Řešení incidentu na MU: Jak sbírat data z napadeného zařízení
Tento návod specifikuje postupy pro efektivní sběr forenzně relevantních dat z napadeného zařízení v kontextu řešení bezpečnostních incidentů. Návod se vztahuje výhradně na fyzické servery a počítače. Zaměřuje se na operační systémy Windows a Unix-like. Nejedná se o obecný metodický dokument – návod je cíleně přizpůsoben interním procesům a technickým požadavkům CSIRT-MU.
Řešíte-li incident, při němž došlo k napadení zařízení – například nasazením malware, nebo přímým přístupem útočníka – CSIRT-MU může podle typu a závažnosti požadovat různý rozsah dat. Napadené zařízení může sloužit útočníkovi jako vstupní bod do sítě, zdroj dat či nástroj pro další šíření, a tomu odpovídá i volba forenzních postupů:
a) Základní logy a artefakty
(např. běžící procesy, otevřená síťová spojení v době extrakce), postačí v případech, kdy je příčina infekce známá nebo lze její původ odhadnout.
b) Kompletní obraz disku
pro detailní forenzní (hloubkovou) analýzu, je nutný tehdy, pokud není jasné, jak k nákaze došlo, ale je potvrzeno, že zařízení bylo napadeno.
Tento návod navazuje na první vyhodnocení incidentu ze strany CSIRT-MU. O tom, jaký postup zvolit, rozhoduje CSIRT-MU. Správce se řídí pokyny, aby nedošlo k poškození důkazů. Po odeslání dat správce sám neprovádí žádné další zásahy (např. čištění, připojení zpět do sítě), dokud nedostane pokyny od CSIRT-MU. Je možné, že si tým dodatečně vyžádá další data (např. obraz disku i po odeslání logů).
ČTĚTE DŮSLEDNĚ: Na co si dát pozor před a při extrakci dat!
Níže uvádíme souhrn pravidel, která je nutné dodržet při sběru logů i při vytváření obrazu disku. Upozornění: Data na napadeném zařízení mohou být kompromitovaná – útočník k nim mohl mít plný přístup. Nepodceňujte proto význam sběru dat a předání výstupů CSIRT-MU. V případě nejasností se vždy prosím obraťte na csirt@muni.cz.
Obecné zásady
- Operace „write“: Vyhněte se zbytečným operacím zápisu na napadeném zařízení (např. spouštění programů, přesun souborů). Každý zásah může ovlivnit kvalitu důkazů, neboť malware má tendenci sám o sobě zahlazovat stopy.
- Externí paměťová zařízení (EPZ): Pro sběr dat potřebujete externí médium (např. USB flash disk nebo externí disk), na které uložíte jak forenzní nástroje, tak výsledná data.
- Logy: stačí jedno EPZ – použije se současně pro spuštění nástrojů a uložení výstupů.
- Obraz disku: Počítejte se dvěma EPZ – jedno menší (např. USB pro bootovací Linux), jedno větší (externí disk pro uložení obrazu).
- Bezpečnost EPZ: Riziko nákazy je při dodržení návodu minimální, přesto se nedoporučuje používat EPZ s citlivými daty nebo zálohy.
- Velikost EPZ: U EPZ, na které budete ukládat obraz disku, musí být jeho kapacita alespoň stejná jako velikost dat na disku (nikoli nutně celková velikost disku, ale jen obsazená data). Ani při použití komprese není výstup o mnoho menší. Pozor ale na šifrované disky – u nich bude nutné mít EPZ o velikosti odpovídající celému disku, ze kterého vytváříme obraz, protože se při šifrování do dat započítává i ‚prázdné místo‘, které se u nešifrovaných disků ignoruje. Výstup z logů bývá relativně malý – zpravidla nepřesahuje 10 GB, a to ani na systémech Windows.
Specifické konfigurace a software: Informujte CSIRT-MU, pokud napadené zařízení obsahuje specifický software nebo data, která mohou být důležitá pro vyšetřování incidentu – například pokud generuje citlivá nebo vědecká data. Zároveň uveďte, zda je zařízení nebo některá jeho služba dostupná z veřejného internetu, nebo zda je přístupné v rámci celé sítě MUNI (a nikoli jen v omezeném segmentu). Totéž platí, pokud bylo logování upraveno, omezeno nebo neprobíhá standardně.
Požadavky pro vytvoření obrazu disku
- Šifrované disky: Pokud je disk chráněn (např. BitLocker), informujte CSIRT-MU, připravte klíč (secrets) a dořešte s nimi jeho předání.
- Rozsah disků a jejich oddílů: Ideálně požadujeme úplný obraz všech disků a oddílů. Pokud to není možné (např. kvůli citlivým datům nebo velkému objemu), konzultujte s CSIRT-MU, co lze bezpečně poskytnout – je nutné to oznámit předem.
- Ověření připojených disků a oddílů:
- Ve Windows můžete například použít jedno z následujících:
- Stiskněte Win + R, zadejte diskmgmt.msc a potvrďte Enter – otevře se Správa disků.
- Otevřete cmd.exe (jako správce) a zadejte zadejte postupně následující příkazy
- diskpart
- list disk
- Otevřete Tento počítač (Win + E). V sekci Zařízení a jednotky uvidíte přiřazená písmena (C:, D:, ...), ale nezobrazí se všechny skryté/nesystémové oddíly.
- Systém Linux je možné ověřit skrze nástroje (obrazové příklady níže):
- lsblk
- df -h
- sudo fdisk -l
- Ve Windows můžete například použít jedno z následujících:
a) Získání logů a dalších artefaktů
V této části získáte logy a další data z napadeného zařízení pomocí předem připravených automatizovaných nástrojů ve formě spustitelných binárek. Doporučení: Binárky si stáhněte předem, před samotnou extrakci logů, na čistém pracovním stroji, ideálně s jiným OS, než má napadené zařízení.
⚠️ Upozornění: Neinstalujte nic, nekopírujte nic na napadené zařízení a pokud jste tak ještě neudělali, odpojte jej od internetu.
-
Krok 1: příprava nástroje KAPE
Pro sběr logů z Windows zařízení použijte nástroj KAPE, široce používaný a praxí ověřený nástroj pro digitální forenzní analýzu. Na vaší pracovní stanici, si stáhněte KAPE binárku. Stažený archiv KAPE extrahujte na EZP, které následně připojíte k infikovanému zařízení.
-
Krok 2: spuštění nástroje na napadeném zařízení
Připojte EPZ na napadené zařízení a spusťte gkape.exe jako administrátor. Upozornění: Vypněte režim spánku. Během celého procesu sběru dat musí zůstat zařízení aktivní – nevypínejte jej ani neuspávejte, jinak může nástroj KAPE zamrznout a sběr se nezdaří.
-
Krok 4: nastavení cílového umístění
V poli Target destination zvolte umístění na EPZ, kam se uloží výstupní data. Můžete použít hlavní adresář nebo ideálně vytvořit podsložku. Nikdy neukládejte výstup na napadený disk – cílem je vyhnout se zásahu do systému.
-
Krok 5: výběr profilu sběru dat
V části Targets v uživatelském rozhraní KAPE zaškrtněte volbu SANS_Triage. Tento profil je přednastaven pro sběr forenzně relevantních dat ze systému a odpovídá potřebám vyšetřování.
-
Krok 6: zahrnutí stínových kopií
Zaškrtněte volbu Process VSCs, aby byly do sběru zahrnuty i stínové kopie systému (Volume Shadow Copies), které mohou obsahovat cenné historické informace.
-
Krok 7: nastavení formátu výstupu
V sekci Container zvolte formát výstupu Zip a zadejte název (Base name) výsledného souboru.
-
Krok 8: spuštění sběru dat
Klikněte na tlačítko Execute a spusťte proces sběru dat. Extrakce může trvat desítky minut v závislosti na množství dat. Během tohoto procesu zařízení nevypínejte ani neuspávejte – mohlo by dojít k přerušení sběru a znehodnocení výsledků.
-
Krok 9: odeslání výstupního souboru týmu CSIRT-MU
Výstupní soubor s výsledky KAPE (.zip) odešlete z vaší pracovní stanice na csirt@muni.cz prostřednictvím šifrovaného FileSenderu CESNETu. Heslo k archivu zašlete odděleně e-mailem.
-
Krok 1: stažení nástroje UAC
Pro sběr dat z Unix-like systémů (Linux, BSD, macOS) využíváme nástroj UAC – Unix-like Artifacts Collector, komunitou SANS doporučovaný open-source nástroj pro incident response a threat hunting. Na vaší pracovní stanici si stáhněte nejnovější verzi nástroje UAC ze sekce Releases.
-
Krok 2: příprava nástroje UAC na externím zařízení
Stažený archiv UAC extrahujte na EZP, které následně připojíte k infikovanému zařízení.
-
Krok 3: spuštění UAC na infikovaném zařízení
V adresáři se spustitelnou binárkou UAC proveďte následující příklad, kde hodnotu <DESTINATION_PATH> nahraďte cestou ke složce na EZP:
sudo ./uac -p ir_triage <DESTINATION_PATH>
Nikdy neukládejte výstup na napadený disk – cílem je vyhnout se zásahu do systému.
-
Krok 4: odeslání výstupního souboru týmu CSIRT-MU
Výstupní soubor s výsledky UAC (.zip) odešlete z vaší pracovní stanice na csirt@muni.cz prostřednictvím šifrovaného FileSenderu CESNETu. Heslo k archivu zašlete odděleně e-mailem.
b) Vytvoření obrazu disku
V případech rozsáhlejších incidentů, kdy není zřejmé, jak se malware do systému dostal, nestačí pouze sběr logů – je potřeba získat úplný obraz disku. Následující návod popisuje, jak pomocí bootovacího Linux EPZ a nástrojů zstd/gzip vytvořit forenzně použitelný obraz disku. Pro pořízení obrazu je nejprve nutné vytvořit bootovací médium, které umožní spustit zařízení mimo běžný operační systém a tím zajistit bezpečné prostředí pro sběr dat. Následně z tohoto prostředí pořizujeme forenzní obraz disku. Budete tedy potřebovat např. dvě EPZ:
- USB flash disk pro vytvoření bootovacího Linux prostředí (pro tento návod použijeme Fedora KDE),
- externí disk s dostatečnou kapacitou odpovídající velikosti cílového disku, ze kterého budete obraz pořizovat (viz. sekce Velikost EPZ).
⚠️ Upozornění: USB flash disk (či jiné EPZ) bude při tvorbě bootovacího média zcela smazán a zformátován – ujistěte se, že na něm nejsou žádná důležitá data. Doporučení:
- Vytvořte si bootovací USB flash disk dopředu na vaší pracovní stanici.
- Použijte prázdná a čistá EPZ a po použití je bezpečně přepište a naformátujte.
- Neukládejte obraz disku na původní napadené zařízení. Cílem je úplně se vyhnout jakémukoli zápisu nebo interakci se systémem.
- Vypněte režim spánku – kopírování disku může trvat i několik hodin, a nesmí dojít k jeho přerušení.
Použití Fedora OS je doporučeno,
Pro vytvoření bootovacího USB doporučujeme použít Fedora OS. Jde o stabilní a aktivně udržovanou distribuci, pro kterou existuje nástroj Fedora Media Writer. Ten umožňuje snadnou přípravu USB disku na všech hlavních operačních systémech (Windows, Linux, macOS). V následujícím návodu vycházíme právě z prostředí Fedora.
ale pokud nedáváte Fedoře přednost,
Pokud nechcete použít Fedoru, můžete si vytvořit bootovací USB dle vlastních preferencí, a to pomocí nástrojů (např. Rufus, Windows: rufus.ie, Ventoy: ventoy.net, všechna OS: etcher.balena.io). Upozorňujeme, že pro tento postup neposkytujeme návod, protože se liší dle zvoleného systému a nástroje.
nebo máte-li vlastní USB médium.
Máte-li už připravené vlastní bootovací USB, můžete jej samozřejmě použít. Návod na pořízení samotného obrazu disku najdete níže.
-
Krok 1: získání Fedora Media Writer
Na vaší pracovní stanici si stáhněte instalační program z dokumentace Fedora Project pro svůj OS, sekce Installing and running Fedora Media Writer – odkaz zde a nainstalujte si Fedora Media Writer.
-
Krok 2: zahájení průvodce instalací
Aplikace vás provede celým procesem. U první stránky, vyberte možnost Download automatically.
-
Krok 4: konfigurace distribuce a cílového média
Na poslední obrazovce zvolíte verzi distribuce (např. Fedora 38, 39 apod.) a architekturu (x86, ARM atd.). V této fázi je klíčové vybrat USB Drive, ze kterého vytvoříme bootovací médium. Ostatní nastavení ponechte výchozí a klikněte na Download & Write.
-
Krok 5: vytvoření bootovacího USB
Jakmile se dokončí stahování, spustí se proces vytváření bootovacího USB. Předtím však možná budete muset zadat heslo root účtu nebo účtu s právy sudo, případně potvrdit administrátorská oprávnění.
-
Krok 1: spuštění zařízení z USB média
Připojte bootovací USB disk k napadenému zařízení a vstupte do BIOS/UEFI pomocí příslušné klávesy (obvykle F2, F12 nebo Del).
-
Krok 2: výběr USB jako bootovacího zařízení
V bootovacím menu zvolte USB disk jako spouštěcí zařízení. Potvrďte volbu a nechte systém naběhnout. Pokud se objeví výzva k instalaci operačního systému, okno zavřete a pokračujte přímo do prostředí Desktop. Systém neinstalujte!
-
Upozornění: Připojení k internetu a volba kompresního nástroje!
Pro obraz disku doporučujeme využít nástroj zstd, který představuje výkonnější a výrazně rychlejší alternativu ke klasickému gzip. Vzhledem k tomu, že zstd není standardně součástí distribuce Fedora (stav k datu vydání tohoto návodu), je nutné jej před použitím ručně doinstalovat.
- Varianta A – zařízení lze dočasně připojit k internetu: Pokud lze zařízení krátkodobě připojit k internetu, proveďte instalaci nástroje zstd příkazem:
$ sudo dnf install zstd
Tento krok výrazně urychlí tvorbu obrazu. Při dodržení standardních postupů nepředstavuje krátké připojení k síti reálné bezpečnostní riziko.
- Varianta B – zařízení nelze připojit k internetu: Pokud není možné zařízení připojit k internetu ani dočasně, použijte nástroj gzip, který je dostupný ve výchozí instalaci.
Bezpečnostní poznámka: Pokud je hlavní překážkou obava z kompromitace při připojení k síti, upozorňujeme, že riziko zůstává při správném postupu a omezeném časovém rámci minimální. V takovém případě doporučujeme volbu zstd zvážit.
