Анализ действий пользователя на компьютере Windows

Анализ действий пользователя Windows

Час­то инци­ден­ты про­исхо­дят по вине поль­зовате­ля, к при­меру ког­да он заг­ружа­ет прог­раммы из неп­роверен­ных источни­ков или запус­кает вре­донос­ные вло­жения из поч­ты. Давайте рас­смот­рим арте­фак­ты, которые поз­воля­ют понять, что кон­крет­но делал пользователь на компьютере Windows.

Еще по теме: Анализ событий Windows [Форензика Windows]

Most Recently Used

MRU (Most Recently Used) — арте­факт Windows, в котором хра­нит­ся информа­ция о вза­имо­дей­ствии поль­зовате­ля с фай­лами и катало­гами через про­вод­ник. В кус­те NTUSER.DAT каж­дого поль­зовате­ля есть клю­чи, отно­сящи­еся к MRU.

Нап­ример, вот в этом клю­че реес­тра хра­нит­ся спи­сок фай­лов, сгруп­пирован­ных по рас­ширению, и спи­сок катало­гов, с которы­ми вза­имо­дей­ство­вал поль­зователь:

При ана­лизе записи обра­щай вни­мание на дату откры­тия и имя фай­ла.

А вот этот клю­чик хра­нит информа­цию о запус­каемых коман­дах при помощи ути­литы Windows Run (горячая кла­виша Windows-R):

И наконец, ключ, содер­жащий информа­цию о фай­лах, к которым обра­щал­ся поль­зователь с помощью диало­гово­го окна откры­тия или сох­ранения фай­ла:

Со­дер­жимое клю­ча RecentDocs:

Анализ действий пользователя на компьютере

Спи­сок фай­лов и катало­гов, с которы­ми вза­имо­дей­ство­вал поль­зователь, ты най­дешь по такому пути:

От­сорти­ровав фай­лы по вре­мен­ной мет­ке, мож­но вос­ста­новить пос­ледова­тель­ность запус­ка при­ложе­ний и откры­тия фай­лов. При ана­лизе это­го арте­фак­та обра­щай вни­мание на фай­лы с рас­ширени­ями .lnk, которые могут содер­жать коман­ды запус­ка сце­нари­ев PowerShell или CMD. Для ана­лиза фай­лов c рас­ширени­ем .lnk мож­но вос­поль­зовать­ся инс­тру­мен­том LECmd.

Shellbags

Shellbags — это набор клю­чей реес­тра, которые содер­жат све­дения о прос­матри­ваемых поль­зовате­лем катало­гах. Начиная с Windows 7, этот арте­факт хра­нит­ся в кус­те реес­тра

Для Windows XP упо­мяну­тый набор арте­фак­тов хра­нит­ся в кус­те реес­тра NTUSER.DAT. Shellbags хра­нит вре­мен­ные мет­ки дос­тупа к катало­гам, в том чис­ле к общим сетевым ресур­сам.

Для удобс­тва ана­лиза мож­но вос­поль­зовать­ся ути­литой ShellBagsExplorer, в которую необ­ходимо заг­рузить куст реес­тра UsrClass.dat.

Список каталогов, хранимый в Shellbags:

Анализ действий пользователя

SRUM

Эта лег­кая для запоми­нания аббре­виату­ра озна­чает System Resource Utilization Monitor. С вось­мой вер­сии в Windows появи­лась воз­можность отсле­живать исполь­зуемые при­ложе­ниями ресур­сы. Этот арте­факт рас­положен в фай­ле C:\Windows\System32\sru\SRUDB.dat. Информа­ция записы­вает­ся в базу каж­дый час и при вык­лючении компь­юте­ра.

В базе хра­нят­ся сле­дующие арте­фак­ты: сетевые под­клю­чения, исполь­зование сети, энер­гопот­ребле­ние, дан­ные push-уве­дом­лений, а так­же исполь­зование ресур­сов при­ложе­ниями. Ана­лиз активнос­ти сети и сетевых под­клю­чений помога­ет опре­делить, ког­да компь­ютер был под­клю­чен к интерне­ту и каким спо­собом, а так­же количес­тво получен­ных и отправ­ленных при­ложе­нием дан­ных в бай­тах.

Инс­тру­мен­ты для ана­лиза:

  • SRUM-DUMP — этот инс­тру­мент исполь­зует шаб­лон Excel для вывода соб­ранных дан­ных в таб­лицу;
  • SrumECmd.

Данные браузеров

Бра­узер нын­че самая глав­ная прог­рамма на компь­юте­ре, и мно­гие дей­ствия поль­зователь совер­шает имен­но в ней. Здесь же най­дут­ся и важ­ные для рас­сле­дова­ния арте­фак­ты. Нап­ример, в ходе фишин­говых атак зло­умыш­ленни­ки рас­сыла­ют сооб­щения, содер­жащие либо ссыл­ку на вре­донос­ный файл, либо сам файл. Информа­ция о заг­рузке поль­зовате­лем такого фай­ла попадет в жур­нал бра­узе­ра.

Про­филь бра­узе­ра Firefox:

В фай­ле places.sqlite ты най­дешь две полез­ные таб­лицы: moz__places содер­жит исто­рию бра­узе­ра, moz__annos — информа­цию о заг­рузках. А в фай­ле cookies.sqlite лежат все сох­ранен­ные куки.

Инс­тру­мен­ты для ана­лиза:

  • MZHistoryView — ути­лита для ана­лиза исто­рии бра­узе­ра;
  • MZCacheView — ути­лита для ана­лиза фай­лов кеша;
  • MZCookieView — ути­лита для ана­лиза фай­лов cookies;
  • DB Browser for SQLite — инс­тру­мент прос­мотра базы дан­ных SQLite. При ана­лизе таб­лиц исто­рии бра­узе­ра нуж­но будет пре­обра­зовать вре­мен­ные мет­ки сле­дующим выраже­нием: datetime(lastvisitdate/1000000,’unixepoch’).

Про­филь Chrome:

Ис­торию посеще­ния стра­ниц и заг­рузок мож­но най­ти в фай­ле History, она хра­нит­ся в базе SQLite, в таб­лицах urls и downloads. Фай­лы кеша лежат в катало­ге Cache\Default Cache. Рас­ширения бра­узе­ра хра­нят­ся в катало­ге Extensions.

Инс­тру­мен­ты для ана­лиза:

  • ChromeHistoryView — ана­лиз исто­рии бра­узе­ра;
  • ChromeCacheView — ана­лиз кеша;
  • DB Browser for SQLite — при ана­лизе таб­лиц urls и downloads необ­ходимо пре­обра­зовать вре­мен­ные мет­ки сле­дующим выраже­нием: datetime((«last_visit_time»/1000000)-11644473600, ‘unixepoch’, ‘localtime’).

Путь к про­филю Opera:

Фор­мат исто­рии и заг­рузок тот же, что и у Google Chrome. То же самое и у Yandex Browser.

Ис­тория посеще­ний Internet Explorer:

Для ее ана­лиза мож­но вос­поль­зовать­ся ути­литой IEHistoryView.

Ин­форма­ция о заг­рузках в IE:

Кеш IE:

Для ана­лиза при­годит­ся тул­за IECacheView.

Ар­тефак­ты Microsoft Edge:

Пос­коль­ку Edge — это втай­не Chromium, ана­лиз исто­рии, заг­рузок и кеша будет выг­лядеть так же, как в Chrome.

Выводы

Мы рас­смот­рели основные арте­фак­ты Windows, которые спе­циалист дол­жен изу­чить при рас­сле­дова­нии инци­ден­та, а хакер, наобо­рот, может попытать­ся скрыть. По пути мы соб­рали инс­тру­мен­тарий для ана­лиза. Исполь­зуя эти тех­ники, ты смо­жешь вос­ста­новить ход событий, опи­сать ата­ку по мат­рице MITRE ATT&CK и сде­лать какие‑то выводы о зло­умыш­ленни­ке.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий