photo.jpg
 

美國國防部網路犯罪中心
網路犯罪調查班心得報告

服務機關:憲兵指揮部刑事鑑識中心
姓名職稱:董乃寧(上尉憲兵刑事官)
派赴國家:美國/馬里蘭州
出國期間:110 年 5 月 29 日至 7 月 5 日
報告日期:110 年 10 月 08 日

摘要

本次受訓係奉國防部民國 110 年 4 月 1 日國人培育字第 1100059595 號令核定,赴美國國防部網路犯罪中心(Department of Defense Cyber Crime Center,DC3)所屬網路防護調查訓練學院(The Defense Cyber InvestigationsTraining Academy)受訓,訓期:110 年 6 月 1 日起至 110 年 7 月 2 日止,共計5 週;該班隊係美國國防部網路犯罪中心為國際學生首創之班隊,課程內容區分網路與電腦硬體介紹、網路事件應處課程、微軟作業系統數位鑑識及微軟作業系統環境入侵手法與鑑識等 4 項,結合上述所學,帶回相關學習內容、心得及建議,供憲兵調查專業體系人員指導與參用。

目次

壹、目的

貳、受訓過程與內容

一、單位介紹

(一)美國國防部網路犯罪中心

(Department of Defense Cyber Crime Center, DC3)

(二)網路防護調查訓練學院

(The Defense Cyber Investigations Training Academy,DCITA)

二、課程內容

(一)網路與電腦硬體介紹

(Introduction to Network and Computer Hardware,INCH)

(二)網路事件應處課程

(Cyber Incident Response Course, CIRC)

(三)EnCase 微軟作業系統數位鑑識

(Windows Forensics Examinations-EnCase, WFE-E)

(四)微軟作業系統環境入侵手法與鑑識

(Forensics and Intrusions in a Windows Environment,FIWE)

三、測驗規劃

參、心得

肆、建議

壹、目的

本次奉派美國網路犯罪調查班,藉實體參訓方式,瞭解美方網路及數位鑑識工作技術和其所採用之軟、硬體設備,並掌握可用於未來鑑識及教育訓練之研改方向。本文將受訓內容及美方鑑識設備等分析其優點,運用於未來裝備效能提升和人員專業培訓等面向,以提升案件偵查及鑑識工作能量。

貳、受訓過程與內容

一、單位介紹

(一)美國國防部網路犯罪中心:

(Department of Defense Cyber Crime Center, DC3)美國國防部網路犯罪中心,提供數位證物取證、網路技術人員培訓、網路漏洞研究、大數據提取及專業的顧問服務;本次參訓之美國網路防護調查訓練學院(The Defense Cyber InvestigationsTraining Academy, DCITA)則為其下屬的鑑識人員培訓機構。

(二)網路防護調查訓練學院:

(The Defense Cyber Investigations Training Academy,DCITA)

網路防護調查訓練學院負責美方執行網路犯罪調查人員的合格訓練單位,該單位除訓練現役軍人外,亦同時接受民間人員參訓,本次包含美方軍事偵察機關專業幹員,如:美國國防犯罪調查局(Defense Criminal Investigation Services)及海軍犯罪調查局(United States Naval Criminal Investigation Service,USNCIS)等單位。

photo.jpg
photo3.jpg

1.軟體設施介紹:

每週授課採循序漸進方式進行,並依課程進度更換上課教室,使用之軟體則由簡入深指導學員運用,如:入侵檢測系統、網路封包分析軟體及手機鑑識系統;另外每個學員皆於主機中配置一個虛擬機器以進行各項模擬情境測驗。

2.硬體設施介紹:

訓練學院各間教室除基本設備外,亦因應課程的不同而有相應的教學電腦及儀器;最大納訓量可同時有 10 間教室同步授課,學員達百人之多。

3.師資介紹:

約翰,梅爾(John Mayer)為本次 5 週訓期的主任教官,過去曾在費城警察局服務 30 餘年,並以美國警察高階警司身份退休,後至網路防護調查訓練學院服務。

photo.jpg

4.學員組成:

本次參訓班隊為 5 員小班制教學,教官也因此較能掌握學員受訓狀況;除職為國際學生外,也納訓國防犯罪調查局及海軍犯罪調查局等幹員共同訓練。

photo.jpg

5.其他:

因 COVID-19 疫情,學院為落實防疫要求,自疫情起均改為視訊教學,此次為該中心自疫情後第 1 個現地授課的班隊,包含授課教官及全體行政工作人員等,均必須完成疫苗施打方能進入教學辦公場所。

photo.jpg

二、課程內容

此次受訓的內容,課程安排上均由淺入深,從第 1 週基礎的網路及硬體 介紹到第 5 週實際使用軟體執行案件偵查及目標手機及硬碟鑑識的安 排上,使學員可逐步的了解一整套案件偵查之始末,並使學員在期末

測驗週有獨立產製出鑑識報告的能力,其課程內容介紹詳如下表。

photo.jpg
未命名.jpg

(一)網路與電腦硬體介紹:

(Introduction to Network and Computer Hardware,INCH)

網路與電腦硬體介紹(6 月 1 日-4 日),學員可藉此第一週的課程內容當作對未來課程的暖身訓練,後續課程都依此週基本知識作為基石。課程內容主要分為四部份:

photo.jpg

(二)網路事件應處課程:

(Cyber Incident Response Course, CIRC)

網路事件應處課程(6 月 7 日-11 日),說明在目標案件處理前的 準備工作,學員必須有評估及瞭解案件處理上等各需求所可能需 要的各相關鑑識工具,並清楚知道抵達現場時之應注意事項,同時完備案件證物取得合法流程等相關技巧。課程使用工具及鑑識軟體有 Cellebrite UFED(手機鑑識軟體)、FTK 及 EnCase(電腦鑑識軟體),主要著重於蒐集證物以及記錄流程。每位學員在課程中需運用學院提供之工具箱(內含證物硬碟、防螢幕保護程式鎖定裝置-Mouse Jiggler、硬碟轉接器-Drive Adapter、防寫盒、證物手機-Android 系統、iOS 系統)等。課程內容主要分為四部份:

photo.jpg

photo.jpg

(三)EnCase 微軟作業系統數位鑑識:

(Windows Forensics Examinations-EnCase, WFE-E) EnCase 微軟作業系統數位鑑識課程(6 月 14 日-18 日),本週課程係指導學員在遇目標案件時的應變作為,並在鑑驗階段時執行完善的資料獲取工作,學員將藉由鑑識軟體(EnCase-7)來製作模擬案件的鑑識報告,此週的課程著重於 EnCase 鑑識軟體將會被大量運用在期末測驗中,學員需對該軟體有完整的操作技術。

本週課程內容分為六部份:

photo.jpg

photo1.jpg

(四)微軟作業系統入侵手法與鑑識:

(Forensics and Intrusions in a Windows Environment,FIWE)

微軟作業系統入侵手法與鑑識課程(6 月 21 日-7 月 2 日),在此兩週的課程當中,主要運用 EnCase 以及 Wireshark 等兩項鑑識軟體作為主軸,同時配合 Netflow、Cyberchef、Volatility 以及 Snort 等輔助軟體來完成模擬案件鑑識工作。

photo.jpg

photo1.jpg

三、測驗規劃

(一)簡介:

區分為每週五小考及最後一週的期末測驗,最後一週的期末測驗共 2日,合計 12 小時;期末測驗成績比重:時間序報告 50%、選擇題測驗 25%、總結報告 25%)。

(二)期末測驗(計 2 日)

1.第 1 日:

教官將在虛擬電腦中建立測驗情境,受害電腦使用者因點擊惡意釣魚郵件而啟動一連串的指令攻擊受害電腦,學員需運用所學知識及鑑識軟體完整分析並紀錄時間序報告。

2.第 2 日:

根據時間序報告加以分析,進而製作出此惡意攻擊程式的總結報告與改善建議,最後完成選擇題測驗。

(三)合格標準:每週成績均須達 70 分(均與美方學員相同)。

photo.jpg

photo.jpg

參、心得

一、專長職能與經驗提升

此次共同參訓學員均為美國網路犯罪調查領域的專業幹員,受訓期間藉由課程議題與網路攻擊案件研討,使職在網路駭侵及鑑識領域應用技巧皆獲得提昇,如:網駭緊急應變課程中,可知惡意程式於電腦所執行之最新入侵手法及指令,同步將所見情況紀錄於時間序報告中,對紀錄駭侵及鑑識作業程序上有實質收穫;另訓練學院在課程中指導學員操作美方常運用軟、硬體設備,使職進一步瞭解我國與美方採用設備上之差異性與操作技巧,並瞭解美方網路鑑識及資安領域中經常面臨的問題。以上所學在返國後執行偵查、鑑識工作及裝備性能提昇時,皆有極大助益。

二、測驗模式參考價值

此次參訓,在美方所提供的測驗模式,尤其令人印象深刻。在共計 2 日 12 小時的測驗中,美方提供 1 臺虛擬機器、1 臺實體電腦以及所需運用之鑑識裝備,例如:手機鑑識軟體 Cellebrite、bleau 防寫盒等必要工具。學員必須在極大的時間壓力下運用鑑識軟體搜尋並分析惡意軟體在電腦中所執行的指令,並將所發現的指令詳細記錄在報告當中,產出的報告使偵查人員瞭解是所下載或是破壞的資料狀況。在實際偵查網路攻擊案件中,時間壓力是偵查人員經常面臨的挑戰,因為在惡意程式執行後,會在短時間內執行隱藏或刪除自身程式的指令,使得偵查人員僅能發現進出、入的時間日期,而無從得知更加詳細的細節。

肆、建議

一、綿密培養合適人選持恆派訓:

職比較過去擔任憲兵隊調查官及鑑識人員的經驗,此次赴美受訓吸收美方在案件偵查及鑑驗工作等理論,更能將國內、外知識與技術融會貫通,進而內化為專業知識,同時也因過去的經驗,使得在課堂上與教官及美方學員的交流能有更深的討論與互動,並獲得許多的回饋與建議。在未來納訓人員遴選上,職建議以曾經擔任調查官或鑑識專業人員等背景人員赴美,可使學員在學習上有事半功倍的效果,也更能將所見所學回饋從事偵查及鑑識專業人員。

二、鼓勵所屬至國防大學網路安全碩士在職班就讀並輔導考取相關證照:

近期犯罪手法及犯罪工具日趨新穎,建議具調查官或鑑識背景人才報名網路安全碩士在職班就讀,並輔導考取相關證照,如:資安鑑識調查專家及資安危機處理員等證照,在網路犯罪,網路攻擊等領域,強化調查人員偵查手段,進而提升偵查及鑑識專業能量。

原文出處:
https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C11000025

arrow
arrow
    全站熱搜

    神仙、老虎、狗 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