Jueces grupo y ejecutable es un escáner de exploración forense del sistema de archivos y una aparejo de detección de amenazas
propiedades
- Escanee instantáneamente un sistema de archivos montado en escudriñamiento de amenazas
- O aceptablemente, recopile una recta de pulvínulo del sistema ayer de un incidente para obtener capacidades adicionales de detección de amenazas.
- Puede estar de moda ayer, durante o luego de un incidente
- De uno a muchos trabajos
- Escanea la MFT omitiendo permisos de archivo, bloqueos de archivo o la protección / ocultación / sombreado de archivos del sistema operante
- Se recopilaron hasta 51 propiedades diferentes para cada archivo
- Los resultados del escaneo se registran en una tabla SQL para su posterior búsqueda, agregación de los resultados en múltiples escaneos y / o computadoras, y exploración histórico o retrospectivo
- Utilice el poder de SQL para inquirir sistemas de archivos, consultar propiedades de archivos, replicar preguntas complejas o generales y inquirir amenazas o indicadores de compromiso.
requisito
- .NET Framework v4.8
- Saco de datos SQL circunscrito o remota con comunicación de repaso / escritura / creación.
- Visual Studio (si desea clasificar el código C #)
- Entrada a Internet (¿o cómo obtuviste este código ??? Además para paquetes Nuget …)
- Conocimientos básicos de SQL
Busque virus, malware y APT en (múltiples) sistemas de archivos escribiendo consultas en SQL.
Comienza con un disco duro o imágenes de disco duro que pueden estar contaminadas con malware, virus, APT (Amenazas persistentes avanzadas) o similares y luego las escanea con esta aparejo. (Opcionalmente, y asumiendo que tiene la prudencia y la previsión para hacerlo, es posible que desee escanear una imagen de disco pulvínulo que se sepa que es buena con esta aparejo primero (o más tarde, no importa). Esto ciertamente no es necesario, pero solo puede servir para ayudarlo). La parte de escaneo forense de esta aparejo recopila un racimo de propiedades para cada archivo en un sistema de archivos (o una o más imágenes) y coloca esas propiedades en una tabla de pulvínulo de datos SQL relacional. La salsa secreta proviene de la capacidad de utilizar consultas en verbo SQL para inquirir la pulvínulo de datos creada, examinarla o hacer preguntas sobre los datos. Una característica esencia aquí fue NO inventar un verbo de consulta patentado. Si conoce SQL y sabe cómo hacer clic en un llamador, ya sabe cómo usar esta aparejo como un principal. Incluso si no lo hace, este concepto es tan poderoso que puede acumular toneladas de kilómetros con consultas en macetas (ver más debajo).
Escaneo de nivel forense
Primero, la aparejo crea una entrada en la pulvínulo de datos para cada registro de datos que se encuentra en la MFT (tabla maestra de archivos: cómo NTFS mantiene sus registros). Esto evita los permisos de seguridad de archivos, las técnicas de ocultación de archivos, las técnicas de ocultación u ofuscación, la aniquilación de archivos o la nerviosismo de las marcas de tiempo. Estas técnicas no impiden que el archivo sea escaneado y catalogado. Los bytes del archivo se leen desde la MFT y se toman tantos puntos de datos como sea posible de los bytes del archivo que se leyeron desde la MFT ayer de intentar conseguir a los puntos de datos utilizando las llamadas API del sistema operante de detención nivel.
Observación de datos completo y de detención nivel
Una vez que se realiza una copia de seguridad de los datos de nivel forense y de MFT, se recopilan las propiedades, los datos y los metadatos de nivel de sistema operante disponibles para cada archivo y se expande cada entrada creada a partir de la entrada de MFT. Como resultado, el archivo o sus propiedades son inaccesibles a través de la API del sistema operante o el situación Dotnet oportuno a los permisos de archivo (ACL), el corte de archivos (en uso), la corrupción del disco y la distancia de cero bytes del archivo o uno de los otros razones por las que se sigue registrando, registrando y realizando un seguimiento de la existencia del archivo. Sin requisa, la entrada simplemente no contiene la información sobre ella a la que el sistema operante no pudo conseguir. Se pueden fijar hasta 51 puntos de datos diferentes para cada archivo.
La información recopilada incluye para cada archivo
- Hash SHA256
- Hash MD5
- Importar hash de tabla (si está adecuado)
- Número de MFT y número de secuencia
- Fechas de creación de MFT / fechas modificadas / fechas de comunicación
- Datos reportados / modificados / accedidos por el sistema operante
- Todas las propiedades del archivo del sistema operante estereotipado: ubicación de almacenamiento, tamaño, sello de datos, atributos, metadatos
- ¿Es un PE, una DLL o un regulador?
- ¿Está firmado Authenticode?
- ¿Está marcada la esclavitud de certificados X.509?
- Reglas YARA personalizadas (enumera los nombres de reglas coincidentes)
- Entropía de archivo
- Entropía de archivo
- Hasta 51 puntos de datos diferentes en total
Límite de datos de muestra
MFTNumber | Secuencia de números | SHA256 | Ruta completa | dadivoso | FileOwner | Atributos | IsExe | IsDll | IsDriver | BinaryType | Está firmado | IsSignatureValid | IsValidCertChain | Es digno de confianza | ImpHash | MD5 | SHA1 | CompileDate | Pequeño mimo | Nombre interno | Nombre del producto | OriginalFileName | Lectura del archivo | Descripción del archivo | Copyright © | Compañías | idioma | marca comercial | Esquema | Nombre de la aplicación | comentario | título | tropel | ProviderItemID | Nombre del computador | Grafema de mecanismo | DirectoryLocation | Nombre del archivo | extensión | CertSubject | Certificador | CertSerialNumber | CertThumbprint | CertNotBefore | CertNotAfter | PrevalenceCount | entropía | YaraRulesCombinado | DateSeen | MftTimeAccessed | MftTimeCreation | MftTimeModified | MftTimeMftModified | Tiempo de creación | LastAccessTime | LastWriteTime |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
18010 | C67BE7D3F54D44AC264A18E33909482F1F8CA7B7FBAAF5659EF71ED9F8092C34 | C: Windows WinSxS amd64_windows-defensder-service-cloudclean_31bf3856ad364e35_6.3.9600.18603_none_73d12e8145b3841b SymSrv.dll | 149264 | Instalador de confianza | A | 1 | 1 | dieciséis | 1 | 1 | 1 | 5D54F5D721E301667338323AC07578E3 | 65FB3391EB26F5AC647FC40501D8E21D | 4B46DB2A99A47FF6A6EE376F4D79F5298BFF28A2 | 2010-02-01 20: 15: 48.0000000 | aplicación / x-msdownload | symsrv.dll | Herramientas de depuración para Windows (R) | symsrv.dll | 6.12.2.633 | Icono del servidor | © Microsoft Corporation. Reservados todos los derechos. | Corporación Microsoft | Inglés (EE. UU.) | L. | C. | C: Windows WinSxS amd64_windows-defensder-service-cloudclean_31bf3856ad364e35_6.3.9600.18603_none_73d12e8145b3841b | SymSrv.dll | .dll | CN = Microsoft Corporation, OU = MOPR, O = Microsoft Corporation, L = Redmond, S = Washington, C = EE. UU. | CN = Microsoft Code Signing PCA, O = Microsoft Corporation, L = Redmond, S = Washington, C = US | 6105F71E000000000032 | D468FAEB5190BF9DECD9827AF470F799C41A769C | 13/07/2009 5:00:18 pm | 13/10/2010 5:10:18 pm | 1 | CERO | 2020-10-25 06: 17: 12.0133333 | 2013-06-18 14: 43: 52.6497911 | 2013-08-22 06: 56: 50.9086288 | 2013-08-22 06: 56: 50.9086288 | 2019-01-15 19: 13: 49.1704756 | 2013-08-22 06: 56: 50.9086288 | 2013-08-22 06: 56: 50.9086288 | 2013-06-18 14: 43: 52.6497911 |
Consultas en macetas
/ * IDEA: Todos los archivos del directorio C: Windows System32 deben pertenecer a TrustedInstaller.
Si un archivo en el directorio System32 pertenece a otro heredero, esto indica una anomalía.
y ese heredero es probablemente el heredero que creó este archivo.
Al malware le gusta disfrazarse como archivos válidos del sistema de Windows.
Los archivos ejecutables ubicados en el directorio System32 no solo parecen más oficiales, sino que son una ruta popular para
Archivos del sistema, pero no es necesario que proporcione una ruta explícita a este ejecutable para ejecutarlo desde el
Límite de comandos, cuadro de diálogo Ejecutar de Windows en el menú Inicio o la API Win32 señal ShellExecute.
*/ESCOGER
TOP 1000 *
DE [FileProperties]
DÓNDE
[FileOwner] <> ‘TrustedInstaller’
Y [DirectoryLocation] = ‘: Windows System32’
Y IsSigned = 0
ORDENAR POR [PrevalenceCount] DESC
/ * IDEA: La marca de tiempo para la creación de MFT y la marca de tiempo para la creación del sistema operante deben coincidir.
Si la marca de tiempo para la creación de la MFT ocurre luego de la hora de creación especificada por los metadatos del SO,
Esto indica una anomalía.
Timestomp es una aparejo que forma parte de Metasploit Framework que permite al heredero desempolvar un archivo
en cualquier momento que elijas. Efectivamente no hay una buena razón legítima para esto
(Avíseme si se le ocurre alguna) y se considera una técnica anti-forense.
*/ESCOGER
TOP 1000 *
DE [FileProperties]
DÓNDE
(([MftTimeAccessed] <> [LastAccessTime]) O
(([MftTimeCreation] <> [CreationTime]) O
(([MftTimeMftModified] <> [LastWriteTime])
ORDENAR POR [DateSeen] DESC
/ * IDEA: La propiedad ‘CompileDate’ de un archivo ejecutable o DLL siempre debe preceder a la marca de tiempo de creación de este archivo.
Se aplica una deducción similar a la marca de tiempo de creación de MFT, que se produce luego de la marca de tiempo de creación. ¿Cómo pudo tener sido un software
compilado luego de que se crea el archivo que contiene? Esta anomalía indica que se ha producido un retroceso o una modificación del tiempo.
*/ESCOGER
TOP 1000 *
DE [FileProperties]
DÓNDE
(([MftTimeCreation] < [CompileDate]) O
(([CreationTime] < [CompileDate])
ORDENAR POR [DateSeen] DESC