Настоящая публикация - перевод " Baris Dincer / Cyber Threat Intelligence Investigator & CIO / Lex Program - Windows User Activity Analysis".

ВВЕДЕНИЕ

Анализ активности пользователей Windows является краеугольным камнем расследований в области цифровой криминалистики и реагирования на инциденты (DFIR). Этот процесс включает в себя изучение артефактов, создаваемых в результате взаимодействия пользователя с операционной системой Windows, приложениями и сетевыми ресурсами. Эти артефакты, часто разбросанные по журналам событий, записям реестра, метаданным файловой системы и журналам, специфичным для приложений, предоставляют хронологическое повествование о действиях пользователя. Анализируя эти данные, следователи могут восстановить события, предшествующие и последующие инциденту безопасности, идентифицировать вовлечённых лиц и установить методы, использованные злоумышленниками.

Значение анализа активности пользователей Windows трудно переоценить в контексте современных вызовов кибербезопасности. Поскольку Windows является широко используемой операционной системой в корпоративной среде, она часто становится основной целью кибератак и внутренних угроз. Исследование активности пользователя на скомпрометированной системе позволяет организациям понять масштаб и последствия инцидента. Например, такой анализ может выявить несанкционированный доступ, попытки вывода данных или умышленное злоупотребление привилегиями. Кроме того, он играет важную роль в выявлении пробелов в средствах защиты и установлении шаблонов, указывающих на появляющиеся угрозы.

С точки зрения DFIR, способность анализировать активность пользователей Windows критически важна по нескольким причинам. Во-первых, она способствует сохранению и интерпретации цифровых доказательств, обеспечивая допустимость результатов в судебных разбирательствах при необходимости. Во-вторых, она усиливает работу по сбору разведывательной информации об угрозах, выявляя тактики, техники и процедуры (TTP), используемые злоумышленниками. В-третьих, данный анализ предоставляет практические сведения, которые позволяют организациям улучшать свою защиту и устойчивость к будущим инцидентам.

Значение реестра Windows в анализе активности пользователей

Реестр Windows представляет собой централизованную иерархическую базу данных, в которой хранятся параметры конфигурации и настройки для операционной системы, приложений, оборудования и пользовательских профилей. Он является важнейшим артефактом в анализе активности пользователей Windows, поскольку содержит обширную информацию о поведении системы и пользователей. Изучая определённые ключи и значения реестра, следователи могут выявить такие детали, как активность входа пользователей в систему, установленные программы, недавно открытые файлы, подключённые USB-устройства и использование приложений.

Значение реестра в DFIR объясняется его ролью в сохранении следов взаимодействия пользователей с системой и её конфигурации. Эти следы часто используются для построения хронологии событий, выявления подозрительной активности или корреляции доказательств из других источников. Например, реестр может содержать доказательства механизмов устойчивости, применяемых вредоносным ПО, несанкционированной установки программного обеспечения или удалённых пользовательских профилей, которые могут быть не обнаружены при анализе файловой системы.

Кроме того, отдельные разделы реестра (hives) имеют ключевое значение для криминалистических расследований, поскольку они содержат информацию как на уровне системы, так и на уровне пользователей.

Реестр Windows структурирован как набор иерархических баз данных, известных как "hives" (ульи), каждая из которых выполняет определённую функцию в управлении системной и пользовательской конфигурацией. Эти "ульи" сохраняются в виде файлов в каталоге %SystemRoot%\System32\config, что делает их доступными для анализа в ходе криминалистических расследований.

Улей SAM (Security Account Manager) содержит информацию, связанную с безопасностью, о пользовательских аккаунтах и политиках безопасности. Это включает такие данные, как информация об учетных записях пользователей и групп, хэши паролей и попытки входа в систему. В работающей системе улей SAM загружается под ключом
HKLM\Local_Machine\SAM. Анализ этого улья имеет решающее значение для выявления активности, связанной с учетными записями, попыток несанкционированного доступа и возможных эскалаций привилегий.

Улей SECURITY содержит конфигурационные данные, относящиеся к безопасности системы, включая механизмы аутентификации пользователей, разрешения и локальные политики безопасности. Он предоставляет информацию о том, как реализуется управление доступом в системе. Исследование этого улья крайне важно для понимания того, как злоумышленники могли воспользоваться слабыми настройками безопасности или обойти механизмы аутентификации.

Улей SYSTEM содержит важную конфигурационную информацию об аппаратной части операционной системы, драйверах устройств и параметрах загрузки. Это включает сведения о службах, подключённых устройствах и конфигурациях запуска. Улей SYSTEM играет значительную роль в определении того, как была настроена система и были ли внесены вредоносные изменения для обеспечения устойчивости или отключения механизмов безопасности.

Улей SOFTWARE хранит конфигурационную информацию об установленных приложениях и системных настройках. Это включает сведения о версиях приложений, датах установки, а иногда и статистику использования. Анализ этого улья может выявить доказательства несанкционированной или вредоносной установки программного обеспечения, а также предоставить хронологию действий, связанных с программами.

Улей DEFAULT действует как шаблон для создания новых пользовательских профилей. Он содержит настройки по умолчанию для пользовательских конфигураций, включая основные предпочтения и поведение системы. Хотя этот улей реже подвергается подробному анализу, он может быть важен при расследовании создания новых учетных записей, особенно если они могли быть созданы в злонамеренных целях.

Эти разделы реестра являются неотъемлемой частью функционирования Windows, так как хранят критически важную информацию о состоянии системы, действиях пользователей и настройках безопасности. Изучая их в рамках расследований DFIR, эксперты по цифровой криминалистике могут обнаружить значимые доказательства того, как использовалась система или каким образом была скомпрометирована.

Помимо основных системных разделов реестра, таких как SECURITY и DEFAULT, Windows также использует пользовательские ульи, в которых хранятся настройки и предпочтения, уникальные для каждого профиля пользователя. Эти ульи — NTUSER.DAT и USRCLASS.DAT — играют ключевую роль в понимании активности пользователя и персонализированного использования системы.

Файл NTUSER.DAT содержит пользовательские настройки и конфигурации для каждого профиля пользователя в системе. В нём хранится информация о предпочтениях пользователя, настройках приложений, недавно открытых файлах и других персональных данных. Этот улей имеет важное значение для анализа поведения пользователя и выявления таких действий, как использование файлов, настройка системы и взаимодействие с программным обеспечением.

Файл NTUSER.DAT для каждого пользователя находится в его каталоге профиля по пути %USERPROFILE%. В работающей системе улей NTUSER.DAT отображается в разделе реестра HKEY_CURRENT_USER (HKCU). Это отображение позволяет операционной системе и приложениям динамически получать доступ к пользовательским настройкам во время работы.

Анализ NTUSER.DAT крайне важен для восстановления хронологии действий пользователя. Он может показать недавно открытые файлы, шаблоны использования приложений, а также потенциальные доказательства вредоносной активности или попыток несанкционированного доступа.

Файл USRCLASS.DAT хранит пользовательские настройки классов и интерфейсов, включая данные, связанные с параметрами Проводника Windows и взаимодействием пользователя с графической оболочкой системы. Этот улей предоставляет сведения о взаимодействии пользователя с оболочкой Windows, таких как конфигурации рабочего стола, параметры отображения папок и список недавно используемых каталогов.

Файл USRCLASS.DAT располагается в локальном каталоге данных приложений пользователя:
%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat.

В живом реестре файл USRCLASS.DAT отображается в разделе
HKEY_CURRENT_USER\Software\Classes. Этот ключ содержит информацию о связанных с пользователем ассоциациях файлов, расширениях оболочки и других параметрах, связанных с взаимодействием пользователя с системой.

Анализ файла USRCLASS.DAT помогает следователям выявлять последние взаимодействия пользователя с файлами, папками и системными настройками. Также он полезен для обнаружения аномалий, таких как изменения ассоциаций файлов или подозрительные расширения оболочки, внедрённые вредоносным ПО.

Разделы реестра (hives) выступают в роли верхнеуровневых ключей и являются важнейшими элементами управления как системными, так и пользовательскими настройками. Ниже приведено подробное объяснение основных разделов реестра:

HKEY_CLASSES_ROOT (HKCR):
Этот улей содержит информацию об ассоциациях файлов и классах объектов OLE (Object Linking and Embedding). Он определяет, как открываются файлы и какое приложение используется для обработки определённых типов файлов.

Назначение:

• Определяет расширения файлов и связанные с ними программы.

• Хранит данные регистрации объектов COM (Component Object Model).

• Играет ключевую роль в интеграции между приложениями.

Анализ HKCR может выявить вредоносные изменения в ассоциациях файлов, например, перенаправление типов файлов на вредоносное ПО или подмену путей к исполняемым файлам.

HKEY_CURRENT_USER (HKCU):
Этот улей содержит конфигурационные параметры для текущего вошедшего в систему пользователя. В него входят пользовательские предпочтения, такие как настройки рабочего стола, параметры приложений и переменные окружения пользователя.

Назначение:

• Управляет пользовательским внешним видом и настройками персонализации.

• Контролирует предпочтения приложений, специфичные для активного пользователя.

Изучение HKCU может помочь выявить активность пользователя, например, изменения в настройках программного обеспечения, следы взаимодействия с системой или потенциальные признаки пользовательского вредоносного ПО.

HKEY_LOCAL_MACHINE (HKLM):
Этот улей содержит системные настройки и конфигурации, применимые ко всем пользователям компьютера. В нём хранится важная информация о оборудовании, программном обеспечении и безопасности.

Основные подразделы:

• SAM: соответствует HKLM\Local_Machine\SAM, содержит данные безопасности учетных записей пользователей.

• SYSTEM: хранит информацию о системном оборудовании и драйверах.

• SOFTWARE: предоставляет сведения об установленных приложениях и системных конфигурациях.

HKLM является критически важным для анализа целостности системы, определения установленного программного обеспечения и обнаружения несанкционированных изменений в политике безопасности или драйверах.

HKEY_USERS (HKU):
Этот улей содержит настройки для всех пользовательских профилей в системе. Для каждого пользователя существует отдельный подраздел, идентифицируемый его Security Identifier (SID).

Назначение:

• Поддерживает глобальные настройки для нескольких пользователей.

• Обеспечивает доступ к пользовательским ульям, включая NTUSER.DAT.

Следователи могут анализировать неактивные пользовательские профили для поиска доказательств активности или вредоносного ПО, направленного на конкретные учетные записи.

HKEY_CURRENT_CONFIG (HKCC):
Этот улей предоставляет информацию о текущем аппаратном профиле, используемом системой. Он служит динамическим отображением настроек, связанных с оборудованием, такими как конфигурации устройств.

Назначение:

• Отражает текущую конфигурацию системы во время работы.

• Разрешает конфликты между несколькими аппаратными профилями.

Исследование HKCC может выявить изменения в конфигурациях оборудования, возможное вмешательство с подключёнными устройствами или доказательства наличия посторонних периферийных устройств.

Реестр — незаменимый артефакт в криминалистических расследованиях. Каждый улей предоставляет уникальные сведения о состоянии системы и активности пользователей. Кратко, порядок изучения можно представить следующим образом:

• HKCR: Отслеживает ассоциации файлов и интеграцию приложений, помогая выявлять вредоносное ПО.

• HKCU: Раскрывает пользовательскую активность и предпочтения.

• HKLM: Даёт комплексный обзор конфигурации программного обеспечения и оборудования системы.

• HKU: Облегчает исследование неактивных или редко используемых пользовательских профилей.

• HKCC: Помогает понять изменения и настройки, связанные с оборудованием.

Путём систематического анализа этих ульев следователи могут выявить критические доказательства компрометации, неправильных настроек или вредоносной активности, формируя подробное повествование инцидента.

Журналы транзакций и «грязные» ульи — это важные компоненты управления реестром Windows, имеющие значительное значение в криминалистических расследованиях. Они предоставляют сведения о системной активности, изменениях конфигураций и возможных проблемах безопасности.

Журналы транзакций используются для обеспечения целостности и согласованности реестра Windows. Они фиксируют изменения, внесённые в разделы реестра с течением времени, и позволяют операционной системе корректно восстанавливаться при сбоях. Журналы транзакций хранятся в той же директории, что и основные файлы ульев, обычно это %SystemRoot%\System32\config. Они называются по имени соответствующих ульев с расширениями, например, .LOG1 и .LOG2.

В базах данных такие журналы отслеживают изменения (вставки, обновления, удаления) для поддержания целостности данных и обеспечения согласованности при сбоях.

Журналы транзакций позволяют криминалистам восстанавливать активность реестра за определённый период. Они незаменимы для выявления недавних изменений в системе, определения времени внесения конфигурационных изменений и корреляции этих изменений с другими артефактами для построения хронологии событий.

Редактор реестра Windows, широко известный как Regedit, — это встроенный графический инструмент для доступа, просмотра и изменения реестра Windows. Он предоставляет пользователям и администраторам прямой интерфейс для взаимодействия с ульями реестра и их связанными ключами и значениями. Несмотря на свою мощь, этот инструмент следует использовать с осторожностью, так как неправильные изменения могут привести к нестабильности или сбоям системы. Regedit позволяет пользователям перемещаться по иерархической структуре реестра, организованной в ульи, ключи, подключи и значения. Пользователи могут добавлять, изменять или удалять ключи и значения реестра. В Regedit есть функция поиска, которая помогает находить конкретные ключи или значения внутри реестра. Пользователи могут экспортировать части реестра в файл с расширением .reg для резервного копирования или обмена. Также Regedit предоставляет возможность устанавливать разрешения для ключей, обеспечивая надлежащий уровень безопасности и контроля доступа.

Registry Explorer — это продвинутый инструмент, специально разработанный для анализа реестра Windows. Созданный Эриком Циммерманом, он предоставляет надёжный и удобный интерфейс для анализа реестра, выходящий за рамки возможностей встроенного инструмента Regedit. Этот инструмент широко используется в сфере цифровой криминалистики и реагирования на инциденты (DFIR) для проведения детальных и комплексных расследований. Он предлагает высокоорганизованный и эффективный обзор иерархической структуры реестра, а также отображает скрытые и нераспределённые ключи реестра, которые недоступны через Regedit. Registry Explorer позволяет экспортировать данные реестра в различные форматы, такие как CSV, JSON или HTML, для составления отчётов или дальнейшего анализа. В отличие от Regedit, Registry Explorer может обрабатывать офлайн-файлы ульев, что делает его идеальным для криминалистических расследований. Для анализа живых ульев (Live Hives) необходимо запускать Registry Explorer с правами администратора.

Мы также можем использовать режим Live Mode (живой режим).

Анализ TypedPaths

Ключ реестра TypedPaths, расположенный внутри улья NTUSER.DAT, является важным артефактом для криминалистического анализа поведения пользователя и злоумышленника в системе Windows. Он хранит пути, введённые в адресную строку Проводника или в диалоговое окно «Выполнить», отражая директории или файлы, к которым пользователь или злоумышленник обращался или искал во время своей активности.

Расположение этого ключа в живом реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths.

Этот ключ реестра динамически обновляется по мере ввода путей, предоставляя историческую запись взаимодействий пользователя с файловой структурой системы. Ключ TypedPaths содержит значения, представляющие пути, которые пользователь вводил вручную. Каждый путь хранится в отдельном значении под этим ключом, обычно называемом последовательно (например, url1, url2 и так далее), что отражает порядок их использования. Это позволяет получить хронологический обзор активности пользователя или злоумышленника.

Во время расследования ключ TypedPaths может быть исследован для выявления потенциальных признаков подозрительной активности. Ключ TypedPaths имеет значительную криминалистическую ценность, поскольку помогает восстановить:

Рабочий процесс пользователя:

• Определяет файлы, директории или сетевые ресурсы, к которым обращался пользователь.

• Даёт понимание рутинных действий, таких как доступ к общим дискам или часто используемым каталогам.

Действия злоумышленника:

• Если система была скомпрометирована, ключ может раскрыть исследование файловой системы жертвы злоумышленником.

• Выделяет конкретные директории или файлы, на которые был нацелен злоумышленник во время вторжения.

Контекст для расследований:

• Показывает намерения, раскрывая, что пользователь или злоумышленник искали или к чему обращались.

• Коррелирует с другими артефактами, такими как недавно открытые документы или журналы, чтобы создать детальную хронологию событий.

Восстановление доказательств:

• Предоставляет зацепки для восстановления удалённых файлов или обнаружения подозрительных директорий.

Анализ WordWheel Query и истории поиска

Ключ реестра WordWheel Query является важным артефактом для восстановления поведения пользователя при поиске в системах Windows. Он записывает термины, введённые в строку поиска Windows и другие поля поиска, предоставляя подробный обзор того, что пользователь искал в операционной системе.

Эта информация может быть критически важной в криминалистических расследованиях, особенно для понимания намерений пользователя или действий злоумышленника. Ключ WordWheel Query находится в следующем месте живого реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery.

Этот ключ обновляется динамически каждый раз, когда пользователь выполняет поиск, что делает его надёжным источником для отслеживания недавней активности. Каждый поисковый термин сохраняется как отдельное значение под этим ключом, обычно с последовательными именами, такими как 0, 1, 2 и так далее.

Эта история даёт представление о поведении и предпочтениях пользователя, часто раскрывая фокус их недавних действий.

Ключ WordWheel Query является мощным ресурсом для криминалистического анализа, предоставляя окно в поисковую активность пользователя в системе.

Анализ RecentDocs и отслеживание доступа к документам

Ключ реестра RecentDocs — важный артефакт в криминалистических расследованиях Windows. Он записывает информацию о недавно открытых документах и файлах, давая представление о действиях пользователя, его рабочем процессе и возможных действиях злоумышленника.

Анализируя ключ RecentDocs, эксперты могут определить, какие файлы были открыты, последовательность их открытия и типы файлов, которые использовались чаще всего. Ключ RecentDocs хранится в следующем месте реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs.

Этот ключ организует записи по расширениям файлов, что позволяет просматривать доступ к документам в категоризированном виде. В ключе RecentDocs содержатся подлючи для разных типов файлов в зависимости от их расширений (например, .docx, .pdf, .jpg). Также присутствует общий подключ для всех открытых файлов, независимо от их типа.

Каждая запись в подлючах хранит имена недавно открытых файлов. Двоичные значения могут указывать путь к файлам, порядок их открытия и временные метки.

Записи обновляются динамически при открытии файла пользователем. Система фиксирует самые последние файлы в порядке их открытия.

Анализ Common Dialog Box и активности
Ключ реестра Comdlg32 является важным артефактом в криминалистике Windows, так как он фиксирует взаимодействия пользователя с общими диалоговыми окнами, такими как «Открыть файл» или «Сохранить как». Этот артефакт может предоставить ценные сведения о файлах, к которым пользователь или злоумышленник обращались, сохраняли или с которыми взаимодействовали.

Ключ Comdlg32 находится в следующем месте реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32.

Обычно этот ключ содержит два важных подлюча:

LastVisitedPidlMRU:

• Хранит пути директорий, недавно открытых через общие диалоговые окна.

• Отслеживает директории, которые пользователь посещал при открытии или сохранении файлов.

• Полезен для выявления шаблонов исследования файловой системы.

OpenSavePidlMRU:

• Ведёт учёт недавно открытых файлов, сгруппированных по расширениям файлов (например, .docx, .pdf, .jpg).

• Записи содержат метаданные о файлах, к которым обращались или которые сохраняли через диалоговые окна.

• Помогает точно определить конкретные файлы, представляющие интерес для пользователя или злоумышленника.

Анализ UserAssist и отслеживание запуска программ

Ключ реестра UserAssist — мощный криминалистический артефакт в Windows, который ведет журнал информации о приложениях, запущенных пользователем. Он создан для улучшения пользовательского опыта, отслеживая часто используемые программы, но для специалистов по криминалистике предоставляет бесценные сведения о действиях пользователя, включая запуск приложений, частоту их использования и временные метки.

Ключ UserAssist находится в следующих путях в реестре Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

Внутри этого ключа расположены уникальные подключи с GUID, которые содержат закодированную информацию об использовании приложений. Каждый GUID-подключ соответствует категории активности, например, программы рабочего стола или ярлыки.

Например,
{75048700-EF1F-11D0-9888-006097DEACF9} отслеживает программы, запущенные через Проводник Windows.

Записи внутри GUID-подключей закодированы с помощью шифра ROT13 (простейшая замена букв). Записи содержат пути к приложениям, количество запусков и временную метку последнего запуска. Временная метка хранится в формате Windows FILETIME, который требует декодирования для интерпретации.

Ниже приведены часто встречающиеся GUID и их значения:

{75048700-EF1F-11D0-9888-006097DEACF9}

• Описание: Отслеживает программы и ярлыки, запущенные через меню «Пуск» или Проводник Windows.

• Значение: Этот GUID регистрирует использование приложений и предоставляет важную информацию о привычках пользователя при запуске программ.

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}

• Описание: Отслеживает взаимодействия пользователя с ярлыками или файлами, закрепленными на панели задач или в меню «Пуск».

• Значение: Полезен для определения часто используемых файлов или приложений.

{F4E57C4B-2036-11D1-9953-00C04FD919C1}

• Описание: Регистрирует сведения о приложениях, запущенных через диалог «Выполнить» или ярлыки в Проводнике Windows.

• Значение: Указывает на эпизодические запуски программ или прямые старты приложений.

{5E6AB780-7743-11CF-A12B-00AA004AE837}

• Описание: Отслеживает историю Internet Explorer, включая посещённые URL и открытые веб-приложения.

• Значение: Ключевой для понимания веб-активности в устаревших системах.

{9E04CAB2-CC14-11DF-BB8C-A2F1DED72085}

• Описание: Отслеживает недавно открытые папки в Проводнике файлов.

• Значение: Указывает на паттерны навигации пользователя, выявляя интересующие каталоги.

{1B4B7C2A-0003-4F53-91F5-065F8404D01C}

• Описание: Отслеживает игры, запущенные на системе (в ранних версиях Windows).

• Значение: Подчеркивает развлекательную или подозрительную активность, связанную с игровыми приложениями.

{8983036C-27C0-404B-8F08-102D10DCFD74}

• Описание: Отслеживает выполнение приложений UWP (Universal Windows Platform) на Windows 8 и новее.

• Значение: Предоставляет информацию о современном использовании приложений.

{BCB48336-4DDD-48FF-BB0B-D3190DACB3E2}

• Описание: Отслеживает элементы панели управления, к которым обращался пользователь.

• Значение: Полезен для выявления административных действий или изменений конфигурации.

Анализ RunMRU и диалогового окна Выполнить

Ключ реестра RunMRU хранит записи, введённые в диалоговое окно Выполнить,
доступное через сочетание клавиш Win+R или строку поиска в меню Пуск. Этот ключ
может предоставить ценные данные о командах и путях,
исполненных пользователем, раскрывая их взаимодействие с системой. Ключ RunMRU
предназначен для хранения списка команд, путей к файлам или названий приложений, введённых в диалоговое окно Выполнить. Он служит в качестве списка "наиболее недавно использованных" команд, помогая
пользователям за счёт автоподсказок ранее введённых команд. Записи
хранятся в виде отдельных значений под ключом RunMRU. Каждое значение имеет
имя в виде буквенной метки (например, a, b, c), а в его данных содержится введённая команда или путь. Особое значение с именем MRUList поддерживает порядок, в котором
эти записи были сделаны, предоставляя хронологический контекст.
Команды, сохранённые в RunMRU, могут раскрыть:

• Доступные пути к файлам.

• Запущенные приложения.

• Использованные административные команды, такие как cmd, regedit или msconfig.
  Записи в RunMRU могут подтверждать действия, найденные в других журналах или ключах реестра,
  таких как UserAssist или TypedPaths. Ключ расположен по пути
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU.

Анализ артефактов Shell Bag
С точки зрения криминалистики - артефакты Shell Bag являются важными
доказательствами, выступая в роли молчаливых свидетелей взаимодействия
пользователя с файловой системой. Эти артефакты предоставляют ценные сведения
о действиях с папками, даже если файлы или папки были удалены либо
предпринимались попытки скрыть активность. Артефакты Shell Bag могут показать
не только то, какие папки были открыты, но и способы доступа, временные метки, а
также параметры отображения, заданные для конкретных папок. Это делает их
незаменимыми в ходе цифровых расследований, помогая восстановить поведение
пользователя и выявить возможные вредоносные действия.

Следующая таблица обобщает основные ключи реестра и файлы, где хранятся
артефакты Shell Bag, а также краткое описание их крименалистической значимости:

Даже если папка была удалена, её метаданные часто сохраняются в записях Shell Bag,
что позволяет следователям выявлять ранее посещённые или скрытые каталоги.
Данные о временных метках, связанные с Shell Bag, могут помочь установить
последовательность событий, что критически важно для определения времени
определённых действий.

Настройки отображения папок и модели навигации могут дать представление о
намерениях и привычках пользователя. В сочетании с другими артефактами, такими как
RecentDocs или UserAssist, Shell Bag способен подтвердить полученные данные
или выявить несоответствия в утверждениях пользователя.

Эти артефакты обладают особой устойчивостью и остаются важным источником
доказательств даже в тех случаях, когда злоумышленник предпринял шаги для
удаления следов своей деятельности. Для анализа этих данных можно использовать приложение ShellBag Explorer. С его помощью можно исследовать каждую папку, настройку, сетевой ресурс и т. д., к которым обращался пользователь. ShellBag Explorer упрощает процесс извлечения, визуализации и анализа данных ShellBag. Программа предоставляет удобный интерфейс для разбора сложных структур реестра, обеспечивая следователей наглядным представлением о взаимодействии пользователя с папками на системе. Это особенно полезно при анализе поведения пользователя или выявлении несанкционированной активности.

Ниже приведён обзор ключевых аспектов ценной информации, содержащейся в ShellBag:

• Настройки отображения папок:
  ShellBag фиксирует, как пользователь просматривал конкретные папки, включая режимы отображения, такие как список, значки или подробности. Эти данные помогают восстановить предпочтения и поведение пользователя при работе с файловой системой.

• Пути к папкам:
  ShellBag отслеживает пути к каталогам, к которым обращался пользователь, будь то на локальной машине, внешних устройствах или сетевых ресурсах. Эти данные крайне важны для отслеживания маршрутов навигации пользователя и выявления чувствительной или подозрительной активности.

• Временные метки:
  ShellBag хранит различные временные метки, такие как время создания, последнего доступа или возможного изменения папки. Эти метки незаменимы при построении хронологии событий и определении последовательности действий.

• Пользовательские предпочтения:
  Зафиксирована подробная информация, такая как расположение значков, размеры окон и порядок сортировки папок. Эти предпочтения дают более глубокое понимание того, как пользователь взаимодействовал с системой.

• Удалённые папки:
  Одно из самых значимых преимуществ ShellBag в криминалистике — это способность сохранять данные о папках, которые были удалены. Эта функция позволяет следователям обнаруживать доказательства даже после попыток их уничтожения.

• Доступ к сетевым и внешним накопителям:
  ShellBag регистрирует папки, к которым осуществлялся доступ на внешних накопителях или сетевых ресурсах. Эта информация позволяет понять, использовал ли пользователь внешние или удалённые хранилища, и даёт представление о возможном перемещении данных или их утечке.

• Особенности версий Windows:
  Структура и данные в ShellBag зависят от версии Windows, подлежащей анализу. Понимание этих различий позволяет следователям извлечь максимальное количество релевантной информации, не упустив важные детали.

Анализ LNK-файлов

LNK-файлы, также известные как файлы ярлыков, — это небольшие бинарные файлы в Windows, служащие ссылками на другие файлы, папки или системные объекты. Эти файлы
автоматически создаются операционной системой Windows, когда пользователь
взаимодействует с определёнными элементами, такими как открытие документа,
запуск приложения или создание ярлыка. Анализ LNK-файлов может раскрыть множество сведений о действиях пользователя и взаимодействии с системой. LNK-файлы предоставляют хронологию доступа к файлам и папкам, помогая следователям понять рабочий процесс и поведение пользователя. Даже если целевой файл или папка были удалены или перемещены, LNK-файл сохраняет метаданные, предоставляя доказательства прошлых взаимодействий. LNK-файлы, ссылающиеся на внешние накопители или USB-устройства, могут помочь выявить использование съемных носителей и факты перемещения данных. Ярлыки, указывающие на сетевые ресурсы, могут свидетельствовать об использовании внешних источников или удалённых взаимодействиях. Также LNK-файлы могут использоваться в фишинговых или вредоносных кампаниях. Их анализ способен выявить пути выполнения вредоносных нагрузок или инструменты злоумышленников.

Ключевая информация, содержащаяся в LNK-файлах:

• Целевой путь (Target Path)

  • Полный путь к файлу или папке, на которые указывает ярлык.

  • Позволяет определить, к каким объектам обращался пользователь.

• Метаданные файла (File Metadata)

  • Временные метки: дата создания, последнего изменения и последнего доступа к целевому файлу или папке.

  • Размер файла: размер файла на момент создания LNK-файла.

• Информация о томе (Volume Information)

  • Содержит серийный номер диска, метку тома и букву диска, на котором находился целевой файл.

  • Критически важно при отслеживании файлов на съёмных носителях или внешних дисках.

• Сетевая информация (Network Information)

  • Для ярлыков, указывающих на сетевые ресурсы, может содержать UNC-путь или IP-адрес сетевого ресурса.

  • Полезно для выявления подключений к общим папкам или удалённым серверам.

• Детали выполнения (Execution Details)

  • Хранит информацию о способе открытия программы или файла, включая рабочую директорию и аргументы командной строки.

  • Показывает, как именно использовалось приложение.

• Иконка и метаданные (Icon and Metadata)

  • Содержит сведения об используемом значке ярлыка, который иногда указывает на дополнительные файлы или ресурсы.

Расположение LNK-файлов:

• Рабочий стол (Desktop)

  • Ярлыки, созданные пользователем вручную.

• Последние элементы (Recent Items)

  • C:\Users\<имя_пользователя>\AppData\Roaming\Microsoft\Windows\Recent

  • %userprofile%\AppData\Roaming\Microsoft\Windows\Recent

  • %userprofile%\recent

• Меню Пуск (Start Menu)

  • Ярлыки к приложениям и системным утилитам.

• Пользовательские пути (Custom Paths)

  • Местоположения, определяемые пользовательской активностью или поведением конкретных приложений.

Для анализа файлов, к которым обращался подозреваемый, мы будем исследовать LNK-файлы, созданные в результате его действий, с помощью инструмента под названием LECmd.exe.

Мы также можем использовать функции PowerShell для анализа LNK-файлов.

Анализ Jump Lists

Jump Lists — это функция, введённая в Windows 7 для улучшения удобства пользователя, предоставляя быстрый доступ к недавно или часто использовавшимся элементам для приложений, закреплённых на панели задач или в меню «Пуск». Однако с точки зрения криминалистики Jump Lists представляют собой настоящую кладезь информации для следователей, предлагая сведения о истории доступа пользователя к файлам, использовании приложений и даже взаимодействии с внешними устройствами.

Jump Lists — это по сути метаданные, которые отслеживают недавно или часто открываемые документы, ссылки или другие элементы, связанные с приложением.

Они делятся на два типа:

• Automatic Destinations (.automaticDestinations-ms): Автоматически создаваемые Jump Lists, которые отслеживают недавнюю активность для поддерживаемых приложений. Системные списки хранятся с именами файлов, структурированными как уникальные хэши.

• Custom Destinations (.customDestinations-ms): Jump Lists, создаваемые конкретными приложениями или разработчиками для определения часто используемых файлов или местоположений, содержат списки, определённые приложением, встречаются реже на практике.

Файлы Jump Lists хранятся в каталоге профиля пользователя:

• %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\

• %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\

Мы также можем использовать инструмент JumpListExplorer.

Анализ файлов Prefetch

Файлы Prefetch создаются планировщиком задач Windows при запуске приложения. Они хранятся в папке Prefetch и содержат метаданные о выполненной программе. Эти файлы включают:

• Имя файла: имя запущенного приложения.

• Время последнего запуска: отметка времени последнего запуска.

• Количество запусков: число раз, когда приложение было выполнено.

• Ссылочные файлы: список файлов, к которым обращалось приложение во время выполнения.

Файлы Prefetch находятся в каталоге C:\Windows\Prefetch. Каждый файл имеет расширение .pf и содержит имя приложения, за которым следует хэш-значение.

Windows не предоставляет встроенных инструментов для анализа файлов Prefetch, поэтому часто используются сторонние утилиты и скрипты.

Мы будем использовать PECmd.exe.

Ключевая информация:

• Имя исполняемого файла: Название программы, связанной с файлом prefetch.

• Хэш-значение: Уникальный хэш, сгенерированный Windows для приложения.

• Количество запусков: Число раз, когда приложение было выполнено.

• Отметки времени:

  • Время первого запуска: первая зафиксированная дата и время запуска приложения.

  • Время последнего запуска: самая свежая дата и время запуска приложения.

• Доступные файлы: Список файлов и DLL, к которым обращалось приложение во время выполнения.

• Информация о томе:

  • Серийный номер диска.

  • Дата создания тома и путь к нему.

• Версия файла Prefetch: Указывает версию Windows (например, Windows 10 использует версию 30).

Заключение

Возможность анализа различных источников — будь то записи недавно открытых документов, выполненные команды, введённые пути или shellbags — позволяет аналитику получить всестороннее представление о взаимодействиях пользователя с системой. Например, файлы Prefetch дают подробную историю запуска программ, а разделы реестра, такие как NTUSER.dat и USERAssist, могут раскрыть многое о предпочтениях пользователя, его поведении и даже попытках скрыть следы.

Как мы видели, инструменты криминалистики, такие как PECmd, Registry Explorer и ShellBag Explorer, облегчают извлечение и анализ этих артефактов. Эти инструменты позволяют исследователям систематически идентифицировать и интерпретировать важные данные, что ведёт к точным и надёжным выводам. В сочетании с ручными методами и знанием расположения и форматов артефактов, эти инструменты создают надёжную основу для анализа активности пользователей в Windows.

В постоянно меняющемся цифровом ландшафте, где как злоумышленники, так и обычные пользователи пытаются скрыть свои следы, понимание и использование этих артефактов остаётся незаменимым навыком для аналитиков. Независимо от того, реагируете ли вы на инцидент, проводите внутренний аудит или собираете доказательства для судебных целей, комплексный анализ активности пользователя необходим для выявления истины, скрытой в системе.

Сочетание технической экспертизы, аналитических инструментов и глубокого понимания внутренней структуры Windows в конечном итоге позволяет экспертам раскрывать и понимать действия пользователей в цифровом пространстве.