Алиса Торрес, сертифицированный инструктор SANS
Это октябрь, сезон охоты. Однако в мире криминалистики охота на зло никогда не заканчивается. Ожидается, что Windows 10 станет новым профессионалом, специализирующимся на цифровой криминалистике и реагировании на инциденты (DFIR), которому не хватает необходимых навыков (памяти) для охоты.
Следователи, которые не смотрят на изменчивую память, оставляют улики на месте преступления. Содержимое ОЗУ содержит доказательства действий пользователя, а также вредоносных процессов и скрытого поведения, реализованных вредоносным кодом. Именно это доказательство часто оказывается курящим оружием, которое раскрывает историю того, что произошло в системе.
Хотя ожидается, что Microsoft не достигнет своей цели развертывания Windows 10 в один миллиард устройств в ближайшие два года, их самая глянцевая ОС на сегодняшний день составляет 22% настольных систем, согласно netmarketshare.com [1]. К этому времени, как судебно-медицинский эксперт, вы уже столкнулись с системой Windows 10 в качестве предмета расследования или проведете расследование в ближайшем будущем. Значительные изменения, внесенные в Windows 10 (и фактически с каждым новым последующим обновлением), потребовали некоторого «переобучения», чтобы узнать, что такое «новый нормальный».
Давайте рассмотрим различия, которые Windows 10 внесла в мир криминалистики, рассмотрев некоторые ключевые изменения в списке процессов. При выполнении анализа памяти исследователь должен понимать нормальные иерархические отношения родитель-потомок собственных процессов Windows. Это суть «знай нормальное, найди зло» и позволяет проводить эффективный и результативный анализ. Большинство из вас использовали браузер Edge, который был выпущен с Windows 10 летом 2015 года. В то время как Internet Explorer обычно запускается с помощью explorer.exe (запускается по умолчанию как начальный процесс пользователя), Edge порождается процессом Runtime Broker, который имеет родительский процесс svchost (системный процесс). Edge работает как приложение универсальной платформы Windows (UWP), одно из многих приложений Windows, созданных для работы на устройствах разных типов. Runtime Broker управляет разрешениями для приложений Windows. Это иерархическое отношение процесса отличается от одного из традиционных методов анализа, на которые мы опирались в прошлых версиях Windows: системные процессы будут иметь родителя / прародителя процесса SYSTEM, а обычные пользовательские процессы, такие как браузеры, будут иметь родительское происхождение к explorer.exe. , На снимке экрана ниже показаны иерархические структуры системы Win10 RTM Build 10240 с использованием инструмента Process Hacker.
Рисунок 1. Типичная иерархия процесса Internet Explorer
Рисунок 2. Иерархическая структура процессов Microsoft Edge и SearchUI
Другими новыми добавлениями в список процессов Windows являются SearchUI.exe, приложение Search и Cortana и ShellExperienceHost.exe, меню «Пуск» и обработчик пользовательского интерфейса рабочего стола. Как приложения Windows, они оба порождены из того же самого процесса Runtime Broker, что и Edge. На этом снимке экрана выше процессы SearchUI и ShellExperienceHost отображаются серым цветом, что указывает на приостановленные процессы. Одновременно на переднем плане находится только одно приложение Windows, а те, которые не в фокусе, приостановлены и заменены, а данные процесса сжимаются и записываются в файл swapfile.sys в файловой системе [2].
Подготовьтесь к автоматическому порождению интернет-подключений некоторыми из этих новых процессов Win10. OneDrive (ранее известный как SkyDrive) имеет подключение к исходящему порту 80, а SearchUI (Cortana) также создает исходящие сетевые подключения, когда пользователь получает доступ к меню «Пуск». Пример сетевой активности из процесса SearchUI показан ниже.
Рисунок 3. Сетевые подключения SearchUI.exe
Сжатие данных в памяти, впервые появившееся в приложениях Windows в Windows 8, было реализовано в более широком масштабе в Windows 10. Теперь, когда диспетчер памяти обнаруживает «нехватку памяти», что означает ограниченную доступность данных для записи в физическую память, данные сжимается и записывается в файл подкачки. [3] Почему это относится к судебной экспертизе? Анализ данных файла подкачки может принести плоды, обнаружив следовые артефакты, которые указывают на то, что вредоносное ПО в какой-то момент находилось в системе. Помните, что содержимое файла подкачки было когда-то в физической памяти. Эти данные, хотя и сильно фрагментированные, отлично подходят для поиска строк и сканирования подписи yara. С внедрением сжатия памяти в Windows 10 появилось новое препятствие для такого анализа.
Если вы провели расследования, связанные с гнусными действиями командной строки, полезно знать, что процесс cmd.exe теперь порождает свой собственный процесс conhost.exe начиная с Windows 8. Это примечательно, поскольку в предыдущих версиях Windows conhost порождался csrss .exe процесс. Я всегда опасаюсь командной оболочки, работающей на конечной точке, особенно той, к которой веб-браузер имеет дескриптор.
Часто бывает трудно определить, какая версия Windows 10 использовалась вашей целевой системой во время приобретения памяти. После первоначального выпуска Windows 10 были выпущены два значительных обновления: Threshold 2 в ноябре 2016 года и выпуск Anniversary в июле 2015 года. Ниже показан вывод плагина imageinfo из Rekall Memory Forensic Framework (1.5.3 Furka) 3, подробно описывающий версию сборки. Поскольку между версиями Windows добавлено так много различных функций, а также значительные изменения, внесенные в обновления, ключевым моментом является наличие инструмента, использующего общедоступные символы Windows, такие как Rekall. Когда необходимо создавать профили для поддержки новых версий Windows, как это видно в инструментах анализа, существует задержка по времени. Rekall автоматически определяет версию Windows и по умолчанию использует размещенный профиль из своего хранилища.
Xbox работает на Windows 10 сейчас, и вы можете быть среди тех, кто празднует, что теперь вы можете транслировать консольные игры на свой компьютер. Но как это влияет на наши выводы? Ожидайте увидеть игровые сервисы Xbox, даже если они не используются. Так как вредоносные программы обычно создают новые сервисы или перехватывают существующие в качестве метода сохранения, опять же, хорошо знать, как выглядит нормальный.
Надеюсь, краткий обзор того, как все изменилось в последних версиях Windows, ускорит ваш анализ, поскольку вы работаете, чтобы разгадать историю о том, что зло произошло в системе. Хорошей охоты!
Поделиться:
