ЛЕКЦИЯ ПО РЕЕСТРУ

Август 23, 2022

Главная
Информатика
ЛЕКЦИЯ ПО РЕЕСТРУ

Содержание

2. Шаги исследования цифровых следов Подготовки источников данных Поиск следов компрометации Следы запуска программного обеспечения Поиск следов
3. Файлы реестра Windows
4. Структура реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run Корневой раздел Вложенные разделы Запись реестра Параметр Тип Значение
5. Поиск следов компрометации
6. Инструмент работы с реестром Registry Explorer https://ericzimmerman.github.io/#!index.md -> Registry Explorer
7. Следы сохранения и открытия файлов: MRU Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU Подробней: https://www.sans.org/blog/opensavemru-and-lastvisitedmru/
8. Следы открытия файлов: MRU В этом разделе представлена информация о файлах, которые были открыты или сохранены
9. Следы открытия файлов: Recent Docs Путь: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
10. Следы открытия файлов: JumpLists Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations https://ericzimmerman.github.io/#!index.md -> JLEcmd
11. Следы открытия файлов: JumpLists Команда – JLECmd.exe –f имя_объекта
12. Следы открытия файлов: JumpLists Команда – JLECmd.exe –f имя_объекта --html путь_сохранения (прим. - ./ в пути
13. Следы открытия файлов: Recent Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\
14. Веб-браузеры Основной инструмент - https://www.nirsoft.net/utils/browsing_history_view.html
15. Веб-браузеры: IE/Edge Путь: C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat NB!
16. Веб-браузеры: Firefox Путь: C:\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\
17. Веб-браузеры: Chrome Путь: C:\%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\
18. Методы доставки вредоносного ПО Одним из основных векторов доставки вредоносного программного обеспечения является социальная инженерия, а
19. Встройка URL в текст Источник: Банк России: Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020
20. Техники обфускации URL Пример такого рода ссылок: http://youla.ru-yekaterinburg-samokaty-i-giroskutery-id@520966948
21. Техники обфускации URL Техника 1 – HTTP-аутентификация http://vk.com@cbr.ru Символ at (@) в URL исторически используется для
22. Техники обфускации URL Техника 2 – IP-обфускация IP-адрес может быть представлен не только в виде канонической
23. Гомоглифические домены Гомоглифические домены – одна из наиболее интересных разновидностей атак с целью фишинга или доставки
24. USB-устройства SYSTEM\CurrentControlSet\Enum\USBSTOR SYSTEM\CurrentControlSet\Enum\USB 1) Определяет поставщика, модель и версию USB-устройства, подключенного к машине. 2) Определяет уникальные
25. USB-устройства SYSTEM\CurrentControlSet\Enum\USB
26. USB-устройства SYSTEM\CurrentControlSet\Enum\USBSTOR
27. USB-устройства – взаимодействие с пользователем Шаг 1 – Смотрим GUID устройства в SYSTEM\MountedDevices Шаг 2 –
28. USB-устройства – взаимодействие с пользователем NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 SYSTEM\MountedDevices
29. Запуск команд через “Выполнить” NTUSER.DAT|Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Если включен аудит реестра - https://4sysops.com/archives/audit-changes-in-the-windows-registry/ то в журнале Security с
30. Запуск команд через “Выполнить”
31. Документы открываемые в MS Office NTUSER.DAT| Software\Microsoft\Office\версия\Word, Excel и т.п.\FileMRU и PlaceMRU
32. Пути набранные в Проводнике NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
33. Подсказки в Проводнике NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
34. Логины и пароли Команда – lazagne.exe all > имя_файла.txt https://github.com/AlessandroZ/LaZagne/releases
35. Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache
36. Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache
37. Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache
38. Подключения по RDP C:\Windows\System32\winevt\Logs
39. Подключения по RDP
40. Подключения по RDP
41. Подключения по RDP
42. Подключения по RDP
43. Следы запуска программного обеспечения
44. WinPrefetch Путь: C:\Windows\Prefetch Утилита: https://www.nirsoft.net/utils/win_prefetch_view.html
45. UserAssist Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
46. ShimCache Списки переходов, панель задач Windows 7-10 (список переходов) спроектирована таким образом, чтобы пользователи могли быстро
47. Следы закрепления в системе
48. Ключи реестра RUN
49. Startup Folders
50. Запланированные задания Популярный путь – создание запланированных заданий
51. Запланированные задания
52. Создание служб
53. Поиск следов горизонтального продвижения
54. RDP
55. RDP См. ранее
56. Реконструкция BMC-кэша Инструмент: https://github.com/ANSSI-FR/bmc-tools Пример: https://codeby.net/threads/rdp-cache-forensics-na-storone-klienta.64854/
57. PsExec
58. PsExec
59. PsExec
60. Поиск следов доступа к информации
61. Получение реквизитов доступа Следы исполнения программ, позволяющих получить доступ к аутентификационным данным Следы создания файлов/доступа к
62. Создание новых аккаунтов Следы создания профилей новых учетных записей Следы аутентификации с использованием новых учетных записей
63. Сканирование сетевой инфраструктуры Следы исполнения программ, позволяющих осуществлять сканирование сетевой инфраструктуры Следы создания файлов / доступа
64. Удаленный доступ Следы создания / исполнения файлов, предназначенных для инсталляции программ для удаленного управления Следы запуска
65. Использование прикладного ПО Следы запуска программного обеспечения, имеющегося на скомпрометированных серверах или рабочих станциях Создание /
66. Дополнительные материалы https://disk.yandex.ru/d/idU3lCef5JLbtQ
68. Скачать презентацию

Слайд 2

Шаги исследования цифровых следов
Подготовки источников данных
Поиск следов компрометации
Следы запуска программного обеспечения
Поиск

следов закрепления доступа
Поиск следов горизонтального продвижения
Поиск следов доступа к информации

Слайд 3

Файлы реестра Windows

Слайд 4

$Структура реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run Корневой раздел Вложенные разделы Запись реестра Параметр Тип Значение$

Структура реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Корневой раздел
Вложенные разделы
Запись реестра
Параметр
Тип
Значение

Слайд 5

Поиск следов компрометации

Слайд 6

Инструмент работы с реестром Registry Explorer
https://ericzimmerman.github.io/#!index.md -> Registry Explorer

Слайд 7

$Следы сохранения и открытия файлов: MRU Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU Подробней: https://www.sans.org/blog/opensavemru-and-lastvisitedmru/$

Следы сохранения и открытия файлов: MRU
Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
Подробней: https://www.sans.org/blog/opensavemru-and-lastvisitedmru/

Слайд 8

Следы открытия файлов: MRU
В этом разделе представлена информация о файлах, которые

были открыты или сохранены (в том числе из браузера) в диалоговом окне оболочки Windows.

Слайд 9

$Следы открытия файлов: Recent Docs Путь: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs$

Следы открытия файлов: Recent Docs
Путь: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Слайд 10

$Следы открытия файлов: JumpLists Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations https://ericzimmerman.github.io/#!index.md -> JLEcmd$

Следы открытия файлов: JumpLists
Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
https://ericzimmerman.github.io/#!index.md -> JLEcmd

Слайд 11

Следы открытия файлов: JumpLists
Команда – JLECmd.exe –f имя_объекта

Слайд 12

Следы открытия файлов: JumpLists
Команда – JLECmd.exe –f имя_объекта --html путь_сохранения
(прим.

- ./ в пути сохранения сохранит в тот же каталог где находится exe-файл)

Слайд 13

$Следы открытия файлов: Recent Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\$

Следы открытия файлов: Recent
Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\

Слайд 14

Веб-браузеры
Основной инструмент - https://www.nirsoft.net/utils/browsing_history_view.html

Слайд 15

$Веб-браузеры: IE/Edge Путь: C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat NB!$

Веб-браузеры: IE/Edge
Путь: C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
NB!

Слайд 16

$Веб-браузеры: Firefox Путь: C:\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\$

Веб-браузеры: Firefox
Путь: C:\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\

Слайд 17

$Веб-браузеры: Chrome Путь: C:\%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\$

Веб-браузеры: Chrome
Путь: C:\%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\

Слайд 18

Методы доставки вредоносного ПО
Одним из основных векторов доставки вредоносного программного обеспечения

является социальная инженерия, а если говорить более конкретно – канал электронной почты.
Поэтому, критически важным при аудите является понимание того, насколько организация устойчива к подобного рода атакам.
Рассмотрим основные тактики применяемые злоумышленниками при использовании данного канала при доставке вредоносного ПО

Слайд 19

Встройка URL в текст
Источник: Банк России: Основные типы компьютерных атак в

кредитно-финансовой сфере в 2019-2020 г.

Слайд 20

Техники обфускации URL
Пример такого рода ссылок:
http://youla.ru-yekaterinburg-samokaty-i-giroskutery-id@520966948

Слайд 21

Техники обфускации URL
Техника 1 – HTTP-аутентификация
http://vk.com@cbr.ru
Символ at (@) в URL исторически

используется для передачи параметров аутентификации в URL-ссылке. Однако, если передавать с его помощью имя домена, то вы перенаправите жертву на домен после символа @, игнорируя часть ссылки перед ним (если не используются символы / и ?). Символ “-” является допустимым так как конкатенирует строки

Слайд 22

Техники обфускации URL
Техника 2 – IP-обфускация
IP-адрес может быть представлен не только

в виде канонической формы с точками (напр. http://31.13.83.36 – для Facebook) но и в других форматах:
http://520966948 - Decimal 32 bits (напр. для cbr.ru – 3115503623)
http://03703251444 - Octal 32 bits
http://0x1f0d5324 - Hexadecimal 32 bits
Техники 1 и 2 в ряде случаев можно успешно совмещать (см. пример выше)

Слайд 23

Гомоглифические домены
Гомоглифические домены – одна из наиболее интересных разновидностей атак с

целью фишинга или доставки вредоносного ПО. Данная техника заключается в том, что для ряда доменных зон – мы можем использовать символы одного алфавита вместо символов другого (при том символы выглядят максимально правдоподобно).
Например – apple.com и аpple.com выглядят одинаково, но во втором случае – символ “a” – это русская “а” не латинская “a”
Пример генерации - https://www.irongeek.com/homoglyph-attack-generator.php
Домен – yoola.com

Слайд 24

$USB-устройства SYSTEM\CurrentControlSet\Enum\USBSTOR SYSTEM\CurrentControlSet\Enum\USB 1) Определяет поставщика, модель и версию USB-устройства, подключенного$

USB-устройства
SYSTEM\CurrentControlSet\Enum\USBSTOR
SYSTEM\CurrentControlSet\Enum\USB
1) Определяет поставщика, модель и версию USB-устройства, подключенного к машине.
2) Определяет

уникальные USB-устройства, подключенные к машине
3) Определяет время, когда устройство было подключено к машине
4) Устройства, не имеющие уникального серийного номера, будут иметь «&» во втором символе серийного номера.

Слайд 25

$USB-устройства SYSTEM\CurrentControlSet\Enum\USB$

USB-устройства
SYSTEM\CurrentControlSet\Enum\USB

Слайд 26

$USB-устройства SYSTEM\CurrentControlSet\Enum\USBSTOR$

USB-устройства
SYSTEM\CurrentControlSet\Enum\USBSTOR

Слайд 27

USB-устройства – взаимодействие с пользователем
Шаг 1 – Смотрим GUID устройства в

SYSTEM\MountedDevices
Шаг 2 – Смотрим кто его установил NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Этот GUID будет использоваться для идентификации пользователя, подключившего устройство. Время последней записи этого ключа также соответствует времени последнего подключения устройства к машине этим пользователем.

Слайд 28

$USB-устройства – взаимодействие с пользователем NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 SYSTEM\MountedDevices$

USB-устройства – взаимодействие с пользователем
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
SYSTEM\MountedDevices

Слайд 29

$Запуск команд через “Выполнить” NTUSER.DAT|Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Если включен аудит реестра - https://4sysops.com/archives/audit-changes-in-the-windows-registry/$

Запуск команд через “Выполнить”
NTUSER.DAT|Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Если включен аудит реестра - https://4sysops.com/archives/audit-changes-in-the-windows-registry/ то в

журнале Security с кодом события 4657 можно обнаружить следы удаления значений

Слайд 30

Запуск команд через “Выполнить”

Слайд 31

$Документы открываемые в MS Office NTUSER.DAT| Software\Microsoft\Office\версия\Word, Excel и т.п.\FileMRU и PlaceMRU$

Документы открываемые в MS Office
NTUSER.DAT| Software\Microsoft\Office\версия\Word, Excel и т.п.\FileMRU и PlaceMRU

Слайд 32

$Пути набранные в Проводнике NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths$

Пути набранные в Проводнике
NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

Слайд 33

$Подсказки в Проводнике NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery$

Подсказки в Проводнике
NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

Слайд 34

Логины и пароли
Команда – lazagne.exe all > имя_файла.txt
https://github.com/AlessandroZ/LaZagne/releases

Слайд 35

$Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache$

Подключенные сети
Microsoft\Windows NT\CurrentVersion\NetworkList
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Слайд 36

$Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache$

Подключенные сети
Microsoft\Windows NT\CurrentVersion\NetworkList
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Слайд 37

$Подключенные сети Microsoft\Windows NT\CurrentVersion\NetworkList SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache$

Подключенные сети
Microsoft\Windows NT\CurrentVersion\NetworkList
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Слайд 38

$Подключения по RDP C:\Windows\System32\winevt\Logs$

Подключения по RDP
C:\Windows\System32\winevt\Logs

Слайд 39

Подключения по RDP

Слайд 40

Подключения по RDP

Слайд 41

Подключения по RDP

Слайд 42

Подключения по RDP

Слайд 43

Следы запуска программного обеспечения

Слайд 44

$WinPrefetch Путь: C:\Windows\Prefetch Утилита: https://www.nirsoft.net/utils/win_prefetch_view.html$

WinPrefetch
Путь: C:\Windows\Prefetch
Утилита: https://www.nirsoft.net/utils/win_prefetch_view.html

Слайд 45

$UserAssist Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count$

UserAssist
Путь: NTUSER.DAT |
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count

Слайд 46

ShimCache
Списки переходов, панель задач Windows 7-10 (список переходов) спроектирована таким образом,

чтобы пользователи могли быстро получить доступ к элементам, которые они часто или недавно использовали.
SYSTEM|ControlSet001\Control\Session Manager\AppCompatCache

Слайд 47

Следы закрепления в системе

Слайд 48

Ключи реестра RUN

Слайд 49

Startup Folders

Слайд 50

Запланированные задания
Популярный путь – создание запланированных заданий

Слайд 51

Запланированные задания

Слайд 52

Создание служб

Слайд 53

Поиск следов горизонтального продвижения

Слайд 54

RDP

Слайд 55

RDP
См. ранее

Слайд 56

Реконструкция BMC-кэша
Инструмент: https://github.com/ANSSI-FR/bmc-tools
Пример: https://codeby.net/threads/rdp-cache-forensics-na-storone-klienta.64854/

Слайд 57

PsExec

Слайд 58

PsExec

Слайд 59

PsExec

Слайд 60

Поиск следов доступа к информации

Слайд 61

Получение реквизитов доступа
Следы исполнения программ, позволяющих получить доступ к аутентификационным данным
Следы создания

файлов/доступа к файлам, содержащим аутентификационные данные

Следы исполнения программ, предназначенных для перебора паролей

Слайд 62

Создание новых аккаунтов
Следы создания профилей новых учетных записей
Следы аутентификации с использованием

новых учетных записей

Слайд 63

Сканирование сетевой инфраструктуры
Следы исполнения программ, позволяющих осуществлять сканирование сетевой инфраструктуры
Следы создания файлов

/ доступа к файлам, содержащим результаты сканирования

Слайд 64

Удаленный доступ
Следы создания / исполнения файлов, предназначенных для инсталляции программ для удаленного

управления

Следы запуска программ для удаленного управления

Анализ журналов программ для удаленного управления

Слайд 65

Использование прикладного ПО
Следы запуска программного обеспечения, имеющегося на скомпрометированных серверах или рабочих

станциях

Создание / модификация файлов средствами имеющегося на скомпрометированных хостах программного обеспечения

Слайд 66

ЛЕКЦИЯ ПО РЕЕСТРУ

Содержание

Шаги исследования цифровых следовПодготовки источников данныхПоиск следов компрометацииСледы запуска программного обеспеченияПоиск

Файлы реестра Windows

Структура реестраHKCU\Software\Microsoft\Windows\CurrentVersion\RunКорневой разделВложенные разделыЗапись реестраПараметрТипЗначение

Поиск следов компрометации

Инструмент работы с реестром Registry Explorerhttps://ericzimmerman.github.io/#!index.md -> Registry Explorer

Следы сохранения и открытия файлов: MRUПуть: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRUПодробней: https://www.sans.org/blog/opensavemru-and-lastvisitedmru/

Следы открытия файлов: MRUВ этом разделе представлена информация о файлах, которые

Следы открытия файлов: Recent DocsПуть: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Следы открытия файлов: JumpListsПуть: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinationshttps://ericzimmerman.github.io/#!index.md -> JLEcmd

Следы открытия файлов: JumpListsКоманда – JLECmd.exe –f имя_объекта

Следы открытия файлов: JumpListsКоманда – JLECmd.exe –f имя_объекта --html путь_сохранения (прим.

Следы открытия файлов: RecentПуть: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\

Веб-браузерыОсновной инструмент - https://www.nirsoft.net/utils/browsing_history_view.html

Веб-браузеры: IE/EdgeПуть: C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.datNB!

Веб-браузеры: FirefoxПуть: C:\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\

Веб-браузеры: ChromeПуть: C:\%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\

Методы доставки вредоносного ПООдним из основных векторов доставки вредоносного программного обеспечения

Встройка URL в текстИсточник: Банк России: Основные типы компьютерных атак в

Техники обфускации URLПример такого рода ссылок: http://youla.ru-yekaterinburg-samokaty-i-giroskutery-id@520966948

Техники обфускации URLТехника 1 – HTTP-аутентификацияhttp://vk.com@cbr.ruСимвол at (@) в URL исторически

Техники обфускации URLТехника 2 – IP-обфускацияIP-адрес может быть представлен не только

Гомоглифические доменыГомоглифические домены – одна из наиболее интересных разновидностей атак с

USB-устройстваSYSTEM\CurrentControlSet\Enum\USBSTORSYSTEM\CurrentControlSet\Enum\USB1) Определяет поставщика, модель и версию USB-устройства, подключенного к машине.2) Определяет

USB-устройстваSYSTEM\CurrentControlSet\Enum\USB

USB-устройстваSYSTEM\CurrentControlSet\Enum\USBSTOR

USB-устройства – взаимодействие с пользователемШаг 1 – Смотрим GUID устройства в

USB-устройства – взаимодействие с пользователемNTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2SYSTEM\MountedDevices

Запуск команд через “Выполнить”NTUSER.DAT|Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUЕсли включен аудит реестра - https://4sysops.com/archives/audit-changes-in-the-windows-registry/ то в

Запуск команд через “Выполнить”

Документы открываемые в MS OfficeNTUSER.DAT| Software\Microsoft\Office\версия\Word, Excel и т.п.\FileMRU и PlaceMRU

Пути набранные в ПроводникеNTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

Подсказки в ПроводникеNTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

Логины и паролиКоманда – lazagne.exe all > имя_файла.txthttps://github.com/AlessandroZ/LaZagne/releases

Подключенные сетиMicrosoft\Windows NT\CurrentVersion\NetworkListSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\UnmanagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\ManagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Подключенные сетиMicrosoft\Windows NT\CurrentVersion\NetworkListSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\UnmanagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\ManagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Подключенные сетиMicrosoft\Windows NT\CurrentVersion\NetworkListSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\UnmanagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\ManagedSOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

Подключения по RDPC:\Windows\System32\winevt\Logs

Подключения по RDP

Подключения по RDP

Подключения по RDP

Подключения по RDP

Следы запуска программного обеспечения

WinPrefetchПуть: C:\Windows\PrefetchУтилита: https://www.nirsoft.net/utils/win_prefetch_view.html

UserAssistПуть: NTUSER.DAT |Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count

ShimCacheСписки переходов, панель задач Windows 7-10 (список переходов) спроектирована таким образом,

Следы закрепления в системе

Ключи реестра RUN

Startup Folders

Запланированные заданияПопулярный путь – создание запланированных заданий

Запланированные задания

Создание служб

Поиск следов горизонтального продвижения

RDP

RDPСм. ранее

Реконструкция BMC-кэшаИнструмент: https://github.com/ANSSI-FR/bmc-toolsПример: https://codeby.net/threads/rdp-cache-forensics-na-storone-klienta.64854/

PsExec

PsExec

PsExec

Поиск следов доступа к информации

Получение реквизитов доступаСледы исполнения программ, позволяющих получить доступ к аутентификационным даннымСледы создания

Создание новых аккаунтовСледы создания профилей новых учетных записейСледы аутентификации с использованием

Сканирование сетевой инфраструктурыСледы исполнения программ, позволяющих осуществлять сканирование сетевой инфраструктурыСледы создания файлов

Удаленный доступСледы создания / исполнения файлов, предназначенных для инсталляции программ для удаленного

Использование прикладного ПОСледы запуска программного обеспечения, имеющегося на скомпрометированных серверах или рабочих

Дополнительные материалыhttps://disk.yandex.ru/d/idU3lCef5JLbtQ

Похожие презентации

Шаги исследования цифровых следов
Подготовки источников данных
Поиск следов компрометации
Следы запуска программного обеспечения
Поиск

Структура реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Корневой раздел
Вложенные разделы
Запись реестра
Параметр
Тип
Значение

Инструмент работы с реестром Registry Explorer
https://ericzimmerman.github.io/#!index.md -> Registry Explorer

Следы сохранения и открытия файлов: MRU
Путь: NTUSER.DAT | Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
Подробней: https://www.sans.org/blog/opensavemru-and-lastvisitedmru/

Следы открытия файлов: MRU
В этом разделе представлена информация о файлах, которые

Следы открытия файлов: Recent Docs
Путь: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Следы открытия файлов: JumpLists
Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
https://ericzimmerman.github.io/#!index.md -> JLEcmd

Следы открытия файлов: JumpLists
Команда – JLECmd.exe –f имя_объекта

Следы открытия файлов: JumpLists
Команда – JLECmd.exe –f имя_объекта --html путь_сохранения
(прим.

Следы открытия файлов: Recent
Путь: C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\

Веб-браузеры
Основной инструмент - https://www.nirsoft.net/utils/browsing_history_view.html

Веб-браузеры: IE/Edge
Путь: C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
NB!

Веб-браузеры: Firefox
Путь: C:\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\

Веб-браузеры: Chrome
Путь: C:\%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\

Методы доставки вредоносного ПО
Одним из основных векторов доставки вредоносного программного обеспечения

Встройка URL в текст
Источник: Банк России: Основные типы компьютерных атак в

Техники обфускации URL
Пример такого рода ссылок:
http://youla.ru-yekaterinburg-samokaty-i-giroskutery-id@520966948

Техники обфускации URL
Техника 1 – HTTP-аутентификация
http://vk.com@cbr.ru
Символ at (@) в URL исторически

Техники обфускации URL
Техника 2 – IP-обфускация
IP-адрес может быть представлен не только

Гомоглифические домены
Гомоглифические домены – одна из наиболее интересных разновидностей атак с

USB-устройства
SYSTEM\CurrentControlSet\Enum\USBSTOR
SYSTEM\CurrentControlSet\Enum\USB
1) Определяет поставщика, модель и версию USB-устройства, подключенного к машине.
2) Определяет

USB-устройства
SYSTEM\CurrentControlSet\Enum\USB

USB-устройства
SYSTEM\CurrentControlSet\Enum\USBSTOR

USB-устройства – взаимодействие с пользователем
Шаг 1 – Смотрим GUID устройства в

USB-устройства – взаимодействие с пользователем
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
SYSTEM\MountedDevices

Запуск команд через “Выполнить”
NTUSER.DAT|Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Если включен аудит реестра - https://4sysops.com/archives/audit-changes-in-the-windows-registry/ то в

Документы открываемые в MS Office
NTUSER.DAT| Software\Microsoft\Office\версия\Word, Excel и т.п.\FileMRU и PlaceMRU

Пути набранные в Проводнике
NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

Подсказки в Проводнике
NTUSER.DAT| Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

Логины и пароли
Команда – lazagne.exe all > имя_файла.txt
https://github.com/AlessandroZ/LaZagne/releases

Подключения по RDP
C:\Windows\System32\winevt\Logs

WinPrefetch
Путь: C:\Windows\Prefetch
Утилита: https://www.nirsoft.net/utils/win_prefetch_view.html

UserAssist
Путь: NTUSER.DAT |
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count

ShimCache
Списки переходов, панель задач Windows 7-10 (список переходов) спроектирована таким образом,

Запланированные задания
Популярный путь – создание запланированных заданий

RDP
См. ранее

Реконструкция BMC-кэша
Инструмент: https://github.com/ANSSI-FR/bmc-tools
Пример: https://codeby.net/threads/rdp-cache-forensics-na-storone-klienta.64854/

Получение реквизитов доступа
Следы исполнения программ, позволяющих получить доступ к аутентификационным данным
Следы создания

Создание новых аккаунтов
Следы создания профилей новых учетных записей
Следы аутентификации с использованием

Сканирование сетевой инфраструктуры
Следы исполнения программ, позволяющих осуществлять сканирование сетевой инфраструктуры
Следы создания файлов

Удаленный доступ
Следы создания / исполнения файлов, предназначенных для инсталляции программ для удаленного

Использование прикладного ПО
Следы запуска программного обеспечения, имеющегося на скомпрометированных серверах или рабочих

Дополнительные материалы
https://disk.yandex.ru/d/idU3lCef5JLbtQ