OHJE. Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan

Transkriptio

1 1/ (13) Ohje 1/2007 Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan Tämä ohje on tarkoitettu Windows NT -pohjaisella 1 käyttöjärjestelmällä (myöhemmin Windows) varustettujen tietokoneiden käyttäjille. Tässä ohjeessa esitellään tarkistuslistamaisesti hyödyllisimpiä Windows-komentoja, työkaluja ja menetelmiä, joilla haittaohjelman aiheuttama saastuminen, tietomurto, tai muu luvaton käyttö saattaa paljastua. Ohjeessa mainituilla menetelmillä on mahdollista havaita kohtalaisen suuri osa haittaohjelmista tai tunkeutumisista. On kuitenkin olemassa joukko haittaohjelmia ja kohdennettuja hyökkäyksiä, joiden havaitseminen vaatii hyvin korkeaa osaamistasoa eikä ole mahdollista tässä ohjeessa mainituin keinoin. Suurin osa mainituista komennoista toimii sellaisenaan tavallisessa oletusasetuksin asennetussa Windowstyöasemassa ilman ylimääräisten ohjelmistojen asentamista. Komennoista pääosa toimii myös peruskäyttäjän oikeustasolla. Pääkäyttäjän (Administrator) oikeuksia vaativien komentojen kohdalla on maininta asiasta. Ohje on kirjoitettu siten, että ohjeen lukijalta vaadittavan taustatiedon määrä kasvaa ohjeen loppua kohti edetessä. Ohjeen ensimmäiset kappaleet sopivat hyvin peruskäyttäjän luettavaksi, mutta loppupään kappaleet sopivat parhaiten lisätiedoksi edistyneille käyttäjille. Ohje tarjoaa hyvää yleistietoa kaikille tietokoneen käyttäjille, vaikka lukija ei tuntisikaan jokaista esiteltyä menetelmää tai tekniikkaa läpikotaisin. Esiteltyjä komentoja ja työkaluja on ensisijaisesti käytettävä tietokoneen ollessa käynnistettynä ja verkkoyhteyden ollessa aktiivisena (ns. online-tutkinta). Osa esitellyistä tutkintakohteista on myös sellaisia joiden avulla voi saada hyödyllisiä tuloksia vielä tietokoneen sammuttamisen jälkeen (ns. offline-tutkinta), esimerkiksi tutkimalla saastuneeksi epäillyn työaseman kovalevyä jollain muulla työasemalla tai käynnistämällä kone erilliseltä käynnistyslevyltä. Menetelmien kohdalla on mainittu, jos niiden avulla on mahdollista saada hyödyllisiä tietoja myös offline-tutkinnassa. On syytä huomata, että käyttöjärjestelmä käsittelee (lukee, muokkaa, luo, poistaa) suurta määrää tiedostoja tietokoneen sammuttamisen ja käynnistämisen yhteydessä. Mikäli tietokoneelle halutaan online-tutkinnan lisäksi suorittaa myös perinpohjainen offline-tutkinta, tulee onlinetutkinta suorittaa viipymättä ja varoen muuttamasta tutkittavan kohteen tilaa. Kun online-tutkinta on valmis eli kaikki tarvittavat tiedot on saatu kerättyä, kone tulisi sammuttaa "väkivaltaisesti" ottamalla virtajohto/akku irti, jotta esimerkiksi RAM-muistin 2 osia sisältävän sivutustiedoston ei sisältö pääse turmeltumaan. Asianmukainen offline-tutkinta vaatii usein huomattavasti enemmän asiantuntemusta kuin online-tutkinta. Offline-tutkinta kannattaakin usein antaa asiantuntijan tehtäväksi. Tästä syystä tässä ohjeessa keskitytään pääasiassa online-tutkinnan menetelmiin. Tässä ohjeessa esitellyt komennot on kätevintä antaa Windowsin komentokehotteessa (Command Prompt). Muissa kuin Windows Vistassa komentokehotteen saa käynnistettyä valitsemalla Käynnistä -> Suorita ja kirjoittamalla avautuvaan ikkunaan cmd (engl. Start -> Run -> cmd). Windows Vistassa komentokehote kannattaa avata painamalla Ctrl-Shift-Esc ja valitsemalla Tiedosto -> Uusi tehtävä (Suorita...) (engl. File -> New Task (Run...)) ja kirjoittamalla avautuvaan ikkunaan cmd. Komentojen tulosteet kannattaa ottaa talteen myöhempää tarkastelua varten, sekä mahdollista tietoturva-asiantuntijan suorittamaa analyysiä varten. Helpoin tapa on ohjata 1 Kaikki Windows NT-versiot, Windows 2000, Windows XP, Windows Vista. 2 Random Access Memory, ohjelmien käyttämä työmuisti

2 1/ (13) komennon tuloste tiedostoon lisäämällä sen perään suurempi kuin -merkki 3 ja tiedoston nimi, esimerkiksi näin: netstat -an > c:\temp\netstat-tuloste.txt 3 Merkintä > ohjaa ohjelman näytölle tulevat tulosteet ja merkintä "2>" ohjaa ohjelman virhetulosteet tiedostoon

3 1/ (13) SISÄLLYSLUETTELO 1 Yleistä 4 2 Haittaohjelmista yleisesti 4 3 Windows Defender 5 4 Asennetut ohjelmistot (myös offline-tutkinta) 5 5 Verkkoyhteydet Rekisteröidyt ja selvitetyt osoitteet: IPCONFIG Verkkoyhteydet ja verkkoa kuuntelevat palvelut: NETSTAT NetBIOS-nimet ja yhteydet: NBTSTAT Henkilökohtainen palomuuri 7 6 Prosessit 8 7 Tapahtumalokit (myös offline-tutkinta) 8 8 Windowsin rekisteri (myös offline-tutkinta) 9 9 Tiedostojärjestelmä (myös offline-tutkinta) Yleissilmäys tiedostojärjestelmään: TREE Perinpohjainen tiedostolistaus: DIR, lukuisine optioineen Tiedostojen NTFS-käyttöoikeudet: CACLS Edistyneempiä työkaluja tutkintaan Toiminta haittaohjelman löytyessä Lisätietoa

4 1/ (13) 1 YLEISTÄ Haittaohjelmien havaitsemiseen on paitsi hyvin teknisiä, niin myös enemmän tietokoneen käyttäytymisen tarkkailemiseen nojaavia keinoja. Jos esimerkiksi tietokone käyttäytyy poikkeavasti, on syytä epäillä, että työasema on haittaohjelman saastuttama. Poikkeava käytös tarkoittaa esimerkiksi tietokoneen tai sen verkkoyhteyden hidastumista tai pop-up -ikkunoiden jatkuvaa aukeilua. Muita tyypillisiä haittaohjelmatartunnan merkkejä ovat tilanteet, joissa Windowsin tehtävienhallintaa (engl. Task Manager; avataan painamalla Ctrl-Shift-Esc) ei saa auki, tunnettujen virustorjuntayhtiöiden kotisivuille ei pääse tai www-selain ohjautuu itsestään odottamattomille www-sivuille. Myös henkilökohtainen palomuuri tai virustentorjuntaohjelma saattaa raportoida mahdollisista tunkeutumisista tai haittaohjelmatartunnoista. Vähäistä internetin suunnasta tulevaa ja palomuurin torjumaa verkkoliikennettä ei pidä säikähtää. On täysin normaalia, että palomuuri torjuu monenlaisia yhteydenotto- ja hyökkäysyrityksiä. Omalta työasemalta lähteneet ja palomuurimerkinnän jättäneet yhteydet kannattaa sen sijaan tutkia tarkemmin. On myös hyvä huomata, että nykyään monet haittaohjelmat pyrkivät piiloutumaan käyttäjältä ja niiden havaitseminen em. keinoilla on epätodennäköistä. Siksi olisi hyvä kokeilla myös seuraavissa kappaleissa esiteltyjä keinoja. 2 HAITTAOHJELMISTA YLEISESTI Nykyisin haittaohjelmia tuotetaan yhä useammin taloudellisen hyödyn tavoittelua varten. Haittaohjelmien tuottaminen ja levittäminen, sekä niiden avulla haltuun otettujen uhrien hallinta on enenevässä määrin ammattimaisen järjestäytyneen rikollisuuden motivoimaa ja kontrolloimaa. Tämä tarkoittaa väistämättä sitä, että haittaohjelmat ovat tehokkaita, vaikeasti havaittavia, alati muuttuvia ja - ennen kaikkea - teknisesti edistyksellisesti toteutettuja. On luvallista olettaa, että hyökkääjällä on reilu tekninen etumatka puolustajaan nähden. Hyökkääjän ei tarvitse löytää kuin yksi heikko kohta puolustajan pitäisi löytää ne kaikki. Pahin virhe, jonka puolustaja voi tehdä, on vastustajan aliarviointi. Haittaohjelmien saastuttamien koneiden siivoamiseen tulee siis suhtautua suurella varauksella. Usein varminta on eristää työasema verkosta, alustaa (formatoida) sen kovalevy käynnistämällä työasema käynnistyslevyltä ja asentaa käyttöjärjestelmä alusta alkaen uudestaan. Erityisesti bot-haittaohjelmien kohdalla virustorjuntaohjelmistot eivät valitettavasti aina kykene estämään, löytämään tai poistamaan tartuntaa. Haittaohjelmat ovat nykyisin usein ns. monimuotoisia eli ne muokkaavat itseään levitessään uuteen kohteeseen. Näin jokainen saman haittaohjelman yksilö on hieman erilainen kuin muut ja