运用osquery举行长途取证 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用osquery举行长途取证

申博_新闻事件 申博 48次浏览 未收录 0个评论

Osquery是一个SQL驱动操作体系检测和剖析东西,它由Facebook建立,支撑像SQL语句一样查询体系的各项目标,可以用于OSX和Linux操作体系。别的,osquery是一个多平台软件,可以安装在Linux,Windows,MacOS和FreeBSD上。它允许我们运用基于SQL的查询来处置惩罚操作体系的配置文件、机能和平安搜检等。

别的,体系治理员运用osquery可以对端口举行长途掌握和一样平常监控,平安治理员也可以运用它来寻觅体系上躲藏的进击目标。如今,取证职员也最先注重到osquery了。虽然osquery 的中心效劳异常合适长途查询种种体系级数据,但经由历程取证的要领将使其可以搜检更深层的数据构造和元数据,而平常情况下,这些数据在当地体系中是没法被运用的。在本文中,我们会与Crypsis(一家平安征询公司)协作,展现osquery在取证剖析时的一些细致案例。

辨认“Timestomping”进击

与文件体系的每次交互都邑留下陈迹,关于进击者来讲,要想让本身的进击显得悄无陈迹,就应消灭这些交互陈迹。假如不修正文件时候戳,则会供应大批关于进击者的进击时候轴和进击行为的细致信息。而这些信息恰是进击者和剖析职员都异常关注的内容。“Timestomping ” 战略是一种回避取证的经常使用要领,进击者可以应用该要领烧毁进击时所用文件的时候戳证据。细致来讲,Timestomping是一种修正文件时候戳(修正、接见、建立和变动时候)的手艺,通经常使用于模仿统一文件夹中的文件。 比方,经由历程修正文件,取证职员就不会发明进击陈迹了。 Timestomping手艺一般会与Masquerading手艺一同运用,来隐蔽歹意软件和东西。

在时候戳中掩饰证据时,NTFS会比其他文件体系轻微庞杂一些。为了解答这个题目,我们必需深切探究NTFS的一些构造。

NTFS (New Technology File System),是 WindowsNT 环境的文件体系。NTFS 供应长文件名、数据庇护和恢复,并经由历程目次和文件允许完成平安性,NTFS 支撑大硬盘和在多个硬盘上存储文件(称为卷)。NTFS的中心元素是主文件表(MFT),它为体系上的每一个文件存储一个目次。MFT中的每一个目次都包含很多属性,这些属性存储形貌文件的元数据。一个属性$STANDARD_INFORMATION ($SI)存储一组时候戳,别的,标准文件另有一个$FILE_NAME ($FN)属性,它包含本身的一组时候戳。$SI属性中的时候戳大抵与文件内容的交互相干,$FN属性中的时候戳与文件的位置和称号的交互大抵相干。末了,MFT中的目次目次具有索引属性,该属性存储该目次中一切文件的$ FN属性的副本(包含时候戳)。

示例1:如安在时候戳不一致的情况下取证

烧毁时候戳进击的最简朴方法就是将文件建立日期变动为入侵之前的时候,不过,假如处置惩罚得不到位,$FN建立时候戳和$SI建立时候戳将不婚配。而且,这类不婚配可以很轻易被发明。要运用osquery查找时候戳不婚配的目次中的文件,我们可以运转以下敕令:

SELECT path,fn_btime,btime from ntfs_file_data where device=”\\.\PhysicalDrive0” and partition=3 and directory=”/Users/mmyers/Desktop/test_dir” and fn_btime != btime;

运用osquery举行长途取证

别的,我们还可以寻觅其他时候戳不一致的表现情势。比方文件建立的时候比文件修正的时候要晚。你会置信一个MFT目次的修正时候早于其建立时候的文件吗? 要查找这类不婚配,就请运转以下敕令:

SELECT filename, path from ntfs_file_data where device=”\\.\PhysicalDrive0” and partition=2 and path=”/Users/Garret/Downloads” and fn_btime > ctime OR btime > ctime;

示例2:缺乏完全精度的时候戳

进击者有时会很懒,为了轻易,他们会运用内置的体系实用程序来编辑文件的时候戳。这些实用程序编辑时候值的精度要低于操作体系天然运用的精度。剖析职员可以经由历程搜检时候戳的纳秒部份来发明这类捏造历程,除非它被改动,不然纳秒部份不能够全为零。

以下所示,NTFS时候戳是一个64位的值,比方,斟酌NTFS时候戳131683876627452045。假如你手边有一个Windows敕令提示符,那就是2018年4月16日星期一晚上9:27:43分,细致来讲,是晚上9:27:42分,然后再准确到0.7452045,虽然这个时候也是四舍五入的。然则很细致,这就是一般文件时候戳的模样。

运用osquery举行长途取证

对TP-Link TL-WR841N无线路由器的逆向分析实战

TL-WR841N是一款价格低廉(18美元)且非常受欢迎的Amazon.com路由器。它是截止到目前Amazon.com上十大最畅销的路由器之一。作为一款流行的路由器,TP-Link已经在TL-WR841N这款设备上发布了多次版本更新。 OpenWRT支持此路由器的旧版本更新可能是此路由器如此受欢迎的众多原因之一。OpenWRT是嵌入式设备的Linux发行版,网上有许多操作指南和教程,内容涉及如何为此设备的旧版本设置硬件调试接口。但是,由于OpenWRT已经不再支持此设备的后续版本,因此有关较新更新的教程数量已逐

但是,由体系实用程序设置的文件时候戳只具有秒级精度,这与大多数用户界面所显现的一样细致。131683876620000000也代表的是2018年4月16日星期一晚上9点27分42分,但它的纳秒部份满是0,因而这个时候戳是捏造的。

运用osquery举行长途取证

osquery以整数情势输出的NTFS时候戳看起来有些新鲜,这是有履历的剖析职员很轻易发明捏造的证据。

怎样查找已删除文件的陈迹

关于垂纶进击的进击者来讲,当用户点击一个垂纶链接或翻开一个垂纶电子邮件附件时,歹意软件就会最先事情。平常来讲,歹意软件会下载几个有效载荷,布置它们,再将体系上的一些数据收集到一个文件中,向背景发送数据,末了从文件体系中删除本身以及一切下载的文件。此时,一切都干干净净,毫无进击的陈迹,对吧?

虽然这些文件的内容不再可用,但NTFS是不会清算文件元数据的,特别是在目次索引的高低文中,NTFS更不会发挥作用了。对NTFS和目次索引治理的完全诠释超出了本文的局限,感兴趣的读者可以浏览NTFS.com或Linux-NTFS项目的引见文档。

与NTFS上的任何文件一样,每一个目次在MFT中都有一个目次。这些目次具有差别的属性,这里的相干属性是index属性,该属性又包含以树型构造分列的目次子文件的$FN属性的副本。在目次中增加和删除文件时,index属性的内容将被更新。不过,索引中的目次不会被删除,它们只是被标记为非运动的状况,而且能够会在增加新目次时被掩盖。纵然该文件被删除了,它的$FN属性的副本能够依然会在父目次的索引中保存一段时候。不过,运用NTFS取证手艺使得查找这些目次变得相对简朴。

示例3:目次中未运用的文件名目次

让我们删除上一个示例中的一切文件,并清空回收站。然后,让我们运转以下查询来检察该文件夹目次索引中未运用的目次:

SELECT parent_path,filename,slack from ntfs_indx_data WHERE parent_path=”/Users/mmyers/Desktop/test_dir” and slack!=0;

运用osquery举行长途取证

除了文件名以外,另有更多的信息可用。因为存储了全部$FN属性,所以个中另有时候戳的信息可用。我们可以仅从索引项重修目次中,列出文件运动部份的时候轴。不过,还须要做一些分外的事情:因为目次索引是基于文件名的,因而重命名文件实际上会将旧目次标记为非运动状况,并在索引中建立一个新目次。因而,辨别重命名的文件和删除的文件须要举行分外的剖析。

还要注重的是,虽然已删除了三个文件,然则只要两个文件在slack中留下了工件。当检察未运用的数据构造时,我们一般只看到过去存在的部份纪录。

总结

协助事宜响应者举行长途取证是osquery早先被开发出的一个才能,除了本文所讲的NTFS取证以外,osquery还支撑File Carving、体系运动查询和基于审计的监控。以此类推,osquery还能举行更多局限中举行取证,比方长途memory carving、USB装备汗青检索或其他文件体系的取证元数据。

译者注:File Carving是数字取证研讨中频仍运用的一种文件恢复手艺,它从表面上无差别的二进制数据集即原始磁盘映象中提取(或者说恢复)文件,而不应用磁盘映象的文件体系范例。这个历程就如同在一块润滑的石头上镌刻出很多图案一样,故称之为“Carving”(镌刻)。

本文翻译自:https://blog.trailofbits.com/2019/05/31/using-osquery-for-remote-forensics/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用osquery举行长途取证
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址