- Varianta A – zařízení lze dočasně připojit k internetu: Pokud lze zařízení krátkodobě připojit k internetu, proveďte instalaci nástroje zstd příkazem:
-
Krok 4: připojení externího disku
Pokud se externí disk, na který se bude ukládat výstupní obraz disku infikovaného zařízení, nepřipojil automaticky, je potřeba jej ručně připojit (mountnout). Na systému Fedora lze postupovat následovně:
$ mkdir /mnt/ex_disk$ sudo mount -o rw /dev/sdX /mnt/ex_disk
Nahraďte sdX správným označením disku (např. sdc, sdd). Tím fyzicky připojíte externí disk do složky /mnt/ex_disk s oprávněním číst a zapisovat. -
Krok 5: vytvoření komprimovaného obrazu disku
Poté pomocí příkazu zstd (nebo gzip níže) zkopírujte celý disk (disky):
$ zstd –1v </PATH_ORIGIN_DISK >/PATH_PLACE_TO_WRITE/disk.zst
- –1v: nastaví minimální úroveň komprese (19 - nejpomalejší ale nejlepší komprese, 1 - nejrychlejší ale nejhorší komprese)
- –v: verbose mode
- </PATH_ORIGIN_DISK: zdrojový disk, z kterého se vytváří obraz (např. /dev/sda)
- >/PATH_PLACE_TO_WRITE/disk.zst: zapíše komprimovaný výstup do souboru disk.zst v zadaném umístnění (PATH_PLACE_TO_WRITE), např. složka s připojením (mount) externím diskem.
Pro gzip použijete následují příkaz:
$ gzip –n </PATH_ORIGIN_DISK >/PATH_PLACE_TO_WRITE/disk.gz
- –n: Nastaví úroveň komprese (1 - nejrychlejší, 9 - nejkvalitnější), pro účely tohoto návodu klidně volte –1
- PATH_ORIGIN_DISK a PATH_PLACE_TO_WRITE: stejné jak pro zstd, jen pro gzip je standardně volený formát .gz
Takže například příkaz: $ zstd -1v </dev/sda >/mnt/ex_disk/test_disk.zst kopíruje disk /dev/sda na připojený externí disk skrz složku /mnt/ex_disk/ jako komprimovaný soubor test_disk.zst To samé byste v případě gzip provedli příkazem: $ gzip –1 </dev/sda >/mnt/ex_disk/test_disk.gz
Příkazy fungují pro oddíly stejně, jen nahraďte /dev/sda názvem oddílu.
-
Krok 6: bezpečné odpojení externího disku
Po dokončení zápisu obrazu vždy nejprve bezpečně odeberte externí disk, abyste předešli poškození dat:
$ sudo unmount /mnt/ex_disk
Alternativně můžete použít možnost Safely Remove dostupnou v grafickém prostředí. Neodpojení disku před fyzickým odpojením může vést k neúplnému nebo poškozenému obrazu. -
Krok 7: odeslání výstupního souboru týmu CSIRT-MU
Výstupní soubor komprimovaný obraz (např. test_disk.zst nebo test_disk.gz) odešlete z vaší pracovní stanice na csirt@muni.cz prostřednictvím šifrovaného FileSenderu CESNETu. Heslo k archivu zašlete odděleně e-mailem.
-
Krok 8: vypněte režim spánku
Protože vytvoření obrazu disku může trvat i hodiny u větších disků, může se vám při použití našeho návodu s Fedora KDE hodit vypnutí režimu spánku, které je dostupné přímo na panelu:
- Na notebooku klekněte na ikonku baterie.
- Na desktopu na ikonku pro skryté ikony “⌃” a zvolte Power Management.
Slovo závěrem
Přesné a bezpečné získání dat z napadeného zařízení je klíčovým předpokladem úspěšné forenzní analýzy a následného zvládnutí incidentu. Tento návod poskytuje konkrétní a prověřené kroky, jak sběr provést bez narušení důkazního materiálu a v souladu s postupy CSIRT-MU. Důsledné dodržení jednotlivých kroků minimalizuje riziko kontaminace, ztráty informací nebo šíření nákazy do dalších systémů. Při jakýchkoli nejasnostech je nezbytné obrátit se na tým CSIRT-MU, který poskytne pokyny přizpůsobené danému případu. Návod slouží nejen jako technická opora, ale i jako nástroj pro zajištění integrity forenzního šetření v rámci univerzitní infrastruktury.