OHJE. Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan



Samankaltaiset tiedostot
HOW-TO: Kuinka saan yhdistettyä kaksi tulospalvelukonetta keskenään verkkoon? [Windows XP]

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Yhteydensaantiongelmien ja muiden ongelmien ratkaisuita

TELEWELL TW-EA200 MODEEMIN ASENTAMINEN SILLATTUUN SAUNALAHDEN ADSL-LIITTYMÄÄN KÄYTTÄEN USB-VÄYLÄÄ

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Javan asennus ja ohjeita ongelmatilanteisiin

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Tikon Ostolaskujenkäsittely versio SP1

1 Tivax Professional 4.5

SSH Secure Shell & SSH File Transfer

Tekninen Tuki. Access Point asennusohje

Visma Avendon asennusohje

Novapoint Lisensiointi. Copyright 2006, ViaNova IT AS. All rights reserved 1

Coolselector Asennusohje

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Tikon Web-sovellukset

Tikon Web-sovellukset

Visma Liikkuvan työn ratkaisut Päivitysohje. Pääkäyttäjän opas

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

Visma GATEWAY INSTALLER. asennusopas

Visma Liikkuvan työn ratkaisut

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

2. PPPoE YHTEYDEN POISTAMINEN BAANA-CLIENT Windows 2000 / XP

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

NAVITA BUDJETTIJÄRJESTELMÄN ENSIASENNUS PALVELIMELLE

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Solteq Tekso v Versiopäivitysohje.

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Selaimen asetukset. Toukokuu (7) Selaimen asetukset Tikon Oy. All rights reserved.

Visma Econet -ohjelmat ActiveX on epävakaa -virheilmoituksen korjausohjeet

Näin asennat MS-DOS käyttöjärjestelmän virtuaalikoneeseen

Lahden Teho-Opetus Oy. Opetusohjelmien Palvelinohjelma. Käyttö- ja asennusohjeet

3. Laajakaistaliittymän asetukset / Windows XP

Suomenkielinen versio. Johdanto. Laitteiston asennus. LC2002 Sweex Virtajohdon Ethernet-sovitin 200 Mbps

Nopean asennuksen ohje

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

AutoFutur / KoneFutur asennus verkkojärjestelmän työasemakoneelle. Ennen asennusta ja sen aikana huomioitavat asiat

TeleWell TW-LTE/4G/3G USB -modeemi Cat 4 150/50 Mbps

Nero 7:n Windows Vista TM -tuki

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

SQL Server 2008 asennus

TCP/IP-protokollat ja DNS

sivu 1 Verkkopäätteen muuttaminen Anvian uuteen tekniikkaan Ohje käy seuraaviin verkkopäätteisiin

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Windowsia verkkoyhteyksiin käyttäville asiakkaille

Asennuksessa kannattaa käyttää asennusohjelman tarjoamia oletusarvoja.

erasmartcardkortinlukijaohjelmiston

Tiedostojen lataaminen netistä ja asentaminen

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

1. päivä ip Windows 2003 Server ja vista (toteutus)

ASENNUSOHJEET INTERNET-ASENNUS. Navita Yritysmalli. YHTEYSTIEDOT Visma Solutions Oy Mannerheiminkatu LAPPEENRANTA Puh.

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows Vista

Inteno FG101 R2 modeemi - päivitysohje

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Microsoft Security Essentials (MSE) asennuspaketin lataaminen verkosta

Tikon Ostolaskujenkäsittely versio 6.2.0

UCOT-Sovellusprojekti. Asennusohje

Fiscal Media Server STD ohje

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Ohje Inteno EG101 modeemin ohjelmistopäivitykseen

Mathcad Flexnet lisenssipalvelimen asennus

TEHTÄVÄ 4: Microsoft Windows Deployment Services asennus ja hallinta

AutoFutur / KoneFutur verkkoversion palvelimen vaihtaminen. Ennen asennusta ja sen aikana huomioitavat asiat

Tämä ohje on laadittu Mozilla Firefoxin asetuksille versiossa

Aditro Tikon ostolaskujen käsittely versio SP1

GPRS-lisäpalvelu INTERNET-ASETUKSET

AinaCom Skype for Business. Asennusohje

Visma Fivaldi selainohjeet Internet Explorer

POP-UP -IKKUNOIDEN SALLIMINEN

MultiBoot. Käyttöopas

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Käyttöohje Planeetta Internet Oy

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Xerox Device Agent, XDA-Lite. Pika-asennusopas

Octave-opas. Mikä on Octave ja miksi? Asennus

1 Tivax siirto uuteen koneeseen

Fiscal Media Server STD -ohje

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

JOVISION IP-KAMERA Käyttöohje

MITEN TARKISTAT TIETOKONEESI VERKKOKORTTIASETUKSET

Visma Nova. Visma Nova ASP käyttö ja ohjeet

1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2

Maastotietokannan torrent-jakelun shapefile-tiedostojen purkaminen zip-arkistoista Windows-komentojonoilla

Office ohjelmiston asennusohje

Avautuvasta ponnahdusvalikosta valitse kohta Always allow Pop-ups from This Site / Salli aina tämän sivun ponnahdusikkunat

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka

Asennus Windows XP ja Vista -käyttöjärjestelmiin

Viva-16. Käyttöohje Veikko Nokkala Suomen Videovalvonta.com

McAfee VirusScan Enterprice asennus

Harjoitus 3 Antti Hartikainen

Kytkentäopas. Windows-ohjeet paikallisesti liitettyä tulostinta varten. Ennen Windows-tulostinohjelmiston asentamista

Taitaja 2015 Windows finaalitehtävä

Ohje Hosted.fi SharePoint

Transkriptio:

1/2007 1 (13) Ohje 1/2007 Ohje haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan Tämä ohje on tarkoitettu Windows NT -pohjaisella 1 käyttöjärjestelmällä (myöhemmin Windows) varustettujen tietokoneiden käyttäjille. Tässä ohjeessa esitellään tarkistuslistamaisesti hyödyllisimpiä Windows-komentoja, työkaluja ja menetelmiä, joilla haittaohjelman aiheuttama saastuminen, tietomurto, tai muu luvaton käyttö saattaa paljastua. Ohjeessa mainituilla menetelmillä on mahdollista havaita kohtalaisen suuri osa haittaohjelmista tai tunkeutumisista. On kuitenkin olemassa joukko haittaohjelmia ja kohdennettuja hyökkäyksiä, joiden havaitseminen vaatii hyvin korkeaa osaamistasoa eikä ole mahdollista tässä ohjeessa mainituin keinoin. Suurin osa mainituista komennoista toimii sellaisenaan tavallisessa oletusasetuksin asennetussa Windowstyöasemassa ilman ylimääräisten ohjelmistojen asentamista. Komennoista pääosa toimii myös peruskäyttäjän oikeustasolla. Pääkäyttäjän (Administrator) oikeuksia vaativien komentojen kohdalla on maininta asiasta. Ohje on kirjoitettu siten, että ohjeen lukijalta vaadittavan taustatiedon määrä kasvaa ohjeen loppua kohti edetessä. Ohjeen ensimmäiset kappaleet sopivat hyvin peruskäyttäjän luettavaksi, mutta loppupään kappaleet sopivat parhaiten lisätiedoksi edistyneille käyttäjille. Ohje tarjoaa hyvää yleistietoa kaikille tietokoneen käyttäjille, vaikka lukija ei tuntisikaan jokaista esiteltyä menetelmää tai tekniikkaa läpikotaisin. Esiteltyjä komentoja ja työkaluja on ensisijaisesti käytettävä tietokoneen ollessa käynnistettynä ja verkkoyhteyden ollessa aktiivisena (ns. online-tutkinta). Osa esitellyistä tutkintakohteista on myös sellaisia joiden avulla voi saada hyödyllisiä tuloksia vielä tietokoneen sammuttamisen jälkeen (ns. offline-tutkinta), esimerkiksi tutkimalla saastuneeksi epäillyn työaseman kovalevyä jollain muulla työasemalla tai käynnistämällä kone erilliseltä käynnistyslevyltä. Menetelmien kohdalla on mainittu, jos niiden avulla on mahdollista saada hyödyllisiä tietoja myös offline-tutkinnassa. On syytä huomata, että käyttöjärjestelmä käsittelee (lukee, muokkaa, luo, poistaa) suurta määrää tiedostoja tietokoneen sammuttamisen ja käynnistämisen yhteydessä. Mikäli tietokoneelle halutaan online-tutkinnan lisäksi suorittaa myös perinpohjainen offline-tutkinta, tulee onlinetutkinta suorittaa viipymättä ja varoen muuttamasta tutkittavan kohteen tilaa. Kun online-tutkinta on valmis eli kaikki tarvittavat tiedot on saatu kerättyä, kone tulisi sammuttaa "väkivaltaisesti" ottamalla virtajohto/akku irti, jotta esimerkiksi RAM-muistin 2 osia sisältävän sivutustiedoston ei sisältö pääse turmeltumaan. Asianmukainen offline-tutkinta vaatii usein huomattavasti enemmän asiantuntemusta kuin online-tutkinta. Offline-tutkinta kannattaakin usein antaa asiantuntijan tehtäväksi. Tästä syystä tässä ohjeessa keskitytään pääasiassa online-tutkinnan menetelmiin. Tässä ohjeessa esitellyt komennot on kätevintä antaa Windowsin komentokehotteessa (Command Prompt). Muissa kuin Windows Vistassa komentokehotteen saa käynnistettyä valitsemalla Käynnistä -> Suorita ja kirjoittamalla avautuvaan ikkunaan cmd (engl. Start -> Run -> cmd). Windows Vistassa komentokehote kannattaa avata painamalla Ctrl-Shift-Esc ja valitsemalla Tiedosto -> Uusi tehtävä (Suorita...) (engl. File -> New Task (Run...)) ja kirjoittamalla avautuvaan ikkunaan cmd. Komentojen tulosteet kannattaa ottaa talteen myöhempää tarkastelua varten, sekä mahdollista tietoturva-asiantuntijan suorittamaa analyysiä varten. Helpoin tapa on ohjata 1 Kaikki Windows NT-versiot, Windows 2000, Windows XP, Windows Vista. 2 Random Access Memory, ohjelmien käyttämä työmuisti. 00181

1/2007 2 (13) komennon tuloste tiedostoon lisäämällä sen perään suurempi kuin -merkki 3 ja tiedoston nimi, esimerkiksi näin: netstat -an > c:\temp\netstat-tuloste.txt 3 Merkintä > ohjaa ohjelman näytölle tulevat tulosteet ja merkintä "2>" ohjaa ohjelman virhetulosteet tiedostoon. 00181

1/2007 3 (13) SISÄLLYSLUETTELO 1 Yleistä 4 2 Haittaohjelmista yleisesti 4 3 Windows Defender 5 4 Asennetut ohjelmistot (myös offline-tutkinta) 5 5 Verkkoyhteydet 5 5.1 Rekisteröidyt ja selvitetyt osoitteet: IPCONFIG 5 5.2 Verkkoyhteydet ja verkkoa kuuntelevat palvelut: NETSTAT 6 5.3 NetBIOS-nimet ja yhteydet: NBTSTAT 7 5.4 Henkilökohtainen palomuuri 7 6 Prosessit 8 7 Tapahtumalokit (myös offline-tutkinta) 8 8 Windowsin rekisteri (myös offline-tutkinta) 9 9 Tiedostojärjestelmä (myös offline-tutkinta) 10 9.1 Yleissilmäys tiedostojärjestelmään: TREE 10 9.2 Perinpohjainen tiedostolistaus: DIR, lukuisine optioineen 10 9.3 Tiedostojen NTFS-käyttöoikeudet: CACLS 11 10 Edistyneempiä työkaluja tutkintaan 11 11 Toiminta haittaohjelman löytyessä 12 12 Lisätietoa 12 00181

1/2007 4 (13) 1 YLEISTÄ Haittaohjelmien havaitsemiseen on paitsi hyvin teknisiä, niin myös enemmän tietokoneen käyttäytymisen tarkkailemiseen nojaavia keinoja. Jos esimerkiksi tietokone käyttäytyy poikkeavasti, on syytä epäillä, että työasema on haittaohjelman saastuttama. Poikkeava käytös tarkoittaa esimerkiksi tietokoneen tai sen verkkoyhteyden hidastumista tai pop-up -ikkunoiden jatkuvaa aukeilua. Muita tyypillisiä haittaohjelmatartunnan merkkejä ovat tilanteet, joissa Windowsin tehtävienhallintaa (engl. Task Manager; avataan painamalla Ctrl-Shift-Esc) ei saa auki, tunnettujen virustorjuntayhtiöiden kotisivuille ei pääse tai www-selain ohjautuu itsestään odottamattomille www-sivuille. Myös henkilökohtainen palomuuri tai virustentorjuntaohjelma saattaa raportoida mahdollisista tunkeutumisista tai haittaohjelmatartunnoista. Vähäistä internetin suunnasta tulevaa ja palomuurin torjumaa verkkoliikennettä ei pidä säikähtää. On täysin normaalia, että palomuuri torjuu monenlaisia yhteydenotto- ja hyökkäysyrityksiä. Omalta työasemalta lähteneet ja palomuurimerkinnän jättäneet yhteydet kannattaa sen sijaan tutkia tarkemmin. On myös hyvä huomata, että nykyään monet haittaohjelmat pyrkivät piiloutumaan käyttäjältä ja niiden havaitseminen em. keinoilla on epätodennäköistä. Siksi olisi hyvä kokeilla myös seuraavissa kappaleissa esiteltyjä keinoja. 2 HAITTAOHJELMISTA YLEISESTI Nykyisin haittaohjelmia tuotetaan yhä useammin taloudellisen hyödyn tavoittelua varten. Haittaohjelmien tuottaminen ja levittäminen, sekä niiden avulla haltuun otettujen uhrien hallinta on enenevässä määrin ammattimaisen järjestäytyneen rikollisuuden motivoimaa ja kontrolloimaa. Tämä tarkoittaa väistämättä sitä, että haittaohjelmat ovat tehokkaita, vaikeasti havaittavia, alati muuttuvia ja - ennen kaikkea - teknisesti edistyksellisesti toteutettuja. On luvallista olettaa, että hyökkääjällä on reilu tekninen etumatka puolustajaan nähden. Hyökkääjän ei tarvitse löytää kuin yksi heikko kohta puolustajan pitäisi löytää ne kaikki. Pahin virhe, jonka puolustaja voi tehdä, on vastustajan aliarviointi. Haittaohjelmien saastuttamien koneiden siivoamiseen tulee siis suhtautua suurella varauksella. Usein varminta on eristää työasema verkosta, alustaa (formatoida) sen kovalevy käynnistämällä työasema käynnistyslevyltä ja asentaa käyttöjärjestelmä alusta alkaen uudestaan. Erityisesti bot-haittaohjelmien kohdalla virustorjuntaohjelmistot eivät valitettavasti aina kykene estämään, löytämään tai poistamaan tartuntaa. Haittaohjelmat ovat nykyisin usein ns. monimuotoisia eli ne muokkaavat itseään levitessään uuteen kohteeseen. Näin jokainen saman haittaohjelman yksilö on hieman erilainen kuin muut ja virustorjuntaohjelmistojen on vaikea tunnistaa niitä. Lisäksi esimerkiksi verkon ylitse leviävät haittaohjelmat (mato, worm) hyökkäävät usein työasemien verkkoa kuuntelevien palveluiden puskuriylivuotoja hyödyntämällä, jolloin haittaohjelmakoodi voidaan syöttää suoraan haavoittuvan prosessin muistiin. Näin haittaohjelmatartunta ei välttämättä näy tiedostojärjestelmässä lainkaan, kun tietokone on käynnissä. Mikäli puskuriylivuotohaavoittuvuuden sisältävä ohjelma oli ajossa pääkäyttäjä- tai SYSTEM-tason oikeuksilla, myös haittaohjelma perii tämän korotetun oikeustason. Nykyaikaiset haittaohjelmat pyrkivät yleensä hyökkäämään ensi töikseen palomuuriohjelmiston ja virustorjuntaohjelmiston kimppuun ja lamauttamaan ne, vähintään esimerkiksi häiritsemällä virustorjuntaohjelmiston sormenjälkien päivitystä. Ajantasainen virustorjuntaohjelmisto on kuitenkin välttämätön apuväline haittaohjelmatartuntojen ennaltaehkäisyssä. Muun muassa edellä mainituista syistä työaseman tutkimiseen on suositeltavaa käyttää myös manuaalisia menetelmiä, joita tässä ohjeessa kuvataan. Lisäksi on hyvä huomata, että internetistä löytyy paljon haittaohjelmatartuntojen välttämiseen sekä haittaohjelmien havaitsemiseen ja 00181

1/2007 5 (13) poistamiseen liittyvää hyvää tietoa. Myös väärää tietoa levitetään, joten sopivan kriittinen asenne on kuitenkin paikallaan. 3 WINDOWS DEFENDER Windows Defender on Microsoftin tuottama ohjelmisto, jonka tarkoituksena on ennaltaehkäistä tietoturvaongelmia ja muun muassa auttaa käyttäjää havaitsemaan ja poistamaan mahdolliset vakoilu- tai haittaohjelmat. Windows Defender on esiasennettuna Windows Vistassa ja sen saa ladattua ilmaiseksi Windows XP Service Pack 2:een ja Windows Server 2003 Service Pack 1:een. Windows Defender on käyttökelpoinen apuväline haittaohjelmia etsittäessä. Windows Defender tarkkailee reaaliaikaisesti Windows-järjestelmässä tapahtuvia muutoksia ja ilmoittaa automaattisesti havaitsemistaan tietoturvauhkista. Se esimerkiksi auttaa käyttäjää tarvittaessa poistamaan tai asettamaan karanteeniin havaitun haittaohjelman. Windows Defenderin reaaliaikainen suojaus kattaa muun muassa tärkeimmät Windows-järjestelmän turvallisuusasetukset, Internet Explorerin lisäosat ja asetukset, Windowsiin asennetut ajurit ja Windowsissa toimivat palvelut sekä automaattisesti käynnistyvät sovellukset. Lisäksi Windows Defenderin ohjelmistoresurssien hallinnan (Software Explorer) avulla voi esimerkiksi estää tiettyjä sovelluksia käynnistymästä Windowsin käynnistyksen yhteydessä tai estää yhteydenotot verkosta tiettyihin sovelluksiin. Windows Defender asentuu oletuksena siten, että se päivittää haittaohjelmamäärittelynsä automaattisesti. Windows Defender voidaan myös asettaa etsimään haittaohjelmia ajastetusti. On tärkeää huomioida, että Windows Defender ei korvaa virustorjuntaohjelmistoa eikä yksinään tarjoa riittävää suojaa haittaohjelmia vastaan. Osa Windows Defenderin toiminnoista vaatii pääkäyttäjän käyttöoikeustasoa. 4 ASENNETUT OHJELMISTOT (MYÖS OFFLINE-TUTKINTA) Jotkin yksinkertaiset haittaohjelmat jättävät itsestään helposti havaittavia jälkiä asennettujen ohjelmistojen listaan ja muutamiin muihin paikkoihin. Siksi on suositeltavaa tutkia, mitä ohjelmistoja koneelle on asennettu tai asentunut. Asennettujen ja "oikein" rekisteröityneiden sovellusten lista löytyy komennolla Appwiz.cpl. Myös %ProgramFiles% -tiedostokansio ja HKEY_LOCAL_MACHINE\SOFTWARE -rekisterihaara kannattaa tutkia. Tiedostokansioita pääsee tutkimaan esimerkiksi Windows Explorerin tai edellä esitellyn komentokehotteen avulla. Windows Explorer käynnistetään valinnalla Käynnistä -> Suorita ja kirjoittamalla avautuvaan ikkunaan explorer (engl. Start -> Run -> explorer). Windowsin rekisterin tutkintaan esitellään keinoja kappaleessa 8. 5 VERKKOYHTEYDET Tietokoneen verkkoyhteyksien tila on syytä selvittää välittömästi, kun epäilyt saastumisesta syntyvät. Verkkoyhteyksien kehittymistä on myös syytä tarkkailla aktiivisesti, mikäli esimerkiksi edellä mainittuja epäilyttäviä viitteitä ilmenee. Verkkoyhteyksien tilaa voi tutkia seuraavassa esitellyillä komennoilla ja menetelmillä. 5.1 Rekisteröidyt ja selvitetyt osoitteet: IPCONFIG Komento Ipconfig listaa koneen kaikki verkkokortit sekä niiden fyysiset osoitteet (ns. MAC 4 - osoitteet) ja niitä vastaavat IP 5 -osoitteet. Lisäksi Ipconfig-komennolla on mahdollista nähdä 4 Medium Access Control; Ethernet-lähiverkoissa työasemat yksilöidään niiden verkkokortin MAC-osoitteen perusteella. 5 Internet Protocol; internetiin liitetyt työasemat yksilöidään IP-osoitteen perusteella. 00181

