Par Windows sistēmas kļūdu operatīvās atmiņas attēla iegūšanas laikā
Zemāk rakstā apkopotā informācija domāta IT speciālistiem, lai operatīvās atmiņas attēla iegūšanas laikā izvairītos no Windows sistēmas kļūdas (BSOD). Operatīvās atmiņas attēla iegūšana var palīdzēt kiberincidenta tālākā analīzē un ir svarīgs solis pierādījumu apkopošanā. Kļūdas iestāšanās gadījumā tiek zaudēta iespēja iegūt analīzei svarīgus datus, tādēļ aicinām savlaicīgi iepazīties ar CERT.LV sagatavoto informāciju.
Minēto problēmu izraisa Windows drošības funkcionalitāte (saukta par "Virtualization-based Security" / "Hypervisor-protected Code Integrity"), kas izmanto jaunu skaitļošanas režīmu "Virtual Secure Mode". Šis režīms izmanto virtualizācijas funkcionalitāti (VT-X / SVM), lai pasargātu atsevišķas Windows kodola datu struktūras. Mēģinājumi iegūt pieeju šīm aizsargātajām struktūrām vai to modifikācija, izraisa sistēmas kļūdas (BSOD).
Lai apietu šo problēmu, FTK Imager ražotājs (AccessData) iesaka pilnībā atslēgt virtualizācijas paplašinājumus sistēmas BIOS iestatījumos (https://support.accessdata.com/hc/en-us/articles/115006360008-FTK-Imager-Memory-Dump-collection-crashes-or-causes-blue-screen).
Lai gan konkrēta izmaksu / ieguvumu analīze katrā gadījumā jāveic atsevišķi, CERT.LV neiesaka atslēgt drošības teholoģijas šāda iemesla dēļ. Taču, ja plānots izmantot atmiņas attēla iegūšanai tieši FTK Imager, tad gan pirms tam vērts pārliecināties, ka sistēma neizmanto VSS (Virtualization Based Security), Hyper-V vai citus risinājumus, kas varētu izsaukt BSOD.
Windows atmiņas attēlu iegūšanai no sistēmām, kas izmanto "Virtual Secure Mode" funkcionalitāti un kurās FTK Imager izsauc BSOD, ieteicams izmantot kādu citu risinājumu. Atmiņu attēlu iegūšanas programmas, kas ir saderīgas ar "Virtual Secure Mode" funkcionalitāti, izvairīsies no atsevišķu atmiņas reģionu lasīšanas darbībām, aizvietojot tos ar nullēm. Lai gan daļa datu struktūru, šifrēšanas atslēgas, utt. netiks savāktas, atmiņas attēls būs lietojams un joprojām saturēs daudz noderīgas informācijas.
CERT.LV iesaka iespēju robežās izvēlēties atvērtā tipa jeb “open source” programmas, kā piemēram WinPMEM (https://github.com/Velocidex/WinPmem/releases/), jo tas ļauj veikt koda auditu un paver iespēju organizācijai "sakompilēt" un parakstīt programmu ar savu sertifikātu. Tehniskā līmenī atmiņas attēla iegūšana notiek, pievienojot sistēmai īpašu draiveri. Microsoft plāno būtiski ierobežot (https://docs.microsoft.com/en-us/windows-hardware/drivers/install/deprecation-of-software-publisher-certificates-and-commercial-release-certificates) šādu draiveru parakstīšanu, tādēļ Enterprise CA izmantošana var palikt vienīgais veids, kā izveidot atmiņas attēlu (neatslēdzot Windows drošības funkcionalitāti).
Eksistē arī citi operatīvās atmiņas attēla iegūšanas risinājumi, kas ir saderīgi ar "Virtual Secure Mode", teiksim Belkasoft RAM Capturer (https://belkasoft.com/ram-capturer). Ieteicams gan pārbaudīt pierādījumu vākšanas procedūru iepriekš, lai drošības incidenta gadījumā tā jau ir atstrādāta un ir pārliecība, ka pierādījumi tiks iegūti korekti ar pirmo piegājienu. Ja tomēr šī procedūra nav atstrādāta, vēlams incidenta laikā nokopēt sistēmu, kurā plānots iegūt operatīvās atmiņas attēlu, un pārliecināties, ka izvēlētie rīki tajā darbosies, neizsaucot BSOD.
Atsauces:
Virtual Secure Mode:
- https://www.youtube.com/watch?v=LqaWIn4y26E
Hypervisor-protected Code Integrity (funkcionalitāte, kas izmanto VSM):
- https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs
Attēls: Pixabay.com
