Уроки форензики. Анализируем логи Windows и таблицу MFT на примере HTB Jinkies

Содержание статьи

• Используемые утилиты
• Исследование
• Выводы

Се­год­ня мы будем учить­ся ана­лизи­ровать логи Windows и смот­реть пол­ную информа­цию о фай­ле в таб­лице MFT. Это поможет нам вос­ста­новить пос­ледова­тель­ность дей­ствий зло­умыш­ленни­ка в сис­теме и рас­крыть его ник­нейм.

Пло­щад­кой для упражне­ний нам пос­лужит задание Jinkies c ресур­са Hack The Box Sherlocks.

По сце­нарию задания компь­ютер­ная ата­ка про­изош­ла 6 октября в инфраструк­туре стар­тапа Cloud-Guru-Management Ltd, где раз­рабаты­вают некий про­дукт. Извес­тно, что поль­зователь взло­ман­ного компь­юте­ра слу­чай­но пре­дос­тавил общий дос­туп к сво­ей пап­ке Documents, а так­же утвер­жда­ет, что в этот день его не было за компь­юте­ром. Генераль­ный дирек­тор Cloud-Guru-Management 6 октября получил устные сооб­щения о том, что интеллек­туаль­ная собс­твен­ность ком­пании была укра­дена. Коман­да реаги­рова­ния на инци­ден­ты соб­рала арте­фак­ты опе­раци­онной сис­темы взло­ман­ного компь­юте­ра с помощью ути­литы KAPE. Наша задача — про­вес­ти рас­сле­дова­ние инци­ден­та и вос­ста­новить кар­тину взло­ма ресур­са.

Используемые утилиты

• Hayabusa — инс­тру­мент для быс­тро­го ана­лиза логов, осно­ван­ный на пра­вилах Sigma.
• FullEventLogView — ути­лита Nirsoft для ана­лиза событий. Она поз­воля­ет филь­тро­вать логи по датам, иден­тифика­торам событий, а так­же по клю­чевым сло­вам. Что­бы исполь­зовать этот инс­тру­мент, дос­таточ­но ука­зать каталог с фай­лами evtx.
• MFTECmd — пар­сер таб­лицы MFT фай­ловой сис­темы NTFS.
• DB Browser for SQLite — инс­тру­мент для прос­мотра базы дан­ных SQLite, необ­ходим при ана­лизе исто­рии бра­узе­ра Chrome.
• Registry Explorer — ути­лита для прос­мотра кус­тов реес­тра Windows.

Исследование

Заг­рузим файл архи­ва задания и прис­тупим к иссле­дова­нию арте­фак­тов.

В фай­ле архи­ва содер­жатся сле­дующие дан­ные: каталог TriageData, в котором рас­положе­ны соб­ранные фай­ловые арте­фак­ты опе­раци­онной сис­темы; каталог LiveResponse, содер­жащий спи­сок запущен­ных про­цес­сов; информа­ция о сис­теме и мно­го дру­гих волатиль­ных дан­ных.

Что­бы получить инфу об иссле­дуемом компь­юте­ре, откро­ем файл LiveResponseSysteminfo.csv. Имя иссле­дуемо­го компь­юте­ра — VELMAD100, уста­нов­лена опе­раци­онная сис­тема Windows 10 Pro. Из фай­ла ipconfig.txt получим сетевые нас­трой­ки интерфей­са, IP-адрес хос­та 192.168.157.144, IP-адрес шлю­за 192.168.157.2, DHCP-сер­вер 192.168.157.254.

Нам извес­тно, что компь­ютер­ный инци­дент про­изо­шел 6 октября 2023 года. Про­ана­лизи­руем все события опе­раци­онной сис­темы за этот день. Откро­ем ути­литу FullEventLogView и заг­рузим логи, рас­положен­ные по такому пути:

Jinkies_KAPE_output/TriageData/C/Windows/system32/winevt/

За­тем выс­тавим филь­тр по дате (Options → Advanced Options) и прис­тупим к ана­лизу.

Пер­вым делом про­ана­лизи­руем сооб­щения о событи­ях авто­риза­ции в сис­теме и запус­ка про­цес­сов. На иссле­дуемом хос­те уста­нов­лена служ­ба Sysmon (сис­темный монитор) — эта ути­лита раз­работа­на в Microsoft для рас­ширен­ного ауди­та Windows. Sysmon пре­дос­тавля­ет под­робную информа­цию об активнос­ти сис­темы на уров­не про­цес­сов и сети. Под­робная информа­ция о каж­дом иден­тифика­торе событий есть в до­кумен­тации Microsoft.

В FullEventLogView откро­ем вклад­ку Options → Advanced Options → Show only specified event IDs и вве­дем сле­дующие иден­тифика­торы событий:

• 4624 — событие вхо­да в сис­тему, нам инте­ресен тип вхо­да и источник авто­риза­ции;
• 4648 — вход в сис­тему с явным ука­зани­ем аутен­тифика­цион­ных дан­ных;
• 4672 — сеан­су вхо­да наз­начены спе­циаль­ные при­виле­гии;
• 4625 — ошиб­ка вхо­да в сис­тему;
• 1149 — событие опи­сыва­ет приз­нак вхо­да в сис­тему по про­токо­лу RDP; такое событие регис­три­рует­ся при под­клю­чении источни­ка к хос­ту;
• 21 — успешный вход поль­зовате­ля в сеанс RDP;
• 24 — отклю­чение сеан­са RDP;
• 1 (жур­нал событий Sysmon) — событие соз­дания про­цес­са, содер­жит под­робную информа­цию о соз­данном про­цес­се: хеш, коман­да запус­ка и так далее;
• 3 (жур­нал Sysmon) — событие сетево­го под­клю­чения регис­три­рует TCP- и UDP-соеди­нения.

В 17:15 зафик­сирова­но событие с иден­тифика­тором 4624, тип вхо­да 3 (сетевой вход) с хос­та 192.168.157.151, с исполь­зовани­ем учет­ных дан­ных поль­зовате­ля Velma.

Да­лее в 17:16:09 зафик­сирован отказ дос­тупа к обще­му ресур­су C:UsersVelmaDocuments, источник — адрес 192.168.157.151.

Мы зафик­сирова­ли сетевой вход с IP-адре­са 192.168.157.151, а так­же дос­туп к общим катало­гам на иссле­дуемом компь­юте­ре. В клю­че реес­тра ControlSet001ServicesLanmanServerShares кус­та SYSTEM рас­положе­ны име­на общих катало­гов и пути к ним. Давай заг­лянем в этот ключ с помощью ути­литы Registry Explorer.

Со­дер­жимое клю­ча реес­тра LanmanServer

На иссле­дуемом компь­юте­ре есть общие дирек­тории C:UsersVelmaDocuments и C:Users.

Так­же по пути, при­веден­ному ниже, рас­положе­ны дес­крип­торы безопас­ности, то есть раз­решения для дос­тупа к общим катало­гам.

ControlSet001ServicesLanmanServerSharesSecurity

Источник: xakep.ru