Linux系统恶意软件事件响应中的易失性数据收集
1. 引言
在处理潜在受影响的计算机时,实时取证检查比深入检查磁盘的法医副本更为必要。保留实时系统中的数据对于确定是否安装了恶意代码至关重要,在恶意软件事件初期收集的易失性数据能提供有价值的线索,如恶意软件通信的远程服务器。
2. 本地与远程收集
在收集受影响系统的数据时,有本地和远程两种收集方式:
-本地收集:将外部存储介质连接到受影响系统,并将结果保存到连接的介质上。
-远程收集:通过网络连接(通常使用netcat或cryptcat监听器)将获取的系统数据传输到收集服务器。这种方法减少了系统交互,但依赖于通过netcat监听器建立的端口穿越受影响网络的能力。
2.1 调查考虑
- 某些情况下,受影响网络的防火墙和/或代理服务器配置可能会使建立远程收集存储库变得困难或不切实际。
- 实时响应期间远程获取某些数据(如物理内存映像)可能会消耗大量时间和资源,具体取决于目标系统的随机访问内存(RAM)量。
- 本地收集在处理旧系统和过时硬件(如USB 1.1)时可能会比较耗时,因为其最大传输速率仅为12兆比特每秒(mbps)。
在进行远程收集时,需要先在收集系统上执行netcat命令,使其准备好接收来自受影响系统的数据。例如,以下命令将受影响系统上实时响应工具的输出发送到远程IP地址(172.16.131.32),并将输出保存到收集系统上名为“ 20131023host1.txt”的文件中:
