- Криминалистический анализ и поиск следов AnyDesk
- Где находится AnyDesk
- Где находится файл GCAPI.DLL для запуска AnyDesk
- Логи входящих запросов в файле Connection_trace.txt
- История передачи файлов в User.conf
- История использования AnyDesk в файле Ad.Trace
- Журнал AnyDesk в файле Ad_Svc.Trace
- История чата AnyDesk
- Эскизы изображений AnyDesk
- Заключение
AnyDesk — популярное ПО для удаленного доступа к компьютерам и смартфонам. Зачастую AnyDesk используется злоумышленниками для несанкционированного доступа к чужим устройствам. В статье поговорим о форензическом анализе AnyDesk. Я покажу куда сохраняются логи передачи файлов, история подключений и использовании AnyDesk на компьютере и как ее вытащить.
Еще по теме: Извлечение данных из браузера
Криминалистический анализ и поиск следов AnyDesk
AnyDesk — это легитимное, не вредоносное ПО, которое используется компаниями по всему миру для управления своими ИТ-системами, а также может быть использовано бесплатно для помощи членам семьи в решении ИТ-проблем.
Этот инструмент мошенники выбирают потому, что его легко использовать. Кроме того, в AnyDesk есть несколько опций, позволяющих злоумышленнику заблокировать доступ жертвы к собственному компьютеру, что дает ему полный контроль над ситуацией.
Где находится AnyDesk
AnyDesk может быть запущен двумя способами: установлен на компьютер или запущен без установки. Способ запуска программы иногда определяет расположение артефактов на диске.
Вот расположение папки AnyDesk:
Версия без установки:
1 |
C:\Users\spysoftnet\Appdata\Roaming\AnyDesk\ |
Где spysoftnet — имя пользователя.
Устанавливаемая версия:
1 |
C:\ProgramData\AnyDesk\ |
Чтобы проверить, каким способом запускается это приложение, посмотрите на свойства файла приложения AnyDesk. Если это программа получена от злоумышленика, то она, скорее всего, находится в папке Загрузки (Downloads) или на Рабочем столе.
Где находится файл GCAPI.DLL для запуска AnyDesk
GCAPI.DLL нужен для запуска всех версий AnyDesk и может находиться в том же месте, что и исполняемый файл, или в папке Temp.
Версия без установки:
1 |
c:\users\spysoftnet\appdata\local\temp |
Устанавливаемая версия:
1 |
c:\windows\temp |
Если файл нет, AnyDesk загрузит его. В более поздних версиях, из-за уязвимости DLL, используется проверка хеша.
Логи входящих запросов в файле Connection_trace.txt
В файле Connection_trace.txt отображаются входящие запросы со статусом:
- User — для локального пользователя, принимающего запрос.
- Passwd — пароль, вводимый удаленной системой.
- Token — удаленный пользователь включает настройку Запоминать пароль (Remember password).
- REJECTED — отклонение запроса локальным пользователем.
Параметры Passwd и Token имеют значение только в том случае, если в локальной системе установлен пароль для неавторизованного доступа.
Важно отметить, что эти параметры предназначены только для входящих запросов и не отображают данные об исходящих соединениях.
Это позволяет получить временные метки и идентификаторы, которые помогут собрать картину.
История передачи файлов в User.conf
Файл user.conf полезен, если злоумышленник пытался передать файлы. Вы увидите путь к каталогу, который, по умолчанию, выдает имя пользователя.
Соединение с этого хоста было «совершенно не хакерским», что, как мы видим, является псевдонимом для локальной учетной записи администратора.
Это говорит о нескольких вещах, во-первых, учетная запись local-admin не создается Windows, что указывает, на то, что эта учетная запись была намеренно создана с таким именем, и, судя по имени, скорее всего, является локальной учетной записью, а не частью домена.
Это также указывает на то, что злоумышленник, скорее всего, работает на этом компьютере от имени администратора.
История использования AnyDesk в файле Ad.Trace
Файл ad.trace представляет собой подробный журнал и позволяет увидеть версию AnyDesk. Это может быть важно, если злоумышленник намеренно использует старую версию программы.
Также можно увидеть версию Windows, используемую жертвой и был ли установлен AnyDesk на момент запуска.
Если посмотреть на версию AnyDesk, которую запускала жертва, то возникает вопрос: зачем использовать старую версию? А потому, что это может быть уязвимая версия, или в ней не добавлены функции, которые компания добавила в новых версиях для противодействия использования программы злоумышленниками.
В файле также можно найти идентификатор, который мы нашли в файле Connection_trace.txt.
Здесь также показана удаленная версия AnyDesk злоумышленника и используемая операционная система.
При написании статьи я специально использовал удаленную версию AnyDesk (злоумышленник), а не просто разместил ее в своей локальной сети, поскольку я видел свой собственный публичный IP-адрес. На следующем скрине показан внешний IP-адрес атакующего.
Конечно, злоумышленник мог использовать прокси или VPN, но это еще один важный артефакт.
Журнал AnyDesk в файле Ad_Svc.Trace
Поскольку в данном сценарии злоумышленник принудительно перезагрузил удаленную машину, мы получили новый артефакт — файл ad_scv.trace. Обычно его можно увидеть только на установленной версии AnyDesk, поскольку это файл журнала службы AnyDesk.
Видно, что перезапуск был инициирован удаленно, а на машине жертвы была создана служба.
Что это означает? Это означает, что злоумышленник установил доступ к комюьютеру, а затем перезапустил его. Такой неконтролируемы владельцем компьютера доступ позволяет злоумышленнику подключиться к компьютеру в любое время.
Далее мы видим, что злоумышленник повторно подключается с тем же идентификатором и тем же IP-адресом.
История чата AnyDesk
Anydesk имеет встроенную функцию чата, которая позволяет удаленному и локальному пользователю общаться с помощью текстовых сообщений. Лог этого файла хранится в подкаталоге каталога AnyDesk.
Здесь будет находиться текстовый файл с именем, соответствующим идентификатору клиента подключающегося AnyDesk. В нем будут содержаться обе стороны разговора в чате. Это может быть очень полезно, если злоумышленник использует его для общения с жертвой. Однако большинство мошенников используют телефон.
Возможно, эти журналы чатов не слишком часто используются мошенниками, но они могут оказаться полезными в других криминалистических расследованиях.
Эскизы изображений AnyDesk
Есть также папка Thumbnails, в которой хранится небольшое изображение удаленного компьютера, подключенного к AnyDesk. Обычно в ней отображаются обои, используемые удаленным компьютером. Она доступна только при исходящем подключении.
Это может оказаться полезным для правоохранительных органов, которым необходимо доказать, что за соединения отвечает именно та машина, которую они исследуют.
Заключение
Мы живем в мире, где мошенничество становится все более изощренным, и защита своих финансов и данных становится приоритетом. Будьте бдительны и интересуйтесь вопросами кибербезопасности. Только знание методов взлома поможет эффективно защититься от них.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Поиск артефактов на компьютере в OS Windows
- Где хранятся файлы Telegram WhatsApp Viber на компьютере
- Криминалистический анализ изображений с помощью Ghiro