9.6 KiB
{% hint style="success" %}
Učite i vežbajte hakovanje AWS:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte hakovanje GCP: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
{% embed url="https://websec.nl/" %}
Vremenske oznake
Napadač može biti zainteresovan za menjanje vremenskih oznaka datoteka kako bi izbegao otkrivanje.
Moguće je pronaći vremenske oznake unutar MFT u atributima $STANDARD_INFORMATION
__ i __ $FILE_NAME
.
Oba atributa imaju 4 vremenske oznake: Modifikacija, pristup, kreacija i modifikacija registra MFT (MACE ili MACB).
Windows explorer i drugi alati prikazuju informacije iz $STANDARD_INFORMATION
.
TimeStomp - Anti-forenzički alat
Ovaj alat menja informacije o vremenskim oznakama unutar $STANDARD_INFORMATION
ali ne informacije unutar $FILE_NAME
. Stoga je moguće identifikovati sumnjivu aktivnost.
Usnjrnl
USN Journal (Update Sequence Number Journal) je funkcija NTFS (Windows NT fajl sistem) koja prati promene na volumenu. Alat UsnJrnl2Csv omogućava pregled ovih promena.
Prethodna slika je izlaz prikazan od strane alata gde se može primetiti da su neke promene izvršene na datoteci.
$LogFile
Sve promene metapodataka na fajl sistemu se beleže u procesu poznatom kao write-ahead logging. Beleženi metapodaci se čuvaju u fajlu nazvanom **$LogFile**
, smeštenom u korenom direktorijumu NTFS fajl sistema. Alati poput LogFileParser mogu se koristiti za parsiranje ovog fajla i identifikaciju promena.
Ponovo, u izlazu alata moguće je videti da su izvršene neke promene.
Korišćenjem istog alata moguće je identifikovati u koje vreme su vremenske oznake modifikovane:
- CTIME: Vreme kreiranja fajla
- ATIME: Vreme modifikacije fajla
- MTIME: Modifikacija registra MFT fajla
- RTIME: Vreme pristupa fajlu
Poređenje $STANDARD_INFORMATION
i $FILE_NAME
Još jedan način identifikovanja sumnjivih modifikovanih datoteka bio bi upoređivanje vremena na oba atributa u potrazi za neslaganjima.
Nanosekunde
Vremenske oznake NTFS imaju preciznost od 100 nanosekundi. Zato je veoma sumnjivo pronaći datoteke sa vremenskim oznakama poput 2010-10-10 10:10:00.000:0000.
SetMace - Anti-forenzički alat
Ovaj alat može modifikovati oba atributa $STARNDAR_INFORMATION
i $FILE_NAME
. Međutim, od Windows Vista, potrebno je da operativni sistem uživo modifikuje ove informacije.
Skrivanje podataka
NTFS koristi klaster i minimalnu veličinu informacija. To znači da ako datoteka zauzima klaster i pola, preostala polovina nikada neće biti korišćena dok datoteka ne bude obrisana. Zato je moguće sakriti podatke u ovom praznom prostoru.
Postoje alati poput slacker koji omogućavaju skrivanje podataka u ovom "skrivenom" prostoru. Međutim, analiza $logfile
i $usnjrnl
može pokazati da su dodati neki podaci:
Zato je moguće povratiti prazan prostor korišćenjem alata poput FTK Imager. Imajte na umu da ovaj tip alata može sačuvati sadržaj zamućen ili čak šifrovan.
UsbKill
Ovo je alat koji će isključiti računar ako se detektuje bilo kakva promena u USB portovima.
Način da se ovo otkrije je inspekcija pokrenutih procesa i pregled svakog pokrenutog python skripta.
Linux distribucije uživo
Ove distribucije se izvršavaju unutar RAM memorije. Jedini način da ih otkrijete je ukoliko je NTFS fajl-sistem montiran sa dozvolama za pisanje. Ako je montiran samo sa dozvolama za čitanje, neće biti moguće otkriti upad.
Bezbedno brisanje
https://github.com/Claudio-C/awesome-data-sanitization
Windows konfiguracija
Moguće je onemogućiti nekoliko metoda beleženja Windows-a kako bi forenzička istraga bila mnogo teža.
Onemogući vremenske oznake - UserAssist
Ovo je registarski ključ koji čuva datume i sate kada je svaki izvršni fajl pokrenut od strane korisnika.
Onemogućavanje UserAssist zahteva dva koraka:
- Postavite dva registarska ključa,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
iHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
, oba na nulu kako biste signalizirali da želite onemogućiti UserAssist. - Obrišite podstabla registra koja izgledaju kao
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
.
Onemogući vremenske oznake - Prefetch
Ovo će sačuvati informacije o aplikacijama koje su pokrenute sa ciljem poboljšanja performansi Windows sistema. Međutim, ovo može biti korisno i za forenzičke prakse.
- Izvršite
regedit
- Izaberite putanju fajla
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
- Desni klik na
EnablePrefetcher
iEnableSuperfetch
- Izaberite Izmeni na svakom od njih da promenite vrednost sa 1 (ili 3) na 0
- Ponovo pokrenite računar
Onemogući vremenske oznake - Vreme poslednjeg pristupa
Kada se otvori folder sa NTFS volumena na Windows NT serveru, sistem uzima vreme da ažurira polje vremenske oznake na svakom navedenom folderu, nazvano vreme poslednjeg pristupa. Na veoma korišćenom NTFS volumenu, ovo može uticati na performanse.
- Otvorite Registry Editor (Regedit.exe).
- Pretražite
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
. - Potražite
NtfsDisableLastAccessUpdate
. Ako ne postoji, dodajte ovaj DWORD i postavite vrednost na 1, što će onemogućiti proces. - Zatvorite Registry Editor i ponovo pokrenite server.
Brisanje USB istorije
Svi unosi USB uređaja se čuvaju u Windows registru pod ključem USBSTOR koji sadrži podključeve koji se kreiraju svaki put kada priključite USB uređaj na računar ili laptop. Možete pronaći ovaj ključ ovde HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
. Brisanjem ovoga ćete obrisati USB istoriju.
Takođe možete koristiti alatku USBDeview da biste bili sigurni da ste ih obrisali (i da ih obrišete).
Još jedan fajl koji čuva informacije o USB uređajima je fajl setupapi.dev.log
unutar C:\Windows\INF
. I ovaj fajl treba obrisati.
Onemogući Shadow kopije
Prikaži shadow kopije sa vssadmin list shadowstorage
Obriši ih pokretanjem vssadmin delete shadow
Takođe ih možete obrisati putem GUI prateći korake predložene na https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html
Za onemogućavanje shadow kopija koraci odavde:
- Otvorite program Services kucanjem "services" u polje za pretragu teksta nakon što kliknete na Windows start dugme.
- Iz liste pronađite "Volume Shadow Copy", izaberite ga, a zatim pristupite Properties opciji desnim klikom.
- Izaberite Disabled iz padajućeg menija "Startup type", a zatim potvrdite promenu klikom na Apply i OK.
Takođe je moguće modifikovati konfiguraciju koje datoteke će biti kopirane u shadow kopiji u registru HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
Prepisi obrisane fajlove
- Možete koristiti Windows alatku:
cipher /w:C
Ovo će narediti cifri da ukloni sve podatke sa dostupnog neiskorišćenog prostora na disku C. - Takođe možete koristiti alatke poput Eraser
Obriši Windows događajne zapise
- Windows + R --> eventvwr.msc --> Proširi "Windows Logs" --> Desni klik na svaku kategoriju i izaberi "Clear Log"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Onemogući Windows događajne zapise
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
- Unutar sekcije servisa onemogući servis "Windows Event Log"
WEvtUtil.exec clear-log
iliWEvtUtil.exe cl
Onemogući $UsnJrnl
fsutil usn deletejournal /d c:
{% embed url="https://websec.nl/" %}