네트워크 또는 전원을 끌어 내시겠습니까? (루팅 된 서버 관리) 될 때까지 즉시 치료에

서버가 루팅되면 ( 예 : 이와 같은 상황 ) 가장 먼저 결정해야 할 것은 격리 입니다. 일부 보안 전문가는 법의학이 완료 될 때까지 즉시 치료에 들어 가지 않고 서버를 온라인 상태로 유지하는 것이 좋습니다. 이러한 조언은 보통 APT를 위한 것 입니다. 가끔씩 스크립트 키디 위반이 발생하는 경우와 다르므로 조기에 문제를 해결하기로 결정할 수 있습니다. 치료 단계 중 하나는 서버를 격리 하는 것입니다. Robert Moir의 답변 에서 인용 – “피해자를 대상에서 분리하십시오”.

네트워크 케이블 또는 전원 케이블 을 당겨 서버를 포함 할 수 있습니다 .

어떤 방법이 더 낫습니까?

다음의 필요성을 고려합니다.

  1. 추가 피해로부터 피해자를 보호
  2. 성공적인 법의학 집행
  3. (아마도) 서버에서 중요한 데이터 보호

편집 : 5 가정

가정 :

  1. 일찍 발견했습니다 : 24 시간.
  2. 조기 복구 : 작업에서 3 일 동안 1 명의 시스템 관리자 (법의학 및 복구).
  3. 서버가 서버 메모리의 내용을 캡처하는 스냅 샷을 작성할 수있는 가상 머신 또는 컨테이너가 아닙니다.
  4. 기소를 시도하지 않기로 결정했습니다.
  5. 침입자가 어떤 형태의 소프트웨어 (아마도 정교한)를 사용하고 있고이 소프트웨어가 여전히 서버에서 실행되고 있다고 의심합니다.

답변

APT에 직면 한 경우 가장 좋은 방법은 허니팟을 설정하고 서버 모니터링 외에도 허니팟을 통해 유입 및 유출되는 모든 트래픽을 철저히 조사하는 것입니다.

메모리를 통과하는 척도는 시간과 노력 측면에서 너무 비싸므로 다른 모든 방법을 시도하지 않으면 일반적으로 가치가 없으며, 가치가 있다고 판단되면 일반적으로 쉽게 덤프 할 수있는 허니팟을 설정하는 것이 가장 좋습니다 메모리와 시스템 상태를 즉시 다른 시스템에 전달하므로 시스템이 작동 중일 때 감지 될 위험이 줄어 분석 할 수 있습니다.

공격자가 로그를 제외하고 컴퓨터가 전원을 껐다 켜면 이미지와 똑같이 보이는 정도까지 메모리에 모든 것을 보관 한 상황이 하나있었습니다. 그런 다음 취약점이 여전히 존재하기 때문에 해킹 한 후 다시 사용하기 시작합니다. 백도어를 따로 두지 않아도됩니다. 여기에서 메모리 평가가 도움이되었지만이 경우 트래픽을 감시하면 취약점을 신속하게 식별 할 수 있습니다.

따라서:

전원을 끄고 오프라인 디스크 평가를 수행하지 않는 유일한 이유는 위협이 발생하고 작동하는 동안 위협에 대한 철저한 메모리 분석을 수행해야하는 경우입니다. 이것이 필요한 지점에 도달했다면 어느 한쪽 플러그를 뽑을 이유가 없습니다.

메모리 분석을 수행하지 않는 경우 전원 플러그를 뽑는 것이 최선의 방법입니다. 이더넷을 당기거나 종료 명령을 사용하면 공격자의 소프트웨어에 사전 통지 만하는 경우가 있습니다.

그래서:

메모리 분석을하지 않는 한 둘 다 당기지 마십시오.

답변

RAM 법의학 (예 : / dev / shm)이 도움이 될 수 있습니다.

그러나 나는 전원 케이블을 뽑는 것을 선호합니다 (그러나 로그인하고 rsync / proc을 바로 시도하십시오).

전원 케이블을 사용해야하는 이유는 다음과 같습니다.

  1. 해킹 된 시스템에서 법의학을 수행 할 때 “범죄 현장 전체를 밟고 있습니다”
  2. 루트 키트는 네트워크 링크 다운 이벤트 에서 악의적 인 사람이 무언가 (예 : 시스템 삭제)를 실행하기 어렵지 않게 계속 실행 됩니다.

Kyle Rankin은 법의학 강연에 대한 좋은 소개를 했으며, 전원 케이블을 뽑는 것이 좋습니다.

답변

네트워크를 분리하십시오. 네트워크에 연결되어 있지 않으면 공격자가 추가 정보를 가져올 수 없습니다. 힘없이 법의학을 수행하는 것은 매우 어렵습니다 (읽기 : 불가능).

답변

요즘에는 가상 머신이 될 수 있으므로 두 방법 모두 쉽고 원격으로 수행 할 수도 있습니다. (가상 머신은 물론 스냅 샷을 사용할 수도 있습니다)

네트워크에서 자동 첫 번째 단계로 연결을 끊는 것이 좋습니다. 이는 다음 단계에서 전원 코드를 잡아 당기거나 다른 것을 수행하는지 여부에 따라 다음 단계를 숙고 할 시간을 제공하기 때문입니다. 회사의 “보안 대응 절차”를 통해 기계를 자세히 파는 데 시간을 소비 할 수 없다면 RAM의 내용을 보존하는 것이 그렇게 중요하지 않을 수 있습니다.

나는 어떤 방식 으로든“피해자를 대상에서 분리하는 것”을 얻는 것이 방법보다 중요하므로 두 가지 접근 방식이 모두 유효하다고 제안합니다. 나는 직접 전원 코드를 뽑는 데 아무런 문제가 없을 것입니다.

답변

이것은 어느 쪽도 아니거나 상황이 아닙니다. 일반적으로 네트워크에서 제거 된 시스템에서 특정 법의학 (프로세스 덤프, 소켓 청취, / tmp의 파일 등)을 수행 한 다음 안전한 진단 프로그램에서 나머지 진단을 수행하려고합니다. 환경 (즉, 라이브 CD). 그러나 어떤 접근 방식도 옳지 않은 상황이 있으며 조직에 어떤 것이 있는지 생각하고 이해해야합니다.

답변

어떤 일을하기 전에 최종 기소에 대한 증거를 보존해야하는지 파악하십시오. 증거 처리는 매우 까다로운 주제이며 희미하게 훈련 된 사람에게는 적합하지 않습니다. 당신이 대답하면, 훈련 된 컴퓨터 법의학 담당자가 거기에서 그것을 취할 수 있습니다.

답변

서버 전원을 끌 필요가 없습니다. 경계 게이트웨이 / 라우터에서 연결을 비활성화 할 수 있습니다. 하나의 방화벽 규칙만으로도 추가로 송수신 된 패킷을 폐기 할 수 있습니다.