Используем TimeStomp

Взаимодействие с большинством файловых систем подобно хождению по снегу… вы оставляете следы. Насколько подробную информацию эти следы оставят, что из них можно узнать, а так же как долго они останутся, зависит от различных обстоятельств. Искусства анализа этих артефактов цифровой судебно-медицинской экспертизы. Различные причины при проведении тестов на проникновение, могут затруднить судебному аналитику определить действия которые вы предприняли.

 

Лучший способ избежать обнаружения следов судебным экспертом, прост. НЕ ПРИКАСАТЬСЯ К ФАЙЛОВОЙ СИСТЕМЕ!!! Это одна из замечательных вещей в meterpreter, он загружается в память, ничего не записывая на диск, что значительно снижает количество следов которые мы оставляем в системе. Однако, во многих случаях вам может быть необходимо взаимодействие с файловой системой, каким-нибудь образом. В этом случае, отличным инструментом будет timestomp.

 

Давайте посмотрим файл в системе и MAC (Modified, Accessed, Changed) время файла.

Смотрим время файла с MAC
Dante

 

Теперь мы начнем использовать систему и загрузим сессию meterpreter. После этого мы загрузим модуль timestomp и рассмотрим файл в запросе.

Используем timestomp модуль
Dante

 

Теперь давайте посмотрим на время отображения MAC. Мы видим что файл был создан совсем недавно. Давайте на минуту представим, что это сверхсекретный инструмент, который нам необходимо скрыть. Одним из способов это сделать, это возможность установить время MAC так чтобы оно соответствовало MAC времени иного файла в системе. Давайте скопируем MAC время из cmd.exe чтобы test.txt сделать похожим на него несколько лучше.

Копирование времени иного файла
Dante

 

Так мы идем! Вот теперь это выглядит так как будто файл text.txt был создан 7 декабря 1999года. Давайте посмотрим как это выглядит из Windows.

Просмотр файла из Windows
Dante

 

Успешно!!! Обратите внимание, существуют незначительные различия между временем через Windows и Metasploit Framework. Это связано с тем как отображаются временные зоны. Windows отображает время в -0600, в то время как Metasploit Framework показывает как -0500. После корректировки различий часовых поясов, мы можем видеть что они совпадают. Также обратите внимание что акт проверки информации файлов в Windows изменили в последний раз обращения. Это просто показано для того, чтобы показать насколько уязвимым может быть MAC время, и почему взаимодействии с ним должно быть уделено большое внимание.

 

Теперь давайте сделаем иное изменение. Где в предыдущем примере мы делали изменения похожими на другой файл. В некоторых случаях это просто не реально и лучшее на что вы можете надеяться это сделать более трудным для следователя определение того когда изменения произошли. В таких ситуациях, timestomp имеет много опций (-b для незаполненного), где нули из MAC времени для файла. Давайте взглянем.

Опция -b timestomp
Dante

 

Теперь когда разбираем MAC время, timestomp перечисляет их как будто они были созданы в 2106 году! Это достаточно интересно, так как некоторые плохо писанные криминалистические инструменты имеют те же проблемы, и приведут к краху когда перейдут к записи подобной этой. Давайте посмотрим как выглядит файл в Windows.

Смотрим файл созданный в будущем
Dante

 

Очень интересно! Обратите внимание, что время больше не отображается и данные установлены 1 января 1601. Есть идеи почему так происходит??? (Подсказка: https://en.wikipedia.org/wiki/1601#Notes) Подсказка есть только в английской версии википедии. Именно от этого года идет отсчет всех версий операционных систем Microsoft Windows начиная от Windows95.

Загруженные файлы
Dante

 

С нашими загруженными файлами, мы теперь будем использовать timestomp, для того чтобы запутать любого потенциального следователя.

Используем timestomp[
Dante

 

Как вы можете видеть, meterpreter больше не может получить правильный список директорий.

 

Тем не менее, нам есть что рассмотреть в этом случае. Мы скрыли когда произошло действие, но все еще для следователя очевидно где происходит активность. Что нам необходимо делать, если мы хотим скрыть какой инструмент был загружен и где он загружен?

 

Самым простым способом решения этой проблемы, является возможность обнулить время на всем диске. Это сделает работу следователя чрезвычайно сложной, так как традиционный анализ линии времени станет невозможен. Для начала давайте посмотрим на наш каталог WINNTsystem32.

Осматриваем каталог WINNTsystem32
Dante

 

Отлично, все выглядит нормально. Теперь давайте встряхнем файловую систему до очень плохого состояния.

Линию времени делаем неотслеживаемую
Dante

 

После этого просматриваем что показывает Windows и видим.

Непонятное время создания файлов
Dante

 

Восхитительно. Windows понятия не имеет что происходит и отображает сумасшедшее время везде. Однако не сильно на это полагайтесь. Принимая подобное действие, вы так же очень очевидно оставляете следы своей неблагоприятной деятельности произошедшей в системе. Кроме того, существует множество различных источников информации линии времени в Windows системе. Если следователь наткнется в системе на информацию которая была модифицирована подобным образом, он будет работать с этими альтернативными источниками информации. Тем не менее скорость расследования значительно увеличится.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *