JSSI 2012 - Forensics Windows

Nicolas Hanteville (Devoteam)

« Forensics Windows »
edit: slides
Pourquoi faire du Forensic : parce qu’on s’est fait pwner !!!

L’objectif est alors simple, identifier le scénario d’intrusion et comprendre les actions de l’attaquant sur le système. Les sources d’investigations sont l’état instantanné, le système de fichier, la base de registres etc…

La journalisation du système de fichier aide à tracer les évènements dans le temps, bien qu’elle soit aisément falsifiable. Les restrictions d’accès sont parfois mal manipulés par des administrateurs peu regardants. les ADS sont aussi une source d’offuscation d’informations sur le disque. Les Streams (sysinternals).

Le gros problème de l’analyse forensic sous Windows : le meilleur environnement c’est Windows. Ce qui pose des problèmes en cas de codes offensifs.

Les journaux d’audits sont splittés en deux groupes avec des formats différents… Evt/Evtx dont le but est de réduire la taille des journaux. Ils peuvent être une bonne source d’information, mais sont parfois dégagés car il prennent trop de place !
Le problème lorsqu’on accède à ces journaux au travers des API, c’est qu’on peut passer à coté de pas mal d’éléments notamment les manipulations qui ont pu être effectués, et ces journaux sont directement impactés par les changements de date système.

Coté bases de registres, le format binaire n’a quasiment pas évolué, et elle traine un tas de casseroles numériques avec des clefs datant des premiers systèmes NT. C’est presque une base de données avec des ACL etc… il est possible d’éditer la base offline, mais ça peut devenir compliqué avec bitlocker. Il n’y a aucun mécanisme de sécurité sur la base de registre, et il y a donc toujours moyen de bidouiller pour y accéder et la modifier. Comme les éléments sont doublement chaînés père fils et fils père, il est possible de reposer sur ce mécanisme pour faire de la récupération de données sur la base de registres.

Dans la base de registre, il est possible de lancer un exécutable de plein de façon différentes en plaçant les bonnes clefs aux bons endroits. Les MRU most recent uses sont censé contenir les derniers éléments ouverts sur le système et tracer les historiques d’usage.

Si on trace toutes les namekeys de la base de registres, ben que ça prenne des plombes, on peut obtenir une traçabilité assez complète des actions sur le système. Si ces informations sont couplés aux journaux d’audits et aux journaux fichiers, il y à moyen d’obtenir une vision assez complète des actions effectués sur le système.

On en arrive à l’outil qu’ils ont créé : http://omnia-projetcs.googlecode.com/svn/trunk/RTCA/RtCA.exe

Il tourne sous wine et est donc utilisable depuis un live-cd. Il est compact petit, et assez complet(apparemment).