Queira o Sr. Perito explicar como utilizar o Jump List para criação de linhas de tempo

jumplistO sistema operacional Windows possui recursos presentes em todas as suas versões que apoiam na determinação dos últimos passos de um usuário, esses recursos são os registros (onde são armazenadas informações a respeito das configurações do computador) e os eventos (onde são armazenadas informações sobre as ações do usuário e do sistema). Entretanto, as informações que podem ser verificadas nesses dois recursos são extremamente limitadas e geralmente não permitem a um examinador forense criar uma linha de tempo completa.

Dentre os diversos outros recursos e funções do Windows que, embora não tenham esse objetivo, ajudam na reconstituição de eventos, encontra-se o Jump-List.

Existe um arquivo Jump-List para cada programa utilizado no computador, ou seja, para a lista de opções e recentes do Internet Explorer haverá um Jump-List específico, o mesmo acontece para a lista do Microsoft Word etc. Esses arquivos são criados pelo sistema operacional e estão localizados em dois locais:

C:\ Users\ %USERNAME%\ AppData\ Roaming\ Microsoft\ Windows\ Recent\ AutomaticDestinations

C:\ Users \%USERNAME%\ AppData\ Roaming\ Microsoft\ Windows\ Recent\ customDestinations

Uma informação importante sobre o arquivo Jump-List é que ele não é apagado automaticamente após a desinstalação do programa sobre o qual ele se refere. Isso significa que é possível localizar informação sobre a utilização de um programa que já foi desinstalado pelo usuário. Outro ponto é que o arquivo Jump-List suporta mais de um registro de operações recentes. Isso significa que o Jump-List do Microsoft Word, por exemplo, mostrará não só informações sobre o último arquivo aberto, mas sim dos últimos arquivos recentemente abertos neste programa.

As informações utilizadas pelo sistema operacional para geração da Jump-List são armazenadas OLE Compound Files (arquivo do tipo contêiner que permite o armazenamento de vários registros ou fluxos). Por possui estrutura e codificação própria, os arquivos Jump-List devem ser previamente tratados por ferramenta específica para então serem analisados. Nesse artigo utilizaremos a ferramenta JMP – Jump List Parser versão 0.17, desenvolvido por TZWorks, LLC.

Para reproduzir esse procedimento será necessário baixar três ferramentas livres, o FTK Imager, o Jump List Parser e o Registry Viewer, os quais podem ser encontrados nos sites a seguir:

FTK Imager: http://www.accessdata.com/support/product-downloads

Jump List Parser: https://tzworks.net/download_links.php

Registry Viewer: http://www.accessdata.com/support/product-downloads

PARTE 01 DOS EXAMES

Abra uma imagem forense com a ferramenta FTK Imager para ter acesso à estrutura de arquivos:

1

Utilizando a “Evidence Tree”, localize o diretório “C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination”:

2

Selecione todos os arquivos mostrados em “File List” e clique com o botão direito sobre eles, escolha a opção “Export Files…” para salvar os arquivos selecionados no computador:

3

Após terem sido exportados, vamos utilizar o software Jump List Parser para decodificar os arquivos Jump-List. Para saber a qual programa um arquivo Jump-List se refere, verifique o significado de seu ID (conjunto de caracteres hexadecimais que antecede o texto AutomaticDestinations no nome do arquivo) no endereço http://www.forensicswiki.org/wiki/List_of_Jump_List_IDs.

Nesse exemplo utilizaremos o arquivo Jump-List referente ao programa Windows Explorer. O nome desse arquivo é “1b4dd67f29cb1962.automaticDestinations-ms”. Contudo, qualquer outro arquivo Jump-List pode ser utilizado para realização desse procedimento.

Abra o Terminal de Comandos do Windows (CMD) e navegue até o diretório onde o programa JMP foi baixado (utilize o comando CD). Digite o seguinte comando: > jmp64.exe {arquivo Jump-List} –csv > {destino/nome_do_arquivo_resultado}. O parâmetro “-csv” foi utilizado para que o resultado do processamento do arquivo Jump-List fosse criado em formato tabulado permitindo fácil manipulação no Microsoft Excel.

4

Após decodificação do arquivo, abra o resultado no programa Microsoft Excel, selecione a 1ª coluna e na guia de opções “Data”, escolha a opção “Text to Columns”.

5

Na janela seguinte escolha a opção “Delimitado” e clique em “Avançar”. Na próxima janela escolha como delimitador o caractere vírgula e clique em “Concluir”.

6

Os principais campos deste relatório estão descritos na tabela a seguir:

Metadata Description
source   path/filename Arquivo   Jump-List processado
MRU   date Data da criação do registro
MRU-UTC Hora de criação do registro
tgt   mdate Data de modificação do target
tgt   adate Data de ultimo acesso do target
tgt   cdate Data de criação do target
vol   type Descrição do volume
vol   serial Serial number do volume
network/device   info Endereço de dispositivos em rede
extra   info Informações adicionais do target
netbios   name Nome do dispositivo em rede
volume   id Identificar único do volume
mac   addr Mac Address do dispositivo

Além dos 13 atributos descritos nesse tutorial o relatório gerado pelo Jump List Parser possui outros 23 atributos. Eles servem, em sua maioria, para identificação do MAC Time do target e informações de identificação do volume.

Com base nesse relatório é possível saber, por exemplo, locais de rede acessados pelo usuário, dispositivos externos e sua estrutura de diretórios, data de acessos e informações de identificação dos volumes e locais de rede.

Cabe ressaltar que há arquivos Jump-List para diferentes programas. O exemplo utilizado refere-se ao programa Windows Explorer, portanto o resultado indicará os locais acessados pelo usuário. Se o objetivo for verificar quais arquivos Microsoft Power Point foram acessados, basta analisar o arquivo Jump List referente a este programa. Além de saber quais arquivos foram abertos é possível identificar onde eles estavam localizados e, portanto, definir se eles estavam no próprio computador ou em drives usb.

CASOS DE USO

IDENTIFICAÇÃO DE ARQUIVOS EM DRIVES EXTERNOS

Verificar se documentos foram copiados para um dispositivo externo é um trabalho difícil, pois o sistema operacional Windows não possui registros específicos para eventos de cópia. Então o que fazer para verificar uma suspeita desse tipo? Uma alternativa é verificar o arquivo Jump-List do programa utilizado para visualizar/editar o tipo de documento alvo. No exemplo a seguir consideraremos que os documentos alvos são do tipo Microsoft Word.

O primeiro passo é localizar o arquivo Jump-List do programa Microsoft Word. Ele deve estar localizado no diretório …\Recent\AutomaticDestination e possui ID a7bd71699cd38d1c. Note que para cada versão do Word a um arquivo Jump-List de ID diferente. A exportação do arquivo em uma imagem forense deve ser realizada utilizando o FTK Imager, conforme mostrado na PARTE 01 deste tutorial.

O segundo passo é utilizar o Jump List Parser para decodificar esse arquivo. Para isso, utilize o procedimento também descrito na PARTE 01 deste tutorial. O resultado desses dois passos deve ser um relatório similar ao mostrado a seguir:

7

Na primeira linha desse relatório encontramos uma referência ao arquivo de nome “Final Report.docx”. Veja a seguir as principais propriedades desse registro:

Metadata Value Description
MRU   date 10/14/2013 Data da criação do registro
vol   type removable Tipo de dispositivo
vol   serial A747-1f10 Número de sério do volume
vol   label E-PROBST Nome amigável do dispositivo
local   path D:\Final Report.docx Endereço do arquivo

De acordo com os valores mostrados na tabela acima, podemos concluir que um documento de nome “Final Report.docx” estava em 10/14/2013 armazenado em um dispositivo identificado pela label “E-PROBST”.

Para saber qual o tipo de dispositivo identificado com a esta label e número de série podemos verificar os registros de sistema. Para isso, basta extrair o registro SYSTEM, localizado em C:\Windows\System32\Config, a partir da mesma imagem forense de onde foi extraído o arquivo Jump-List analisado.

