Основи криміналістичної методики (Частина 2)

• Назва файлу/папки (до 8 символів)

• Атрибути

• Дати створення, модифікації та останнього доступу

• Адреса таблиці FAT (вказує початковий кластер файлу)

• Розмір файлу

EXT

Ext2 є найпоширенішою файловою системою для розділів без журналювання ( розділів, які не сильно змінюються ), як-от завантажувальний розділ. Ext3/4 ведуть журнал і зазвичай використовуються для решти розділів .

Метадані

Деякі файли містять метадані. Ця інформація стосується вмісту файлу, який інколи може бути цікавим для аналітика, оскільки залежно від типу файлу він може містити таку інформацію:

• Читає файл PCAP і витягує потоки Http.

• gzip розкачує будь-які стиснуті потоки

• Сканує кожен файл за допомогою yara

• Пише звіт.txt

• Додатково зберігає відповідні файли в каталог

Zeek

Zeek — пасивний аналізатор мережевого трафіку з відкритим кодом. Багато операторів використовують Zeek як монітор безпеки мережі (NSM) для підтримки розслідування підозрілої або зловмисної діяльності. Zeek також підтримує широкий спектр завдань аналізу трафіку за межами сфери безпеки, включаючи вимірювання продуктивності та усунення несправностей.

Загалом журнали, створені за допомогою, zeekне є pcaps . Тому вам знадобиться використовувати інші інструменти для аналізу журналів, де міститься інформація про pcaps.

Інформація про підключення

#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
cat conn.log | zeek-cut id.orig_h id.orig_p id.resp_h id.resp_p proto service duration | sort -nrk 7 | head -n 10

10.55.100.100   49778   65.52.108.225   443     tcp     -       86222.365445
10.55.100.107   56099   111.221.29.113  443     tcp     -       86220.126151
10.55.100.110   60168   40.77.229.82    443     tcp     -       86160.119664


#Improve the metrics by summing up the total duration time for connections that have the same destination IP and Port.
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += $5 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10

10.55.100.100   65.52.108.225   443     tcp     86222.4
10.55.100.107   111.221.29.113  443     tcp     86220.1
10.55.100.110   40.77.229.82    443     tcp     86160.1

#Get the number of connections summed up per each line
cat conn.log | zeek-cut id.orig_h id.resp_h duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2] += $3; count[$1 FS $2] += 1 } END{ for (key in arr) printf "%s%s%s%s%s\n", key, FS, count[key], FS, arr[key] }' | sort -nrk 4 | head -n 10

10.55.100.100   65.52.108.225   1       86222.4
10.55.100.107   111.221.29.113  1       86220.1
10.55.100.110   40.77.229.82    134       86160.1

#Check if any IP is connecting to 1.1.1.1
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | grep '1.1.1.1' | sort | uniq -c

#Get number of connections per source IP, dest IP and dest Port
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += 1 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10


# RITA
#Something similar can be done with the tool rita
rita show-long-connections -H --limit 10 zeek_logs

+---------------+----------------+--------------------------+----------------+
|   SOURCE IP   | DESTINATION IP | DSTPORT:PROTOCOL:SERVICE |    DURATION    |
+---------------+----------------+--------------------------+----------------+
| 10.55.100.100 | 65.52.108.225  | 443:tcp:-                | 23h57m2.3655s  |
| 10.55.100.107 | 111.221.29.113 | 443:tcp:-                | 23h57m0.1262s  |
| 10.55.100.110 | 40.77.229.82   | 443:tcp:-                | 23h56m0.1197s  |

#Get connections info from rita
rita show-beacons zeek_logs | head -n 10
Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top Intvl,Top Size,Top Intvl Count,Top Size Count,Intvl Skew,Size Skew,Intvl Dispersion,Size Dispersion
1,192.168.88.2,165.227.88.15,108858,197,860,182,1,89,53341,108319,0,0,0,0
1,10.55.100.111,165.227.216.194,20054,92,29,52,1,52,7774,20053,0,0,0,0
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0

Інформація про DNS

#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers

#Get the number of times each domain was requested and get the top 10
cat dns.log | zeek-cut query | sort | uniq | rev | cut -d '.' -f 1-2 | rev | sort | uniq -c | sort -nr | head -n 10

#Get all the IPs
cat dns.log | zeek-cut id.orig_h query | grep 'example\.com' | cut -f 1 | sort | uniq -c

#Sort the most common DNS record request (should be A)
cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr

#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs

The first set of timestamps refers to the timestamps of the file itself. The second set refers to the timestamps of the associated file.

You can get the same information by running the Windows CLI tool:LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

In this case, the information will be saved in a CSV file.

Jump lists

These are the last files listed for each program. This is a list of recently used files by an application that you can access in each application. They can be created automatically or be individual.

Automatically generated roaming lists are stored in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Destination lists are named according to the format, {id}.autmaticDestinations-mswhere the initial id is the application ID.

Custom jump lists are stored in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\and are usually created by an application because something important happened to the file (perhaps marked as a favorite)

The creation time of any jump list indicates the first time the file was accessed and the time it was last modified.

You can check the jump lists with JumplistExplorer.

• Period (‘P1M’) : Tells the task scheduler to trigger a cleanup task every month during regular automatic maintenance.

• Deadline (‘P2M’) : Instructs the task scheduler, if the task is not executed for two consecutive months, to execute the task during emergency automatic maintenance.

This configuration provides regular driver maintenance and cleanup with the ability to retry the task in case of consecutive failures.

• Mapi-Client-Submit-Time: The system time when the email was submitted

• Mapi-Conversation-Index: The number of child messages of the stream and the timestamp of each message of the stream

• Mapi-Entry-ID: Message ID.

• Mappi-Message-Flags and Pr_last_Verb-Executed: MAPI client information (message read? unread? replied? forwarded? out of office?)

In the Microsoft Outlook client, all sent/received messages, contact data, and calendar data are stored in a PST file in:

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder