Цифровая криминалистика маршрутизаторов: Шпаргалка по 50+ артефактам, которые можно извлечь из памяти роутера

Содержание

1. Что такое цифровая криминалистика маршрутизаторов
2. Основы: Архитектура памяти роутера
3. Артефакты: Учетные данные и конфигурация
4. Артефакты: Сетевая активность и DHCP
5. Артефакты: Системные логи и события безопасности
6. Артефакты: Следы вредоносного ПО и аномалий
7. Артефакты: Информация о подключенных устройствах
8. Продвинутые техники: Аппаратный уровень (Hardware)
9. Экосистема: Инструменты для анализа роутеров
10. Безопасность, этика и юридические аспекты
11. Практические примеры использования (Use Cases)
12. Часто задаваемые вопросы (FAQ)
13. Заключение

Что такое цифровая криминалистика маршрутизаторов

Цифровая криминалистика маршрутизаторов (Router Forensics) — это раздел DFIR (Digital Forensics and Incident Response), посвященный извлечению, сохранению и анализу данных из энергонезависимой (Flash/NVRAM) и энергозависимой (RAM) памяти сетевых устройств. Роутер является «привратником» сети, через который проходит 100% трафика, что делает его бесценным источником улик при расследовании киберинцидентов.

Почему это критически важно для расследований

- Неожиданный источник улик: Злоумышленники часто очищают логи на ПК жертвы, но забывают о роутере.
- Доказательство присутствия: Роутер хранит точные данные о том, какие устройства (MAC-адреса) были в сети и в какое время.
- Восстановление доступов: Возможность извлечь пароли от Wi-Fi, PPPoE или панели администратора, если они утеряны.
- Обнаружение ботнетов: Выявление признаков заражения роутера малварью (например, Mirai) для создания ботнета.
- Реконструкция атаки: Анализ таблиц маршрутизации и NAT может показать, куда именно перенаправлялся трафик.

Исторический контекст

Раньше домашние роутеры были «черными ящиками» с минимальной функциональностью, и их анализ сводился к просмотру веб-интерфейса. С распространением прошивок на базе Linux (OpenWrt, DD-WRT, Asuswrt-Merlin) и увеличением объема Flash-памяти, роутеры превратились в полноценные компьютеры, позволяющие проводить глубокий дамп памяти, анализ файловой системы и даже извлечение криптографических ключей.

Основы: Архитектура памяти роутера

Для успешного извлечения данных необходимо понимать, где что хранится.

Артефакты: Учетные данные и конфигурация

*Доступны через экспорт конфигурации, доступ по SSH/Telnet или прямой дамп NVRAM.*

1. `nvram show | grep wlan` — извлечение имен SSID и паролей от Wi-Fi сетей (WPA-PSK).
2. `nvram get http_passwd` / `nvram get router_password` — хэш или пароль администратора веб-интерфейса.
3. `nvram get pppoe_username` / `nvram get pppoe_passwd` — учетные данные провайдера (часто совпадают с другими паролями пользователя).
4. `cat /etc/shadow` — файл с хэшами паролей локальных пользователей (в роутерах на базе Linux).
5. `nvram get wps_pin` — PIN-код WPS, который может быть уязвим к брутфорсу (Pixie Dust attack).
6. `cat /etc/config/wireless` (OpenWrt) — полная конфигурация беспроводных интерфейсов и ключей шифрования.
7. `nvram get lan_ipaddr` / `nvram get lan_netmask` — базовая конфигурация локальной сети.
8. `cat /etc/dropbear/authorized_keys` — публичные SSH-ключи, добавленные для постоянного доступа (признак бэкдора).
9. `nvram get ddns_hostname` / `nvram get ddns_passwd` — данные динамического DNS, указывающие на попытку внешнего доступа к роутеру.
10. `cat /etc/ppp/chap-secrets` — сохраненные секреты для PPP-аутентификации.

Артефакты: Сетевая активность и DHCP

*Позволяют доказать, что конкретное устройство находилось в сети в определенное время.*

11. `cat /var/dhcp.leases` (или `/tmp/dhcp.leases`) — текущая таблица выданных IP-адресов, MAC-адресов и имен хостов.
12. `cat /var/log/dhcp.log` — исторические логи выдачи IP-адресов (показывает время подключения и отключения).
13. `cat /proc/net/arp` или `ip neigh show` — текущая таблица ARP, связывающая IP и MAC-адреса активных устройств.
14. `cat /proc/net/nf_conntrack` или `cat /proc/net/ip_conntrack` — таблица активных сетевых соединений (stateful firewall), показывает, кто и куда подключался прямо сейчас.
15. `nvram get dhcp_staticlist` — список устройств со статически закрепленными IP-адресами (часто важные устройства: камеры, принтеры, серверы).
16. `iptables -t nat -L -n -v` — текущие правила NAT, показывающие проброс портов (Port Forwarding).
17. `cat /var/log/messages | grep "DHCPACK"` — подтверждение успешного получения адреса устройством.
18. `nvram get lan_domain` — локальный домен сети, используемый для разрешения имен.
19. `cat /tmp/hosts` — локально разрешенные имена хостов, включая подключенные клиенты.
20. `ip -s link` — статистика трафика по интерфейсам (помогает выявить аномально высокий исходящий трафик).

Артефакты: Системные логи и события безопасности

*Внимание: в домашних роутерах логи часто хранятся в RAM и перезаписываются по кругу (ring buffer).*

21. `cat /var/log/messages` — основной системный журнал (загрузка, ошибки демонов, уведомления).
22. `cat /var/log/secure` или `cat /var/log/auth.log` — попытки аутентификации (успешные и неудачные входы по SSH/Telnet/Web).
23. `dmesg` — сообщения ядра Linux при загрузке и обнаружении оборудования (подключение USB-накопителей).
24. `cat /var/log/firewall.log` или `cat /var/log/drop` — записи о заблокированных брандмауэром пакетах (сканирование портов извне).
25. `uptime` — время непрерывной работы (помогает определить, перезагружался ли роутер после предполагаемой атаки).
26. `cat /var/log/wtmp` или использование команды `last` — история входов пользователей в систему (если поддерживается).
27. `nvram get log_level` — текущий уровень детализации логов (часто по умолчанию равен 0 или 1, что критично для следователя).
28. `cat /var/log/syslog` — альтернативный системный лог в некоторых прошивках (например, Asuswrt).
29. `cat /var/log/iptables.log` — специфичные логи правил iptables.
30. `history` (если есть доступ к shell) — история команд, введенных администратором (редко сохраняется, но стоит проверить).

Артефакты: Следы вредоносного ПО и аномалий

*Поиск признаков компрометации самого роутера (например, ботнетом Mirai или VPNFilter).*

31. `ps | grep [подозрительный_процесс]` — поиск аномальных процессов (например, `kworker` с высокой нагрузкой на сеть, маскирующийся под системный).
32. `cat /etc/crontabs/root` или `crontab -l` — проверка на наличие подозрительных запланированных задач (персистентность малвари).
33. `ls -la /tmp` — поиск подозрительных исполняемых файлов во временной директории (частое место загрузки пейлоадов).
34. `netstat -tulnp` или `ss -tulnp` — список прослушиваемых портов и привязанных к ним процессов (поиск скрытых бэкдоров).
35. `cat /etc/resolv.conf` — проверка на подмену DNS-серверов (DNS hijacking для фишинга).
36. `md5sum /bin/busybox` (или других ключевых бинарников) — проверка контрольных сумм системных файлов на предмет модификации.
37. `cat /proc/cpuinfo` — сверка архитектуры процессора (помогает понять, какой вредоносный бинарник мог быть загружен).
38. `ls -la /etc/init.d/` — поиск подозрительных скриптов автозапуска.
39. `cat /var/log/kernel.log | grep "segfault"` — поиск признаков падения системных процессов из-за эксплуатации уязвимостей.
40. `strings /dev/mtdX` (где X - раздел прошивки) — поиск текстовых строк (URL C2-серверов, IP-адресов) напрямую в дампе прошивки.

Артефакты: Информация о подключенных устройствах

41. `cat /var/run/hostapd-wlan0.conf` (или аналог) — конфигурация точки доступа, включая список MAC-адресов в черном/белом списке.
42. `iw dev wlan0 station dump` — детальная информация о подключенных Wi-Fi клиентах (уровень сигнала, время последнего пакета).
43. `cat /var/run/dnsmasq.leases` — альтернативный файл leases для dnsmasq, часто используемого в роутерах.
44. `nvram get wl_mac_deny` / `nvram get wl_mac_allow` — списки контроля доступа (MAC-фильтрация).
45. `cat /sys/class/net/eth0/address` — получение реального MAC-адреса интерфейса (может отличаться от наклейки, если был изменен программно).

Продвинутые техники: Аппаратный уровень (Hardware)

Когда программный доступ закрыт (забыт пароль, прошивка повреждена), применяются аппаратные методы:

1. UART / Serial Console: Подключение к контактам TX, RX, GND на материнской плате роутера через USB-TTL адаптер (например, CH340G). Позволяет получить доступ к загрузчику (U-Boot) или root-консоли на ранних этапах загрузки, иногда обходя аутентификацию.
2. JTAG: Использование JTAG-интерфейса для прямого чтения Flash-памяти, если загрузчик заблокирован или поврежден. Требует пайки и специального оборудования (например, Bus Pirate или Raspberry Pi).
3. Chip-off Forensics: Физическое выпаивание чипа Flash-памяти с платы и чтение его содержимого с помощью программатора (например, CH341A с прищепкой SOIC8). Это самый надежный, но деструктивный метод, гарантирующий получение полной копии данных без изменения оригинала.
4. Анализ дампа прошивки (Firmware Analysis): Использование инструмента `binwalk` для извлечения файловой системы из полученного дампа прошивки и поиска скрытых артефактов, бэкдоров или жестко прописанных (hardcoded) паролей.

Экосистема: Инструменты для анализа роутеров

Программные инструменты

- RouterPassView (NirSoft): Бесплатная утилита для Windows, которая парсит файлы экспорта конфигурации сотен моделей роутеров и извлекает из них пароли и настройки.
- Binwalk: Стандарт де-факто для анализа, извлечения и декомпиляции образов прошивок.
- Firmware Mod Kit (FMK): Набор скриптов для распаковки, модификации и обратной сборки прошивок.
- Wireshark: Для анализа сетевого трафика, если роутер поддерживает зеркалирование портов (Port Mirroring) или удаленный syslog.
- Volatility: Фреймворк для анализа дампов оперативной памяти (применим к роутерам на базе полноценного Linux, таким как некоторые модели Keenetic или роутеры с OpenWrt).

Аппаратные инструменты

- USB-to-TTL Serial Adapter (CH340G, CP2102): Для подключения к UART.
- CH341A Programmer: Дешевый и эффективный программатор для чтения Flash-памяти методом Chip-off или через прищепку.
- Bus Pirate / Raspberry Pi: Универсальные инструменты для взаимодействия с UART, SPI, I2C и JTAG интерфейсами.
- Паяльная станция и прищепка SOIC8: Для беспаечного (или с минимальным вмешательством) чтения чипов памяти.

Безопасность, этика и юридические аспекты

Законные применения

- Корпоративный Incident Response: Расследование компрометации внутренней сети компании.
- Судебная экспертиза: Изъятие и анализ устройств по постановлению следственных органов.
- Bug Bounty / Pentesting: Анализ собственных устройств или устройств в рамках согласованного аудита безопасности.
- Восстановление данных: Помощь пользователям в восстановлении забытых паролей от их собственных устройств.

Запрещенные действия

- Перехват трафика: Несанкционированный анализ трафика соседей или общественных сетей.
- Модификация прошивки: Установка бэкдоров или модифицированных прошивок на чужие устройства.
- Нарушение тайны связи: Чтение содержимого пакетов (DPI) без согласия владельца сети и соответствующих юридических оснований.

Лучшие практики (White-Hat Guidelines)

- Принцип «Не навреди»: Перед любым вмешательством сделайте полную резервную копию конфигурации через веб-интерфейс.
- Изоляция: При анализе потенциально зараженного роутера отключите его от глобальной сети (WAN), чтобы предотвратить связь с C2-сервером или распространение малвари.
- Цепочка сохранности (Chain of Custody): При изъятии устройства фиксируйте его серийный номер, MAC-адрес, делайте фотографии и хэшируйте извлеченные дампы (MD5/SHA256).
- Работа с копией: Никогда не анализируйте оригинальный дамп прошивки напрямую. Работайте только с копией.

Практические примеры использования (Use Cases)

Сценарий 1: Расследование утечки данных в малом офисе

Задача: Определить, какое неавторизованное устройство получало доступ к сети в выходные дни.
Действия:
1. Подключаемся к роутеру по SSH (или извлекаем дамп NVRAM).
2. Анализируем `/var/log/dhcp.log` и `/var/dhcp.leases` на предмет неизвестных MAC-адресов, получивших IP в нерабочее время.
3. Сверяем эти MAC-адреса с таблицей `/proc/net/arp` и историей `/var/log/messages`, чтобы определить время первого и последнего появления устройства.
4. Проверяем `/var/log/firewall.log`, не пыталось ли это устройство сканировать внутренние серверы.

Сценарий 2: Обнаружение заражения роутера ботнетом (DNS Hijacking)

Задача: Пользователи жалуются на перенаправление на фишинговые сайты при вводе адресов банков.
Действия:
1. Проверяем `/etc/resolv.conf` или настройки DHCP в NVRAM (`nvram get lan_dns`). Обнаруживаем подмену на подозрительный внешний IP-адрес.
2. Выполняем `ps | grep -v "^\s*PID"` и `netstat -tulnp` для поиска неизвестных процессов, установленных злоумышленником для персистентности.
3. Проверяем `/etc/crontabs/root` на наличие задач, восстанавливающих вредоносные настройки после перезагрузки.
4. Делаем дамп прошивки и проверяем его через `binwalk`, чтобы найти внедренный бинарный файл малвари.

Сценарий 3: Восстановление доступа к забытому роутеру (Hardware)

Задача: Необходимо получить доступ к роутеру, пароль от веб-интерфейса утерян, функция сброса к заводским настройкам физически сломана.
Действия:
1. Разбираем корпус роутера, находим на плате контактные площадки UART (TX, RX, GND, VCC).
2. Подключаем USB-TTL адаптер к ПК, настраиваем терминал (Putty) на скорость 115200 бод.
3. Перезагружаем роутер, прерываем процесс загрузки (нажатием клавиши) для входа в U-Boot.
4. Через консоль U-Boot изменяем переменную окружения для сброса пароля или запускаем систему в single-user mode, получая root-доступ без аутентификации.

Часто задаваемые вопросы (FAQ)

Основы

Можно ли провести криминалистический анализ роутера, не вскрывая его корпус?
Да, если у вас есть доступ к веб-интерфейсу (для экспорта конфига), SSH/Telnet, или если роутер поддерживает функцию отправки логов на внешний syslog-сервер. Однако глубокий анализ (например, извлечение ключей из RAM или анализ файловой системы) требует вскрытия и дампа памяти.

Что произойдет с доказательствами, если я выдерну роутер из розетки?
Вы потеряете все данные в оперативной памяти (RAM): текущие сессии, таблицу ARP, активные процессы и несохраненные логи. Однако конфигурация, пароли и прошивка в NVRAM/Flash останутся нетронутыми. В идеале, перед отключением питания делается дамп RAM (если есть доступ к shell).

Технические вопросы

Почему команда `binwalk` не находит файловую систему в моем дампе?
Производители часто шифруют или сжимают прошивки нестандартными алгоритмами, либо используют проприетарные заголовки. Попробуйте использовать `binwalk -e` (извлечение) или специализированные скрипты для конкретной модели роутера (например, для утилит Huawei или ZTE).

Как отличить легитимный системный процесс от бэкдора в роутере?
Сравните вывод команды `ps` и `netstat` с эталонным состоянием чистой прошивки той же модели и версии. Ищите процессы с подозрительными именами (например, случайный набор букв), запущенные из директорий `/tmp` или `/var`, а также сетевые соединения на нестандартных высоких портах.

Заключение

Маршрутизатор — это не просто «коробочка, которая раздает Wi-Fi». Это полноценный компьютер, который хранит в себе детальную историю жизни всей локальной сети. Игнорирование роутера при расследовании инцидентов оставляет следователя слепым к целому пласту критически важных улик: от доказательств присутствия устройства до следов сложных сетевых атак.

Ключевые takeaways:

- Действуйте быстро: Данные в RAM (ARP, активные сессии) теряются при отключении питания.
- Начинайте с простого: Всегда делайте экспорт конфигурации через веб-интерфейс перед тем, как переходить к аппаратным методам.
- Контекст решает: Один лишь MAC-адрес в логе DHCP мало о чем говорит. Коррелируйте его с логами брандмауэра и системными событиями для построения таймлайна.
- Аппаратные навыки — это суперсила: Умение работать с UART и программатором открывает двери туда, где программные методы бессильны.

Рекомендации по использованию:

1. Купите старый роутер на вторичном рынке и потренируйтесь извлекать из него дамп прошивки с помощью CH341A.
2. Изучите основы работы с `binwalk` и структурой файловой системы SquashFS/JFFS2.
3. Настройте на своем домашнем роутере отправку логов на внешний сервер (если возможно), чтобы иметь исторические данные.

Помните: в цифровой криминалистике дьявол кроется в деталях, а самые важные детали часто скрыты в самом незаметном устройстве вашей сети.



⚠️ Дисклеймер: Статья носит исключительно информационно-образовательный характер. Все описанные методы и инструменты предназначены для расследования инцидентов на собственных устройствах, в корпоративной среде при наличии письменного разрешения, или в рамках законной деятельности правоохранительных органов. Несанкционированный доступ к компьютерной информации, перехват трафика и модификация чужих устройств преследуются по закону (в РФ — ст. 272, 273, 274 УК РФ).