ВВЕДЕНИЕ
В современной корпоративной среде сетевой анализ является критически важным инструментом для выявления инсайдерских угроз и предотвращения утечек конфиденциальной информации. Данный кейс демонстрирует практическое применение Wireshark для расследования подозрительной активности сотрудника, подозреваемого в передаче коммерческой тайны конкурентам.
Проблема заключалась в том, что традиционные методы мониторинга безопасности не смогли выявить скрытую передачу данных через зашифрованные каналы связи. Требовался глубокий анализ сетевого трафика для восстановления последовательности событий и доказательства факта утечки информации.
Данное расследование решает проблему комплексного анализа сетевого трафика, включая декодирование протоколов, анализ временных меток и восстановление передаваемых данных. Результаты анализа стали ключевым доказательством в судебном разбирательстве по делу о корпоративном шпионаже.
ИСХОДНАЯ СИТУАЦИЯ
Компания: Технологическая корпорация "ИнноваТех" (разработка ПО)
Подозреваемый: Старший разработчик Иван Петров
Период расследования: 15-30 ноября 2024
Тип инцидента: Подозрение в передаче исходного кода конкурентам
Размер ущерба: Оценочно $2.5 млн (стоимость украденной интеллектуальной собственности)
Технические характеристики:
- Корпоративная сеть: 10.0.0.0/16
- Рабочая станция подозреваемого: 10.0.15.47
- Сервер разработки: 10.0.10.25
- Внешний IP подозреваемого: 192.168.1.100
- Период активности: 18:00-22:00 (после рабочего времени)
ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ
1. Wireshark 4.0.8 - основной инструмент анализа
2. NetworkMiner 3.0 - извлечение файлов из трафика
3. tcpdump - захват трафика на уровне командной строки
4. ngrep - поиск по содержимому пакетов
5. tshark - анализ трафика через командную строку
6. Xplico - декодирование протоколов приложений
ПОШАГОВОЕ РЕШЕНИЕ
ЭТАП 1: ПЛАНИРОВАНИЕ И ПОДГОТОВКА
Шаг 1.1: Определение целей анализа
bash
<h2 id="tseli-rassledovaniya">Цели расследования:</h2>
<h2 id="1-podtverdit-fakt-peredachi-dannyh">1. Подтвердить факт передачи данных</h2>
<h2 id="2-opredelit-obem-peredannoy-informatsii">2. Определить объем переданной информации</h2>
<h2 id="3-ustanovit-vremennye-ramki-aktivnosti">3. Установить временные рамки активности</h2>
<h2 id="4-identifitsirovat-poluchatelya-dannyh">4. Идентифицировать получателя данных</h2>
<h2 id="5-vosstanovit-soderzhimoe-peredavaemyh-faylov">5. Восстановить содержимое передаваемых файлов</h2>Шаг 1.2: Настройка захвата трафика
bash
<h2 id="nastroyka-span-porta-na-kommutatore">Настройка SPAN порта на коммутаторе</h2>
configure terminal
interface GigabitEthernet0/1
port monitor GigabitEthernet0/15
port monitor GigabitEthernet0/25
end
<h2 id="zahvat-trafika-cherez-tcpdump">Захват трафика через tcpdump</h2>
tcpdump -i eth0 -w investigation_2024_11_15.pcap \
host 10.0.15.47 or host 10.0.10.25 \
-s 0 -C 100
ЭТАП 2: ПЕРВОНАЧАЛЬНЫЙ АНАЛИЗ ТРАФИКА
Шаг 2.1: Загрузка и фильтрация данных в Wireshark
bash
<h2 id="otkrytie-fayla-zahvata">Открытие файла захвата</h2>
wireshark investigation_2024_11_15.pcap
<h2 id="primenenie-filtrov">Применение фильтров:</h2>
<h2 id="1-trafik-ot-podozrevaemogo-ip-src-10-0-15-47">1. Трафик от подозреваемого: ip.src == 10.0.15.47</h2>
<h2 id="2-trafik-k-serveru-razrabotki-ip-dst-10-0-10-25">2. Трафик к серверу разработки: ip.dst == 10.0.10.25</h2>
<h2 id="3-http-trafik-http">3. HTTP трафик: http</h2>
<h2 id="4-ftp-trafik-ftp">4. FTP трафик: ftp</h2>
<h2 id="5-ssh-trafik-ssh">5. SSH трафик: ssh</h2>Шаг 2.2: Анализ временных паттернов
bash
<h2 id="statistika-po-vremeni-aktivnosti">Статистика по времени активности</h2>
tshark -r investigation_2024_11_15.pcap \
-T fields -e frame.time \
-Y "ip.src == 10.0.15.47" \
| head -20
<h2 id="rezultat-pokazal-pikovuyu-aktivnost">Результат показал пиковую активность:</h2>
<h2 id="18-30-19-15-aktivnaya-zagruzka-faylov">18:30-19:15 - активная загрузка файлов</h2>
<h2 id="20-45-21-30-peredacha-dannyh-na-vneshnie-servery">20:45-21:30 - передача данных на внешние серверы</h2>
<h2 id="22-00-zavershenie-sessii">22:00 - завершение сессии</h2>ЭТАП 3: ДЕТАЛЬНЫЙ АНАЛИЗ ПРОТОКОЛОВ
Шаг 3.1: Анализ HTTP трафика
bash
<h2 id="izvlechenie-http-zaprosov">Извлечение HTTP запросов</h2>
tshark -r investigation_2024_11_15.pcap \
-Y "http and ip.src == 10.0.15.47" \
-T fields -e http.host -e http.request.uri \
-e http.user_agent
<h2 id="obnaruzheny-podozritelnye-zaprosy">Обнаружены подозрительные запросы:</h2>
<h2 id="zagruzka-faylov-na-file-sharing-servisy">- Загрузка файлов на file-sharing сервисы</h2>
<h2 id="ispolzovanie-proksi-serverov">- Использование прокси-серверов</h2>
<h2 id="anonimizatsiya-cherez-vpn-servisy">- Анонимизация через VPN сервисы</h2>Шаг 3.2: Анализ FTP сессий
bash
<h2 id="dekodirovanie-ftp-komand">Декодирование FTP команд</h2>
tshark -r investigation_2024_11_15.pcap \
-Y "ftp" \
-T fields -e ftp.request.command \
-e ftp.request.arg
<h2 id="obnaruzheny-komandy">Обнаружены команды:</h2>
<h2 id="user-anonymous">USER anonymous</h2>
<h2 id="pass-guest-example-com">PASS guest@example.com</h2>
<h2 id="cwd-uploads">CWD /uploads</h2>
<h2 id="stor-source-code-v2-1-zip">STOR source_code_v2.1.zip</h2>
<h2 id="quit">QUIT</h2>ЭТАП 4: ВОССТАНОВЛЕНИЕ ПЕРЕДАВАЕМЫХ ФАЙЛОВ
Шаг 4.1: Извлечение файлов через NetworkMiner
bash
<h2 id="zapusk-networkminer">Запуск NetworkMiner</h2>
networkminer investigation_2024_11_15.pcap
<h2 id="nastroyki-izvlecheniya">Настройки извлечения:</h2>
<h2 id="vklyuchit-izvlechenie-vseh-faylov">- Включить извлечение всех файлов</h2>
<h2 id="nastroit-filtry-po-ip-adresam">- Настроить фильтры по IP адресам</h2>
<h2 id="ustanovit-minimalnyy-razmer-fayla-1kb">- Установить минимальный размер файла: 1KB</h2>Шаг 4.2: Анализ извлеченных файлов
bash
<h2 id="spisok-izvlechennyh-faylov">Список извлеченных файлов:</h2>
<h2 id="1-source-code-v2-1-zip-45-2-mb">1. source_code_v2.1.zip (45.2 MB)</h2>
<h2 id="2-database-schema-sql-2-1-mb">2. database_schema.sql (2.1 MB)</h2>
<h2 id="3-api-documentation-pdf-8-7-mb">3. api_documentation.pdf (8.7 MB)</h2>
<h2 id="4-user-credentials-txt-156-kb">4. user_credentials.txt (156 KB)</h2>
<h2 id="5-project-timeline-xlsx-1-2-mb">5. project_timeline.xlsx (1.2 MB)</h2>
<h2 id="proverka-kontrolnyh-summ">Проверка контрольных сумм</h2>
md5sum source_code_v2.1.zip
<h2 id="rezultat-a1b2c3d4e5f6789012345678901234ab">Результат: a1b2c3d4e5f6789012345678901234ab</h2>ЭТАП 5: АНАЛИЗ СОДЕРЖИМОГО ФАЙЛОВ
Шаг 5.1: Анализ исходного кода
bash
<h2 id="raspakovka-arhiva">Распаковка архива</h2>
unzip source_code_v2.1.zip -d extracted_code/
<h2 id="analiz-struktury-proekta">Анализ структуры проекта</h2>
find extracted_code/ -name "*.java" -o -name "*.py" -o -name "*.js" | wc -l
<h2 id="rezultat-1-247-faylov-ishodnogo-koda">Результат: 1,247 файлов исходного кода</h2>
<h2 id="poisk-kommentariev-s-imenem-razrabotchika">Поиск комментариев с именем разработчика</h2>
grep -r "Ivan Petrov" extracted_code/
<h2 id="naydeno-23-upominaniya-v-kommentariyah">Найдено 23 упоминания в комментариях</h2>Шаг 5.2: Анализ базы данных
bash
<h2 id="analiz-sql-fayla">Анализ SQL файла</h2>
head -50 database_schema.sql
<h2 id="obnaruzheny-tablitsy">Обнаружены таблицы:</h2>
<h2 id="users-10-000-zapisey">- users (10,000+ записей)</h2>
<h2 id="products-500-zapisey">- products (500+ записей)</h2>
<h2 id="orders-25-000-zapisey">- orders (25,000+ записей)</h2>
<h2 id="financial-data-5-000-zapisey">- financial_data (5,000+ записей)</h2>ЭТАП 6: ТРАССИРОВКА ПОЛУЧАТЕЛЕЙ ДАННЫХ
Шаг 6.1: Анализ DNS запросов
bash
<h2 id="izvlechenie-dns-zaprosov">Извлечение DNS запросов</h2>
tshark -r investigation_2024_11_15.pcap \
-Y "dns" \
-T fields -e dns.qry.name \
| sort | uniq -c | sort -nr
<h2 id="podozritelnye-domeny">Подозрительные домены:</h2>
<h2 id="competitor-tech-com-47-zaprosov">- competitor-tech.com (47 запросов)</h2>
<h2 id="file-sharing-service-net-23-zaprosa">- file-sharing-service.net (23 запроса)</h2>
<h2 id="anonymous-proxy-org-15-zaprosov">- anonymous-proxy.org (15 запросов)</h2>Шаг 6.2: Геолокация IP адресов
bash
<h2 id="analiz-vneshnih-podklyucheniy">Анализ внешних подключений</h2>
tshark -r investigation_2024_11_15.pcap \
-Y "ip.src == 10.0.15.47 and not ip.dst == 10.0.0.0/16" \
-T fields -e ip.dst
<h2 id="obnaruzheny-podklyucheniya-k">Обнаружены подключения к:</h2>
<h2 id="185-199-108-153-germaniya">- 185.199.108.153 (Германия)</h2>
<h2 id="104-21-45-67-ssha">- 104.21.45.67 (США)</h2>
<h2 id="172-67-142-89-velikobritaniya">- 172.67.142.89 (Великобритания)</h2>ЭТАП 7: СОЗДАНИЕ ВРЕМЕННОЙ ЛИНИИ СОБЫТИЙ
Шаг 7.1: Корреляция данных по времени
bash
<h2 id="sozdanie-vremennoy-linii">Создание временной линии</h2>
tshark -r investigation_2024_11_15.pcap \
-Y "ip.src == 10.0.15.47" \
-T fields -e frame.time -e ip.dst -e protocol \
| sort > timeline.txt
<h2 id="klyuchevye-sobytiya">Ключевые события:</h2>
<h2 id="18-32-15-podklyuchenie-k-serveru-razrabotki">18:32:15 - Подключение к серверу разработки</h2>
<h2 id="18-33-42-nachalo-zagruzki-source-code-v2-1-zip">18:33:42 - Начало загрузки source_code_v2.1.zip</h2>
<h2 id="18-45-23-zavershenie-zagruzki-arhiva">18:45:23 - Завершение загрузки архива</h2>
<h2 id="20-47-11-podklyuchenie-k-vneshnemu-serveru">20:47:11 - Подключение к внешнему серверу</h2>
<h2 id="20-48-05-peredacha-fayla-na-file-sharing-servis">20:48:05 - Передача файла на file-sharing сервис</h2>
<h2 id="21-29-58-zavershenie-peredachi-dannyh">21:29:58 - Завершение передачи данных</h2>ЭТАП 8: СОЗДАНИЕ ОТЧЕТА И ДОКАЗАТЕЛЬСТВ
Шаг 8.1: Документирование результатов
bash
<h2 id="sozdanie-otcheta">Создание отчета</h2>
cat > investigation_report.txt << EOF
ОТЧЕТ О РАССЛЕДОВАНИИ КОРПОРАТИВНОГО ШПИОНАЖА
Дата: 15-30 ноября 2024
Подозреваемый: Иван Петров (10.0.15.47)
ОБНАРУЖЕННЫЕ НАРУШЕНИЯ:
1. Несанкционированная передача исходного кода
2. Утечка схемы базы данных
3. Передача пользовательских данных
4. Использование анонимизирующих сервисов
ОБЪЕМ ПЕРЕДАННЫХ ДАННЫХ: 57.3 MB
КОЛИЧЕСТВО ФАЙЛОВ: 5
ПЕРИОД АКТИВНОСТИ: 18:30-22:00 (ежедневно)
EOF
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Количественные показатели:
- Проанализировано: 2.3 ГБ сетевого трафика
- Извлечено файлов: 5 (общий объем 57.3 МБ)
- Установлено подключений: 47 к внешним серверам
- Время активного анализа: 12 часов
- Доказательная ценность: 100%
Качественные результаты:
- Подтвержден факт утечки конфиденциальной информации
- Установлена личность нарушителя
- Определены методы сокрытия активности
- Восстановлена полная последовательность событий
- Создана база доказательств для судебного разбирательства
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
1. **Проактивный мониторинг**: Внедрить систему непрерывного мониторинга сетевого трафика
2. **Анализ поведения**: Использовать машинное обучение для выявления аномалий
3. **Контроль доступа**: Ограничить доступ к критически важным данным
4. **Обучение персонала**: Проводить регулярные тренинги по информационной безопасности
5. **Технические меры**: Внедрить DLP системы для предотвращения утечек
ЗАКЛЮЧЕНИЕ
Данный кейс демонстрирует эффективность комплексного подхода к анализу сетевого трафика при расследовании корпоративного шпионажа. Использование Wireshark в сочетании с дополнительными инструментами позволило не только выявить факт нарушения, но и восстановить полную картину произошедшего.
Ключевые факторы успеха:
- Правильное планирование и подготовка
- Использование специализированных инструментов
- Систематический подход к анализу
- Тщательное документирование процесса
- Создание убедительной доказательной базы
Результаты расследования стали основой для возбуждения уголовного дела и взыскания компенсации ущерба в размере $2.5 млн с подозреваемого.
---
**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.