1/2007 6 (13) selvitettyjen DNS 6 -nimien välimuisti tästä voi olla suuresti hyötyä erityisesti botnet-verkkojen hallintapalvelimia jäljitettäessä, esimerkiksi vertaamalla nimiä ja netstat-komennon tuottamaa aktiivisten yhteyksien listaa. Syntaksit: ipconfig /all ipconfig /displaydns Verkkoliittymät ja osoitteet Paikallinen DNS-välimuisti 5.2 Verkkoyhteydet ja verkkoa kuuntelevat palvelut: NETSTAT Monet haittaohjelmat kuuntelevat verkkoa ja odottavat verkon kautta lisäohjeita tai lähettävät tietoa verkon ylitse. Komento Netstat listaa koneen liikennöivät ja kuuntelevat portit. Ennen Netstat-komennon käyttöä kannattaa sulkea kaikki tunnetut verkkoa käyttävät ohjelmat (wwwselain, vertaisverkko-ohjelmistot), jotta verkkoliikennettä ja tulkittavaa informaatiota olisi mahdollisimman vähän. Syntaksit: netstat -a netstat -o netstat -nao Kaikki verkkoyhteydet Verkkoyhteyttä käyttävien prosessien numerot Samat kuin yllä, mutta osoitteet numeerisina Mahdollista myöhempää tutkintaa varten on suositeltavinta ottaa talteen ensisijaisesti numeeriset osoitteet, joskin silmämääräinen tarkastelu on usein helpompaa nimien avulla. Nimiä käytettäessä tulee kuitenkin huomioida, että ne ovat numerosta nimeksi selvitettyjä ns. reverse-tietueita (DNSnimien osalta: PTR-tietueet), eivätkä välttämättä ole yhteneviä nimestä numeroksi selvitettyjen forward-tietueiden kanssa. Onko tutkittavassa koneessa outoja verkkoa kuuntelevia palveluita? Bot-verkoissa usein käytetyt IRC 7 -palvelimet ovat oletuksena TCP 8 -portissa 6667, joskin variaatioita esiintyy joskus. Varminta on ottaa tarkkailuun kaikki yhteydet, jotka jäävät päälle vielä yleisimpien verkkoa käyttävien ohjelmien sammuttamisen jälkeen. Ulkoista verkkoa kuuntelevat portit löytyvät Local Address sarakkeesta riveiltä, joiden tila on LISTENING. Ne voivat olla merkittynä aktiivisen IP-osoitteen tai merkintöjen "0.0.0.0" ja "[::]" alla. PID tarkoittaa yhteyttä varaavaa prosessia, jonka voi selvittää kappaleen 6 ohjeilla. Esimerkkituloste: Proto Local Address Foreign Address State PID TCP 0.0.0.0:6667 0.0.0.0:0 LISTENING 1234 TCP 1.2.3.4:3267 0.0.0.0:0 LISTENING 4321 6 Domain Name System; internetissä käytetty palvelu, joka muuntaa domain-nimet (esim. ) internetliikennöinnissä käytetyiksi IP-osoitteiksi (esim. 87.239.124.83) ja päinvastoin. 7 Internet Relay Chat; internetissä käytetty keskusteluprotokolla, jota haittaohjelmakirjoittajat käyttävät usein haittaohjelmien komentokanavana. 8 Transmission Control Protocol; yhdessä työasemassa voi olla useampia verkkoa käyttäviä sovelluksia, jotka erotetaan toisistaan tyypillisesti TCP-porttien avulla. 00181

1/2007 7 (13) Lähteekö tutkittavasta koneesta lukuisia yhteydenottoyrityksiä outoihin kohdeosoitteisiin siten, että ne ovat SYN_SENT-tilassa? Usein ne ovat myös samasta osoiteavaruudesta, joskaan eivät välttämättä aivan peräkkäisistä osoitteista. Entä onko koneesta aktiivisia yhteyksiä outoihin osoitteisiin? Aktiivinen yhteys on ESTABLISHED-tilassa ja Foreign Address-kentässä näkyy kohdeosoite: Proto Local Address Foreign Address State TCP 1.2.3.4:1234 4.3.2.1:6667 ESTABLISHED Hakukone Google (www.google.fi) on hyvä työkalu liikennöivien ja kuuntelussa olevien porttien ja kohdeosoitteiden merkitystä selvitettäessä. Google-haulla voi nopeasti tarkistaa käyttääkö jokin tunnettu haittaohjelma epäilyttävältä vaikuttavaa porttia tai DNS-nimeä. 5.3 NetBIOS-nimet ja yhteydet: NBTSTAT Joskus saattaa olla hyödyllistä tietää, mitä NetBIOS 9 -osoitteita ja -yhteyksiä (NetBIOS over TCP/IP:tä kutsutaan myös lyhenteellä NBT) koneesta on otettu. Nykyään Windows-työasemissa ei usein ole edes asennettuna NBT-ajureita, jolloin ao. komennot eivät toimi eikä tällöin mahdollisten haittaohjelmienkaan Netbios-yhteyksistä tarvitse suuresti kantaa huolta, poikkeuksia tähän esiintyy harvoin. Syntaksit: nbtstat -c nbtstat -r nbtstat -S nbtstat -s NetBIOS-nimien välimuisti NetBIOS-välimuistin tila NetBIOS-yhteydet, numeerisina NetBIOS-yhteydet, niminä Esimerkkitulosteita: NetBIOS Remote Cache Name Table Name Type Host Address Life [sec] ------------ ------------------------------------------------ NIMI <20> UNIQUE 1.2.3.4 205 NetBIOS Connection Table Local Name State In/Out Remote Host Input Output ------------------------------------------------------------------- NIMI <00> Connected Out 1.2.3.4 2MB 146KB 5.4 Henkilökohtainen palomuuri Jos työasemassa on ns. henkilökohtainen palomuuri (työasemapalomuuriohjelmisto), tarkista ja ota varmuuden vuoksi talteen myös kaikki sen tarjoamat lokitiedot. Talteenoton toimintatapa 9 Network Basic Input/Output System; Netbios over TCP/IP on protokolla, jota käyttäen eräät vanhemmat sovellukset kommunikoivat TCP/IP-verkon ylitse. 00181

