Поиск следов использования AnyDesk на компьютере

Форензика AnyDesk где находится

AnyDesk — популярное ПО для удаленного доступа к компьютерам и смартфонам. Зачастую AnyDesk используется злоумышленниками для несанкционированного доступа к чужим устройствам. В статье поговорим о форензическом анализе AnyDesk. Я покажу куда сохраняются логи передачи файлов, история подключений и использовании AnyDesk на компьютере и как ее вытащить.

Еще по теме: Извлечение данных из браузера

Криминалистический анализ и поиск следов AnyDesk

AnyDesk — это легитимное, не вредоносное ПО, которое используется компаниями по всему миру для управления своими ИТ-системами, а также может быть использовано бесплатно для помощи членам семьи в решении ИТ-проблем.

Этот инструмент мошенники выбирают потому, что его легко использовать. Кроме того, в AnyDesk есть несколько опций, позволяющих злоумышленнику заблокировать доступ жертвы к собственному компьютеру, что дает ему полный контроль над ситуацией.

Где находится AnyDesk

AnyDesk может быть запущен двумя способами: установлен на компьютер или запущен без установки. Способ запуска программы иногда определяет расположение артефактов на диске.

Вот расположение папки AnyDesk:

Версия без установки:

Где spysoftnet —  имя пользователя.

Устанавливаемая версия:

Чтобы проверить, каким способом запускается это приложение, посмотрите на свойства файла приложения AnyDesk. Если это программа получена от злоумышленика, то она, скорее всего, находится в папке Загрузки (Downloads) или на Рабочем столе.

Где находится файл GCAPI.DLL для запуска AnyDesk

GCAPI.DLL нужен для запуска всех версий AnyDesk и может находиться в том же месте, что и исполняемый файл, или в папке Temp.

Версия без установки:

Устанавливаемая версия:

Где находится файл GCAPI.DLL AnyDesk

Если файл нет, AnyDesk загрузит его. В более поздних версиях, из-за уязвимости DLL, используется проверка хеша.

Логи входящих запросов в файле Connection_trace.txt

В файле Connection_trace.txt отображаются входящие запросы со статусом:

  • User — для локального пользователя, принимающего запрос.
  • Passwd — пароль, вводимый удаленной системой.
  • Token — удаленный пользователь включает настройку Запоминать пароль (Remember password).
  • REJECTED — отклонение запроса локальным пользователем.

Параметры Passwd и Token имеют значение только в том случае, если в локальной системе установлен пароль для неавторизованного доступа.

Важно отметить, что эти параметры предназначены только для входящих запросов и не отображают данные об исходящих соединениях.

Это позволяет получить временные метки и идентификаторы, которые помогут собрать картину.

Логи входящих запросов в файле Connection_trace.txt

История передачи файлов в User.conf

Файл user.conf полезен, если злоумышленник пытался передать файлы. Вы увидите путь к каталогу, который, по умолчанию, выдает имя пользователя.

AnyDesk история передачи файлов User.conf

Соединение с этого хоста было «совершенно не хакерским», что, как мы видим, является псевдонимом для локальной учетной записи администратора.

AnyDesk история обмена файлами User.conf

Это говорит о нескольких вещах, во-первых, учетная запись local-admin не создается Windows, что указывает, на то, что эта учетная запись была намеренно создана с таким именем, и, судя по имени, скорее всего, является локальной учетной записью, а не частью домена.

Это также указывает на то, что злоумышленник, скорее всего, работает на этом компьютере от имени администратора.

История использования AnyDesk в файле Ad.Trace

Файл ad.trace представляет собой подробный журнал и позволяет увидеть версию AnyDesk. Это может быть важно, если злоумышленник намеренно использует старую версию программы.

Также можно увидеть версию Windows, используемую жертвой и был ли установлен AnyDesk на момент запуска.

AnyDesk история использования файл Ad.Trace

Если посмотреть на версию AnyDesk, которую запускала жертва, то возникает вопрос: зачем использовать старую версию? А потому, что это может быть уязвимая версия, или в ней не добавлены функции, которые компания добавила в новых версиях для противодействия использования программы злоумышленниками.

В файле также можно найти идентификатор, который мы нашли в файле Connection_trace.txt.

AnyDesk история запуска файл Ad.Trace

Здесь также показана удаленная версия AnyDesk злоумышленника и используемая операционная система.

При написании статьи я специально использовал удаленную версию AnyDesk (злоумышленник), а не просто разместил ее в своей локальной сети, поскольку я видел свой собственный публичный IP-адрес. На следующем скрине показан внешний IP-адрес атакующего.

AnyDesk история Ad.Trace

Конечно, злоумышленник мог использовать прокси или VPN, но это еще один важный артефакт.

Журнал AnyDesk в файле Ad_Svc.Trace

Поскольку в данном сценарии злоумышленник принудительно перезагрузил удаленную машину, мы получили новый артефакт — файл ad_scv.trace. Обычно его можно увидеть только на установленной версии AnyDesk, поскольку это файл журнала службы AnyDesk.

AnyDesk журнал файл Ad_Svc.Trace

Видно, что перезапуск был инициирован удаленно, а на машине жертвы была создана служба.

Что это означает? Это означает, что злоумышленник установил доступ к комюьютеру, а затем перезапустил его. Такой неконтролируемы владельцем компьютера доступ позволяет злоумышленнику подключиться к компьютеру в любое время.

AnyDesk журнал Ad_Svc.Trace

Далее мы видим, что злоумышленник повторно подключается с тем же идентификатором и тем же IP-адресом.

История чата AnyDesk

Anydesk имеет встроенную функцию чата, которая позволяет удаленному и локальному пользователю общаться с помощью текстовых сообщений. Лог этого файла хранится в подкаталоге каталога AnyDesk.

AnyDesk история чата

Здесь будет находиться текстовый файл с именем, соответствующим идентификатору клиента подключающегося AnyDesk. В нем будут содержаться обе стороны разговора в чате. Это может быть очень полезно, если злоумышленник использует его для общения с жертвой. Однако большинство мошенников используют телефон.

AnyDesk история переписки

Возможно, эти журналы чатов не слишком часто используются мошенниками, но они могут оказаться полезными в других криминалистических расследованиях.

Эскизы изображений AnyDesk

Есть также папка Thumbnails, в которой хранится небольшое изображение удаленного компьютера, подключенного к AnyDesk. Обычно в ней отображаются обои, используемые удаленным компьютером. Она доступна только при исходящем подключении.

AnyDesk эскизы изображений

Это может оказаться полезным для правоохранительных органов, которым необходимо доказать, что за соединения отвечает именно та машина, которую они исследуют.

Заключение

Мы живем в мире, где мошенничество становится все более изощренным, и защита своих финансов и данных становится приоритетом. Будьте бдительны и интересуйтесь вопросами кибербезопасности. Только знание методов взлома поможет эффективно защититься от них.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий