Αντι-Δικαστικές Τεχνικές

Reading time: 14 minutes

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Χρονικά Σημάδια

Ένας επιτιθέμενος μπορεί να ενδιαφέρεται για την αλλαγή των χρονικών σημείων αρχείων για να αποφύγει την ανίχνευση.
Είναι δυνατόν να βρείτε τα χρονικά σημεία μέσα στο MFT σε χαρακτηριστικά $STANDARD_INFORMATION __ και __ $FILE_NAME.

Και τα δύο χαρακτηριστικά έχουν 4 χρονικά σημεία: Τροποποίηση, πρόσβαση, δημιουργία και τροποποίηση μητρώου MFT (MACE ή MACB).

Ο εξερευνητής των Windows και άλλα εργαλεία δείχνουν τις πληροφορίες από $STANDARD_INFORMATION.

TimeStomp - Αντι-δικαστικό Εργαλείο

Αυτό το εργαλείο τροποποιεί τις πληροφορίες χρονικών σημείων μέσα στο $STANDARD_INFORMATION αλλά όχι τις πληροφορίες μέσα στο $FILE_NAME. Επομένως, είναι δυνατόν να εντοπιστεί ύποπτη δραστηριότητα.

Usnjrnl

Το USN Journal (Ημερολόγιο Αριθμού Ακολουθίας Ενημέρωσης) είναι μια δυνατότητα του NTFS (σύστημα αρχείων Windows NT) που παρακολουθεί τις αλλαγές του όγκου. Το UsnJrnl2Csv εργαλείο επιτρέπει την εξέταση αυτών των αλλαγών.

Η προηγούμενη εικόνα είναι η έξοδος που εμφανίζεται από το εργαλείο όπου μπορεί να παρατηρηθεί ότι κάποιες αλλαγές πραγματοποιήθηκαν στο αρχείο.

$LogFile

Όλες οι αλλαγές μεταδεδομένων σε ένα σύστημα αρχείων καταγράφονται σε μια διαδικασία γνωστή ως write-ahead logging. Τα καταγεγραμμένα μεταδεδομένα διατηρούνται σε ένα αρχείο με όνομα **$LogFile**, που βρίσκεται στον ριζικό κατάλογο ενός συστήματος αρχείων NTFS. Εργαλεία όπως το LogFileParser μπορούν να χρησιμοποιηθούν για την ανάλυση αυτού του αρχείου και την αναγνώριση αλλαγών.

Και πάλι, στην έξοδο του εργαλείου είναι δυνατόν να δούμε ότι κάποιες αλλαγές πραγματοποιήθηκαν.

Χρησιμοποιώντας το ίδιο εργαλείο είναι δυνατόν να εντοπιστεί σε ποιο χρόνο τροποποιήθηκαν τα χρονικά σημεία:

  • CTIME: Χρόνος δημιουργίας αρχείου
  • ATIME: Χρόνος τροποποίησης αρχείου
  • MTIME: Τροποποίηση μητρώου MFT του αρχείου
  • RTIME: Χρόνος πρόσβασης αρχείου

Σύγκριση $STANDARD_INFORMATION και $FILE_NAME

Ένας άλλος τρόπος για να εντοπιστούν ύποπτα τροποποιημένα αρχεία θα ήταν να συγκρίνουμε τον χρόνο και στα δύο χαρακτηριστικά αναζητώντας ασυμφωνίες.

Νανοδευτερόλεπτα

**Τα χρονικά σημεία NTFS έχουν μια ακρίβεια 100 νανοδευτερολέπτων. Έτσι, η εύρεση αρχείων με χρονικά σημεία όπως 2010-10-10 10:10:00.000:0000 είναι πολύ ύποπτη.

SetMace - Αντι-δικαστικό Εργαλείο

Αυτό το εργαλείο μπορεί να τροποποιήσει και τα δύο χαρακτηριστικά $STARNDAR_INFORMATION και $FILE_NAME. Ωστόσο, από τα Windows Vista, είναι απαραίτητο να υπάρχει ένα ζωντανό λειτουργικό σύστημα για να τροποποιηθεί αυτή η πληροφορία.

Απόκρυψη Δεδομένων

Το NFTS χρησιμοποιεί ένα cluster και το ελάχιστο μέγεθος πληροφορίας. Αυτό σημαίνει ότι αν ένα αρχείο καταλαμβάνει και ένα cluster και μισό, το υπόλοιπο μισό δεν θα χρησιμοποιηθεί ποτέ μέχρι να διαγραφεί το αρχείο. Έτσι, είναι δυνατόν να αποκρυφτούν δεδομένα σε αυτόν τον χώρο slack.

Υπάρχουν εργαλεία όπως το slacker που επιτρέπουν την απόκρυψη δεδομένων σε αυτόν τον "κρυφό" χώρο. Ωστόσο, μια ανάλυση του $logfile και του $usnjrnl μπορεί να δείξει ότι προστέθηκαν κάποια δεδομένα:

Έτσι, είναι δυνατόν να ανακτηθεί ο χώρος slack χρησιμοποιώντας εργαλεία όπως το FTK Imager. Σημειώστε ότι αυτός ο τύπος εργαλείου μπορεί να αποθηκεύσει το περιεχόμενο κρυπτογραφημένο ή ακόμα και κρυπτογραφημένο.

UsbKill

Αυτό είναι ένα εργαλείο που θα απενεργοποιήσει τον υπολογιστή αν ανιχνευθεί οποιαδήποτε αλλαγή στις θύρες USB.
Ένας τρόπος για να το ανακαλύψετε θα ήταν να ελέγξετε τις τρέχουσες διαδικασίες και να αναθεωρήσετε κάθε εκτελέσιμο python script.

Ζωντανές Διανομές Linux

Αυτές οι διανομές εκτελούνται μέσα στη μνήμη RAM. Ο μόνος τρόπος για να τις ανιχνεύσετε είναι σε περίπτωση που το σύστημα αρχείων NTFS είναι προσαρτημένο με δικαιώματα εγγραφής. Αν είναι προσαρτημένο μόνο με δικαιώματα ανάγνωσης, δεν θα είναι δυνατόν να ανιχνευθεί η εισβολή.

Ασφαλής Διαγραφή

https://github.com/Claudio-C/awesome-data-sanitization

Ρύθμιση των Windows

Είναι δυνατόν να απενεργοποιηθούν πολλές μέθοδοι καταγραφής των Windows για να καταστεί η δικαστική έρευνα πολύ πιο δύσκολη.

Απενεργοποίηση Χρονικών Σημείων - UserAssist

Αυτό είναι ένα κλειδί μητρώου που διατηρεί ημερομηνίες και ώρες όταν κάθε εκτελέσιμο εκτελείται από τον χρήστη.

Η απενεργοποίηση του UserAssist απαιτεί δύο βήματα:

  1. Ρυθμίστε δύο κλειδιά μητρώου, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs και HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, και τα δύο στο μηδέν για να δηλώσετε ότι θέλουμε να απενεργοποιηθεί το UserAssist.
  2. Καθαρίστε τους υποκαταλόγους του μητρώου σας που μοιάζουν με HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.

Απενεργοποίηση Χρονικών Σημείων - Prefetch

Αυτό θα αποθηκεύσει πληροφορίες σχετικά με τις εφαρμογές που εκτελούνται με στόχο τη βελτίωση της απόδοσης του συστήματος Windows. Ωστόσο, αυτό μπορεί επίσης να είναι χρήσιμο για δικαστικές πρακτικές.

  • Εκτελέστε regedit
  • Επιλέξτε τη διαδρομή αρχείου HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
  • Κάντε δεξί κλικ και στα δύο EnablePrefetcher και EnableSuperfetch
  • Επιλέξτε Τροποποίηση σε καθένα από αυτά για να αλλάξετε την τιμή από 1 (ή 3) σε 0
  • Επανεκκινήστε

Απενεργοποίηση Χρονικών Σημείων - Χρόνος Τελευταίας Πρόσβασης

Όποτε ένα φάκελος ανοίγεται από έναν όγκο NTFS σε έναν διακομιστή Windows NT, το σύστημα παίρνει τον χρόνο για να ενημερώσει ένα πεδίο χρονικού σημείου σε κάθε καταχωρημένο φάκελο, που ονομάζεται χρόνος τελευταίας πρόσβασης. Σε έναν πολύ χρησιμοποιούμενο όγκο NTFS, αυτό μπορεί να επηρεάσει την απόδοση.

  1. Ανοίξτε τον Επεξεργαστή Μητρώου (Regedit.exe).
  2. Περιηγηθείτε στο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
  3. Αναζητήστε το NtfsDisableLastAccessUpdate. Αν δεν υπάρχει, προσθέστε αυτό το DWORD και ρυθμίστε την τιμή του σε 1, που θα απενεργοποιήσει τη διαδικασία.
  4. Κλείστε τον Επεξεργαστή Μητρώου και επανεκκινήστε τον διακομιστή.

Διαγραφή Ιστορικού USB

Όλες οι Εγγραφές Συσκευών USB αποθηκεύονται στο Μητρώο των Windows κάτω από το κλειδί μητρώου USBSTOR που περιέχει υποκλειδιά που δημιουργούνται όποτε συνδέετε μια συσκευή USB στον υπολογιστή ή το φορητό σας. Μπορείτε να βρείτε αυτό το κλειδί εδώ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Διαγράφοντας αυτό θα διαγράψετε το ιστορικό USB.
Μπορείτε επίσης να χρησιμοποιήσετε το εργαλείο USBDeview για να βεβαιωθείτε ότι τα έχετε διαγράψει (και για να τα διαγράψετε).

Ένα άλλο αρχείο που αποθηκεύει πληροφορίες σχετικά με τα USB είναι το αρχείο setupapi.dev.log μέσα στο C:\Windows\INF. Αυτό θα πρέπει επίσης να διαγραφεί.

Απενεργοποίηση Σκιάς Αντιγράφων

Λίστα σκιάς αντιγράφων με vssadmin list shadowstorage
Διαγράψτε τα εκτελώντας vssadmin delete shadow

Μπορείτε επίσης να τα διαγράψετε μέσω GUI ακολουθώντας τα βήματα που προτείνονται στο https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html

Για να απενεργοποιήσετε τις σκιές αντιγράφων βήματα από εδώ:

  1. Ανοίξτε το πρόγραμμα Υπηρεσίες πληκτρολογώντας "services" στο πλαίσιο αναζήτησης κειμένου μετά την κλικ στο κουμπί εκκίνησης των Windows.
  2. Από τη λίστα, βρείτε "Volume Shadow Copy", επιλέξτε το και στη συνέχεια αποκτήστε πρόσβαση στις Ιδιότητες κάνοντας δεξί κλικ.
  3. Επιλέξτε Απενεργοποιημένο από το αναπτυσσόμενο μενού "Τύπος εκκίνησης" και στη συνέχεια επιβεβαιώστε την αλλαγή κάνοντας κλικ στο Εφαρμογή και OK.

Είναι επίσης δυνατόν να τροποποιήσετε τη ρύθμιση των αρχείων που θα αντιγραφούν στη σκιά στο μητρώο HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Επικαλύψτε διαγραμμένα αρχεία

  • Μπορείτε να χρησιμοποιήσετε ένα εργαλείο Windows: cipher /w:C Αυτό θα υποδείξει στον cipher να αφαιρέσει οποιαδήποτε δεδομένα από τον διαθέσιμο μη χρησιμοποιούμενο χώρο δίσκου μέσα στον δίσκο C.
  • Μπορείτε επίσης να χρησιμοποιήσετε εργαλεία όπως το Eraser

Διαγραφή καταγραφών γεγονότων Windows

  • Windows + R --> eventvwr.msc --> Επεκτείνετε "Windows Logs" --> Κάντε δεξί κλικ σε κάθε κατηγορία και επιλέξτε "Clear Log"
  • for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
  • Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Απενεργοποίηση καταγραφών γεγονότων Windows

  • reg add 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\eventlog' /v Start /t REG_DWORD /d 4 /f
  • Μέσα στην ενότητα υπηρεσιών απενεργοποιήστε την υπηρεσία "Windows Event Log"
  • WEvtUtil.exec clear-log ή WEvtUtil.exe cl

Απενεργοποίηση $UsnJrnl

  • fsutil usn deletejournal /d c:

Προηγμένη Καταγραφή & Παραποίηση Ιχνών (2023-2025)

Καταγραφή ScriptBlock/Module PowerShell

Οι πρόσφατες εκδόσεις των Windows 10/11 και Windows Server διατηρούν πλούσια δικαστικά αποδεικτικά στοιχεία PowerShell κάτω από Microsoft-Windows-PowerShell/Operational (γεγονότα 4104/4105/4106). Οι επιτιθέμενοι μπορούν να τα απενεργοποιήσουν ή να τα διαγράψουν εν κινήσει:

powershell
# Turn OFF ScriptBlock & Module logging (registry persistence)
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\PowerShell\\3\\PowerShellEngine" \
-Name EnableScriptBlockLogging -Value 0 -PropertyType DWord -Force
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ModuleLogging" \
-Name EnableModuleLogging -Value 0 -PropertyType DWord -Force

# In-memory wipe of recent PowerShell logs
Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' |
Remove-WinEvent               # requires admin & Win11 23H2+

Οι αμυντικοί θα πρέπει να παρακολουθούν τις αλλαγές σε αυτά τα κλειδιά μητρώου και την υψηλή αφαίρεση γεγονότων PowerShell.

ETW (Event Tracing for Windows) Patch

Τα προϊόντα ασφάλειας τερματικών εξαρτώνται σε μεγάλο βαθμό από το ETW. Μια δημοφιλής μέθοδος αποφυγής το 2024 είναι να διορθώσετε το ntdll!EtwEventWrite/EtwEventWriteFull στη μνήμη έτσι ώστε κάθε κλήση ETW να επιστρέφει STATUS_SUCCESS χωρίς να εκπέμπει το γεγονός:

c
// 0xC3 = RET on x64
unsigned char patch[1] = { 0xC3 };
WriteProcessMemory(GetCurrentProcess(),
GetProcAddress(GetModuleHandleA("ntdll.dll"), "EtwEventWrite"),
patch, sizeof(patch), NULL);

Public PoCs (e.g. EtwTiSwallow) implement the same primitive in PowerShell or C++. Because the patch is process-local, EDRs running inside other processes may miss it. Detection: compare ntdll in memory vs. on disk, or hook before user-mode.

Αναβίωση Εναλλακτικών Ρευμάτων Δεδομένων (ADS)

Malware campaigns in 2023 (e.g. FIN12 loaders) have been seen staging second-stage binaries inside ADS to stay out of sight of traditional scanners:

cmd
rem Hide cobalt.bin inside an ADS of a PDF
type cobalt.bin > report.pdf:win32res.dll
rem Execute directly
wmic process call create "cmd /c report.pdf:win32res.dll"

Αναγνωρίστε ροές με dir /R, Get-Item -Stream *, ή Sysinternals streams64.exe. Η αντιγραφή του αρχείου host σε FAT/exFAT ή μέσω SMB θα αφαιρέσει τη κρυφή ροή και μπορεί να χρησιμοποιηθεί από τους ερευνητές για να ανακτήσουν το payload.

BYOVD & “AuKill” (2023)

Bring-Your-Own-Vulnerable-Driver χρησιμοποιείται πλέον τακτικά για anti-forensics σε επιθέσεις ransomware. Το εργαλείο ανοιχτού κώδικα AuKill φορτώνει έναν υπογεγραμμένο αλλά ευάλωτο οδηγό (procexp152.sys) για να αναστείλει ή να τερματίσει τους EDR και τους forensic αισθητήρες πριν από την κρυπτογράφηση & την καταστροφή των καταγραφών:

cmd
AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe"
AuKill.exe -k CrowdStrike

Ο οδηγός αφαιρείται στη συνέχεια, αφήνοντας ελάχιστα αποδεικτικά στοιχεία.
Μειώσεις: ενεργοποιήστε τη λίστα αποκλεισμού ευάλωτων οδηγών της Microsoft (HVCI/SAC) και ειδοποιήστε για τη δημιουργία υπηρεσίας πυρήνα από διαδρομές που μπορούν να γραφούν από χρήστες.

Linux Anti-Forensics: Αυτο-επιδιόρθωση και Cloud C2 (2023–2025)

Αυτο‑επιδιόρθωση συμβιβασμένων υπηρεσιών για μείωση της ανίχνευσης (Linux)

Οι αντίπαλοι ολοένα και περισσότερο “αυτο‑επιδιορθώνουν” μια υπηρεσία αμέσως μετά την εκμετάλλευσή της για να αποτρέψουν την επανα-εκμετάλλευση και να καταστείλουν τις ανιχνεύσεις που βασίζονται σε ευπάθειες. Η ιδέα είναι να αντικαταστήσουν ευάλωτα στοιχεία με τις τελευταίες νόμιμες upstream εκδόσεις/JARs, έτσι ώστε οι σαρωτές να αναφέρουν τον υπολογιστή ως επιδιορθωμένο ενώ η επιμονή και το C2 παραμένουν.

Παράδειγμα: Apache ActiveMQ OpenWire RCE (CVE‑2023‑46604)

  • Μετά την εκμετάλλευση, οι επιτιθέμενοι αντλήθηκαν νόμιμα JARs από το Maven Central (repo1.maven.org), διέγραψαν τα ευάλωτα JARs στην εγκατάσταση του ActiveMQ και επανεκκίνησαν τον μεσίτη.
  • Αυτό έκλεισε την αρχική RCE ενώ διατηρούσε άλλα σημεία πρόσβασης (cron, αλλαγές ρυθμίσεων SSH, ξεχωριστά εμφυτεύματα C2).

Επιχειρησιακό παράδειγμα (εικονικό)

bash
# ActiveMQ install root (adjust as needed)
AMQ_DIR=/opt/activemq
cd "$AMQ_DIR"/lib

# Fetch patched JARs from Maven Central (versions as appropriate)
curl -fsSL -O https://repo1.maven.org/maven2/org/apache/activemq/activemq-client/5.18.3/activemq-client-5.18.3.jar
curl -fsSL -O https://repo1.maven.org/maven2/org/apache/activemq/activemq-openwire-legacy/5.18.3/activemq-openwire-legacy-5.18.3.jar

# Remove vulnerable files and ensure the service uses the patched ones
rm -f activemq-client-5.18.2.jar activemq-openwire-legacy-5.18.2.jar || true
ln -sf activemq-client-5.18.3.jar activemq-client.jar
ln -sf activemq-openwire-legacy-5.18.3.jar activemq-openwire-legacy.jar

# Apply changes without removing persistence
systemctl restart activemq || service activemq restart

Forensic/hunting tips

  • Ελέγξτε τους καταλόγους υπηρεσιών για μη προγραμματισμένες αντικαταστάσεις binary/JAR:
  • Debian/Ubuntu: dpkg -V activemq και συγκρίνετε τα hashes/paths αρχείων με τα mirrors του repo.
  • RHEL/CentOS: rpm -Va 'activemq*'
  • Αναζητήστε εκδόσεις JAR που είναι παρούσες στον δίσκο και δεν ανήκουν στον διαχειριστή πακέτων, ή συμβολικούς συνδέσμους που ενημερώθηκαν εκτός ζώνης.
  • Χρονοδιάγραμμα: find "$AMQ_DIR" -type f -printf '%TY-%Tm-%Td %TH:%TM %p\n' | sort για να συσχετίσετε ctime/mtime με το παράθυρο συμβιβασμού.
  • Ιστορικό shell/τηλεμετρία διεργασιών: αποδείξεις για curl/wget προς repo1.maven.org ή άλλες CDNs τεκμηρίων αμέσως μετά την αρχική εκμετάλλευση.
  • Διαχείριση αλλαγών: επιβεβαιώστε ποιος εφαρμόσε το “patch” και γιατί, όχι μόνο ότι υπάρχει μια διορθωμένη έκδοση.

Cloud‑service C2 με bearer tokens και anti‑analysis stagers

Παρατηρήθηκε ότι η τεχνική συνδύασε πολλαπλές διαδρομές C2 μακράς διάρκειας και συσκευασίες anti‑analysis:

  • Φορτωτές ELF PyInstaller με προστασία κωδικού πρόσβασης για να εμποδίσουν την απομόνωση και την στατική ανάλυση (π.χ., κρυπτογραφημένο PYZ, προσωρινή εξαγωγή κάτω από /_MEI*).
  • Δείκτες: strings hits όπως PyInstaller, pyi-archive, PYZ-00.pyz, MEIPASS.
  • Τεχνουργήματα χρόνου εκτέλεσης: εξαγωγή σε /tmp/_MEI* ή προσαρμοσμένες διαδρομές --runtime-tmpdir.
  • C2 υποστηριζόμενο από Dropbox χρησιμοποιώντας σκληροκωδικοποιημένα OAuth Bearer tokens
  • Δίκτυα: api.dropboxapi.com / content.dropboxapi.com με Authorization: Bearer <token>.
  • Αναζητήστε σε proxy/NetFlow/Zeek/Suricata για εξερχόμενο HTTPS προς το Dropbox από φορτία διακομιστή που δεν συγχρονίζουν κανονικά αρχεία.
  • Παράλληλο/αντίγραφο C2 μέσω tunneling (π.χ., Cloudflare Tunnel cloudflared), διατηρώντας τον έλεγχο αν ένα κανάλι αποκλειστεί.
  • IOCs φιλοξενίας: διεργασίες/μονάδες cloudflared, ρύθμιση στο ~/.cloudflared/*.json, εξερχόμενο 443 προς τα Cloudflare edges.

Persistence και “hardening rollback” για τη διατήρηση πρόσβασης (παραδείγματα Linux)

Οι επιτιθέμενοι συχνά συνδυάζουν την αυτοδιορθωτική διαδικασία με ανθεκτικές διαδρομές πρόσβασης:

  • Cron/Anacron: επεξεργασίες στο stub 0anacron σε κάθε κατάλογο /etc/cron.*/ για περιοδική εκτέλεση.
  • Αναζητήστε:
bash
for d in /etc/cron.*; do [ -f "$d/0anacron" ] && stat -c '%n %y %s' "$d/0anacron"; done
grep -R --line-number -E 'curl|wget|python|/bin/sh' /etc/cron.*/* 2>/dev/null
  • Ανάκτηση σκληρής ρύθμισης SSH: ενεργοποίηση root logins και τροποποίηση των προεπιλεγμένων shells για λογαριασμούς χαμηλών δικαιωμάτων.
  • Αναζητήστε ενεργοποίηση root login:
bash
grep -E '^\s*PermitRootLogin' /etc/ssh/sshd_config
# flag values like "yes" or overly permissive settings
  • Αναζητήστε ύποπτα διαδραστικά shells σε συστήματα λογαριασμών (π.χ., games):
bash
awk -F: '($7 ~ /bin\/(sh|bash|zsh)/ && $1 ~ /^(games|lp|sync|shutdown|halt|mail|operator)$/) {print}' /etc/passwd
  • Τυχαία, σύντομα ονόματα beacon artifacts (8 αλφαβητικά χαρακτήρες) που αποθηκεύονται στον δίσκο και επικοινωνούν επίσης με cloud C2:
  • Αναζητήστε:
bash
find / -maxdepth 3 -type f -regextype posix-extended -regex '.*/[A-Za-z]{8}$' \
-exec stat -c '%n %s %y' {} \; 2>/dev/null | sort

Οι αμυντικοί θα πρέπει να συσχετίσουν αυτά τα τεκμήρια με εξωτερική έκθεση και γεγονότα επιδιόρθωσης υπηρεσιών για να αποκαλύψουν την αυτοδιορθωτική διαδικασία anti‑forensic που χρησιμοποιείται για να κρύψει την αρχική εκμετάλλευση.

References

tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks