Anti-Forensic Techniques
Last updated
Last updated
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Un attaccante potrebbe essere interessato a cambiare i timestamp dei file per evitare di essere rilevato.
È possibile trovare i timestamp all'interno del MFT negli attributi $STANDARD_INFORMATION
__ e __ $FILE_NAME
.
Entrambi gli attributi hanno 4 timestamp: Modifica, accesso, creazione e modifica del registro MFT (MACE o MACB).
Esplora file di Windows e altri strumenti mostrano le informazioni da $STANDARD_INFORMATION
.
Questo strumento modifica le informazioni sui timestamp all'interno di $STANDARD_INFORMATION
ma non le informazioni all'interno di $FILE_NAME
. Pertanto, è possibile identificare attività sospette.
Il Registro USN (Update Sequence Number Journal) è una funzionalità del NTFS (sistema di file Windows NT) che tiene traccia delle modifiche al volume. Lo strumento UsnJrnl2Csv consente di esaminare queste modifiche.
L'immagine precedente è l'output mostrato dallo strumento dove si può osservare che alcune modifiche sono state effettuate al file.
Tutte le modifiche ai metadati di un file system sono registrate in un processo noto come write-ahead logging. I metadati registrati sono conservati in un file chiamato **$LogFile**
, situato nella directory radice di un file system NTFS. Strumenti come LogFileParser possono essere utilizzati per analizzare questo file e identificare le modifiche.
Ancora una volta, nell'output dello strumento è possibile vedere che alcune modifiche sono state effettuate.
Utilizzando lo stesso strumento è possibile identificare a quale ora i timestamp sono stati modificati:
CTIME: Ora di creazione del file
ATIME: Ora di modifica del file
MTIME: Modifica del registro MFT del file
RTIME: Ora di accesso del file
$STANDARD_INFORMATION
e $FILE_NAME
Un altro modo per identificare file sospetti modificati sarebbe confrontare il tempo su entrambi gli attributi cercando discrepanze.
I timestamp NTFS hanno una precisione di 100 nanosecondi. Quindi, trovare file con timestamp come 2010-10-10 10:10:00.000:0000 è molto sospetto.
Questo strumento può modificare entrambi gli attributi $STARNDAR_INFORMATION
e $FILE_NAME
. Tuttavia, a partire da Windows Vista, è necessario un OS live per modificare queste informazioni.
NFTS utilizza un cluster e la dimensione minima delle informazioni. Ciò significa che se un file occupa e utilizza un cluster e mezzo, la metà rimanente non verrà mai utilizzata fino a quando il file non viene eliminato. Quindi, è possibile nascondere dati in questo spazio di slack.
Ci sono strumenti come slacker che consentono di nascondere dati in questo spazio "nascosto". Tuttavia, un'analisi del $logfile
e del $usnjrnl
può mostrare che alcuni dati sono stati aggiunti:
Quindi, è possibile recuperare lo spazio di slack utilizzando strumenti come FTK Imager. Nota che questo tipo di strumento può salvare il contenuto offuscato o persino crittografato.
Questo è uno strumento che spegnerà il computer se viene rilevata qualsiasi modifica nelle porte USB. Un modo per scoprirlo sarebbe ispezionare i processi in esecuzione e rivedere ogni script python in esecuzione.
Queste distro sono eseguite all'interno della memoria RAM. L'unico modo per rilevarle è nel caso in cui il file system NTFS sia montato con permessi di scrittura. Se è montato solo con permessi di lettura, non sarà possibile rilevare l'intrusione.
https://github.com/Claudio-C/awesome-data-sanitization
È possibile disabilitare diversi metodi di registrazione di Windows per rendere l'indagine forense molto più difficile.
Questa è una chiave di registro che mantiene date e ore in cui ogni eseguibile è stato eseguito dall'utente.
Disabilitare UserAssist richiede due passaggi:
Imposta due chiavi di registro, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
e HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
, entrambe a zero per segnalare che vogliamo disabilitare UserAssist.
Cancella i tuoi sottoalberi di registro che sembrano HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
.
Questo salverà informazioni sulle applicazioni eseguite con l'obiettivo di migliorare le prestazioni del sistema Windows. Tuttavia, questo può essere utile anche per pratiche forensi.
Esegui regedit
Seleziona il percorso del file HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Fai clic con il tasto destro su EnablePrefetcher
e EnableSuperfetch
Seleziona Modifica su ciascuno di questi per cambiare il valore da 1 (o 3) a 0
Riavvia
Ogni volta che una cartella viene aperta da un volume NTFS su un server Windows NT, il sistema impiega tempo per aggiornare un campo di timestamp su ciascuna cartella elencata, chiamato ultimo tempo di accesso. Su un volume NTFS molto utilizzato, questo può influire sulle prestazioni.
Apri l'Editor del Registro (Regedit.exe).
Naviga a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
.
Cerca NtfsDisableLastAccessUpdate
. Se non esiste, aggiungi questo DWORD e imposta il suo valore a 1, il che disabiliterà il processo.
Chiudi l'Editor del Registro e riavvia il server.
Tutti gli USB Device Entries sono memorizzati nel Registro di Windows sotto la chiave di registro USBSTOR che contiene sottochiavi create ogni volta che colleghi un dispositivo USB al tuo PC o Laptop. Puoi trovare questa chiave qui HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
. Eliminando questo eliminerai la cronologia USB.
Puoi anche utilizzare lo strumento USBDeview per essere sicuro di averle eliminate (e per eliminarle).
Un altro file che salva informazioni sugli USB è il file setupapi.dev.log
all'interno di C:\Windows\INF
. Questo dovrebbe essere eliminato anche.
Elenca le copie shadow con vssadmin list shadowstorage
Eliminale eseguendo vssadmin delete shadow
Puoi anche eliminarle tramite GUI seguendo i passaggi proposti in https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html
Per disabilitare le copie shadow passaggi da qui:
Apri il programma Servizi digitando "servizi" nella casella di ricerca dopo aver cliccato sul pulsante di avvio di Windows.
Dalla lista, trova "Volume Shadow Copy", selezionalo e poi accedi alle Proprietà facendo clic con il tasto destro.
Scegli Disabilitato dal menu a discesa "Tipo di avvio", e poi conferma la modifica facendo clic su Applica e OK.
È anche possibile modificare la configurazione di quali file verranno copiati nella copia shadow nel registro HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
Puoi utilizzare uno strumento di Windows: cipher /w:C
Questo indicherà a cipher di rimuovere qualsiasi dato dallo spazio su disco inutilizzato disponibile all'interno dell'unità C.
Puoi anche utilizzare strumenti come Eraser
Windows + R --> eventvwr.msc --> Espandi "Registri di Windows" --> Fai clic con il tasto destro su ciascuna categoria e seleziona "Cancella registro"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
All'interno della sezione servizi disabilita il servizio "Registro eventi di Windows"
WEvtUtil.exec clear-log
o WEvtUtil.exe cl
fsutil usn deletejournal /d c:
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)