Часто инциденты происходят по вине пользователя, к примеру когда он загружает программы из непроверенных источников или запускает вредоносные вложения из почты. Давайте рассмотрим артефакты, которые позволяют понять, что конкретно делал пользователь на компьютере Windows.
Еще по теме: Анализ событий Windows [Форензика Windows]
Most Recently Used
MRU (Most Recently Used) — артефакт Windows, в котором хранится информация о взаимодействии пользователя с файлами и каталогами через проводник. В кусте NTUSER.DAT каждого пользователя есть ключи, относящиеся к MRU.
Например, вот в этом ключе реестра хранится список файлов, сгруппированных по расширению, и список каталогов, с которыми взаимодействовал пользователь:
1 |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs |
При анализе записи обращай внимание на дату открытия и имя файла.
А вот этот ключик хранит информацию о запускаемых командах при помощи утилиты Windows Run (горячая клавиша Windows-R):
1 |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU |
И наконец, ключ, содержащий информацию о файлах, к которым обращался пользователь с помощью диалогового окна открытия или сохранения файла:
1 |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32 |
Содержимое ключа RecentDocs:
Список файлов и каталогов, с которыми взаимодействовал пользователь, ты найдешь по такому пути:
1 |
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent |
Отсортировав файлы по временной метке, можно восстановить последовательность запуска приложений и открытия файлов. При анализе этого артефакта обращай внимание на файлы с расширениями .lnk, которые могут содержать команды запуска сценариев PowerShell или CMD. Для анализа файлов c расширением .lnk можно воспользоваться инструментом LECmd.
Shellbags
Shellbags — это набор ключей реестра, которые содержат сведения о просматриваемых пользователем каталогах. Начиная с Windows 7, этот артефакт хранится в кусте реестра
1 |
C:\Users\\AppData\Local\Micrososft\Windows\UsrClass.dat |
Для Windows XP упомянутый набор артефактов хранится в кусте реестра NTUSER.DAT. Shellbags хранит временные метки доступа к каталогам, в том числе к общим сетевым ресурсам.
Для удобства анализа можно воспользоваться утилитой ShellBagsExplorer, в которую необходимо загрузить куст реестра UsrClass.dat.
Список каталогов, хранимый в Shellbags:
SRUM
Эта легкая для запоминания аббревиатура означает System Resource Utilization Monitor. С восьмой версии в Windows появилась возможность отслеживать используемые приложениями ресурсы. Этот артефакт расположен в файле C:\Windows\System32\sru\SRUDB.dat. Информация записывается в базу каждый час и при выключении компьютера.
В базе хранятся следующие артефакты: сетевые подключения, использование сети, энергопотребление, данные push-уведомлений, а также использование ресурсов приложениями. Анализ активности сети и сетевых подключений помогает определить, когда компьютер был подключен к интернету и каким способом, а также количество полученных и отправленных приложением данных в байтах.
Инструменты для анализа:
- SRUM-DUMP — этот инструмент использует шаблон Excel для вывода собранных данных в таблицу;
- SrumECmd.
Данные браузеров
Браузер нынче самая главная программа на компьютере, и многие действия пользователь совершает именно в ней. Здесь же найдутся и важные для расследования артефакты. Например, в ходе фишинговых атак злоумышленники рассылают сообщения, содержащие либо ссылку на вредоносный файл, либо сам файл. Информация о загрузке пользователем такого файла попадет в журнал браузера.
Профиль браузера Firefox:
1 |
C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID] |
В файле places.sqlite ты найдешь две полезные таблицы: moz__places содержит историю браузера, moz__annos — информацию о загрузках. А в файле cookies.sqlite лежат все сохраненные куки.
Инструменты для анализа:
- MZHistoryView — утилита для анализа истории браузера;
- MZCacheView — утилита для анализа файлов кеша;
- MZCookieView — утилита для анализа файлов cookies;
- DB Browser for SQLite — инструмент просмотра базы данных SQLite. При анализе таблиц истории браузера нужно будет преобразовать временные метки следующим выражением: datetime(lastvisitdate/1000000,’unixepoch’).
Профиль Chrome:
1 |
C:\Users\\AppData\Local\Google\Chrome\User Data\Default |
Историю посещения страниц и загрузок можно найти в файле History, она хранится в базе SQLite, в таблицах urls и downloads. Файлы кеша лежат в каталоге Cache\Default Cache. Расширения браузера хранятся в каталоге Extensions.
Инструменты для анализа:
- ChromeHistoryView — анализ истории браузера;
- ChromeCacheView — анализ кеша;
- DB Browser for SQLite — при анализе таблиц urls и downloads необходимо преобразовать временные метки следующим выражением: datetime((«last_visit_time»/1000000)-11644473600, ‘unixepoch’, ‘localtime’).
Путь к профилю Opera:
1 |
C:\Users\%username%\AppData\Roaming\Opera Software\Opera Stable |
Формат истории и загрузок тот же, что и у Google Chrome. То же самое и у Yandex Browser.
История посещений Internet Explorer:
1 |
C:\Users\\AppData\Local\Microsoft\Windows\History\index.dat |
Для ее анализа можно воспользоваться утилитой IEHistoryView.
Информация о загрузках в IE:
1 |
C:\Users\\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory |
Кеш IE:
1 |
C:\Users\\Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 |
Для анализа пригодится тулза IECacheView.
Артефакты Microsoft Edge:
1 |
C:\Users\\AppData\Local\Microsoft\Edge\User Data\Default |
Поскольку Edge — это втайне Chromium, анализ истории, загрузок и кеша будет выглядеть так же, как в Chrome.
Выводы
Мы рассмотрели основные артефакты Windows, которые специалист должен изучить при расследовании инцидента, а хакер, наоборот, может попытаться скрыть. По пути мы собрали инструментарий для анализа. Используя эти техники, ты сможешь восстановить ход событий, описать атаку по матрице MITRE ATT&CK и сделать какие‑то выводы о злоумышленнике.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Поиск артефактов на компьютере в OS Windows
- Анализ компьютерных вирусов в домашней лаборатории
- Расследование взлома компьютера Windows