Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Если вы предпочитаете просматривать $MFT напрямую, вам подойдет вариант MFTExplorer. К сожалению, подобные просмотровые средства не очень быстро работают, поэтому я бы рекомендовал сначала разобрать метафайл. Для этого существует отдельный инструмент — MFTECmd. Используя его, вы можете преобразовать данные из $MFT в легко читаемый файл с полями, разделенными запятыми (Comma-Separated Values, CSV), который можно анализировать с помощью любого из ваших любимых инструментов, таких как Microsoft Excel.

Еще один инструмент, представленный в пакете Эрика Циммермана, — Timeline Explorer. Вот как проанализированный файл $MFT может выглядеть в Timeline Explorer.

Рис. 7.9. Проанализированный $MFT, открытый в Timeline Explorer

Timeline Explorer позволяет выбрать столбцы, на которых вы хотите сосредоточиться. Он также имеет удобные возможности фильтрации, чтобы вы могли легко отсеивать лишнее.

В операционной системе Windows существует множество источников артефактов, полезных для специалистов по реагированию на инциденты. Начнем с тех, которые помогают собирать следы выполнения, и для начала обсудим файлы трассировки.

Файлы трассировки находятся в папке C: \Window\Prefetch и используются для повышения производительности системы за счет предварительной загрузки кода часто используемых приложений.

Эти файлы имеют расширение. pf и содержат временны́е метки выполнения программы и количество запусков, а также список папок и файлов, с которыми взаимодействовал исполняемый файл.

Файлы трассировки можно проанализировать с помощью PECmd.

Рис. 7.10. Часть вывода PECmd

Разумеется, файлы трассировки — это не единственный источник следов запуска программ, другие мы обсудим в разделах «Реестр Windows» и «Журналы событий Windows».

А сейчас давайте рассмотрим артефакты доступа к файлам — LNK-файлы и списки переходов.

Файлы LNK (или «ярлыки») автоматически создаются операционной системой Windows, когда пользователь (или злоумышленник) открывает локальный или удаленный файл. Эти файлы можно найти в следующих местах:

C: \%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\

C: \%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\

Среди прочих данных такие файлы содержат временные метки как самого файла LNK, так и файла, на который он указывает, то есть того файла, который был открыт (и, возможно, уже удален).

Существует и инструмент для разбора таких файлов — LECmd.

Рис. 7.11. Часть вывода LECmd

На скриншоте видны доказательства того, что злоумышленники делали дамп LSASS, применив очень распространенный метод доступа к учетным данным.

Давайте рассмотрим другой аналогичный источник цифровых криминалистических артефактов, относящийся к файловой системе, — списки переходов.

Списки переходов — это функция панели задач Windows, которая позволяет пользователям просматривать список недавно использованных элементов. Эту функцию также могут использовать специалисты по цифровой криминалистике и реагированию на инциденты для изучения списка файлов, к которым недавно обращались.

Такие файлы можно найти в папке C: \%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations.

Для просмотра содержимого таких файлов существует инструмент с графическим интерфейсом JumpList Explorer.

Как видно на рисунке 7.12, списки переходов содержат информацию не только о файлах, но и, например, о хостах, к которым осуществляется доступ через RDP. Это чрезвычайно полезно при отслеживании горизонтального перемещения по сети.

Рис. 7.12. Просмотр списков переходов с помощью JumpList Explorer

Обратимся к одному из инструментов расследования кражи данных — к монитору использования системных ресурсов (System Resource Usage Monitor, SRUM).

Эта функция Windows используется для мониторинга производительности системы и помогает специалисту по реагированию на инциденты получать информацию о том, сколько данных отправлено/получено каждым приложением в час, что имеет решающее значение при расследовании кражи данных.

База данных с данными SRUM находится в папке C: \Windows\System32\SRU.

Для корректного анализа данных вам также может потребоваться файл с разделом реестра SOFTWARE, расположенный в папке C: \Windows\System32\config.

Оба этих файла можно обработать с помощью SrumECmd. Полученные файлы можно просмотреть с помощью Timeline Explorer (рис. 7.13).

Рис. 7.13. Просмотр проанализированных данных SRUM с помощью Timeline Explorer

Что еще используют злоумышленники для кражи данных и копирования инструментов? Конечно, веб-браузеры!

Веб-браузеры широко применяются как обычными пользователями, которые могут оказаться жертвами целевых фишинговых атак, так и злоумышленниками, которые обычно используют их для загрузки дополнительных инструментов и кражи данных.

Давайте сосредоточимся на трех основных браузерах — Microsoft Edge, Google Chrome и Mozilla Firefox.