8

Em seguida, abra o programa Registry Viewer, clique em Open e escolha o arquivo recém-extraído.

9

Agora você pode buscar pela label “E-PROBST” para localizar a chave de registro que contêm esses valores. No nosso exemplo, a busca resultou nas seguintes informações localizadas em SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB na chave de registro 2&37c186b&0&STORAGE# VOLUME# _??_USBSTOR #DISK&VEN_KINGSTON&PROD_DT_101_G2&REV_1.00 #001CC07CED70FB71F9202091&0#.

10

Nessa chave de registro é possível concluir que o dispositivo com a label “E-PROBST”, onde estava armazenado o documento “Final Report.docx” em 10/14/2013, é de fato um drive usb.

Outra maneira de se identificar vestígios de cópias de arquivos pode ser vista no post Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos de Carlos Dias.

IDENTIFICAÇÃO DE CONEXÕES REMOTAS DE SAÍDA

Grandes fraudes e incidentes de TI costumam ser realizados de forma elaborada. Quando o autor tem conhecimento a respeito dos vestígios que suas ações podem deixar no computador utilizado, ele pode se precaver e utilizar outros computadores para realizar suas ações por meio de uma conexão remota.

Ações realizadas através de conexões remotas com outros computadores são difíceis de serem analisados, pois se o examinador não atentar a esta possibilidade poderá concluir incorretamente que o incidente partiu diretamente do computador “invadido”. Ainda que o examinar consiga verificar que no instante do incidente o computador invadido estava sendo controlado remotamente, ele somente poderá provar a autoria do incidente se examinar o computador originário da conexão e encontrar nele evidências da autoria do incidente.

Considere o seguinte cenário: Diversos arquivos importantes de uma empresa foram apagados de seu servidor em 10/10/2013 às 13hs05min. Após analisar o computador de onde supostamente partiu a ação de exclusão, o examinador identificou que de fato esse computador tinha sido controlado remotamente por outro computador de endereço IP 10.127.52.101. Com essa informação o examinador pode facilmente verificar se o computador originário desta conexão está na rede interna da empresa onde ocorreu o incidente.

Em caso positivo podemos fazer uma imagem forense desse computador e proceder da seguinte forma:

Primeiro devemos localizar e exportar o arquivo Jump-List referente ao programa Remote Desktop Connection a partir da imagem forense do computador que possui o IP originário da conexão. Em seguida devemos decodificar esse arquivo utilizando o Jump List Parser. Ambos os procedimentos devem ser realizados conforme descrito na PARTE 01 deste tutorial.

O resultado desses dois passos deve ser um relatório similar ao mostrado a seguir:

11

O primeiro registro desse relatório refere-se a um arquivo Jump-List de ID 1bc392b8e104a00e. Veja a seguir as principais propriedades desse registro:

Metadata Value
MRU   date 10/10/2013
MRU-UTC 13:00:08
extra   info Connect   to 10.127.52.64 with RDC

De acordo com os valores mostrados na tabela acima, podemos concluir que o computador supostamente responsável por apagar arquivos do servidor da empresa (IP 10.127.52.64) estava sendo controlado por outro computador de IP 10.127.52.101 (computador que teve o Jump-List examinado) em 10/10/2013 durante o período em que os arquivos da empresa foram apagados.

CONCLUSÃO

Com base nos procedimentos realizados podemos concluir que as informações armazenadas pelo sistema operacional Windows Seven nos arquivos Jump-List são um importante mecanismo para reconstituição de eventos e esclarecimento de incidentes.

Como mostrado no primeiro estudo de caso, pudemos concluir com apoio desse recurso que arquivos estavam armazenados em dispositivos externos.

No segundo estudo de caso, pudemos concluir, também com apoio do Jump-List, que uma conexão remota suspeita de ter sido utilizada como meio de execução de um incidente computacional de segurança, de fato aconteceu.

2 comentários sobre “Queira o Sr. Perito explicar como utilizar o Jump List para criação de linhas de tempo

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s