دعونا نتخيل موقفًا عندما ينفّذ المهاجم الإلكتروني بعض الأوامر عن بُعد على محطة العمل المصابة باستخدام واجهة سطر الأوامر (cmd.exe) أو باستخدام جهاز USB خاص مثل Teensy أو Rubber Ducky
كيف يمكننا أن نرى هذه الأوامر أثناء عملية الطب الشرعي الرقمي؟
في حالة الاختبار هذه ، استخدمت جهازًا نموذجيًا USB-Rubber Ducky مع حمولة يتم تنفيذه ، ويقوم بتشغيل وحدة تحكم لسطر الأوامر (cmd.exe) ثم استخدم xcopy.exe لنسخ بعض البيانات إلى محرك الأقراص الثابتة. بعد ذلك قمت بتفريغ ذاكرة الوصول العشوائي وحاولت العثور على هذه الأوامر باستخدام برنامج نصي للتذبذب. ولا توجد أوامر مكتوبة بلوحة مفاتيح وهمية (Rubber Ducky).
هناك طريقة أخرى يمكنك اتباعها - في حالة بدء تشغيل أداة مساعدة لوحدة تحكم وترى ملفات .pf ذات الصلة في المجلد
\ Windows \ Prefetch ، يمكنك التحقق من تفريغ ذاكرة باستخدام winhex أو أداة أخرى للعثور على بعض مثيلات هذه الأوامر داخل الذاكرة.
لكن من الواضح أنك تحتاج إلى مهارات خاصة لإجراء هذا البحث ، كما قد يستغرق الأمر بعض الوقت حسب مستوى مهاراتك.
لذلك ، إذا كان المهاجم الإلكتروني يستخدم نوعًا من جهاز Rubber Ducky أو أوامر أنواع عن بعد في كمد ، فمن الصعب حقًا العثور على نص كامل لهذه الأوامر أثناء التحقيق في الحادث.
ما الذي يمكننا القيام به لنكون مستعدين لمواقف مماثلة ولإعداد بنية تحتية لتكنولوجيا المعلومات في الشركات مُعدة جيدًا للتحقيق السريع في الطب الشرعي الرقمي؟
إذا كانت البنية الأساسية لتكنولوجيا المعلومات لديك مبنية على نظام AD DS ونظام التشغيل Windows Server 2012 R2 / Windows 8.1 OS ، فيمكنك تكوين تدقيق سطر الأوامر المحسن عبر سياسات المجموعة.
يوجد
معرّف حدث
4688 خاص في أحداث أمان Windows ، لكن بدون تكوين إضافي ، فإنه لا يتضمن سوى معلومات ضئيلة حول العمليات ولا يتضمن أي معلومات مفيدة حول الأوامر المكتوبة والمنفذة في وحدة التحكم بالأوامر.
كل ما نحتاج إلى القيام به هو تمكين خيارين في كائن "نهج المجموعة" باستخدام
gpmc.msc على وحدة تحكم المجال:
- تكوين الكمبيوتر \ إعدادات Windows \ إعدادات الأمان \ تكوين سياسة التدقيق المتقدمة \ سياسات تدقيق النظام \ تتبع مفصل \ إنشاء عملية التدقيق
- تكوين الكمبيوتر \ قوالب الإدارة \ النظام \ التدقيق عملية إنشاء \ تضمين سطر الأوامر في أحداث إنشاء العملية
بالطبع ، يجب تحديث هذه السياسة على محطات العمل تحت المراقبة باستخدام
gpupdate / force أو مجرد انتظار فترة تحديث GP المجال الخاص بك.
الآن إذا تم تنفيذ أي أوامر من وحدة تحكم الأوامر ، فسيتم تخزينها بنص كامل في أحداث أمان النظام
بمعرف 4688 :
شكرًا لك ، سأعود قريبًا مع محتوى الطب الشرعي الرقمي الجيد الآخر!