đặt, chủ sở hữu đã đăng ký…) - Cài đặt múi giờ là gì?
- Tên máy tính là gì?
- Liệt kê tất cả các tài khoản trong OS ngoại trừ các tài khoản hệ thống: Administrator, Guest, systemprofile, LocalService, NetworkService . (Tên tài khoản, số lần đăng nhập, ngày đăng nhập cuối cùng…)
- Người dùng cuối cùng đăng nhập vào PC là ai?
- Ngày / giờ tắt máy được ghi lại lần cuối là khi nào?
- Giải thích thông tin của (các) giao diện mạng với địa chỉ IP do DHCP chỉ định.
- Nghi phạm đã cài đặt những ứng dụng nào sau khi cài đặt hệ điều hành?
- Liệt kê nhật ký thực thi ứng dụng.
(Đường dẫn thực thi, thời gian thực thi, số lần thực thi …) - Liệt kê tất cả các dấu vết về bật / tắt hệ thống và đăng nhập / đăng xuất của người dùng.
(Nó chỉ nên được xem xét trong khoảng thời gian từ 09:00 đến 18:00 trong múi giờ từ Câu hỏi 4.) - Những trình duyệt web nào đã được sử dụng?
- Xác định đường dẫn thư mục / tệp liên quan đến lịch sử trình duyệt web.
- Những trang web nào bị tình nghi truy cập? (Dấu thời gian, URL …)
- Liệt kê tất cả các từ khóa tìm kiếm bằng trình duyệt web. (Dấu thời gian, URL, từ khóa …)
- Liệt kê tất cả các từ khóa của người dùng tại thanh tìm kiếm trong Windows Explorer. (Dấu thời gian, Từ khóa)
- Ứng dụng nào đã được sử dụng để liên lạc qua e-mail?
- Tập tin e-mail nằm ở đâu?
- Tài khoản e-mail được nghi phạm sử dụng là gì?
- Liệt kê tất cả các e-mail của nghi phạm. Nếu có thể, hãy xác định các e-mail đã bị xóa.
(Bạn có thể xác định các mục sau: Dấu thời gian, Từ, Đến, Chủ đề, Nội dung và Phần đính kèm )
[Gợi ý: chỉ kiểm tra tệp OST.] - Liệt kê các thiết bị lưu trữ bên ngoài được gắn vào PC.
- Xác định tất cả các dấu vết liên quan đến ‘đổi tên’ tệp trong Windows Desktop.
(Nó chỉ nên được xem xét trong phạm vi ngày từ 2015-03-23 đến 2015-03-24.)
[Gợi ý: thư mục mẹ của các tệp được đổi tên đã bị xóa và các mục nhập MFT của chúng cũng bị ghi đè. Do đó, bạn có thể không tìm thấy đường dẫn đầy đủ của chúng.] - Địa chỉ IP của ổ đĩa mạng dùng chung của công ty là gì?
- Liệt kê tất cả các thư mục đã được duyệt qua trong ‘RM # 2’.
- Liệt kê tất cả các tệp đã được mở trong ‘RM # 2’.
- Liệt kê tất cả các thư mục đã được duyệt qua trong ổ đĩa mạng của công ty.
- Liệt kê tất cả các tệp đã được mở trong ổ đĩa mạng của công ty.
- Tìm dấu vết liên quan đến dịch vụ đám mây trên PC.
(Tên dịch vụ, tệp nhật ký …) - Những tệp nào đã bị xóa khỏi Google Drive?
Tìm tên tệp và dấu thời gian đã sửa đổi của tệp.
[Gợi ý: Tìm tệp nhật ký giao dịch của Google Drive.] - Xác định thông tin tài khoản để đồng bộ hóa Google Drive.
- Phương pháp (hoặc phần mềm) nào được sử dụng để ghi đĩa CD-R?
- Khi nào nghi phạm ghi đĩa CD-R?
[Gợi ý: Có thể là một hoặc nhiều lần.] - Những tệp nào đã được sao chép từ PC sang CD-R?
[Gợi ý: Chỉ sử dụng hình ảnh PC. Bạn có thể kiểm tra nhật ký giao dịch của hệ thống tệp cho tác vụ này.] - Những tệp nào được mở từ CD-R?
- Xác định tất cả các dấu thời gian liên quan đến tệp từ chức trong Windows Desktop.
[Gợi ý: tệp từ chức là tệp DOCX trong hệ thống tệp NTFS.] - Làm thế nào và khi nào nghi phạm in một hồ sơ từ chức?
- Các tệp ‘Thumbcache’ nằm ở đâu?
- Xác định các dấu vết liên quan đến các tệp bí mật được lưu trữ trong Thumbcache.
(Chỉ bao gồm ‘256’) - Các tệp Sticky Note nằm ở đâu?
- Xác định các ghi chú được lưu trữ trong tệp Sticky Note.
- Chức năng ‘Tìm kiếm và Lập chỉ mục của Windows’ đã được bật chưa? Làm thế nào bạn có thể xác định nó?
Nếu nó được bật, đường dẫn tệp của cơ sở dữ liệu chỉ mục ‘Tìm kiếm của Windows’ là gì? - Những loại dữ liệu nào được lưu trữ trong cơ sở dữ liệu Windows Search?
- Tìm dấu vết của việc sử dụng Internet Explorer được lưu trữ trong cơ sở dữ liệu Windows Search.
(Nó chỉ nên được xem xét trong phạm vi ngày từ 2015-03-22 đến 2015-03-23.) - Liệt kê các liên lạc e-mail được lưu trữ trong cơ sở dữ liệu Tìm kiếm của Windows.
(Nó chỉ nên được xem xét trong phạm vi ngày từ 2015-03-23 đến 2015-03-24.) - Liệt kê các tệp và thư mục liên quan đến Windows Desktop được lưu trữ trong cơ sở dữ liệu Windows Search.
(Thư mục Windows Desktop: \ Users \ Informant \ Desktop \) - Bản sao Volume Shadow được lưu trữ ở đâu? Chúng được tạo ra khi nào?
- Tìm dấu vết liên quan đến dịch vụ Google Drive trong Volume Shadow Copy.
Sự khác biệt giữa hình ảnh hệ thống hiện tại (của Câu hỏi 29 ~ 31) và VSC của nó là gì? - Những tệp nào đã bị xóa khỏi Google Drive?
Tìm các bản ghi đã xóa của bảng cloud_entry bên trong snapshot.db từ VSC.
(Chỉ cần kiểm tra cơ sở dữ liệu SQLite thôi. Hãy giả sử rằng tệp nhật ký dựa trên văn bản đã bị xóa.)
[Gợi ý: DDL của bảng cloud_entry như sau.]
TẠO BẢNG cloud_entry
(doc_id TEXT , tên tệp TEXT , INTEGER đã sửa đổi , đã tạo INTEGER , acl_role INTEGER ,
doc_type INTEGER , INTEGER đã loại bỏ , kích thướcINTEGER , checksum TEXT , shared INTEGER ,
resource_type TEXT , PRIMARY KEY (doc_id)); - Tại sao chúng tôi không thể tìm thấy dữ liệu e-mail của Outlook trong Volume Shadow Copy?
- Kiểm tra dữ liệu ‘Thùng rác’ trong PC.
- Những hành động nào đã được thực hiện để chống pháp y trên PC vào ngày cuối cùng ‘2015-03-25’?
- Khôi phục các tệp đã xóa từ ổ USB ‘RM # 2’.
- Những hành động nào đã được thực hiện để chống pháp y trên ổ USB ‘RM # 2’?
[Gợi ý: điều này có thể được suy ra từ kết quả của Câu hỏi 53.] - Những tệp nào đã được sao chép từ PC sang ổ USB ‘RM # 2’?
- Khôi phục các tập tin ẩn từ CD-R ‘RM # 3’.
Làm thế nào để xác định tên tệp thích hợp của tệp gốc trước khi đổi tên tác vụ? - Những hành động nào đã được thực hiện để chống pháp y trên CD-R ‘RM # 3’?
- Tạo một dòng thời gian chi tiết của các quá trình rò rỉ dữ liệu.
- Liệt kê và giải thích các phương pháp rò rỉ dữ liệu do nghi phạm thực hiện.
- Tạo một sơ đồ trực quan để tóm tắt kết quả.
Câu trả lời
Xem đáp án [ PDF , MS-Word ] (tài liệu v1.32 – cập nhật lần cuối vào ngày 23 tháng 7 năm 2018)
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) là một cơ quan của Bộ Thương mại Hoa Kỳ.
Chính sách bảo mật / thông báo bảo mật / tuyên bố trợ năng / Tuyên bố từ chối trách nhiệm
Bình luận kỹ thuật: cftt@nist.gov
Đào Tạo CEH - CHFI - ECSA - CPENT - LPT - PENTEST+ CySA+ SECURITY + 