Det är möjligt att knyta ett användarkonto till en specifik process och även viss tillhörande data då en ensam användare nyttjat ett system. Det betyder endast att vi med säkerhet vet vilket användarkonto som är ansvarigt för det givna resultatet. Det säger inte att den som är anklagad för ett brott är skyldig men det ökar sannolikheten för det signifikant. Och ett SODDI försvar skulle potentiell kunna ifrågasättas.
I de fall där fler användare nyttjat ett system är visar resultaten att det är möjligt
att särskilja användarnas processer men också att den data som kan i relation till dem är opålitlig. Detta kan betyda att det inte går att säga vilken användare som eventuellt bär anvar.
Malwareanalys av minnet kan användas för att till viss del bemöta the trojan
horse defense vilket teorin och resultaten ifrån experiment två visar. Det finns mycket
faktorer som påverkar hur undersökningen bör utföras och hur resultatet ska tolkas för att bemöta försvaret. Det finns alltid en chans för att missa saker men generellt sätt så kan minnesanalys öka eller minska tvivlet.
31
6 Diskussion
Detta kapitel inleds med en diskussion kring resultaten från experimenten och hur de potentiellt kan nyttjas för att bemöta olika former av SODDI försvar. Diskussioner kring minnesforensikens styrkor och svagheter i förhållande till detta berörs också.
En diskussion förs också kring den valda metoden, ifall den utnyttjades till fullo och förslag till alternativa metoder. Framtida arbeten diskuteras också i detta kapitel.
6.1 Resultatdiskussion
Den givna frågeställningen som arbetet haft har till viss del besvarats. Den första frågan som arbetet sökte att besvara var “Hur kan specifika artefakter upptäckas i minnet som inte
lagras till hårddisk på ett Windows 10 system?” Genom det första experimentet kunde vissa
data upptäckas som inte lagras till hårddisk. URL:er som besökts, data ifrån pdf-filer (om än oläsbar) som under rätt omständigheter skulle kunna utvinnas, CMD kommandon kunde ses med strängsökningar och filnamn samt sökvägar upptäcktes. Filnamn och sökvägar skulle troligtvis ändå kunna hittats genom en analys av hårddisken så länge inte särskilda registry keys och andra filer raderats ifrån hårddisken. Vilket inte är ett otroligt scenario om det rör sig om ett SODDI fall där den misstänkte är tekniskt kunnig.
Den andra frågan där undersökningar kring huruvida denna data kunde kopplas till ett specifikt användarkonto har också kunnat besvarats till viss del positivt. Samtliga av de processer som var av ett särskilt intresse för experimentet kunde ses tillhöra användaren. Resultaten ifrån experiment ett, del två talar för detta och visar att det är möjligt att särskilja olika användares processer när flera användare nyttjat ett system tätt efter varandra. Detta då resultaten visar att data fortfarande kan hämtas ut i relation till användare Evil efter att användare Friendly loggat in på systemet. Detta kan ha relevans när ett SODDI- försvar nyttjas i fall som involverar system med flera olika aktiva användare. Detta
innebär också att Windows 10 inte raderar eller på annat sätt skriver över hela minnet då en ny användare loggar in.
Däremot sågs ett motstridigt resultat gällande data tillhörande vissa processer när URL:er ifrån Chrome kunde hittas i minnesregioner tillhörande Firefox. Vad detta innebär är svårt att avgöra utifrån det avgränsningar och antal utföranden som gjordes under experimenten. Om en annan användare hade öppnat en webbläsare, hade då dennes URL:er setts under den första användarens minnesregioner? För vidare undersökningar av detta skulle en djupare förståelse av exakt hur memdump fungerar behövas. Om detta enbart gäller för webbläsare eller också för andra processer har inte undersökts.
Den data som hittas i minnet kan vara svår att koppla till en specifik användare
enbart genom minnesanalyser. Det betyder däremot inte att fyndet är värdelöst. Data som bilder, textfiler och URL:er som identifierats i minnet kan kopplas till artefakter som finns i tex registry eller webbläsardatabaser för att avgöra vilket användarkonto det är som nyttjat dessa.
32
Samtliga minnesdumpar som undersöktes för att besvara dessa frågor inhämtades inom 30 minuter ifrån att den första användaren stängt ner samtliga processer, och samtliga program var aldrig igång mer än 10 minuter. Detta skapar också vissa frågor och funderingar som skulle kunna undersökas vidare. Hade det blivit enklare att detektera data av intresse ifall användaren hade haft programmen igång en längre tid? Vilken data hade gått att utvinna om programmen stängts ner och maskinen stått orörd, eller i fullt bruk under en längre tid? Ungefär hälften av alla processer av intresse försvann ifrån minnet när den andra
användaren loggade in. Vad som hade hänt ifall ytterligare en användare hade loggat in och ut har inte undersökts. Men vid allt för många in och utloggningar så bör det mesta av den data som fanns av intresse försvinna. Detta påverkas troligtvis också av RAM-minnets storlek.
Arbetets tredje frågade “Hur kan the trojan horse defense bemötas genom analys av RAM-
minnet? “, har försökts besvaras genom beskrivande teori, tester och analyser. För det
experiment som utfördes gavs det exempel på hur malware kan upptäckas i minnet. Experimentet gav inte fullständiga svar och inte heller tillvägagångssätt för samtliga malware typer som kan tänkas finnas på ett system. Däremot beskrevs en teoretisk
bakgrund och ett praktiskt exempel förevisades hur skadliga program kan detekteras och till viss del analyseras med hjälp av tidigare forskning och databaser för malware. Genom att utföra en liknande analys på ett infekterat system kan en analytiker möjligtvis
upptäcka malware. Har skadlig programvara upptäckts kan vidare analyser utföras för att ta reda på om just denna typ av infektion påverkar SODDI försvaret eller inte.
Skulle skadlig programvara upptäckas under dessa fall är det viktigt att en utförlig analys utförs av vad för typ av program det rör sig om. Troligtvis finns detta redan dokumenterat så länge det inte rör sig om en helt ny typ av malware. Visar det sig vara en typ av malware som till exempel spyware eller adware, och utredningen relaterar till barnpornografibrott, så kan det med god sannolikhet sägas att detta program inte stöttar försvaret.
Att ta reda på när det skadliga programmer ankom till systemet är också av yttersta vikt, då detta skulle kunna ha kommit till ett system efter att incidenten skett som den misstänkta anklagas för. I det fall när det visar sig att malware ankommit till ett system efter incidenten och inget övrigt malware upptäcks så kan försvaret bemötas med god grund.
Skulle däremot dessa analyser utföras ihop med antivirusskanningar och malware ändå inte upptäcks, så är det ändå inte ett fullständigt bevis på att systemet är fritt från infektioner. Däremot är sannolikheten låg om analytikern gjort sitt jobb till fullo och därav kan försvaret till viss del bemötas.
Det innebär att genom utförliga analyser av systemet, dess minne och eventuellt funna skadliga program, kan the trojan horse defense bemötas till viss del.
Det exempel och teorier som beskrivits i detta arbete förevisar främst malware som är ganska enkla att upptäcka. Vid mer sofistikerade skadlig programvara så är det viktigt att ha i åtanke att dessa kan undgå analyser vars syfte är att upptäcka malware. Ytterligare så antogs det röra sig om ett sedan tidigare känt skadligt program då sökningar online gjordes
33
efter IP adresser och namn relaterade till detta malware. I det fall där det rör sig om ett nytt okänt malware kan detektering och identifiering bli betydligt mer komplext.
6.2 Metoddiskussion
Arbetets metodval bestod i första hand av experiment och stöttades upp av en mindre litteraturstudie, likt många andra IT-forensiska arbeten. Metodvalet fungerade bra för att besvara arbetets givna frågeställning, som till stor del kunde besvaras. Detta beror nog framförallt på den flexibilitet som metodvalet innebar, experimenten kunde ändras eller göras om efter att nya upptäckter eller kunskapar hade erhållits.
Då frågeställningen till stor del lyckades besvaras i den utsträckning som var meningen skulle metodvalet och uppställningen av experiment kunna anses lyckad. Om arbetets fokus hade behövt innefattats av mer djupgående teoretisk information om hur minnet fungerar så hade den genomförda litteraturstudien förmodligen inte visat sig vara tillräcklig. Då dess fokus låg på att belysa området, minnets grundläggande funktioner samt vilken teoretisk information som kan utvinnas.
Experimenten kan anses vara tillräckliga då syftet med de var att demonstrera vilken typ av information som kan finnas kvar i minnet och hur den kan utvinnas. Genom att demonstrera detta kunde resultaten ifrån experimenten sedan länkas samman i syfte att ta ställning till olika former av SODDI försvaret.
6.3 Framtida arbeten
Författarna anser att arbetet har potential till att byggas vidare av flera olika anledningar. Dels eftersom minnesforensiken generellt sett är i behov av detta. Men framförallt då resultaten från de experiment som utförts ger möjlighet kring ytterligare forskning. Till exempel skulle större volymer av dumpar kunna testas. För att sedan skatta hur
sannolikheten förändras över tid för att data kan hittas i förhållande till minnets storlek, tidsåtgång och användning. Ett annat problem som varit en återkommande tanke under arbetet och skulle kunna utforskas vidare är ifall data som återfinns i minnet kopplas till specifika användare om det inte finns under en specifik process? Ytterligare arbeten kring metoder hur data kan carvas ifrån minnet för att sedan kopplas till användare vore också av intresse. Det var något som inte lyckades utföras under det här arbetets gång. Ytterligare forskning kring hur olika Windows 10 events som inloggning av användare påverkar minnet, vore också relevant.
35
7 Slutsats
Relevant data kan upptäckas i minnet och kopplas till specifika användare, men det är viktigt att utförliga analyser utförs. Analytikern bör vara medveten om att data som kanske inte tillhör ägaren till en process kan finnas i den processens minnesregioner. Denna rapport har enbart tagit upp ett fåtal artefakter som kan identifieras i minnet, andra arbeten har tittat närmare på många fler [1, 6, 12]. Arbetet har lyckats koppla vissa av dessa till
användarkonton, men det finns betydligt fler som vore intressanta att undersöka.
Minnesanalyser har ändå enligt det experiment som utförts visat sig kunna vara en tillgång för att bemöta både SODDI försvaret och the trojan horse defense. Exakt i vilken
utsträckning kan vara värt att diskutera eller undersöka vidare i framtiden då det inte är en metod som kommer att fungera i alla situationer. Men det skulle kunna ses som ett
komplement eller ytterligare tillgång då det kan paras ihop med traditionella diskanalyser för utredningar vid ett SODDI försvar. Eftersom minnet är volatilt och randomiserat är också minnesanalysens potential bundet till detta faktum. Därför kan det ses som ett ytterligare verktyg för en IT-forensiker att nyttja vid en utredning gällande SODDI försvaret om situationen tillåter det.
The trojan horse defense kan alltså till viss del bemötas genom minnesanalyser, kanske
främst när försvarssidan påvisar att ett system är infekterat av malware. I dessa fall kan en analytiker undersöka djupare när det skadliga programmet kom till systemet och hur den påverkar systemet, i syfte att avgöra om det har någon inverkan på utredningen i fråga. I andra fall kan en analytiker till en viss grad försäkra sig om att ett SODDI försvar eventuellt är äkta eller falskt genom att utföra en noggrann analys av systemet efter infektioner. Visar sig systemet vara fritt från infektioner efter utförliga analyser bör försvarssidan få det svårt att stå fast vid ett trovärdigt försvar gällande the trojan horse
defense.
Minnesforensik kan användas för att bemöta olika former av ett SODDI försvar och vara till stor nytta i vissa fall. Men det är också viktigt att denna analys bistås av vidare undersökningar som till exempel hårddisk, log och nätverksanalys.
37
Referenser
[1] M.H.Ligh, A.Case, J.Levy, A. Walters. “The art of memory forensics”. Indianapolis, IN: John Wiley & Sons, Inc, 2014.
[2] K. Hausknecht, D. Foit, J. Burić. “RAM data significance in Digital Forensics”, In Proc. IEEE 38th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), 2015, pp. 1372-1375.
[3] A.Case, G.G.Richard. “Memory forensics: The path forward”. Digital Investigation (2016) 1-11.
[4] V.Ravindra.Sali, H.K.Khanuja.“RAM forensics:The analysis and extraction of malicous
processes from memory image using GUI based memory forensic toolkit”. IEEE 2018.
[5] K.A.Kamal, M.Alfadel,M.S.Munia. “Memory Forensics Tools: Comparing processing
time and
left artifacts on volatile memory”. International Workshop on Computational Intellegence
(IWCI), 2016-12-12/13.
[6] S.Vömel. “Forensic Acquisition and analysis of volatile data in memory”. Thesis for doctoral.
Limburg an der Lahn. 2013-12-18
[7] P. Esaiasson, M. Gilljam, Henrik. Oscarsson, L. Wängnerud, ”Metodpraktikan: Konsten
att studera samhälle, individ och marknad”. Visby: Nordstedts Juridik AB, 2012.
[8] M.Simon, J.Slay. “Enhancment of forensic computing investigations through memory
forensic
techniques”. 2009 International Conference on Availability, Reliability and Security, 2009.
[9] S.W.Brenner “Cybercrime: Criminal threats from cyberspace” 2010 Greenwood publishing group. ABC-CLIO, LLC, 2010.
[10] McClenahen Law Firm P.C. “What is the SODDI Defense?” Maj, 2013. [Online]. Tillhänglig: https://www.mattmlaw.com/blog/2013/05/what-is-the-soddi-defense.shtml [Hämtad Maj 3, 2020].
[11] C. Steel. “Technical SODDI Defences: The Trojan Horse Defence Revisited”. The Journal of Digital Forensics, Security and Law, vol. 9, no. 4, December, 2014.
[12] S.Anson. “Applied incident response”. Indianapolis, IN: John Wiley & Sons, Inc, 2020.
[13] S. Brenner, B. Carrier, J. Henninger “The Trojan Horse Defense in Cybercrime Cases” Santa Clara High Tech Law Journal, vol. 21, no. 1, 2004. [Online]. Tillgänglig:
https://digitalcommons.law.scu.edu/chtlj/vol21/iss1/1/ [Hämtad April 10, 2020].
[14] Volatility Foundation, “Volatility Foundation”. [Online]. Tillgänglig:
38
[15] Volatility Foundation, “wiki”. [Online]. Tillgänglig:
https://github.com/volatilityfoundation/volatility/wiki/ [Hämtad Maj 1, 2020].
[16] Microsoft, “Security identifiers”. [Online]. Tillgänglig: https://docs.microsoft.com/en- us/windows/security/identity-protection/access-control/security-identifiers#what-are-
security-identifiers [Hämtad Maj 1, 2020].
[17] Magnet Forensics, “Magnet RAM Capture”. [Online]. Tillgänglig:
https://www.magnetfore
nsics.com/resources/magnet-ram-capture/ [Hämtad April 19, 2020].
[18] netmarketshare.com, “Browser Market Share”. [Online]. Tillgänglig:
https://netmarketshare.com/ [Hämtad Maj 3, 2020].
[19] Microsoft, “Access Tokens”. [Online]. Tillgänglig: https://docs.microsoft.com/en-
us/windows/win32/secauthz/access-tokens?redirectedfrom=MSDN [Hämtad April 17,
2020].
[20] Virustotal.com “Virustotal” [Online]. Tillgänglig:
https://www.virustotal.com/gui/file/b38783113eda00bbe864d54fda9db97e36ee9fc8e4509e 3dc71478a46250f498/behavior/Tencent%20HABO
[21] R.B. van Baar, W.Alink, A.R. van Ballegooij, ”Forensic memory analysis: Files
mapped in memory”. Digital Investigation, vol 5, Sep 2008. Tillgänglig:
https://www.sciencedirect.com/science/article/pii/S1742287608000327 [Hämtad Maj 5,
2020]
[22] A. Hosseini, “Ten process injection techniques: A technical survey of common and trending process injection techniques”. Elastic blog. Jul 18, 2017. Tillgänglig:
https://www.elastic.co/blog/ten-process-injection-techniques-technical-survey-common-
and-trending-process [Hämtad Maj 10, 2020]
[23] K.Stevens, D.Jackson. ”Zeus banking trojan report”. [Online]. Tillgänglig:
39
Bilagor
Under denna rubrik har övriga resultat ifrån experiment sorterats in efter utförda
experiment. Eftersom tre utföranden har genomförts per experiment och vissa fall ett flertal dumpar skapats, så kommer inte samtliga bilder att presenteras i det fall då de anses vara överflödiga.