1/2007 8 (13) vaihtelee suuresti eri valmistajien tuotteiden välillä, mutta lähes kaikista henkilökohtaisista palomuureista löytyy jonkinlainen raportointitoiminto. 6 PROSESSIT Windows-järjestelmissä suoritettavana olevat sovellukset koostuvat yhdestä tai useammasta prosessista. Käyttäjän näkökulmasta lähes jokaiseen suoritettavaan ohjelmaan, myös haittaohjelmaan, liittyy prosessi. Käyttöjärjestelmän prosessilistausta tutkimalla voi selvittää onko työasemalla käynnissä ohjelmia, joiden ei kuuluisi olla ajossa. Hyvä työkalu tähän on Windowsin tehtävienhallinta, joka aukeaa Ctrl-Shift-Esc -näppäinyhdistelmällä. Tehtävienhallinnan Prosessitvälilehti (Processes) on kiintoisa. Joskus jokin työasemaan tunkeutunut haittaohjelma saattaa estää tehtävienhallinnan avaamisen. Osa haittaohjelmista myös piiloutuu tehtävienhallinnalta, mutta näkyy muilla tavoin. Tällöin prosessien listaamiseen ja hallintaan voi käyttää esimerkiksi komentoja Tasklist ja Taskkill (em. komennot eivät löydy Windows XP:tä aikaisemmista Windowsversioista, eivätkä Windows XP Home:sta). Syntaksit: tasklist Prosessilistaus tasklist /m Prosessit ja niiden lataamat DLL-modulit tasklist /svc Prosesseja vastaavat palvelut taskkill /pid 123 Tapa prosessi, jonka tunniste (ID) on 123 taskkill /f /im notepad.exe Tapa väkisin prosessi, jonka nimi on notepad.exe Tämän ohjeen kappaleessa 10 on lueteltu työkaluja (Process Explorer, PsTools, PsFile), joita voi myös käyttää muun muassa prosessien hallintaan ja tarkasteluun. Edellä mainitut työkalut toimivat useimmissa Windows-versioissa. Prosessilistauksen voi lukea lisäksi WINMSD-komennon (MSInfo32.exe, hakemistopolku mainittu alla) avulla. Mielenkiintoisia kohtia ovat Software Environment -haaran alta Network Connections, Running Tasks, Loaded Modules ja Services. Em. listauksen voi tulostaa myös.nfo -tiedostoon (allaolevassa msinfo.nfo) komennolla: "%CommonProgramFiles%\Microsoft Shared\MSInfo\MSINFO32.exe" /nfo msinfo.nfo /categories +all Vastaavasti listauksen voi tulostaa tekstitiedostoon komennolla: "%CommonProgramFiles%\Microsoft Shared\MSInfo\MSINFO32.exe" /report msinfo.txt /categories +all On hyvä huomata, että Msinfo.exe:n suorittaminen voi kestää hieman totuttua pidempään. Erityisesti tulosteesta voi etsiä prosesseja, joilla on asialliselta kuulostava nimi, mutta ne on käynnistetty epätavallisista paikoista tiedostojärjestelmässä. Myös prosessi, jonka nimi vaikuttaa täysin satunnaiselta merkkijonolta, kannattaa tutkia tarkemmin. Lisäksi kannattaa tarkistaa, että järjestelmäajureihin (järjestelmäohjain, System Driver) liittyvät.sys -tiedostot eivät ole c:\windows\system32\ -hakemistossa vaan c:\windows\system32\drivers\ -hakemistossa tai c:\program files\ -hakemiston alla. Jos poikkeuksia löytyy, on hyvä tutkia tarkemmin minkä kaltaisesta ajurista on kyse. 7 TAPAHTUMALOKIT (MYÖS OFFLINE-TUTKINTA) Windowsin lokitoiminnallisuus ei ole alun perin tarkoitettu tietomurtojen selvitykseen eikä se toimi selvitystarkoituksessa hyvin, mutta on parempi kuin ei mitään. Kaappaus saattaa tapahtumahetkellä tai sen jälkeen aiheuttaa sivuoireita, joista jää jälkiä lokiin. Windowsin 00181

1/2007 9 (13) lokisovellus käynnistetään komennolla Eventvwr.msc. Lokisovelluksen käyttö vaatii pääkäyttäjän käyttöoikeustasoa. Lokisovelluksesta voi tulostaa lokitiedoston aktivoimalla jonkin lokihaaran hiirellä klikkaamalla ja valitsemalla lokisovelluksesta Toiminto -> Vie luettelo (Action -> Export List). Turvallisuus (Security) ja järjestelmälokien (System) lisäksi myös sovellusten (Application) lokeista voi löytyä hyödyllistä tietoa. Mikäli bot-verkon kontrollikanavana käytetään kohteeseen (yleensä hyökkääjän toimesta) asennettua IRC-palvelinta, sen lokiominaisuudet on yleensä huolellisesti kytketty pois päältä. Tämä kannattaa kuitenkin varmuuden vuoksi tarkistaa. 8 WINDOWSIN REKISTERI (MYÖS OFFLINE-TUTKINTA) Windowsin rekisteri toimii yleisenä tietokantana, johon Windows-käyttöjärjestelmä ja sovellusohjelmat tallentavat monenlaista tietoa. Windowsin rekisterin avulla on muun muassa mahdollista käynnistää sovelluksia automaattisesti (ilman käyttäjän toimia) aina, kun työasema käynnistetään. Myös monet haittaohjelmat hyödyntävät rekisteriä käynnistyäkseen automaattisesti Windowsia käynnistettäessä. Windowsin rekisteriin pääsee käsiksi myös offline-tutkinnassa, mutta rekisterin tutkiminen on hyvä aloittaa jo työaseman ollessa päällä. Työkaluina kannattaa käyttää soveltuvin osin Windowsin rekisterityökaluja, joita ovat Regedit.exe ja Regedt32.exe. Windows Resource Kitin 10 mukana tulee myös Reg.exe-niminen komentorivityökalu. Erityisesti Run-, RunOnce- ja RunServices -haarat (polku mainittu alla 11 ) kannattaa tutkia (sekä HKLM- että HKCU-rekisterihaaroista 12 ): \SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run Myös Services-, Internet Settings- ja Winlogon\Notify -haarat voivat olla mielenkiintoisia: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\ Kattava listaus kaikista muista sovelluksia "salaa" käynnistävistä rekisteripoluista löytyy Silent Runners -sivuston kautta 13. Lisäksi esimerkiksi Windows Sysinternalsin 14 tarjoaman ilmaisen AutoRuns-työkalun avulla voi myös kätevästi tarkastella kaikkia Windowsin rekisterin kautta automaattisesti tietokoneen käynnistyksen yhteydessä käynnistymään määriteltyjä ohjelmia. Autoruns toimii kaikissa 32-bittisissä Windows-versioissa. HUOM: Regedt32.exe:n Export-toiminteella on mahdollista tulostaa rekisteri osina tai kokonaan tekstitiedostoon siten, että mukaan tulee myös rekisteriavaimen viimeisin muutosaika! Windowsin 10 http://www.microsoft.com/windows/reskits/ 11 Rekisterirakenne vaihtelee hieman eri Windows-versioiden välillä, kaikkia mainituista haaroista ei löydy kaikista Windows-järjestelmistä 12 HKLM = HKEY_LOCAL_MACHINE, HKCU = HKEY_CURRENT_USER 13 http://www.silentrunners.org/sr_launchpoints.html 14 http://www.microsoft.com/technet/sysinternals/default.mspx 00181

1/2007 10 (13) rekisterin muokkaaminen vaatii asiantuntemusta ja ennen mahdollisia muokkaustoimenpiteitä on tärkeää ottaa rekisteristä varmuuskopio. 9 TIEDOSTOJÄRJESTELMÄ (MYÖS OFFLINE-TUTKINTA) Pääosa haittaohjelmista jättää jälkiä tiedostojärjestelmään, joten haittaohjelmatartuntaa epäiltäessä on syytä tutkia mitä tiedostojärjestelmästä löytyy. Suositeltavia tutkintakohteita ovat seuraavat: %SystemRoot%\ Yleensä C:\WINDOWS tai C:\WINNT %SystemRoot%\System32\ %SystemRoot%\System32\drivers\etc\HOSTS %SystemRoot%\Debug\ %ProgramFiles%\ Yleensä C:\Program Files %SystemDrive%\ Yleensä C:\ %Userprofile%\Local Settings\Temporary Internet Files Myös tiedostojärjestelmän kautta on mahdollista käynnistää sovelluksia työaseman käynnistyksen yhteydessä. Näitä tiedostoja hakemistoja ovat mm.: C:\Windows\Win.ini C:\Windows\System.ini C:\Documents and Settings\<käyttäjänimi>\Start Menu\Programs\Startup\ C:\Users\<käyttäjänimi>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Myös Default User ja All Users -profiilit sisältävät joskus kiinnostavaa tietoa. Eräät SYSTEMoikeuksin toimivat haittaohjelmat käyttävät niitä työtilanaan. Muissa kuin Windows Vistassa profiilit löytyvät hakemistopoluista: C:\Documents and Settings\Default User\ C:\Documents and Settings\All Users Windows Vistassa vastaavat polut ovat: C:\Users\Public\ C:\Users\Default\ 9.1 Yleissilmäys tiedostojärjestelmään: TREE Komento Tree tuottaa nopean yleissilmäyksen tiedostojärjestelmän rakenteesta ja koneessa olevista tiedostoista. Tutki, onko jotakin uutta ja outoa ilmestynyt. Syntaksit: tree C:\ /a tree C:\ /a /f Listaa kansiorakenteen Kansiorakenne + tiedostot 9.2 Perinpohjainen tiedostolistaus: DIR, lukuisine optioineen Dir-komennolla on mahdollista kaivaa monenlaisia mielenkiintoisia tietoja epäilyksenalaisista tiedostoista. 00181

1/2007 11 (13) Syntaksit (tulosteet kannattaa ohjata tiedostoon): dir /s /-c /tc /od * dir /s /-c /ta /od * dir /s /-c /tw /od * dir /s /-c /q * dir /s /-c /tc /od /ah * dir /s /-c /ta /od /ah * dir /s /-c /tw /od /ah * dir /s /-c /q /ah * Tiedostot luontiajan mukaan järjestettynä Tiedostot viimeisen käyttöajan mukaan Tiedostot viimeisen muokkausajan mukaan Listaa tiedostojen omistajan Samat kuin edellä piilotiedostoille 9.3 Tiedostojen NTFS-käyttöoikeudet: CACLS Cacls näyttää ja muokkaa tiedostojen käyttöoikeuksia. Syntaksi: cacls C:\ /T /C Listaa koko C-levyn oikeudet HUOM: Cacls on ajettava riittävän korkealla käyttöoikeustasolla, jotta komento näyttäisi kaikkien tiedostojen käyttöoikeudet. Windows Vistassa kannattaa käyttää Icacls -nimistä kehittyneempää komentoa edellä mainittuun tapaan eli samoilla optioilla. 10 EDISTYNEEMPIÄ TYÖKALUJA TUTKINTAAN Oletusasetuksin asennetun Windowsin vakiokomennoilla ja työkaluilla on työlästä hankkia kaikkea informaatiota, jota hieman perinpohjaisempaan tutkintaan tarvitaan. Onneksi Windowsin prosessien, rekisterin, tiedostojärjestelmän ja verkkoyhteyksien tutkintaan on kuitenkin saatavilla ilmaisia työkaluja, jotka helpottavat tutkintaa huomattavasti. On hyvä huomioida, että tässä kappaleessa mainittujen työkalujen käyttö ja tulosten tulkinta vaatii laajaa osaamista. Lisäksi monien mainittujen työkalujen käyttö vaatii pääkäyttäjän käyttöoikeustasoa. Esimerkiksi Windows XP:tä edeltävissä versioissa ei ole mahdollista helposti yhdistää liikennöivää verkkopalvelua tai -sovellusta aktiiviseen prosessiin. Windows Sysinternals tarjoaa tätä tarkoitusta varten parikin ilmaista työkalua: TCPView on graafisella käyttöliittymällä varustettu työkalu, joka tuo edellä esiteltyyn netstat-komentoon tämän kaivatun lisäominaisuuden ja paljon muuta. Muita Windows Sysinternalsin käteviä tutkintatyökaluja ovat Process Explorer, Handle, PsTools, Regmon, Filemon, ListDLLs, TDImon ja RootkitRevealer. Nykyään eräät haittaohjelmat piilottavat tavallisimmat haittaohjelman tunnusmerkit (esim. prosessit, tiedostot ja rekisteriavaimet) ns. rootkit-tekniikan avulla, jolloin edellä mainituilla keinoilla ei ole mahdollista todeta haittaohjelmaa. Muun muassa edellä mainittu RootkitRevealer ja maksuton rootkitien havaitsemiseen ja poistamiseen tarkoittu GMER 15 ovat hyödyksi erityisesti tämän kaltaisissa tilanteissa. GMER toimii Windows NT/2000/XP -järjestelmissä. Myös muita maksullisia ja maksuttomia rootkitien havaitsemiseen ja poistamiseen tarkoitettuja ohjelmia on olemassa. Rootkitien havaitsemiseen tarkoitettujen ohjelmien havaitsemisvarmuus ei ole aivan täydellinen, joten tulosten varmentamiseen voi käyttää useampaa ohjelmistoa. Kun rootkit on havaittu, se voidaan poistaa esimerkiksi käynnistämällä tietokone käynnistyslevyltä tai toiselta loogiselta kovalevyasemalta, jolloin rootkitin piilottamat tiedostot, mukaanlukien itse rootkit, saadaan näkyviin ja voidaan poistaa. Rootkitin poistaminen on vaikeaa ja vaatii paljon osaamista, 15 http://www.gmer.net/index.php 00181

1/2007 12 (13) joten se on syytä antaa asiantuntijan tehtäväksi tai tehdä käyttöjärjestelmälle täydellinen uudelleenasennus. Myös esimerkiksi Foundstonella 16 on ilmaisia työkaluja, joilla voi tutkia Internet Explorerin välimuistia (Pasco) ja evästeitä (Galleta) sekä Windowsin roskakorin tilaa (Rifiuti). Heillä on myös vastaavia työkaluja kuin edellä mainitut Windows Sysinternalsin tuotteet, esimerkiksi Vision ja F- Port. Lisäksi esimerkiksi mynetwatchmanin SecCheck SCU 17 on helppokäyttöinen työkalu, joka kerää automaattisesti työasemasta haittaohjelmiin liittyvää tietoa ja lähettää sen analysoitavaksi mynetwatchmanin palvelimelle. SecCheck SCU raportoi analyysin tulokset, sekä www-sivun muodossa että kirjoittamalla lokitiedoston työasemalle. Helix 18 on kattava "työkalupakki" myös Windows-järjestelmien tutkintaan. Helix jaetaan.isolevykuvana, jonka voi kirjoittaa CD-levylle. Helix-CD toimii käynnistyslevynä, jolta voi käynnistää tietokoneen ja joka ei tee muutoksia isäntäjärjestelmään. Helixissä on Windows-osio, joka sisältää paljon hyviä työkaluja Windows-järjestelmän tutkintaan. Microsoft tarjoaa ilmaiseksi ladattavissa olevaa Change Analysis Diagnostic Tool -työkalua 19 Windows XP SP2-järjestelmissä tapahtuneiden muutosten havainnointiin. Työkalun avulla käyttäjä saa tietoa käyttöjärjestelmän sekä asennettujen ajurien, ohjelmistojen, ActiveX-komponenttien sekä selainlaajennusten muutoksista järjestelmässä. Vertailuhistorian pituus on melko vapaasti valittavissa. Työkalu tuottaa raportin XML-tiedostona, jota voi tutkia esimerkiksi tekstieditorilla ja jonka voi ottaa talteen myöhempää selvitystä varten. Kirjoitushetkellä Change Analysis Diagnostic Tool toimii vain Windows XP SP2:n englanninkielisessä versiossa. 11 TOIMINTA HAITTAOHJELMAN LÖYTYESSÄ Jos havaitset merkkejä vakavasta haittaohjelmatartunnasta tietokoneessasi, on suositeltavaa noudattaa :n tietoturvaloukkaustilanteista antamaa ohjetta 20 tai lievemmissä tapauksissa kytkeä järjestelmä irti verkosta ja puhdistaa se omatoimisesti. 12 LISÄTIETOA Englanninkielisiä lisätietoja haittaohjelman saastuttamaksi epäillyn työaseman tutkinnasta saa seuraavista linkeistä: Microsoft TechNet -artikkeli Windows-työaseman tutkimisesta. http://www.microsoft.com/technet/security/guidance/disasterrecovery/computer_investigation/default.mspx Windows Defenderin suomenkielinen sivusto. http://www.microsoft.com/finland/athome/security/spyware/software/default.mspx Roger Grimesin artikkeli (.doc-muodossa) haittaohjelmien sijoittumisesta Windows-järjestelmään. http://weblog.infoworld.com/securityadviser/archives/wherewindowsmalwarehides.doc 16 http://www.foundstone.com/resources/forensics.htm 17 http://www.mynetwatchman.com/tools/sc/ 18 http://www.e-fense.com/helix/ 19 http://support.microsoft.com/?kbid=924732 20 http:///ohjeet.html 00181

1/2007 13 (13) Forensics Wiki-sivusto, joka sisältää paljon englanninkielistä tietokoneiden selvitykseen ja tutkintaan liittyvää tietoa. http://www.forensicswiki.org Jamie Morrisin englanninkieliset artikkelit Windows Vistan tutkinnassa huomioitavista seikoista: http://www.securityfocus.com/infocus/1889 http://www.securityfocus.com/infocus/1890 Online-virustutkia löytyy seuraavista: http://housecall.trendmicro.com/ http://www.kaspersky.com/virusscanner http://www.pandasoftware.com/products/activescan.htm http://security.symantec.com/ http://support.f-secure.fi/fin/home/ols.shtml http://us.mcafee.com/root/mfs/default.asp Myös seuraavista linkeistä saattaa olla hyötyä haittaohjelmia etsittäessä: http://www.file.net/ http://www.fileresearchcenter.com/ http://www.spybot.info/ http://www.lavasoft.com/ http://www.mynetwatchman.com/ 00181

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute