Řešení incidentu na MU: Jak sbírat data z napadeného zařízení
Tento návod specifikuje postupy pro efektivní sběr forenzně relevantních dat z napadeného zařízení v kontextu řešení bezpečnostních incidentů. Zaměřuje se na operační systémy Windows a Unix-like. Nejedná se o obecný metodický dokument – návod je cíleně přizpůsoben interním procesům a technickým požadavkům CSIRT-MU.
Řešíte-li incident, při němž došlo k napadení zařízení – například nasazením malware, nebo přímým přístupem útočníka – CSIRT-MU může podle typu a závažnosti požadovat různý rozsah dat. Napadené zařízení může sloužit útočníkovi jako vstupní bod do sítě, zdroj dat či nástroj pro další šíření, a tomu odpovídá i volba forenzních postupů:
a) Základní logy a další systémová data (např. běžící procesy, otevřená síťová spojení v době extrakce), postačí v případech, kdy je příčina infekce známá nebo lze její původ odhadnout.
b) Kompletní obraz disku pro detailní forenzní (hloubkovou) analýzu, je nutný tehdy, pokud není jasné, jak k nákaze došlo, ale je potvrzeno, že zařízení bylo napadeno.
Tento návod navazuje na první vyhodnocení incidentu ze strany CSIRT-MU. O tom, jaký postup zvolit, rozhoduje CSIRT-MU. Správce se řídí pokyny, aby nedošlo k poškození důkazů. Po odeslání dat správce sám neprovádí žádné další zásahy (např. čištění, připojení zpět do sítě), dokud nedostane pokyny od CSIRT-MU. Je možné, že si tým dodatečně vyžádá další data (např. obraz disku i po odeslání logů).
Na co si dát pozor před a při extrakcí dat!
Níže uvádíme souhrn pravidel, která je nutné dodržet při sběru logů i při vytváření obrazu disku. Upozornění: Data na napadeném zařízení mohou být kompromitovaná – útočník k nim mohl mít plný přístup. Nepodceňujte proto význam sběru dat a předání požadovaných výstupů CSIRT-MU. V případě nejasností se vždy prosím obraťte na csirt@muni.cz.
Obecné zásady (platné pro logy i obraz disku)
- Operace „write“: Vyhněte se zbytečným operacím zápisu na napadeném zařízení (např. spouštění programů, přesun souborů). Každý zásah může ovlivnit kvalitu důkazů, neboť malware má tendenci sám o sobě zahlazovat stopy.
- Externí paměťová zařízení (EPZ): Pro sběr dat potřebujete externí médium (např. USB flash disk nebo externí disk), na které uložíte jak forenzní nástroje, tak výsledná data. Logy a artefakty: Stačí jedno EPZ – použije se současně pro spuštění nástrojů a uložení výstupů. Obraz disku: Počítejte se dvěma EPZ – jedno menší (např. USB pro bootovací Linux), jedno větší (externí disk pro uložení obrazu).
- Bezpečnost EPZ: Riziko nákazy je při dodržení návodu minimální, přesto se nedoporučuje používat EPZ s citlivými daty nebo zálohy.
- Velikost výstupu při logování: Na EPZ, na které budete ukládat obraz disku, musí být jeho kapacita alespoň stejná jako velikost dat na disku (nikoli nutně celková velikost disku, ale jen obsazená data). I při použití komprese (pomocí zstd) je nutné počítat s rezervou – výstup z logů bývá menší – obvykle do 10 GB, i na Windows. Přibližná velikost a doba zpracování (pro ilustraci – výstup 230-245GB doba 2-3hodiny). Nešifrované disky: Výstup bývá menší – závisí na typu dat a úrovni komprese.
Specifické konfigurace a software: Informujte CSIRT-MU, pokud zařízení obsahuje SW relevantní pro vyšetřování – např. generuje citlivá (např. vědecká) data, je veřejně dostupný v síti MUNI, nebo může souviset s infekcí. Totéž platí, pokud bylo logování upraveno, omezeno nebo neprobíhá standardně.
Požadavky pro vytvoření obrazu disku (platné pro obraz disku)
- Šifrované disky: Pokud je disk chráněn (např. BitLocker), informujte CSIRT-MU, připravte klíč (secrets) a dořešte s nimi jeho předání.
- Rozsah disků a jejich oddílů: Ideálně požadujeme úplný obraz všech disků a oddílů. Pokud to není možné (např. kvůli citlivým datům nebo velkému objemu), konzultujte s CSIRT-MU, co lze bezpečně poskytnout – je nutné to oznámit předem.
- Ověření připojených disků a oddílů: Linux: lsblk, df -h, sudo fdisk -l / Windows: Win + R, zadejte diskmgmt.msc, Enter = správa disků. Otevřete cmd.exe (jako správce) a zadejte: diskpart, list disk. Otevřete Tento počítač (Win + E). V sekci "Zařízení a jednotky" uvidíte přiřazená písmena (C:, D:, ...), ale nezobrazí se všechny skryté/nesystémové oddíly.
a1) Získání logů a dalších artefaktů pro Windows
V této části získáte logy a další data z napadeného zařízení pomocí předem připravených automatizovaných nástrojů ve formě spustitelných binárek. Tyto binárky si stáhněte předem, před samotnou extrakci logů, na čistém pracovním stroji (ideálně s jiným OS, než má napadené zařízení, např. Linux místo Windows), a zkopírujte je na čisté EPZ – např. USB flash disk.
❗️Neinstalujte nic, nekopírujte nic na napadené zařízení a pokud jste tak ještě neudělali, odpojte jej od internetu. Binárky jsou samostatně spustitelné – není třeba je instalovat ani upravovat. Doporučení:
- Vytvořte si binárku dopředu na vaší pracovní stanici.
- Použijte prázdné EPZ a po použití jej bezpečně přepište (např. nulováním) a naformátujte. Některé typy malwaru se mohou šířit právě přes přenosná zařízení.
- Práce z jiného OS než má napadený stroj snižuje riziko nákazy, i když nezaručuje úplnou ochranu.
- Nikdy neukládejte výstupy na napadený disk – cílem je zcela se vyhnout jakémukoli zásahu do původního systému.
-
Krok 0: vybraný nástroj KAPE
Pro sběr logů z Windows zařízení použijte nástroj KAPE, široce používaný a praxí ověřený nástroj pro digitální forenzní analýzu.
-
Krok 1: stažení nástroje
Na vaší pracovní stanici, si stáhněte KAPE binárku. Upozornění: Vypněte režim spánku. Během celého procesu sběru dat musí zůstat zařízení aktivní – nevypínejte jej ani neuspávejte, jinak může nástroj UAC zamrznout a sběr se nezdaří.
-
Krok 3: spuštění nástroje na napadeném zařízení
Použijte důvěryhodný antivirový program (např. Windows Defender) a spusťte úplné nebo offline skenování, které odhalí i hrozby skryté před běžnou kontrolou. Pokud antivir detekuje hrozbu, postupujte podle pokynů pro odstranění a poznamenejte si název malwaru a čas detekce – tyto informace mohou být užitečné při hlášení incidentu.
-
Krok 4: výběr zdrojového disku (Target source)
V poli Target source vyberte disk, ze kterého sbírat data – obvykle jde o systémový disk C:. Pokud incident zasahuje i další disky (např. s uloženými programy nebo daty), opakujte výběr pro disky dle instrukcí CSIRT-MU.
-
Krok 5: nastavení cílového umístění (Target destination)
V poli Target destination zvolte umístění na EPZ, kam se uloží výstupní data. Můžete použít hlavní adresář nebo ideálně vytvořit podsložku. Nikdy neukládejte výstup na napadený disk – cílem je vyhnout se zásahu do systému.
-
Krok 6: výběr profilu sběru dat (Targets)
V části Targets v uživatelském rozhraní KAPE zaškrtněte volbu SANS_Triage – tento profil je přednastaven pro sběr forenzně relevantních dat ze systému a odpovídá potřebám vyšetřování.
-
Krok 7: zahrnutí stínových kopií (Process VSCs)
Zaškrtněte volbu Process VSCs, aby byly do sběru zahrnuty i stínové kopie systému (Volume Shadow Copies), které mohou obsahovat cenné historické informace.
-
Krok 8: nastavení formátu výstupu (Container)
V sekci Container zvolte formát výstupu Zip a zadejte název výsledného souboru.
-
Krok 9: spuštění sběru dat (Execute)
Klikněte na tlačítko Execute a spusťte proces sběru dat. Extrakce může trvat desítky minut v závislosti na množství dat. Během tohoto procesu zařízení nevypínejte ani neuspávejte – mohlo by dojít k přerušení sběru a znehodnocení výsledků.
-
Krok 10: odeslání výstupního souboru týmu CSIRT-MU
Zaheslovaný výstupní soubor s výstupem KAPE (.zip) odešlete z vaší pracovní stanice na csirt@muni.cz prostřednictvím zašifrovaného FileSenderu CESNETu. Heslo k archivu zašlete odděleně e-mailem.
a2) Získání logů a dalších artefaktů pro Unix-like systems (i macOS)
V této části získáte logy a další data z napadeného zařízení pomocí předem připravených automatizovaných nástrojů ve formě spustitelných binárek. Tyto binárky si stáhněte předem, před samotnou extrakci logů, na čistém pracovním stroji (ideálně s jiným OS, než má napadené zařízení, např. Linux místo Windows), a zkopírujte je na čisté EPZ – např. USB flash disk.
❗️Neinstalujte nic, nekopírujte nic na napadené zařízení a pokud jste tak ještě neudělali, odpojte jej od internetu. Binárky jsou samostatně spustitelné – není třeba je instalovat ani upravovat. Doporučení:
- Vytvořte si binárku dopředu na vaší pracovní stanici.
- Použijte prázdné EPZ a po použití jej bezpečně přepište (např. nulováním) a naformátujte. Některé typy malwaru se mohou šířit právě přes přenosná zařízení.
- Práce z jiného OS než má napadený stroj snižuje riziko nákazy, i když nezaručuje úplnou ochranu.
- Nikdy neukládejte výstupy na napadený disk – cílem je zcela se vyhnout jakémukoli zásahu do původního systému.
-
Krok 0: vybraný nástroj UAC - Unix like Artifacts Collector
Pro sběr dat z Unix-like systémů (Linux, BSD, macOS) využíváme nástroj UAC – Unix-like Artifacts Collector, komunitou SANS doporučovaný open-source nástroj pro incident response a threat hunting.
-
Krok 1: stažení nástroje UAC
Na vaší pracovní stanici si stáhněte nejnovější verzi nástroje UAC ze sekce Releases.
-
Krok 2: příprava nástroje UAC na externím zařízení
Stažený archiv UAC extrahujte na EZP, které následně připojíte k infikovanému zařízení.
-
Krok 3: spuštění UAC na infikovaném zařízení
V adresáři se spustitelnou binárkou UAC proveďte následující příkaz (hodnotu <DESTINATION_PATH> nahraďte cestou ke složce na EZP):
sudo ./uac -p ir_triage <DESTINATION_PATH> -
Krok 4 – odeslání výstupního souboru týmu CSIRT-MU
Zaheslovaný výstupní archiv UAC (.zip) odešlete z vaší pracovní stanice na csirt@muni.cz prostřednictvím zašifrovaného FileSenderu CESNETu. Heslo k archivu zašlete odděleně e-mailem. #todopicture
b1) Vytvoření obrazu disku
V případech rozsáhlejších incidentů, kdy není zřejmé, jak se malware do systému dostal, nestačí pouze sběr logů – je potřeba získat úplný obraz disku. Následující návod popisuje, jak pomocí bootovacího Linuxu a nastrojů zstd/gzip, vytvořit forenzně použitelný obraz disku. Tento postup byl ověřen na systémech Linux a Windows. Postup pro konkrétní operační systémy najdete níže.
❗️Budete potřebovat dvě EPZ: USB flash disk pro vytvoření bootovacího Linux prostředí (pro tento návod použijeme FEDORE KDE), externí disk s kapacitou alespoň rovnající se velikosti cílového disku, ze kterého budete obraz pořizovat. Upozornění: USB flash disk bude při tvorbě bootovacího média zcela smazán a zformátován – ujistěte se, že na něm nejsou žádná důležitá data. Doporučení:
- Vytvořte si bootovací USB flash disk dopředu na vaší pracovní stanici.
- Použijte prázdná a čistá EPZ a po použití je bezpečně přepište a naformátujte.
- Nikdy neukládejte obraz disku na původní napadené zařízení. Cílem je úplně se vyhnout jakémukoli zápisu nebo interakci se systémem.
- Režim spánku, kopírování disku může trvat i několik hodin. Aby nedošlo k přerušení, vypněte režim spánku.
-
Krok 0: vybraný nástroj Fedora Media Writer
Pro vytvoření bootovacího USB použijeme Fedora OS, protože nástroj Fedora Media Writer umožňuje snadnou přípravu na všech hlavních systémech (Windows, Linux, macOS). Pokud už bootovací USB máte, můžete jej použít. Alternativně lze využít i jiné OS a vytvořit si bootovací USB pomocí jiných nástrojů: Rufus (Windows): rufus.ie, Ventoy: ventoy.net, Etcher (všechna OS): etcher.balena.io
-
Krok 1: získání Fedora Media Writer
Na vaší pracovní stanici si stáhněte instalační program z dokumentace Fedora Project pro svůj OS, sekce “Installing and running Fedora Media Writer” – odkaz zde a nainstalujte si Fedora Media Writer.
-
Krok 2: zahájení průvodce instalací
Aplikace vás provede celým procesem. U první stránky, vyberte možnost “Download automatically”. Pamatujte, vypněte režim spánku: notebook - klikněte na ikonu baterie a deaktivujte spánek. Desktop - otevřete skryté ikony („⌃“), zvolte Power Management a vypněte uspávání.
-
Krok 3: výběr edice Fedory
Hlavní výběr vám umožňuje zvolit jednu z výchozích edicí Fedory - Fedora Workstation nebo Server. Zvolte Official Editions a Fedora KDE Plasma Desktop, protože výchozí GNOME u předchozích možností může být neintuitivní.
-
Krok 4: konfigurace distribuce a cílového média
Na poslední obrazovce zvolíte verzi distribuce (např. Fedora 38, 39 apod.) a architekturu (x86, ARM atd.). V této fázi je klíčové vybrat "USB Drive", ze kterého vytvoříme bootovací médium. Ostatní nastavení ponechte výchozí a klikněte na "Download & Write", čímž zahájíte proces.
-
Krok 5: vytvoření bootovacího USB
Jakmile se dokončí stahování, spustí se proces vytváření bootovacího USB. Předtím však možná budete muset zadat heslo root účtu nebo účtu s právy sudo, případně potvrdit administrátorská oprávnění.
-
Krok 6: dokončení a připojení k napadenému zařízení
Po dokončení zápisu se zobrazí potvrzovací zpráva, klikněte na "Finish". Nyní můžete uzavřít aplikaci Fedora Media Writer, vysunout USB disk a připojit jej k napadenému zařízení.
b1) Vytvoření obrazu disku příkazem zstd
V případech rozsáhlejších incidentů, kdy není zřejmé, jak se malware do systému dostal, nestačí pouze sběr logů – je potřeba získat úplný obraz disku. Následující návod popisuje, jak pomocí bootovacího Linuxu a nastrojů zstd/gzip, vytvořit forenzně použitelný obraz disku. Tento postup byl ověřen na systémech Linux a Windows. Postup pro konkrétní operační systémy najdete níže.
❗️Budete potřebovat dvě EPZ: USB flash disk pro vytvoření bootovacího Linux prostředí (pro tento návod použijeme FEDORE KDE), externí disk s kapacitou alespoň rovnající se velikosti cílového disku, ze kterého budete obraz pořizovat. Upozornění: USB flash disk bude při tvorbě bootovacího média zcela smazán a zformátován – ujistěte se, že na něm nejsou žádná důležitá data. Doporučení:
- Vytvořte si bootovací USB flash disk dopředu na vaší pracovní stanici.
- Použijte prázdná a čistá EPZ a po použití je bezpečně přepište a naformátujte.
- Nikdy neukládejte obraz disku na původní napadené zařízení. Cílem je úplně se vyhnout jakémukoli zápisu nebo interakci se systémem.
- Režim spánku, kopírování disku může trvat i několik hodin. Aby nedošlo k přerušení, vypněte režim spánku.
-
Krok 1: spuštění zařízení z USB média
Připojte bootovací USB disk k napadenému zařízení a vstupte do BIOS/UEFI pomocí příslušné klávesy (obvykle F2, F12 nebo Del).
-
Krok 2: výběr USB jako bootovacího zařízení
V bootovacím menu zvolte USB disk jako spouštěcí zařízení. Potvrďte volbu a nechte systém naběhnout. Pokud se objeví výzva k instalaci operačního systému, okno zavřete a pokračujte přímo do prostředí Desktop. Systém neinstalujte.
-
Krok 3: identifikace disků na cílovém zařízení
V případě potřeby použijte příkazový řádek s nástroji jako lsblk, df -h nebo sudo fdisk -l k zobrazení připojených disků a oddílů. Pokud pracujete s Fedorou a prostředím KDE, lze využít i grafický nástroj KDE Partition Manager.
Upozornění: Připojení k internetu a volba kompresního nástroje
Pro obraz disku doporučujeme využít nástroj zstd, který představuje modernější, výkonnější a výrazně rychlejší alternativu ke klasickému gzip. Vzhledem k tomu, že zstd není standardně součástí distribuce Fedora (stav k datu vydání tohoto návodu), je nutné jej před použitím ručně doinstalovat.
- Varianta A – zařízení lze dočasně připojit k internetu: Pokud lze zařízení krátkodobě připojit k internetu, proveďte instalaci nástroje zstd příkazem: $ sudo dnf install zstd Tento krok výrazně urychlí tvorbu obrazu. Při dodržení standardních postupů nepředstavuje krátké připojení k síti reálné bezpečnostní riziko.
- Varianta B – zařízení nelze připojit k internetu: Pokud není možné zařízení připojit k internetu ani dočasně, použijte nástroj gzip, který je dostupný ve výchozí instalaci. Oproti zstd je však pomalejší a méně efektivní.
Bezpečnostní poznámka: Pokud je hlavní překážkou obava z kompromitace při připojení k síti, upozorňujeme, že riziko zůstává při správném postupu a omezeném časovém rámci minimální. V takovém případě doporučujeme volbu zstd zvážit.
-
Krok 4: připojení externího disku
Pokud se externí disk nepřipojil automaticky, je potřeba jej ručně připojit (mountnout). Na systému Fedora lze postupovat následovně:
- $ mkdir /mnt/ex_disk
- $ sudo mount -o rw /dev/sdX /mnt/ex_disk Nahraďte sdX správným označením zařízení (např. sdc, sdd), které zjistíte pomocí příkazů jako lsblk. Tím vytvoříte přístupový bod, do kterého bude později uložen obraz disku.
-
Krok 5: vytvoření komprimovaného obrazu disku
Příkazy fungují stejně i pro jednotlivé oddíly – stačí nahradit /dev/sda konkrétním názvem oddílu. Například příkaz zstd -1v </dev/sda >/mnt/ex_disk/test_disk.zst zkopíruje celý disk /dev/sda na připojený externí disk do složky /mnt/ex_disk/ jako komprimovaný soubor s názvem test_disk.zst. Stejnou operaci lze provést také pomocí nástroje gzip, a to příkazem gzip -1 </dev/sda >/mnt/ex_disk/test_disk.gz Pomocí příkazu zstd (nebo alternativně gzip) tak lze zkopírovat celý disk včetně všech oddílů i tabulky oddílů do jednoho komprimovaného souboru.
ZSTD – doporučený nástroj: $ zstd -1v </PATH_ORIGIN_DISK > /PATH_PLACE_TO_WRITE/disk.zst
- -1v: Nastaví minimální úroveň kompres (-1 = nejhorší komperese, nejrychlejší, -19 = nejvyšší komprese, nejpomalejší) a zapne podrobné výpisy (-v)
- </PATH_ORIGIN_DISK: Zdrojový disk, ze kterého se vytvoáří obraz např. /dev/sda
- >/PATH_PLACE_TO_WRITE/disk.zst: Cesta k výstupu, např. /mnt/ex_disk/disk.zst.
- Příklad: $ zstd -1v </dev/sda > /mnt/ex_disk/test_disk.zst
GZIP – alternativa, pokud nelze použít zstd: $ gzip -1 </PATH_ORIGIN_DISK > /PATH_PLACE_TO_WRITE/disk.gz
- -1: Nejrychlejší komprese (na rozdíl od -9, která poskytuje vyšší kompresi, ale pomaleji).
- Ostatní parametry zůstávají stejné jako u zstd. Výsledný soubor má příponu .gz.
- Příklad: $ gzip -1 </dev/sda > /mnt/ex_disk/test_disk.gz
-
Krok 6: bezpečné odpojení externího disku
Po dokončení zápisu obrazu vždy nejprve bezpečně odeberte externí disk, abyste předešli poškození dat: $ sudo umount /mnt/ex_disk Alternativně můžete použít možnost Safely Remove dostupnou v grafickém prostředí. Neodpojení disku před fyzickým odpojením může vést k neúplnému nebo poškozenému obrazu
-
Krok 7: odeslání výstupního souboru týmu CSIRT-MU
Výstupní komprimovaný obraz (např. test_disk.zst nebo test_disk.gz) zabalte do zaheslovaného ZIP archivu a odešlete z vaší pracovní stanice na adresu csirt@muni.cz prostřednictvím zašifrovaného FileSenderu CESNETu. Heslo k archivu zašlete zvlášť e-mailem.
Slovo závěrem
Přesné a bezpečné získání dat z napadeného zařízení je klíčovým předpokladem úspěšné forenzní analýzy a následného zvládnutí incidentu. Tento návod poskytuje konkrétní a prověřené kroky, jak sběr provést bez narušení důkazního materiálu a v souladu s postupy CSIRT-MU. Důsledné dodržení jednotlivých kroků minimalizuje riziko kontaminace, ztráty informací nebo šíření nákazy do dalších systémů. Při jakýchkoli nejasnostech je nezbytné obrátit se na tým CSIRT-MU, který poskytne pokyny přizpůsobené danému případu. Návod slouží nejen jako technická opora, ale i jako nástroj pro zajištění integrity forenzního šetření v rámci univerzitní infrastruktury.