CENTRUL NAIONAL DE RSPUNS LA INCIDENTE DE SECURITATE CIBERNETIC

CERT-RO

Ghid practic de investigare a incidentelor privind

securitatea cibernetic
-proceduri, instrumente, recomandri
Versiunea 1.0 01 octombrie 2014
Ghid dezvoltat n cooperare cu:

CUPRINS
Scop ....................................................................................................................... 3
Context, termeni i definiii. .................................................................................. 3
Investigarea unui incident de securitate cibernetic .............................................. 4
a. Echipa de investigare a unui incident de securitate cibernetic ........................ 4
b. Investigarea incidentelor cibernetice ................................................................ 5

2 / 10

Scop
Prezentul document are ca scop realizarea unui ghid referitor la modul de investigare a
incidentelor privind securitatea cibernetica, din perspectiva procedurilor, instrumentelor i
recomandrilor care pot fi utilizate pentru o buna identificare a cauzelor care au determinat
apariia incidentelor i a aciunilor care se impun pentru eradicarea acestuia.

Context, termeni i definiii.

Secolul XXI este caracterizat de o dezvoltare rapid a tehnologiilor de informaii i
comunicare, care au creat un spaiu cibernetic dinamic fr frontiere. Sporirea numrului de
tehnologii utilizate realizarea societii informaionale au introdus numeroase riscuri i
vulnerabiliti care necesit o atenie sporit i care trebuie s constituie o preocupare major a
tuturor actorilor implicai, inclusiv din perspectiva asigurrii unui mod optim de investigare a
incidentelor de securitate cibernetica.
n prezent, incidentele cibernetice pot fi de mai multe feluri n funcie de motivaia
atacatorului, metodele i tehnicile folosite, etc., respectiv:

Categorie

Tipuri

ntreruperea serviciului

Scanarea sistemelor inta

Exfiltrari de date/comunicaii nelegitime

nclcri ale legilor copyright-ului

Furturi online

Primirea de email-uri nesolicitate

Alte activiti ilegale

Mail Bomb
atac de tip PING
atac de tip solicitri multiple
Packet Floods
infecii malware
scanri de porturi deschise
System Mapping
System Probe
Utilizarea chat messaging
Malware infections
MP3
Warez: Sites
Video Copyright
Content Violation
Furt de date bancare
Furt de parole
Furt de identitate
Spam
Mass Mail

Pornografie

Tabel 1 Categorii i tipuri de incidente cibernetice

3 / 10

Investigarea unui incident de securitate cibernetic

a. Echipa de investigare a unui incident de securitate cibernetic
Pentru obinerea unor rezultate viabile prin care sa poat fi identificata cauza corect a
apariiei incidentului, motivaia atacatorului, eventual profilul acestuia (daca este posibil) i
aciunile concrete de remediere a pagubelor produse de incident, se impune
construirea/dezvoltarea unei echipe de investigare a incidentelor.
Astfel, se recomand ca echipa de investigare a incidentelor cibernetice sa fie compus din
membri permaneni care i desfoar activitatea zilnica i membri care se altura echipei doar
atunci cnd prezena acestora este necesar aprofundrii unor aspecte referitoare la un incident
de securitate.
Echipa de investigare a incidentelor cibernetice se dimensioneaz n funcie de specificul
organizaiei i de tipul de incidente aprute i va cuprinde urmtoarele roluri:
i.
Manager CSIRT este persoana responsabil pentru operaiunile organizaiei din punct de
vedere al echipei de rspuns i investigare a incidentelor i are urmtoarele atribuii:
supravegherea ntregului proces de investigare
gestionarea activitilor globale de investigare a incidentelor de securitate
ia decizii cu privire la direciile de aciune care vor fi luate
hotrte dac i cnd este necesar s se fac schimb de informaii n afara organizaiei
ii.
Manager de Incident este persoana responsabil pentru asigurarea i punerea n aplicare a
procedurilor i politicilor de investigare a incidentelor cibernetice i pentru implementarea
aciunilor necesare n investigarea incidentelor de securitate. Aceast persoan trebuie s
neleag procesul de gestionare a incidentelor i n special pe cel specific investigrii acestora.
Aceste este responsabil pentru urmtoarele:
este desemnat punct iniial de contact n cazul apariiei unui incident.
notific nivelul executiv imediat superior n cazul apariiei unui incident i nceperea
investigaiilor.
informeaz managerul CSIRT despre activitile i rezultatele obinute n urma
investigaiilor derulate
particip activ la realizarea i coordonare activitilor de investigare a incidentelor
coordonarea activitilor i comunicarea n cadrul echipei de investigare a incidentelor
dezvolta i menine toate documentele referitoare la incident

4 / 10

iii. Echipa tehnic de investigare este alctuita din mai muli membri, fiecare avnd diferite
responsabiliti, precum:
realizarea de achiziii de date n situaia apariiei unui incident.
analiza forensics a datelor achiziionate n cazul apariiei unui incident.
analiza malware a aplicaiilor nelegitime identificate.
analiza vulnerabiliti identificate i responsabile pentru apariia incidentului.
iv. Consilierul juridic (daca este cazul) este persoana responsabil pentru consilierea i
ndrumarea din punct de vedere juridic pentru obinerea rezultatelor scontate.

b. Investigarea incidentelor cibernetice

Investigarea unui incident de securitate este una din etape procesului de incident
response, conform diagramei de mai jos:
Gestionarea incidentelor
(CSIRT)

Remediere incident
(Business Continuity
Planning)

Investigare incident

Identificare incident

Creare Indicatori de
compromitere

Izolare incident

Implementare
indicatori de
compromitere

Eradicare incident

Identificare pagube

Remediere pagube/
cauze

Restaurare sisteme
afectate

Prevenire reaparitie
incident

Prevenire reaparitie

Comunicare incident

Comunicare situatie
incident

Identificare sisteme
compromise

Colectare probe
digitale

Analiza probelor
colectate

Diagrama
procesului de rspuns la incident

Scopul investigrii unui incident de securitate cibernetica este acela de a putea rspunde la
urmtoarele ntrebri: ce s-a ntmplat?, cum s-a ntmplat? i, daca este posibil, cine a atacat?.

5 / 10

Pentru optimizarea procesului de investigare documentele de referina n domeniu

menioneaz structurarea procedeului de investigare a incidentelor n cinci pai, respectiv:
i.
Stabilirea semnalrilor iniiale cu privire la existenta unui incident de securitate. Semnalrile
iniiale pot constitui informaii primite de la cel care a identificat incidentul sau pot fi rezultatele
unor analize realizate n cadrul organizaiei i care au relevat existena unui incident. Semnalrile
iniiale trebuie s ndeplineasc 3 caracteristici:
s fie relevante: se vor elimina informaiile care reprezint n realitate activiti normale n
cadrul organizaiei.
s fie detaliate: n cadrul procesului se semnalare se va avea n vedere ca semnalrile
iniiale sa cuprind cel puin: data i ora unei anumite aciuni suspecte, adresele IP implicate, tipul
de aciune, etc.
sa fie acionabile: informaiile coninute n semnalrile iniiale trebuie sa permit trecerea
la urmtorul pas din investigaie.
ii.

Crearea indicatorilor de compromitere

Aceasta etapa reprezint procesul prin care informaiile deinute despre incident sunt
structurate ntr-o forma acionabil care va permite identificare tuturor sistemelor compromise
dintr-o reea. Pentru realizarea de indicatori de compromitere se pot avea n vedere informaii
precum: nume de directoare n care se instaleaz o aplicaie periculoasa, nume de fiiere
generate, tipuri de evenimente, mecanisme prin care i asigura persistenta, adrese IP, nume de
domenii, etc.
n crearea indicatorilor de compromitere trebuie avut n vedere formatul n care acetia
vor fi generai. De exemplu, indicatorii de compromitere bazai pe elemente de trafic de reea
sunt de obicei reguli pentru sistemele de tip Intrusion Detection Sistems - IDS (de exemplu reguli
pentru Snort). Pentru sistemele de tip host indicatorii de compromitere pot fi n format OpenIOC
(www.openioc.org), CybOX (cybox.mitre.org), YARA (code.google.com/p/yara-project).
Pentru alegerea formatului de indicatori de compromitere trebuie avut n vedere tipul de
sisteme de detecie implementate n reeaua afectata de incident, astfel nct modul lor de
implementare sa fie unul facil.
iii.

Implementarea indicatorilor de compromitere

Aceasta etapa reprezint modul n care indicatorii de compromitere sunt utilizai pentru
identificarea n mod automat a tuturor sistemelor din reea afectate de incident. De exemplu
pentru indicatorii de compromitere bazai pe elemente de trafic de reea se pot folosi sistemele de
tip IDS n care vor fi implementate regulile noi dezvoltate (de exemplu sistemul Snort este de tip
open source i permite implementarea de astfel de reguli ntr-un mod facil). Pentru sistemele de
tip host se poate folosi utilitarul gratuit, RedLine produs de Mandiant, care suport identificare de
sisteme compromise pe baza indicatorilor de compromitere n format OpenIOC.
iv.

Identificarea sistemelor afectate de incident

6 / 10

Dup implementarea indicatorilor de compromitere se pot identifica toate sistemele

afectate de incidentul investigat. Identificarea se face pe baza informaiilor cuprinse n indicatorii
de compromitere utilizai.
Implementarea indicatorilor de compromitere se va realiza i n funcie de arhitectura
reelei asupra creia a fost raportat incidentul, astfel nct sa poat fi acoperite toate zonele
acesteia (de exemplu toate vlan-urile).
Aceast etap presupune realizarea unor aciuni suplimentare astfel nct continuarea
investigaiei sa se bazeze pe informaii relevante, respectiv:
validarea sistemelor identificate prin verificarea existentei indicatorilor de compromitere
pe respectivele sisteme, ntr-o manier n care acestea nu vor fi afectate n niciun fel. De exemplu,
exista situaii cnd un sistem este identificat pe baza unui singur element prezent n regula de
identificare i care se poate datora unei alte aciuni legitime i nu incidentului investigat.
clasificarea sistemelor identificate, astfel nct investigaia s se realizeze ntr-un mod
organizat. De exemplu, sistemele vor fi clasificate n funcie de tipul de activiti realizate de
atacator, precum: sql injection, backdoor instalat, exfiltrare de date, etc.
prioritizarea sistemelor identificate, se poate realiza n funcie de importana sistemului
sau n funcie de nivelul de risc prezentat de aciunile nelegitime identificate pe respectivul sistem.
v.

Prezervarea/colectarea probelor digitale

Imediat ce un sistem a fost identificat cu indicatori de compromitere activi se va trece la
colectarea probelor digitale pentru analiza. Avnd n vedere c exist posibilitatea identificrii mai
multor sisteme compromise se recomand realizarea unui plan de colectare i prezervare a
probelor digitale. Astfel, n funcie de specificul incidentului n respectivul plan se va meniona ce
probe vor fi colectate pentru fiecare sistem n parte. De asemenea, se va avea n vedere tipul de
sistem identificat: computer/laptop, echipament de reea, terminal mobil de tip smartphone, etc.
se va stabili necesarul de probe ce urmeaz a fi colectate i echipamentele, utilitarele ce urmeaz
sa fie folosite pentru aceasta etap.
De menionat este faptul c probele digitale se mpart n doua categorii: volatile i
nevolatile. Probele volatile sunt acelea care necesita utilizarea unor tehnici i metode speciale
pentru colectarea lor, astfel nct sa permit o analiz a acestora dup ce sistemul compromis este
oprit. n tabelul de mai jos sunt menionate o serie de tipuri de probe digitale volatile i nevolatile.
Probe digitale volatile
Probe digitale nevolatile
Memoria RAM
Echipamentul fizic
Procese active
Echipamentul de stocare al sistemului inta
Conexiuni de date active
nregistrri video
Coninutul display-ului sistemului compromis
Tabel 2 Tipuri de probe digitale
Colectarea probelor digitale se poate realiza n 3 feluri, respectiv:
Live response: este metoda prin care probele digitale sunt colectate prin intermediul unui
utilitar direct de pe sistemul compromis n timp ce acesta funcioneaz. Aceast metod suport

7 / 10

multe configurri n funcie de utilitarul folosit, dar de preferat trebuie sa includ: procese active,
conexiuni de date active, log-uri, lista cu obiecte din sistemul de fiiere, coninutul registrelor,
coninutul unor fiiere suspecte.
Achiziie de memorie RAM: se impune n situaiile n care exist suspiciunea c atacatorul
a utilizat mecanisme de ascundere a activitii, ca de exemplu rootkit-uri. De asemenea, achiziia
de memorie este util pentru situaiile n care activitatea maliioas este rezident exclusiv n
memoria RAM. n astfel de situaii este de preferat realizarea unei achiziii de memorie RAM
complet.
Achiziie de fiiere de sistem (hard disk): n funcie de tipul de incident se va evalua daca se
impune o achiziie de tip full bit to bit, sau una pariala cu sistemul informatic pornit.
n anumite situaii este de preferat realizarea a doua copii ale hard disk-ului, una pentru
realizarea analizei forensics i una pentru crearea unui nou system disk care va permite rularea
acestuia ntr-un mediu izolat.
realizarea unei achiziii de log-uri/jurnale de reea existente pentru o perioada ct mai
mare de timp (minim 48h). De asemenea, dac este permis accesul la sistemul compromis pentru
perioad mai mare de timp i nu se impune izolarea imediat a acestuia, de preferat este
realizarea unei capturi de trafic aferent acestuia pentru o perioada de timp de la 48 de ore pana la
7 zile.
Colectarea de probe electronice impune nregistrarea i etichetarea acestora, descrierea
modului n care s-a realizat operaiunea, etapele, persoanele prezente, data i ora i persoana
responsabil pentru gestionarea lor. Dac este cazul, acest proces trebuie realizat n total
concordan cu reglementrile legislative n vigoare astfel nct sa permit utilizarea acestora n
instan.
Dac situaia o impune este de preferat s se realizeze intervievarea
persoanei/persoanelor care au identificat incidentul sau care utilizau sistemul informatic
compromis la momentul apariiei/identificrii incidentului.
Depozitarea probelor digitale colectate se va face ntr-un loc sigur, la care accesul se
realizeaz n funcie de permisiuni i n mod restricionat.
vi. Analiza datelor colectate
n aceasta etapa se va realiza examinarea probelor digitale colectate n etapa anterioara, aciune
orientata pentru rspunderea la ntrebrile necesare rezolvrii investigaiei. Rezultatele analizei va
fi structurata intr-un raport.
n aceast etap exist 3 tipuri majore de analize:
analiza malware: n cadrul investigaiei exist posibilitatea identificrii unor fiiere
nelegitime care au fost utilizare n realizarea atacului care necesita analiz att n mod dinamic cat
i n mod static.
analiza de tip live: se realizeaz pe baza probelor digitale colectate n modul live, i de
obicei ofer detalii limitate cu privire la incidentul investigat. De obicei, acest tip de analiz
permite nelegerea nivelului de impact a unui atac cibernetic.

8 / 10

 Analiza forensics complet: identificarea cauzei unui incident de securitate IT necesit de

multe ori acest tip de analiz. Uneori vulnerabilitatea exploatat poate fi evident i identificat
uor sau procesul de cutare poate deveni unul amplu, cum ar fi n cazul atacurilor ce utilizeaz
vulnerabiliti de tip 0-Day.
Analiza forensics completa presupune:
analiza forensics a proceselor din memorie: identificarea proceselor rogue, analiza
fiierelor dll i handles asociate proceselor, revizuirea artefactelor de reea, identificarea
eventualelor injecii de cod sau de rootkit-uri. Acest proces poate necesita: analiza live/offline a
memoriei cu utilitarele Redline, volatility, etc., examinarea registrelor din memorie, realizarea unui
timeline al obiectelor din memorie, etc.
analiza forensics a hard disk-ului aferent sistemului analizat: realizarea de supertimeline
cu utilitarul log2timeline, evidenierea aciunilor realizate cu fiiere scrise pe disc (tergeri, copieri,
deschidere, creri, etc.), identificarea de email-uri, nume, etc.

n cadrul acestei etape, n funcie de tipul de incident investigat (atac web, infecii malware,
etc.) se vor putea realiza analize forensics suplimentare pentru identificarea de artefacte care pot
aduce un plus de informaii cu privire la atacator sau motivaia acestuia. De exemplu se vor
extinde aciunile specifice analizei forensics menionate anterior n scopul identificrii unor
stringuri scrise ntr-o anumita limba, caractere specifice unui anumit dialect, nume de persoane i
pattern-uri n derularea atacului, entitile care au nregistrat domeniile/IP-urile utilizate n atac,
etc.

1. Referine
Mandia, K 2014 -Incident Response and computer forensics, 3rd edition Jason T.
Luttgens, Matthew Pepe, Kevin Mandia, Mc Graw Hill Education
SANS Institute, 2014 - http://www.sans.org/reading-room/whitepapers/incident/incident-handlershandbook-33901, accesat 15 octombrie

9 / 10

Anexa 1 List utilitare ce pot fi utilizate n investigarea incidentelor de securitate cibernetica

Aciune

Utilitare gratuite

Utilitare ce necesita
subscripie

Echipamente hardware

Crearea/imple
mentarea
indicatorilor de
compromitere

RedLine Mandiant, Yara,

Snort

Echipamente de tip IDS/IPS

de la diveri vendori

Echipamente dedicate de tip

IDS/IPS de la diveri vendori

Encase Forensic

UltraKit III(UltraKit III (T35ES) +

FireWire + TD3+ TDPX8-RW +
TDPX6 SAS), F-Response tactical
(https://www.fresponse.com/index.php?option=c
om_content&view=article&id=199
&Itemid=82), MobilEdit Connection
Kit
(http://www.mobiledit.com/conne
ction-kit)

Colectare
probe
electronice

Analiza
Incident

Analiza
malware

FTK imager, win32dd.exe,

win64dd.exe, dd, etc.

SIFT Workstation(SANS),
WireShark, Network Minner,
Encase Forensic, FTK Access
ossec, OSint:
Data
virustotal.com, cyren.com,
trustedsource.org.
FakeNet, Process Monitor,
Process Explorer, RegShot,
PE Explorer, PEStudio,
IDA Pro, OlyDBG
ChuckooBox,
www.virustotal.com

Tabel 1 Lista cu utilitare ce pot fi utilizate n investigarea incidentelor cibernetice

10 / 10