ثريد | تعرف أن المخترقين يقدرون يغيرون تواريخ وأوقات أي ملف ويجعلون تاريخ إنشاء وتعديل الملف وكأنه قبل شهر أو حتى سنين؟
والهدف أنك حتى لو عرفت أنك مخترق ما تقدر تجد ملفاتهم الضارة بسهوله
هذا الأسلوب نسميه Timestamp Manipulation أو Timestomping
تابع الثريد عشان تفهمه وتكتشفه 👇🏻
والهدف أنك حتى لو عرفت أنك مخترق ما تقدر تجد ملفاتهم الضارة بسهوله
هذا الأسلوب نسميه Timestamp Manipulation أو Timestomping
تابع الثريد عشان تفهمه وتكتشفه 👇🏻
تخيل أن المهاجم يحتاج وضع الملف الضار Malware في مجلد Windows\System32
ويحتاج أنه يكون هالملف كأنه ملف نظام عادي تابع لويندوز
أكيد بيخلي اسم الملف كأنه طبيعي لكن تواريخ الملف راح تفضحه لأن وجود أي ملف بتاريخ جديد بمثل هالمجلد هو أمر مثير للإشتباء وأي محقق رقمي راح يكتشف الملف
ويحتاج أنه يكون هالملف كأنه ملف نظام عادي تابع لويندوز
أكيد بيخلي اسم الملف كأنه طبيعي لكن تواريخ الملف راح تفضحه لأن وجود أي ملف بتاريخ جديد بمثل هالمجلد هو أمر مثير للإشتباء وأي محقق رقمي راح يكتشف الملف
عشان الملف الضار ما يصير مثير للإنتباه بشكل واضح، المهاجم راح يغير تواريخ الملف، خصوصا تاريخ انشاء الملف وتاريخ تعديله باستخدام بعض الأدوات والأوامر وهذا تحديدا هو مفهوم Timestomping أو Timestamp Manipulation
أفضل استراتيجية للتحقق من أي ملف اذا كان تم التلاعب فيه من خلال Timestomping هي تطبيق عدة طرق للتحقق وعدم الإعتماد على طريقة واحدة:
1- الطريقة الاولى هي التحقق إذا كان تاريخ Creation Date في $STANDARD_INFORMATION أقدم من Creation Date في $File_NAME
فقد يكون تم التلاعب بتاريخه
1- الطريقة الاولى هي التحقق إذا كان تاريخ Creation Date في $STANDARD_INFORMATION أقدم من Creation Date في $File_NAME
فقد يكون تم التلاعب بتاريخه
2- التحقق من الثواني في $STANDARD_INFORMATION اذا كانت ارقام الثواني كلها أصفار 0 كما في الصورة، فاحتمال كبير أنه تم التلاعب بالتاريخ والوقت كما في المثال الي يشير اليه السهم الأحمر
__
لتطبيق التحقق في الطريقة رقم 1 و 2 يمكنك استخدام أدوات مثل MFTECmd, fls, istat, FTK Manager
__
لتطبيق التحقق في الطريقة رقم 1 و 2 يمكنك استخدام أدوات مثل MFTECmd, fls, istat, FTK Manager
3- اذا كان تاريخ Creation time او Modification time أقدم من تاريخ The Compile time, فهذا يعني أن أوقات وتواريخ الملف قد يكون تم التلاعب فيها.
للقيام بهذا التحقق رقم 3 تستطيع استخدام اداة exiftool.exe.
ملاحظة: في أداة exiftool التاريخ والوقت المسمى Time Stamp هو The Compile Time
للقيام بهذا التحقق رقم 3 تستطيع استخدام اداة exiftool.exe.
ملاحظة: في أداة exiftool التاريخ والوقت المسمى Time Stamp هو The Compile Time
4- في ShimCache تحقق من Modification Time وقارنه Modification Time الحالي للملف، إذا كانت تاريخ ووقت الملف حاليا أقدم من تاريخ ووقت الملف في ShimCache فهذا قد يدل على أنه تم التعديل على الملف وجعله يظهر وكأنه ملف قديم على الجهاز.
طبعا فيه طرق أخرى.. لكني شرحت بعض أشهرها.
أتمنى استفدتوا من هالسلسلة من التغريدات وفهمتوا الـ TimeStopming ووش فايدته للمهاجم وكيف ممكن نكتشفه 👍🏻
أتمنى استفدتوا من هالسلسلة من التغريدات وفهمتوا الـ TimeStopming ووش فايدته للمهاجم وكيف ممكن نكتشفه 👍🏻
ملاحظة مهمة جدا: أدوات التلاعب Timestomping تستطيع التعديل على الأوقات والتواريخ في $STANDARD_INFORMATION فقط ولا تستطيع غالبا التعديل على التواريخ والاوقات في $FILE_NAME
لذلك نقوم بالمقارنة على سبيل المثال بين Creation Date الموجود في $FN و الموجود في $SI لأنهما يجب أن يكون تاريخ انشاء الملف Creation Date فيهما متطابق
فلا يعقل أن يكون هنالك ملف يحمل Creation dates مختلفة!
فلا يعقل أن يكون هنالك ملف يحمل Creation dates مختلفة!
جاري تحميل الاقتراحات...