virustorjuntaohjelmistojen on vaikea tunnistaa niitä. Lisäksi esimerkiksi verkon ylitse leviävät haittaohjelmat (mato, worm) hyökkäävät usein työasemien verkkoa kuuntelevien palveluiden puskuriylivuotoja hyödyntämällä, jolloin haittaohjelmakoodi voidaan syöttää suoraan haavoittuvan prosessin muistiin. Näin haittaohjelmatartunta ei välttämättä näy tiedostojärjestelmässä lainkaan, kun tietokone on käynnissä. Mikäli puskuriylivuotohaavoittuvuuden sisältävä ohjelma oli ajossa pääkäyttäjä- tai SYSTEM-tason oikeuksilla, myös haittaohjelma perii tämän korotetun oikeustason. Nykyaikaiset haittaohjelmat pyrkivät yleensä hyökkäämään ensi töikseen palomuuriohjelmiston ja virustorjuntaohjelmiston kimppuun ja lamauttamaan ne, vähintään esimerkiksi häiritsemällä virustorjuntaohjelmiston sormenjälkien päivitystä. Ajantasainen virustorjuntaohjelmisto on kuitenkin välttämätön apuväline haittaohjelmatartuntojen ennaltaehkäisyssä. Muun muassa edellä mainituista syistä työaseman tutkimiseen on suositeltavaa käyttää myös manuaalisia menetelmiä, joita tässä ohjeessa kuvataan. Lisäksi on hyvä huomata, että internetistä löytyy paljon haittaohjelmatartuntojen välttämiseen sekä haittaohjelmien havaitsemiseen ja 00181

5 1/ (13) poistamiseen liittyvää hyvää tietoa. Myös väärää tietoa levitetään, joten sopivan kriittinen asenne on kuitenkin paikallaan. 3 WINDOWS DEFENDER Windows Defender on Microsoftin tuottama ohjelmisto, jonka tarkoituksena on ennaltaehkäistä tietoturvaongelmia ja muun muassa auttaa käyttäjää havaitsemaan ja poistamaan mahdolliset vakoilu- tai haittaohjelmat. Windows Defender on esiasennettuna Windows Vistassa ja sen saa ladattua ilmaiseksi Windows XP Service Pack 2:een ja Windows Server 2003 Service Pack 1:een. Windows Defender on käyttökelpoinen apuväline haittaohjelmia etsittäessä. Windows Defender tarkkailee reaaliaikaisesti Windows-järjestelmässä tapahtuvia muutoksia ja ilmoittaa automaattisesti havaitsemistaan tietoturvauhkista. Se esimerkiksi auttaa käyttäjää tarvittaessa poistamaan tai asettamaan karanteeniin havaitun haittaohjelman. Windows Defenderin reaaliaikainen suojaus kattaa muun muassa tärkeimmät Windows-järjestelmän turvallisuusasetukset, Internet Explorerin lisäosat ja asetukset, Windowsiin asennetut ajurit ja Windowsissa toimivat palvelut sekä automaattisesti käynnistyvät sovellukset. Lisäksi Windows Defenderin ohjelmistoresurssien hallinnan (Software Explorer) avulla voi esimerkiksi estää tiettyjä sovelluksia käynnistymästä Windowsin käynnistyksen yhteydessä tai estää yhteydenotot verkosta tiettyihin sovelluksiin. Windows Defender asentuu oletuksena siten, että se päivittää haittaohjelmamäärittelynsä automaattisesti. Windows Defender voidaan myös asettaa etsimään haittaohjelmia ajastetusti. On tärkeää huomioida, että Windows Defender ei korvaa virustorjuntaohjelmistoa eikä yksinään tarjoa riittävää suojaa haittaohjelmia vastaan. Osa Windows Defenderin toiminnoista vaatii pääkäyttäjän käyttöoikeustasoa. 4 ASENNETUT OHJELMISTOT (MYÖS OFFLINE-TUTKINTA) Jotkin yksinkertaiset haittaohjelmat jättävät itsestään helposti havaittavia jälkiä asennettujen ohjelmistojen listaan ja muutamiin muihin paikkoihin. Siksi on suositeltavaa tutkia, mitä ohjelmistoja koneelle on asennettu tai asentunut. Asennettujen ja "oikein" rekisteröityneiden sovellusten lista löytyy komennolla Appwiz.cpl. Myös %ProgramFiles% -tiedostokansio ja HKEY_LOCAL_MACHINE\SOFTWARE -rekisterihaara kannattaa tutkia. Tiedostokansioita pääsee tutkimaan esimerkiksi Windows Explorerin tai edellä esitellyn komentokehotteen avulla. Windows Explorer käynnistetään valinnalla Käynnistä -> Suorita ja kirjoittamalla avautuvaan ikkunaan explorer (engl. Start -> Run -> explorer). Windowsin rekisterin tutkintaan esitellään keinoja kappaleessa 8. 5 VERKKOYHTEYDET Tietokoneen verkkoyhteyksien tila on syytä selvittää välittömästi, kun epäilyt saastumisesta syntyvät. Verkkoyhteyksien kehittymistä on myös syytä tarkkailla aktiivisesti, mikäli esimerkiksi edellä mainittuja epäilyttäviä viitteitä ilmenee. Verkkoyhteyksien tilaa voi tutkia seuraavassa esitellyillä komennoilla ja menetelmillä. 5.1 Rekisteröidyt ja selvitetyt osoitteet: IPCONFIG Komento Ipconfig listaa koneen kaikki verkkokortit sekä niiden fyysiset osoitteet (ns. MAC 4 - osoitteet) ja niitä vastaavat IP 5 -osoitteet. Lisäksi Ipconfig-komennolla on mahdollista nähdä 4 Medium Access Control; Ethernet-lähiverkoissa työasemat yksilöidään niiden verkkokortin MAC-osoitteen perusteella. 5 Internet Protocol; internetiin liitetyt työasemat yksilöidään IP-osoitteen perusteella

6 1/ (13) selvitettyjen DNS 6 -nimien välimuisti tästä voi olla suuresti hyötyä erityisesti botnet-verkkojen hallintapalvelimia jäljitettäessä, esimerkiksi vertaamalla nimiä ja netstat-komennon tuottamaa aktiivisten yhteyksien listaa. Syntaksit: ipconfig /all ipconfig /displaydns Verkkoliittymät ja osoitteet Paikallinen DNS-välimuisti 5.2 Verkkoyhteydet ja verkkoa kuuntelevat palvelut: NETSTAT Monet haittaohjelmat kuuntelevat verkkoa ja odottavat verkon kautta lisäohjeita tai lähettävät tietoa verkon ylitse. Komento Netstat listaa koneen liikennöivät ja kuuntelevat portit. Ennen Netstat-komennon käyttöä kannattaa sulkea kaikki tunnetut verkkoa käyttävät ohjelmat (wwwselain, vertaisverkko-ohjelmistot), jotta verkkoliikennettä ja tulkittavaa informaatiota olisi mahdollisimman vähän. Syntaksit: netstat -a netstat -o netstat -nao Kaikki verkkoyhteydet Verkkoyhteyttä käyttävien prosessien numerot Samat kuin yllä, mutta osoitteet numeerisina Mahdollista myöhempää tutkintaa varten on suositeltavinta ottaa talteen ensisijaisesti numeeriset osoitteet, joskin silmämääräinen tarkastelu on usein helpompaa nimien avulla. Nimiä käytettäessä tulee kuitenkin huomioida, että ne ovat numerosta nimeksi selvitettyjä ns. reverse-tietueita (DNSnimien osalta: PTR-tietueet), eivätkä välttämättä ole yhteneviä nimestä numeroksi selvitettyjen forward-tietueiden kanssa. Onko tutkittavassa koneessa outoja verkkoa kuuntelevia palveluita? Bot-verkoissa usein käytetyt IRC 7 -palvelimet ovat oletuksena TCP 8 -portissa 6667, joskin variaatioita esiintyy joskus. Varminta on ottaa tarkkailuun kaikki yhteydet, jotka jäävät päälle vielä yleisimpien verkkoa käyttävien ohjelmien sammuttamisen jälkeen. Ulkoista verkkoa kuuntelevat portit löytyvät Local Address sarakkeesta riveiltä, joiden tila on LISTENING. Ne voivat olla merkittynä aktiivisen IP-osoitteen tai merkintöjen " " ja "[::]" alla. PID tarkoittaa yhteyttä varaavaa prosessia, jonka voi selvittää kappaleen 6 ohjeilla. Esimerkkituloste: Proto Local Address Foreign Address State PID TCP : :0 LISTENING 1234 TCP : :0 LISTENING Domain Name System; internetissä käytetty palvelu, joka muuntaa domain-nimet (esim. ) internetliikennöinnissä käytetyiksi IP-osoitteiksi (esim ) ja päinvastoin. 7 Internet Relay Chat; internetissä käytetty keskusteluprotokolla, jota haittaohjelmakirjoittajat käyttävät usein haittaohjelmien komentokanavana. 8 Transmission Control Protocol; yhdessä työasemassa voi olla useampia verkkoa käyttäviä sovelluksia, jotka erotetaan toisistaan tyypillisesti TCP-porttien avulla

7 1/ (13) Lähteekö tutkittavasta koneesta lukuisia yhteydenottoyrityksiä outoihin kohdeosoitteisiin siten, että ne ovat SYN_SENT-tilassa? Usein ne ovat myös samasta osoiteavaruudesta, joskaan eivät välttämättä aivan peräkkäisistä osoitteista. Entä onko koneesta aktiivisia yhteyksiä outoihin osoitteisiin? Aktiivinen yhteys on ESTABLISHED-tilassa ja Foreign Address-kentässä näkyy kohdeosoite: Proto Local Address Foreign Address State TCP : :6667 ESTABLISHED Hakukone Google ( on hyvä työkalu liikennöivien ja kuuntelussa olevien porttien ja kohdeosoitteiden merkitystä selvitettäessä. Google-haulla voi nopeasti tarkistaa käyttääkö jokin tunnettu haittaohjelma epäilyttävältä vaikuttavaa porttia tai DNS-nimeä. 5.3 NetBIOS-nimet ja yhteydet: NBTSTAT Joskus saattaa olla hyödyllistä tietää, mitä NetBIOS 9 -osoitteita ja -yhteyksiä (NetBIOS over TCP/IP:tä kutsutaan myös lyhenteellä NBT) koneesta on otettu. Nykyään Windows-työasemissa ei usein ole edes asennettuna NBT-ajureita, jolloin ao. komennot eivät toimi eikä tällöin mahdollisten haittaohjelmienkaan Netbios-yhteyksistä tarvitse suuresti kantaa huolta, poikkeuksia tähän esiintyy harvoin. Syntaksit: nbtstat -c nbtstat -r nbtstat -S nbtstat -s NetBIOS-nimien välimuisti NetBIOS-välimuistin tila NetBIOS-yhteydet, numeerisina NetBIOS-yhteydet, niminä Esimerkkitulosteita: NetBIOS Remote Cache Name Table Name Type Host Address Life [sec] NIMI <20> UNIQUE NetBIOS Connection Table Local Name State In/Out Remote Host Input Output NIMI <00> Connected Out MB 146KB 5.4 Henkilökohtainen palomuuri Jos työasemassa on ns. henkilökohtainen palomuuri (työasemapalomuuriohjelmisto), tarkista ja ota varmuuden vuoksi talteen myös kaikki sen tarjoamat lokitiedot. Talteenoton toimintatapa 9 Network Basic Input/Output System; Netbios over TCP/IP on protokolla, jota käyttäen eräät vanhemmat sovellukset kommunikoivat TCP/IP-verkon ylitse

8 1/ (13) vaihtelee suuresti eri valmistajien tuotteiden välillä, mutta lähes kaikista henkilökohtaisista palomuureista löytyy jonkinlainen raportointitoiminto. 6 PROSESSIT Windows-järjestelmissä suoritettavana olevat sovellukset koostuvat yhdestä tai useammasta prosessista. Käyttäjän näkökulmasta lähes jokaiseen suoritettavaan ohjelmaan, myös haittaohjelmaan, liittyy prosessi. Käyttöjärjestelmän prosessilistausta tutkimalla voi selvittää onko työasemalla käynnissä ohjelmia, joiden ei kuuluisi olla ajossa. Hyvä työkalu tähän on Windowsin tehtävienhallinta, joka aukeaa Ctrl-Shift-Esc -näppäinyhdistelmällä. Tehtävienhallinnan Prosessitvälilehti (Processes) on kiintoisa. Joskus jokin työasemaan tunkeutunut haittaohjelma saattaa estää tehtävienhallinnan avaamisen. Osa haittaohjelmista myös piiloutuu tehtävienhallinnalta, mutta näkyy muilla tavoin. Tällöin prosessien listaamiseen ja hallintaan voi käyttää esimerkiksi komentoja Tasklist ja Taskkill (em. komennot eivät löydy Windows XP:tä aikaisemmista Windowsversioista, eivätkä Windows XP Home:sta). Syntaksit: tasklist Prosessilistaus tasklist /m Prosessit ja niiden lataamat DLL-modulit tasklist /svc Prosesseja vastaavat palvelut taskkill /pid 123 Tapa prosessi, jonka tunniste (ID) on 123 taskkill /f /im notepad.exe Tapa väkisin prosessi, jonka nimi on notepad.exe Tämän ohjeen kappaleessa 10 on lueteltu työkaluja (Process Explorer, PsTools, PsFile), joita voi myös käyttää muun muassa prosessien hallintaan ja tarkasteluun. Edellä mainitut työkalut toimivat useimmissa Windows-versioissa. Prosessilistauksen voi lukea lisäksi WINMSD-komennon (MSInfo32.exe, hakemistopolku mainittu alla) avulla. Mielenkiintoisia kohtia ovat Software Environment -haaran alta Network Connections, Running Tasks, Loaded Modules ja Services. Em. listauksen voi tulostaa myös.nfo -tiedostoon (allaolevassa msinfo.nfo) komennolla: "%CommonProgramFiles%\Microsoft Shared\MSInfo\MSINFO32.exe" /nfo msinfo.nfo /categories +all Vastaavasti listauksen voi tulostaa tekstitiedostoon komennolla: "%CommonProgramFiles%\Microsoft Shared\MSInfo\MSINFO32.exe" /report msinfo.txt /categories +all On hyvä huomata, että Msinfo.exe:n suorittaminen voi kestää hieman totuttua pidempään. Erityisesti tulosteesta voi etsiä prosesseja, joilla on asialliselta kuulostava nimi, mutta ne on käynnistetty epätavallisista paikoista tiedostojärjestelmässä. Myös prosessi, jonka nimi vaikuttaa täysin satunnaiselta merkkijonolta, kannattaa tutkia tarkemmin. Lisäksi kannattaa tarkistaa, että järjestelmäajureihin (järjestelmäohjain, System Driver) liittyvät.sys -tiedostot eivät ole c:\windows\system32\ -hakemistossa vaan c:\windows\system32\drivers\ -hakemistossa tai c:\program files\ -hakemiston alla. Jos poikkeuksia löytyy, on hyvä tutkia tarkemmin minkä kaltaisesta ajurista on kyse. 7 TAPAHTUMALOKIT (MYÖS OFFLINE-TUTKINTA) Windowsin lokitoiminnallisuus ei ole alun perin tarkoitettu tietomurtojen selvitykseen eikä se toimi selvitystarkoituksessa hyvin, mutta on parempi kuin ei mitään. Kaappaus saattaa tapahtumahetkellä tai sen jälkeen aiheuttaa sivuoireita, joista jää jälkiä lokiin. Windowsin 00181

9 1/ (13) lokisovellus käynnistetään komennolla Eventvwr.msc. Lokisovelluksen käyttö vaatii pääkäyttäjän käyttöoikeustasoa. Lokisovelluksesta voi tulostaa lokitiedoston aktivoimalla jonkin lokihaaran hiirellä klikkaamalla ja valitsemalla lokisovelluksesta Toiminto -> Vie luettelo (Action -> Export List). Turvallisuus (Security) ja järjestelmälokien (System) lisäksi myös sovellusten (Application) lokeista voi löytyä hyödyllistä tietoa. Mikäli bot-verkon kontrollikanavana käytetään kohteeseen (yleensä hyökkääjän toimesta) asennettua IRC-palvelinta, sen lokiominaisuudet on yleensä huolellisesti kytketty pois päältä. Tämä kannattaa kuitenkin varmuuden vuoksi tarkistaa. 8 WINDOWSIN REKISTERI (MYÖS OFFLINE-TUTKINTA) Windowsin rekisteri toimii yleisenä tietokantana, johon Windows-käyttöjärjestelmä ja sovellusohjelmat tallentavat monenlaista tietoa. Windowsin rekisterin avulla on muun muassa mahdollista käynnistää sovelluksia automaattisesti (ilman käyttäjän toimia) aina, kun työasema käynnistetään. Myös monet haittaohjelmat hyödyntävät rekisteriä käynnistyäkseen automaattisesti Windowsia käynnistettäessä. Windowsin rekisteriin pääsee käsiksi myös offline-tutkinnassa, mutta rekisterin tutkiminen on hyvä aloittaa jo työaseman ollessa päällä. Työkaluina kannattaa käyttää soveltuvin osin Windowsin rekisterityökaluja, joita ovat Regedit.exe ja Regedt32.exe. Windows Resource Kitin 10 mukana tulee myös Reg.exe-niminen komentorivityökalu. Erityisesti Run-, RunOnce- ja RunServices -haarat (polku mainittu alla 11 ) kannattaa tutkia (sekä HKLM- että HKCU-rekisterihaaroista 12 ): \SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run Myös Services-, Internet Settings- ja Winlogon\Notify -haarat voivat olla mielenkiintoisia: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\ Kattava listaus kaikista muista sovelluksia "salaa" käynnistävistä rekisteripoluista löytyy Silent Runners -sivuston kautta 13. Lisäksi esimerkiksi Windows Sysinternalsin 14 tarjoaman ilmaisen AutoRuns-työkalun avulla voi myös kätevästi tarkastella kaikkia Windowsin rekisterin kautta automaattisesti tietokoneen käynnistyksen yhteydessä käynnistymään määriteltyjä ohjelmia. Autoruns toimii kaikissa 32-bittisissä Windows-versioissa. HUOM: Regedt32.exe:n Export-toiminteella on mahdollista tulostaa rekisteri osina tai kokonaan tekstitiedostoon siten, että mukaan tulee myös rekisteriavaimen viimeisin muutosaika! Windowsin Rekisterirakenne vaihtelee hieman eri Windows-versioiden välillä, kaikkia mainituista haaroista ei löydy kaikista Windows-järjestelmistä 12 HKLM = HKEY_LOCAL_MACHINE, HKCU = HKEY_CURRENT_USER

10 1/ (13) rekisterin muokkaaminen vaatii asiantuntemusta ja ennen mahdollisia muokkaustoimenpiteitä on tärkeää ottaa rekisteristä varmuuskopio. 9 TIEDOSTOJÄRJESTELMÄ (MYÖS OFFLINE-TUTKINTA) Pääosa haittaohjelmista jättää jälkiä tiedostojärjestelmään, joten haittaohjelmatartuntaa epäiltäessä on syytä tutkia mitä tiedostojärjestelmästä löytyy. Suositeltavia tutkintakohteita ovat seuraavat: %SystemRoot%\ Yleensä C:\WINDOWS tai C:\WINNT %SystemRoot%\System32\ %SystemRoot%\System32\drivers\etc\HOSTS %SystemRoot%\Debug\ %ProgramFiles%\ Yleensä C:\Program Files %SystemDrive%\ Yleensä C:\ %Userprofile%\Local Settings\Temporary Internet Files Myös tiedostojärjestelmän kautta on mahdollista käynnistää sovelluksia työaseman käynnistyksen yhteydessä. Näitä tiedostoja hakemistoja ovat mm.: C:\Windows\Win.ini C:\Windows\System.ini C:\Documents and Settings\<käyttäjänimi>\Start Menu\Programs\Startup\ C:\Users\<käyttäjänimi>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Myös Default User ja All Users -profiilit sisältävät joskus kiinnostavaa tietoa. Eräät SYSTEMoikeuksin toimivat haittaohjelmat käyttävät niitä työtilanaan. Muissa kuin Windows Vistassa profiilit löytyvät hakemistopoluista: C:\Documents and Settings\Default User\ C:\Documents and Settings\All Users Windows Vistassa vastaavat polut ovat: C:\Users\Public\ C:\Users\Default\ 9.1 Yleissilmäys tiedostojärjestelmään: TREE Komento Tree tuottaa nopean yleissilmäyksen tiedostojärjestelmän rakenteesta ja koneessa olevista tiedostoista. Tutki, onko jotakin uutta ja outoa ilmestynyt. Syntaksit: tree C:\ /a tree C:\ /a /f Listaa kansiorakenteen Kansiorakenne + tiedostot 9.2 Perinpohjainen tiedostolistaus: DIR, lukuisine optioineen Dir-komennolla on mahdollista kaivaa monenlaisia mielenkiintoisia tietoja epäilyksenalaisista tiedostoista

11 1/ (13) Syntaksit (tulosteet kannattaa ohjata tiedostoon): dir /s /-c /tc /od * dir /s /-c /ta /od * dir /s /-c /tw /od * dir /s /-c /q * dir /s /-c /tc /od /ah * dir /s /-c /ta /od /ah * dir /s /-c /tw /od /ah * dir /s /-c /q /ah * Tiedostot luontiajan mukaan järjestettynä Tiedostot viimeisen käyttöajan mukaan Tiedostot viimeisen muokkausajan mukaan Listaa tiedostojen omistajan Samat kuin edellä piilotiedostoille 9.3 Tiedostojen NTFS-käyttöoikeudet: CACLS Cacls näyttää ja muokkaa tiedostojen käyttöoikeuksia. Syntaksi: cacls C:\ /T /C Listaa koko C-levyn oikeudet HUOM: Cacls on ajettava riittävän korkealla käyttöoikeustasolla, jotta komento näyttäisi kaikkien tiedostojen käyttöoikeudet. Windows Vistassa kannattaa käyttää Icacls -nimistä kehittyneempää komentoa edellä mainittuun tapaan eli samoilla optioilla. 10 EDISTYNEEMPIÄ TYÖKALUJA TUTKINTAAN Oletusasetuksin asennetun Windowsin vakiokomennoilla ja työkaluilla on työlästä hankkia kaikkea informaatiota, jota hieman perinpohjaisempaan tutkintaan tarvitaan. Onneksi Windowsin prosessien, rekisterin, tiedostojärjestelmän ja verkkoyhteyksien tutkintaan on kuitenkin saatavilla ilmaisia työkaluja, jotka helpottavat tutkintaa huomattavasti. On hyvä huomioida, että tässä kappaleessa mainittujen työkalujen käyttö ja tulosten tulkinta vaatii laajaa osaamista. Lisäksi monien mainittujen työkalujen käyttö vaatii pääkäyttäjän käyttöoikeustasoa. Esimerkiksi Windows XP:tä edeltävissä versioissa ei ole mahdollista helposti yhdistää liikennöivää verkkopalvelua tai -sovellusta aktiiviseen prosessiin. Windows Sysinternals tarjoaa tätä tarkoitusta varten parikin ilmaista työkalua: TCPView on graafisella käyttöliittymällä varustettu työkalu, joka tuo edellä esiteltyyn netstat-komentoon tämän kaivatun lisäominaisuuden ja paljon muuta. Muita Windows Sysinternalsin käteviä tutkintatyökaluja ovat Process Explorer, Handle, PsTools, Regmon, Filemon, ListDLLs, TDImon ja RootkitRevealer. Nykyään eräät haittaohjelmat piilottavat tavallisimmat haittaohjelman tunnusmerkit (esim. prosessit, tiedostot ja rekisteriavaimet) ns. rootkit-tekniikan avulla, jolloin edellä mainituilla keinoilla ei ole mahdollista todeta haittaohjelmaa. Muun muassa edellä mainittu RootkitRevealer ja maksuton rootkitien havaitsemiseen ja poistamiseen tarkoittu GMER 15 ovat hyödyksi erityisesti tämän kaltaisissa tilanteissa. GMER toimii Windows NT/2000/XP -järjestelmissä. Myös muita maksullisia ja maksuttomia rootkitien havaitsemiseen ja poistamiseen tarkoitettuja ohjelmia on olemassa. Rootkitien havaitsemiseen tarkoitettujen ohjelmien havaitsemisvarmuus ei ole aivan täydellinen, joten tulosten varmentamiseen voi käyttää useampaa ohjelmistoa. Kun rootkit on havaittu, se voidaan poistaa esimerkiksi käynnistämällä tietokone käynnistyslevyltä tai toiselta loogiselta kovalevyasemalta, jolloin rootkitin piilottamat tiedostot, mukaanlukien itse rootkit, saadaan näkyviin ja voidaan poistaa. Rootkitin poistaminen on vaikeaa ja vaatii paljon osaamista,

12 1/ (13) joten se on syytä antaa asiantuntijan tehtäväksi tai tehdä käyttöjärjestelmälle täydellinen uudelleenasennus. Myös esimerkiksi Foundstonella 16 on ilmaisia työkaluja, joilla voi tutkia Internet Explorerin välimuistia (Pasco) ja evästeitä (Galleta) sekä Windowsin roskakorin tilaa (Rifiuti). Heillä on myös vastaavia työkaluja kuin edellä mainitut Windows Sysinternalsin tuotteet, esimerkiksi Vision ja F- Port. Lisäksi esimerkiksi mynetwatchmanin SecCheck SCU 17 on helppokäyttöinen työkalu, joka kerää automaattisesti työasemasta haittaohjelmiin liittyvää tietoa ja lähettää sen analysoitavaksi mynetwatchmanin palvelimelle. SecCheck SCU raportoi analyysin tulokset, sekä www-sivun muodossa että kirjoittamalla lokitiedoston työasemalle. Helix 18 on kattava "työkalupakki" myös Windows-järjestelmien tutkintaan. Helix jaetaan.isolevykuvana, jonka voi kirjoittaa CD-levylle. Helix-CD toimii käynnistyslevynä, jolta voi käynnistää tietokoneen ja joka ei tee muutoksia isäntäjärjestelmään. Helixissä on Windows-osio, joka sisältää paljon hyviä työkaluja Windows-järjestelmän tutkintaan. Microsoft tarjoaa ilmaiseksi ladattavissa olevaa Change Analysis Diagnostic Tool -työkalua 19 Windows XP SP2-järjestelmissä tapahtuneiden muutosten havainnointiin. Työkalun avulla käyttäjä saa tietoa käyttöjärjestelmän sekä asennettujen ajurien, ohjelmistojen, ActiveX-komponenttien sekä selainlaajennusten muutoksista järjestelmässä. Vertailuhistorian pituus on melko vapaasti valittavissa. Työkalu tuottaa raportin XML-tiedostona, jota voi tutkia esimerkiksi tekstieditorilla ja jonka voi ottaa talteen myöhempää selvitystä varten. Kirjoitushetkellä Change Analysis Diagnostic Tool toimii vain Windows XP SP2:n englanninkielisessä versiossa. 11 TOIMINTA HAITTAOHJELMAN LÖYTYESSÄ Jos havaitset merkkejä vakavasta haittaohjelmatartunnasta tietokoneessasi, on suositeltavaa noudattaa :n tietoturvaloukkaustilanteista antamaa ohjetta 20 tai lievemmissä tapauksissa kytkeä järjestelmä irti verkosta ja puhdistaa se omatoimisesti. 12 LISÄTIETOA Englanninkielisiä lisätietoja haittaohjelman saastuttamaksi epäillyn työaseman tutkinnasta saa seuraavista linkeistä: Microsoft TechNet -artikkeli Windows-työaseman tutkimisesta. Windows Defenderin suomenkielinen sivusto. Roger Grimesin artikkeli (.doc-muodossa) haittaohjelmien sijoittumisesta Windows-järjestelmään

13 1/ (13) Forensics Wiki-sivusto, joka sisältää paljon englanninkielistä tietokoneiden selvitykseen ja tutkintaan liittyvää tietoa. Jamie Morrisin englanninkieliset artikkelit Windows Vistan tutkinnassa huomioitavista seikoista: Online-virustutkia löytyy seuraavista: Myös seuraavista linkeistä saattaa olla hyötyä haittaohjelmia etsittäessä: