无人机中断的拒绝服务攻击(3DOS)
0x01 Absert
根据美国联邦航空管理局(FAA)的说法,在不久的将来,远程遥控飞行器系统(RPAS,Remotely Piloted Aerial Systems,俗称无人机)的数量将迅速增加。无人机的挑战不仅集中在这些设备的安全性上,而且还集中在无人机的犯罪用途上。研究者尚未充分处理此类事件的应急响应和分析取证。本文重点关注与无人机有关的网络犯罪的事件响应以及一些可能的反和取证技术,这些技术可用于更改与无人机相关的数字证据。
0x02 UAV regulations
自从RPAS发明以来,联邦航空局(FAA)颁布了许多与无人机操作有关的法规。根据美国联邦航空局的说法,截至目前大约有41个州制定了无人机法规,结果是对空中活动施加了越来越严格的限制,以避免发生对关键基础设施的事故,这包括诸如限制在机场5英里半径内飞行无人驾驶飞机的规定。
此外,商业无人机飞行员能够修改无人机上的数字证据。例如,用户修改飞行日志对数字取证造成了挑战。因此,调查不同无人机的存储机制将有助于恢复可采的证据。另一方面,普渡大学(Purdue University)在2017年发布的指南限制了无人机在其所有校园的运行,理由是必须遵守FAA法规。除规定外,根据印第安纳州法律第35-46-8.5-1条,无人机故意不当地使用图像捕获或视频记录将被视为A级轻罪。
上图说明了报告给英国Airprox理事会的无人机事故的统计分析。在过去三年中,总共报告了385起事件,包括模型飞机,气球,无人驾驶飞机和不明物体。在报告的事件中,约有83%是与无人机相关的事件。这突出显示了需要重点关注安全和控制措施,以确保关键基础设施的安全,特别是在机场。
法律和法规可能无法提供行为分析的有效手段,以更好地研究类似于3DOS(Drone Disrupted Denial of Service Attack)事件的事件背后的犯罪行为。研究人员声称,针对全球不同类型的关键基础设施,都已发生无人机事件。
例如,分析无人机黑盒的可用性和能力将提高无人机总体风险评估计划。因此,本文着重于调整数字取证程序,以通过解释数字取证分析来增强无人机事件响应计划。美国联邦航空局已根据两种无人机系统更新了其无人机系统(UAS,Unmanned Aerial Systems)要求,第336节(Section 336)涉及无人机的业余爱好或娱乐性用途,第107部分(part 107)涉及娱乐性或商业用途。
本文的分析不仅仅依赖媒体文件。但是,涉及数字取证调查时,媒体文件中的元数据包含有价值的证据。有些案件最终将被罚款,另一些案件可能需要进一步调查,这需要分析取证师报告并证明证据可受理。
0x03 Drone Forensic and Incident Response (DFIR) Plan
增强应急响应计划对新兴技术的适用性是至关重要的一步,专注于将传统的应急响应计划转变为DFIR计划。应急响应计划通常从“准备”阶段开始,以“经验总结”结束。但是DFIR计划,该计划直接使用无人机处理空中事件。取证对先前的无人机事件做出反应以确定与此类事件相关的某些行为因素非常重要。此外,这将增强DFIR模型,以降低与无人机事故相关的复杂程度。
上图说明了DFIR计划的各个阶段,该阶段从对先前事件进行数字取证分析之后的“经验总结”阶段开始。在应对非传统数字风险时至关重要。无人机被认为是对国家安全的威胁,无人机造成的威胁数量正在迅速增长。
“分析和检测”阶段可以加强事件响应的整体管理。然后,计划可以前进到“报告”,“准备”和“预防”阶段,在此阶段可以启动进一步的法规和对策技术。此外,建议在“报告”之后进行“准备”阶段,因为正在构建计划关于“经验总结”,“分析和检测”将提高“对新事件的准备”的准确率,并提供更多发现预防技术的方法。
另一方面提出了一种无人驾驶飞机区域取证的框架,如下图所示。可以通过报告一个禁飞区域事件的问题来增强技术框架,并且展示了一个案例,建议取证调查人员应该对无人机媒体存储进行分析。如果这不成功,那么建议继续进行无人机控制器的取证。
提议的法证分析的方法论包括两种技术方法。,包括使用DNZF工具分析媒体文件GPS元数据,和用DRZF工具分析CSV GPS日志。本文提供的工具显示了对CSV文件的分析,该文件包含飞行日志并提供有关是否找到任何禁飞区GPS坐标。此外演示了从媒体文件解析GPS元数据。
0x04 Methodology
RPAS的成本很高,尤其是在测试多个无人机系统时。本节研究三种类型的RPAS,包括大疆 精灵 4(DJI Phantom 4),大疆”御”Mavic Pro(DJI Mavic Pro)和昊翔 台风 H(Yuneec Typhoon H)。所有这些无人机都被归类为商用无人机。之所以选择这些型号,是因为它们是当今市场上三款最先进,功能最强大的无人机。此外,还对上述三种类型的飞行日志存储进行了分析,并测试了它们的压缩和加密级别。另外举例说明了可能的反取证技术,这些技术可能会导致数字证据的修改,从而导致案件不可受理。
因此,对于商业RPAS加密存储的飞行日志非常重要。数字取证调查人员需要了解无人机和逆向工程技术中使用的不同加密机制。原因之一是要确保数字证据没有被更改或破坏,这也取决于加密方案的复杂程度。
另一方面,大多数无人机都存储飞行日志和飞行活动的记录,这意味着飞行活动以明文形式存储并可供无人机飞行员使用。但是,大多数流行的无人机都使用加密机制来存储飞行日志。例如,DJI Phantom 4和DJI Mavic Pro会以带有二进制事件日志的编码数据格式存储飞行日志。有一些开源工具可以解密这些“ .DAT”文件的内容,例如DROP和DatCon。