雲存儲服務的數字取證(上)
隨著雲計算技術的發展,越來越多的企業選擇將數據遷移到雲上。因為雲存儲和其他雲服務的成本低、使用方便等好處,雲服務可能會被惡意用戶濫用,比如使用雲服務發起DDOS攻擊等。用戶可以通過手機等智能設備訪問雲存儲服務。所以,雲服務的取證調查就是非常必要的。本文分析了對Windows、Mac、iPhone、Android手機等設備使用雲服務的調查取證。
雲服務可分為三種:SaaS (software as a service), PaaS (platform as a service), and IaaS (infrastructure as a service)
雲數據存儲服務不僅提供對文件等數據的存儲,還可以對文件進行編輯。用戶可以通過智能手機來訪問企業雲服務,達到泄露企業機密數據的目的。
雲存儲服務取證的難點在於使用一次雲服務的時候做了什麼。日誌文件可以告訴我們登錄用戶的所作所為。但是公司是不願意提供關於雲伺服器的相關信息。傳統的調查取證方法是不適用於雲存儲服務的。需要將使用傳統的調查取證方法和手機取證方法相結合。使用雲存儲服務會在本地設備中留下蹤跡。文章調查了訪問雲存儲的PC和智能手機的活動蹤跡。手機和分析雲存儲服務的方法。
1. 雲存儲服務和數字取證
雲存儲服務是一種向用戶提供存儲空間的IaaS。雲存儲服務提供的功能越來越多,比如圖像編輯、播放音樂和視頻、郵件發送等。
雲存儲服務可以通過web瀏覽器和客戶端進行存取和訪問。用戶可以通過智能手機、平板電腦等設備訪問雲存儲服務。
文中,研究人員選擇了4種雲服務進行對比,分別是Amazon S3, Google Docs, Dropbox,和 Evernote。這4種服務可以分為三種類型,第一種是提供雲存儲服務的,比如Amazon S3和Dropbox。第二種提供office套件和數據存儲服務,比如Google Docs。第三種提供note存儲和數據存儲,比如Evernote。
1.1 雲存儲服務的數字取證步驟
調查者需要從可以訪問雲存儲服務的設備上收集和分析數據,本研究的設備中涵蓋PC和智能手機,這也是使用最廣泛的設備。對這些設備的調查步驟如圖1所示。
對於Windows和Mac系統,調查者首先要決定是不是可以收集到異常數據。如果可以,就收集物理內存中的內容。然後,手機網頁歷史、日誌文件、文件和目錄的數據。對於iOS系統,調查者可以檢查PC上存儲的備份文件,或收集、分析用於iTunes的數據。對安卓系統,需要把手機root之後在手機數據,root是從安卓設備中獲取數據的必要過程,因為普通許可權無法讀取一些文件和文件夾內的數據。調查者分析上面描述的數據的過程中,需要檢查雲存儲服務的記錄是否存在以上數據中,如果是,調查者要進一步確認用戶證書信息是不是存在。
1.2 調查中的重要因素
1.2.1 瀏覽器日誌文件
雲存儲服務是基於web的服務,所以收集和分析上網歷史數據。研究人員可以通過查看IE、Firefox 、Chrome和Safari瀏覽器的文件。Web瀏覽器日誌文件存儲在profile目錄中,web瀏覽器日誌文件包含緩存、歷史、cookie、和下載的文件。文件存儲路徑如表2、3所示
緩存文件包括下載的圖像文件、文本文件、圖標、HTML、XML、下載的URL、下載次數和數據大小等。歷史文件含有用戶訪問過的URL、web頁的標題、訪問次數等。Cookie文件存儲的是關於主機、路徑、cookie修改次數、cookie到期時間、名字和值等。下載列表包含下載文件的本地路徑、下載的URL、文件大小和下載次數、是否下載成功等。通過web瀏覽器的這些文件,調查者可以找出訪問和登錄雲存儲服務的用戶活動。
1.2.2 PC中的客戶端應用的Artifacts
為了方便使用,雲存儲服務商會向用戶提供客戶端應用。客戶端安裝在Windows系統中的話,記錄就在註冊表、日誌文件和資料庫文件中。如果安卓在Mac系統中,記錄文件在日誌文件和資料庫文件中。這些文件含有使用雲存儲服務的記錄。PC上的日誌文件創建了一個用戶使用雲存儲服務的時間線。當使用雲服務的時候,就會創建資料庫文件來管理用於同步的文件和文件夾。大多數的資料庫文件含有文件夾和文件的名字、創建時間、最後修改時間、是否刪除等。
1.2.3 智能手機中的Artifacts
對於智能手機中的使用記錄,首先應該檢查資料庫文件、XML文件和Plist文件。同樣的,資料庫文件是用來進行同步的,檢查XML文件和plist文件的原因是因為含有用戶賬戶信息。
1.2.4 物理內存
物理內存中含有關於用戶的重要信息,比如ID、登錄web瀏覽器所用的密碼。收集的步驟如圖1,而只有當系統在線時,才有可能收集物理內存。
2. 雲存儲服務的臨時文件 (Windows and Mac)
圖4是本研究中研究的雲存儲服務和應用版本。
本文研究的服務細節 (Windows, Mac, 和智能手機應用)
2.1 Amazon S3
Amazon S3是基於web的雲存儲服務,並且提供不同的API。許多雲存儲服務都是基於API建立的。比如Dropbox用Amazon S3的API來進行數據存儲。用戶可以用Windows、Mac、iPhone、安卓智能手機登進行文件的上傳、下載、打開、刪除。雖然Amazon S3默認使用的是SSL,但是仍然創建了臨時文件。
2.1.1 Windows
Bucket logging默認是關閉的,如果用戶開啟,那麼日誌文件就叫做bucket log桶日誌。當用戶下載、打開一個Amazon S3上的office文件,會創建一個名為s3.amazonaws.com.lnk的文件。當用戶瀏覽桶日誌文件時,會在另一個路徑下創建一個名為Log file name[n].txt的文件。
如果用戶打開IE中的桶日誌,會創建一個臨時文件,圖2是一個例子。文件的第一個和第二個域是用戶的ID和bucket name,第三個域是用戶執行操作的時間。第7個域描述了用戶的操作,第8個域是用戶操作的文件名,最後一個域是HTTP 用戶代理值。
2.1.2 Mac
需要分析用戶訪問的URL和訪問URL的時間,其中cache可能含有從Amazon S3下載的文件, Firefox中沒有使用Amazon S3的證據。當web瀏覽器關閉後,相關文件就被刪除了。但是可以用EnCase工具進行恢復。
2.2 Dropbox
Dropbox是目前最常用的雲服務之一,當用戶向同步文件夾中添加文件、編輯文件或刪除文件後,Dropbox會自動同步到web端。用戶可以用Windows、Mac、iPhone、Android設備來訪問雲存儲服務。
2.2.1 Windows
當Dropbox用於Windows系統時,會創建5個資料庫文件,其中config.db和filecache.db含有重要的信息。因為資料庫格式為SQLite資料庫文件格式,所以很容易識別其中的內容。
首先, config.db (表 6)的主鍵為recently_changed3,值為最賤編輯、複製、移動和刪除的5個文件名。用戶最後訪問的文件位於列表最上方。文件config.db含有登錄的郵箱地址和Dropbox的完整安裝路徑。即使調查人員不知道用戶的ID和password,也可以通過config.db訪問雲存儲。如果調查者從用戶的PC中找到了config.db,那麼就可以找到dropbox_path路徑。然後調查者就可以在自己的電腦上安裝Dropbox,並複製config.db到與用戶相同的路徑下。運行Dropbox後就可以訪問雲存儲服務了。
其次,文件創建和修改的時間,伺服器上要同步的文件的名稱和路徑都存在filecache.db(表 7)中。其中時間的格式為Unix時間。
2.2.2 Mac
當Dropbox用於Mac系統時,除了路徑外,都與Windows系統類似。
2.3 Evernote
Evernote一個允許用戶隨時隨地訪問和保存notes的著名的存儲服務。與Dropbox不同,Evernote每次保存一次就同步一次。用戶可以通過Windows、Mac、iPhone、Android設備來訪問雲存儲服務。
2.3.1 Windows
當Evernote用於Windows系統時,會創建4個文件夾,其中資料庫文件和日誌文件因為格式原因很容易被識別。在資料庫文件夾中,存在[userID].exb和[userID].exb.thumbnails文件。其中 [userID].exb (表 8)包含note標題、創建和修改的時間、創建的位置、創建時所用的操作系統的類型這樣的信息。也可以識別附件名、類型和創建時間等。
文件[userID].exb.thumbnails是每次同步時對note的截圖的融合,如圖3所示。通過提取PNG文件的信息,就可以知道note修改的歷史。
在日誌文件中,包含AppLog_[Date].txt (圖 4)和enclipper_[Date].txt兩個日誌文件。在Evernote開始使用後,每天都會產生一個AppLog_[Date].txt文件,文件包含了認證信息、賬戶ID、應用開啟和關閉的時間。enclipper_[Date].txt也是每天創建一個,記錄了應用開啟的時間。
2.3.2 Mac
當Evernote用於Mac系統中時,會創建4個文件,分別是Evernote.sql, fullscreenThumbnail.png, thumbnail.png和 Evernote.log。其中Evernote.sql是資料庫文件, fullscreenThumbnail.png是note的截圖, thumbnail.png含有筆記的內容,Evernote.log是日誌文件,等同於Windows系統下的AppLog_[Date].txt。
2.4 Google Docs
Google Docs是基於web的SaaS服務,用戶可以在iPhone和Android終端上使用其提供的web應用。文檔所有者可以隨時設置分享和撤迴文件許可權,可以上傳、下載和編輯文件。這樣看的話,這也屬於一種雲存儲服務。雖然Google Docs默認使用SSL,但是仍然會生成臨時文件。
2.4.1 Windows
在IE 8.0中,可以創建新的Microsoft Office word/ppt/xls,而且可以瀏覽和編輯這些類型的文件。在瀏覽和編輯的時候會創建一些臨時文件,如表 9,表 9中的內容可以幫助識別Google Docs產生的附加品。
在訪問Google Docs時,會創建docs_google_com[n].htm文件,該文件含有一系列Google Docs的文件列表。每天的文件從docs_google_com[1].htm開始。當用戶瀏覽文檔或演示的時候,就會創建edit[n].htm文件。edit[n].htm文件含有Microsoft文檔和演示的內容,對一個文檔來說,只含有內容的一頁。當用戶瀏覽Microsoft表格時,會創建ccc[n].htm文件,表格的內容也會保存在ccc[n].htm文件中。當用戶瀏覽pdf文件時,會創建viewer[n].htm, viewer[n].txt和viewer[n].png共三個文件。Pdf文件的標題保存在viewer[n].htm中,元數據和內容保存在viewer[n].txt中,ppt或pdf的每一頁都保存在viewer[n].png中。當對文檔、PPT或txt進行編輯時,就會創建edit[n].htm文件。當瀏覽器關掉的時候,臨時文件會刪除掉,但是可以用EnCase這樣的工具進行恢復。
2.4.2 Mac
在Firefox v9.0.1版本中,當新建office文件時,可以進行瀏覽和編輯操作。根據用戶習慣,會創建一些臨時文件,如表 10。
當用戶瀏覽ppt,pptx,pdf文件時,在對應路徑下回創建png文件,ppt,pptx,pdf文件的每一頁都保存在一個PNG文件中。第一頁的內容保存在HTML文件中,當ppt,pptx文件被編輯時,就會創建HTML文件,HTML文件含有docs,id= goog_這樣的關鍵詞。HTML文件是通過<body>和</body>之間的<div dir="ltr">簽名進行驗證的。內容在簽名認證之後,一般在<span>和</span>之間或<font>和</font>之間。
當用戶關閉瀏覽器後,對應的臨時文件就被刪除了,但是可以用EnCase這樣的工具進行恢復。
本文翻譯自:https://arxiv.org/ftp/arxiv/papers/1709/1709.10395.pdf ,如若轉載,請註明原文地址: http://www.4hou.com/data/9807.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※COM Object hijacking後門的實現思路——劫持explorer.exe
※黑客小菜鳥怎麼從hacking team泄露的資料快速學習?
※看我如何找到Deutche Telekom本地包含漏洞(LFI)
※聚焦九大頂尖安全領域 於CSS2017共商網路安全新機遇
TAG:信息安全 |