Tipi di prove in Digital Forensic

-2

Mentre studio Digital Forensic, mi sto confondendo tra diversi tipi di prove, in particolare le prove circostanziali e corroborative.

Scenario ipotetico:

  • Viene generato un avviso IDS a causa della firma di un malware noto
  • L'estrazione di malware è stata trovata sul server proxy
  • È stato trovato un avviso su OSSEC IDS di un host
  • Un URL è stato bloccato da NGFW che è stato richiesto dall'host possibilmente infetto.

Ora, quale di queste è la migliore evidenza, prove dirette, prove circostanziali e prove corroborative di infezione da malware?

    
posta Muhammad 19.05.2018 - 22:53
fonte

1 risposta

1

La domanda non specifica un ordine in cui le prove sono state scoperte, il che rende confuso lo scenario. Lo metterò in un ordine da me scelto in modo che abbia più senso:

Prove circostanziali:

"Viene generato un avviso IDS a causa della firma di un malware noto" - questa è una prova, ma a volte IDS genera falsi allarmi positivi, ad es. a causa di un utente o di un programma che fa attività legittime che assomigliano a ciò che il malware fa all'IDS, o un bug nell'IDS che cattura più tipi di comportamento del previsto.

Prova di conferma:

"È stato trovato un avviso su OSSEC IDS di un host" (sembra la stessa cosa di cui sopra?!)

"Un URL è stato bloccato da NGFW che è stato richiesto dall'host possibilmente infetto." - il fatto che sia l'IDS sia il firewall abbiano rilevato attività simili al malware e le partite dell'host, significa che le prove circostanziali sono state corroborate. Tuttavia, ancora una volta ciò potrebbe teoricamente essere un falso positivo, come per es. un professionista della sicurezza potrebbe accedere a un sito Web compromesso con wget o curl per verificare cosa c'è su di esso. Non è ancora prova diretta!

Prova diretta e prova migliore:

"L'estrazione di malware è stata trovata su Proxy Server" - questo significa che il vero malware è stato trovato. Questa è una prova diretta e una prova inconfutabile dell'infezione da malware (tentata o effettiva). Poiché dalle altre prove possiamo vedere che era in esecuzione, deve essere stata una vera e propria infezione da malware.

    
risposta data 20.05.2018 - 12:11
fonte

Leggi altre domande sui tag