Tutoriales

Escáner de análisis forense y búsqueda de amenazas

Jueces grupo y ejecutable es un escáner de exploración forense del sistema de archivos y una aparejo de detección de amenazas

propiedades

  • Escanee instantáneamente un sistema de archivos montado en escudriñamiento de amenazas
  • O aceptablemente, recopile una recta de pulvínulo del sistema ayer de un incidente para obtener capacidades adicionales de detección de amenazas.
  • Puede estar de moda ayer, durante o luego de un incidente
  • De uno a muchos trabajos
  • Escanea la MFT omitiendo permisos de archivo, bloqueos de archivo o la protección / ocultación / sombreado de archivos del sistema operante
  • Se recopilaron hasta 51 propiedades diferentes para cada archivo
  • Los resultados del escaneo se registran en una tabla SQL para su posterior búsqueda, agregación de los resultados en múltiples escaneos y / o computadoras, y exploración histórico o retrospectivo
  • Utilice el poder de SQL para inquirir sistemas de archivos, consultar propiedades de archivos, replicar preguntas complejas o generales y inquirir amenazas o indicadores de compromiso.

requisito

  • .NET Framework v4.8
  • Saco de datos SQL circunscrito o remota con comunicación de repaso / escritura / creación.
  • Visual Studio (si desea clasificar el código C #)
  • Entrada a Internet (¿o cómo obtuviste este código ??? Además para paquetes Nuget …)
  • Conocimientos básicos de SQL

Busque virus, malware y APT en (múltiples) sistemas de archivos escribiendo consultas en SQL.

Comienza con un disco duro o imágenes de disco duro que pueden estar contaminadas con malware, virus, APT (Amenazas persistentes avanzadas) o similares y luego las escanea con esta aparejo. (Opcionalmente, y asumiendo que tiene la prudencia y la previsión para hacerlo, es posible que desee escanear una imagen de disco pulvínulo que se sepa que es buena con esta aparejo primero (o más tarde, no importa). Esto ciertamente no es necesario, pero solo puede servir para ayudarlo). La parte de escaneo forense de esta aparejo recopila un racimo de propiedades para cada archivo en un sistema de archivos (o una o más imágenes) y coloca esas propiedades en una tabla de pulvínulo de datos SQL relacional. La salsa secreta proviene de la capacidad de utilizar consultas en verbo SQL para inquirir la pulvínulo de datos creada, examinarla o hacer preguntas sobre los datos. Una característica esencia aquí fue NO inventar un verbo de consulta patentado. Si conoce SQL y sabe cómo hacer clic en un llamador, ya sabe cómo usar esta aparejo como un principal. Incluso si no lo hace, este concepto es tan poderoso que puede acumular toneladas de kilómetros con consultas en macetas (ver más debajo).

Escaneo de nivel forense

Primero, la aparejo crea una entrada en la pulvínulo de datos para cada registro de datos que se encuentra en la MFT (tabla maestra de archivos: cómo NTFS mantiene sus registros). Esto evita los permisos de seguridad de archivos, las técnicas de ocultación de archivos, las técnicas de ocultación u ofuscación, la aniquilación de archivos o la nerviosismo de las marcas de tiempo. Estas técnicas no impiden que el archivo sea escaneado y catalogado. Los bytes del archivo se leen desde la MFT y se toman tantos puntos de datos como sea posible de los bytes del archivo que se leyeron desde la MFT ayer de intentar conseguir a los puntos de datos utilizando las llamadas API del sistema operante de detención nivel.

Observación de datos completo y de detención nivel

Una vez que se realiza una copia de seguridad de los datos de nivel forense y de MFT, se recopilan las propiedades, los datos y los metadatos de nivel de sistema operante disponibles para cada archivo y se expande cada entrada creada a partir de la entrada de MFT. Como resultado, el archivo o sus propiedades son inaccesibles a través de la API del sistema operante o el situación Dotnet oportuno a los permisos de archivo (ACL), el corte de archivos (en uso), la corrupción del disco y la distancia de cero bytes del archivo o uno de los otros razones por las que se sigue registrando, registrando y realizando un seguimiento de la existencia del archivo. Sin requisa, la entrada simplemente no contiene la información sobre ella a la que el sistema operante no pudo conseguir. Se pueden fijar hasta 51 puntos de datos diferentes para cada archivo.

La información recopilada incluye para cada archivo

  • Hash SHA256
  • Hash MD5
  • Importar hash de tabla (si está adecuado)
  • Número de MFT y número de secuencia
  • Fechas de creación de MFT / fechas modificadas / fechas de comunicación
  • Datos reportados / modificados / accedidos por el sistema operante
  • Todas las propiedades del archivo del sistema operante estereotipado: ubicación de almacenamiento, tamaño, sello de datos, atributos, metadatos
  • ¿Es un PE, una DLL o un regulador?
  • ¿Está firmado Authenticode?
  • ¿Está marcada la esclavitud de certificados X.509?
  • Reglas YARA personalizadas (enumera los nombres de reglas coincidentes)
  • Entropía de archivo
  • Entropía de archivo
  • Hasta 51 puntos de datos diferentes en total

Límite de datos de muestra

MFTNumber Secuencia de números SHA256 Ruta completa dadivoso FileOwner Atributos IsExe IsDll IsDriver BinaryType Está firmado IsSignatureValid IsValidCertChain Es digno de confianza ImpHash MD5 SHA1 CompileDate Pequeño mimo Nombre interno Nombre del producto OriginalFileName Lectura del archivo Descripción del archivo Copyright © Compañías idioma marca comercial Esquema Nombre de la aplicación comentario título tropel ProviderItemID Nombre del computador Grafema de mecanismo DirectoryLocation Nombre del archivo extensión CertSubject Certificador CertSerialNumber CertThumbprint CertNotBefore CertNotAfter PrevalenceCount entropía YaraRulesCombinado DateSeen MftTimeAccessed MftTimeCreation MftTimeModified MftTimeMftModified Tiempo de creación LastAccessTime LastWriteTime
18010 0 C67BE7D3F54D44AC264A18E33909482F1F8CA7B7FBAAF5659EF71ED9F8092C34 C: Windows WinSxS amd64_windows-defensder-service-cloudclean_31bf3856ad364e35_6.3.9600.18603_none_73d12e8145b3841b SymSrv.dll 149264 Instalador de confianza A 1 1 0 dieciséis 1 1 0 1 5D54F5D721E301667338323AC07578E3 65FB3391EB26F5AC647FC40501D8E21D 4B46DB2A99A47FF6A6EE376F4D79F5298BFF28A2 2010-02-01 20: 15: 48.0000000 aplicación / x-msdownload symsrv.dll Herramientas de depuración para Windows (R) symsrv.dll 6.12.2.633 Icono del servidor © Microsoft Corporation. Reservados todos los derechos. Corporación Microsoft Inglés (EE. UU.) L. C. C: Windows WinSxS amd64_windows-defensder-service-cloudclean_31bf3856ad364e35_6.3.9600.18603_none_73d12e8145b3841b SymSrv.dll .dll CN = Microsoft Corporation, OU = MOPR, O = Microsoft Corporation, L = Redmond, S = Washington, C = EE. UU. CN = Microsoft Code Signing PCA, O = Microsoft Corporation, L = Redmond, S = Washington, C = US 6105F71E000000000032 D468FAEB5190BF9DECD9827AF470F799C41A769C 13/07/2009 5:00:18 pm 13/10/2010 5:10:18 pm 1 0 CERO 2020-10-25 06: 17: 12.0133333 2013-06-18 14: 43: 52.6497911 2013-08-22 06: 56: 50.9086288 2013-08-22 06: 56: 50.9086288 2019-01-15 19: 13: 49.1704756 2013-08-22 06: 56: 50.9086288 2013-08-22 06: 56: 50.9086288 2013-06-18 14: 43: 52.6497911

Consultas en macetas

/ * IDEA: Todos los archivos del directorio C: Windows System32 deben pertenecer a TrustedInstaller.
Si un archivo en el directorio System32 pertenece a otro heredero, esto indica una anomalía.
y ese heredero es probablemente el heredero que creó este archivo.
Al malware le gusta disfrazarse como archivos válidos del sistema de Windows.
Los archivos ejecutables ubicados en el directorio System32 no solo parecen más oficiales, sino que son una ruta popular para
Archivos del sistema, pero no es necesario que proporcione una ruta explícita a este ejecutable para ejecutarlo desde el
Límite de comandos, cuadro de diálogo Ejecutar de Windows en el menú Inicio o la API Win32 señal ShellExecute.
*/ESCOGER
TOP 1000 *
DE [FileProperties]DÓNDE
[FileOwner] <> ‘TrustedInstaller’
Y [DirectoryLocation] = ‘: Windows System32’
Y IsSigned = 0
ORDENAR POR [PrevalenceCount] DESC

/ * IDEA: La marca de tiempo para la creación de MFT y la marca de tiempo para la creación del sistema operante deben coincidir.
Si la marca de tiempo para la creación de la MFT ocurre luego de la hora de creación especificada por los metadatos del SO,
Esto indica una anomalía.
Timestomp es una aparejo que forma parte de Metasploit Framework que permite al heredero desempolvar un archivo
en cualquier momento que elijas. Efectivamente no hay una buena razón legítima para esto
(Avíseme si se le ocurre alguna) y se considera una técnica anti-forense.
*/ESCOGER
TOP 1000 *
DE [FileProperties]DÓNDE
(([MftTimeAccessed] <> [LastAccessTime]) O
(([MftTimeCreation] <> [CreationTime]) O
(([MftTimeMftModified] <> [LastWriteTime])
ORDENAR POR [DateSeen] DESC

/ * IDEA: La propiedad ‘CompileDate’ de un archivo ejecutable o DLL siempre debe preceder a la marca de tiempo de creación de este archivo.
Se aplica una deducción similar a la marca de tiempo de creación de MFT, que se produce luego de la marca de tiempo de creación. ¿Cómo pudo tener sido un software
compilado luego de que se crea el archivo que contiene? Esta anomalía indica que se ha producido un retroceso o una modificación del tiempo.
*/ESCOGER
TOP 1000 *
DE [FileProperties]DÓNDE
(([MftTimeCreation] < [CompileDate]) O
(([CreationTime] < [CompileDate])
ORDENAR POR [DateSeen] DESC

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba