Forensic VS шредер: отримання доступу до віддалених файлів

Основою одного із завдань online-етапу NeoQUEST-2016 стала форензика, а саме — робота із засобами відновлення попереднього стану розділів Windows. Професіонали знають і часто користуються при пентестах або розслідуванні інцидентів інформаційної безпеки можливостями даної технології.

Багатьом відома Volume Shadow Copy – служба тіньового копіювання томів, вперше з'явилася в Windows Sever 2003. Вона дозволяє робити і відновлювати моментальні знімки файлової системи (снепшоты), в тому числі і системного розділу. Також минулі снепшоты розділу можуть бути подмонтированы в букву диска або папки, як і звичайний розділ. Таким чином, вдається отримати доступ до попереднього стану системи разом з УСІМА файлами, в тому числі і до файлів, зараз віддаленим з цього розділу. Всі ці властивості Volume Shadow Copy можуть бути використані фахівцями з інформаційної безпеки наступними способами:
  1. Доступу і копіювання зайнятих системою або користувацькими додатками файлів (БД паролів додатків, поштові скриньки microsoft Outlook, Thunderbird, БД Active Directory).
  2. Доступу і копіювання видалених файлів (у тому числі і надійно затертих шредером).
  3. Приховування файлів і модулів шкідливого бекдор (робиться знімок файлової системи, в якому вони присутні, після чого вони видаляються з поточного розділу, залишаючись у тіньової копії).
На використанні можливості з другого пункту і було засновано рішення завдання на форензику NeoQUEST. Докладніше — під катом!

Вихідні дані

У завданні з назвою «Зниклий файл» учаснику давалося посилання на торрент, при скачуванні учасники отримували 2 файлу – дамп жорсткого диска (*.vhdx файл) і дамп оперативної пам'яті (*.dmp файл). При монтуванні основного файлу з дампом жорсткого диска учасник знаходив текстовий файл, зашифрований за допомогою Encrypted File System (EFS). Вміст такого файла просто так не прочитаєш! Закриті ключі сертифікатів користувачів в ОС Windows, у тому числі EFS, захищаються за допомогою пароля облікового запису. Саме тому при скиданні з'являється попередження про доступ до файлів EFS.

Знання одного NTLM-хеш пароля, а також ключів SYSKEY, LSAKEY і NL$KM для розшифрування закритого ключа користувача мало. Таким чином, наявності одного дампа жорсткого диска виявляється недостатньо. Необхідно ще і знання пароля користувача. На цьому етапі учасники поки можуть і не знати, навіщо він їм, але відновити його вони можуть.

Побіжно переглянувши вміст жорсткого диска, учасники знаходили зашифрований EFS файл, вміст якого явно було ключем.



Прочитати його можна було лише з допомогою сертифіката зазначеного користувача, а для цього треба знати її пароль.

Отримання пароля

Саме тому учасникам і видавався дамп оперативної пам'яті. Нескладно здогадатися, що пароль витягується з неї за допомогою широко відомої всім утиліти mimikatz. Зробити це можна, наприклад, за допомогою WinDBG і відповідного розширення mimilib.dll. Нижче наведено процес отримання пароля користувача по кроках.



Як користуватися розширенням, виводиться при його завантаженні. Залишається тільки виконати послідовність цих команд. В результаті отримуємо:



Після отримання пароля найпростіший шлях проходження завдання – завантаження з образу жорсткого диска в віртуальній машині і вхід під відповідним користувачем. Однак тут на учасників чекає саме велике розчарування: сертифікат EFS, за допомогою якого був зашифрований файл, виявляється віддаленим.

Після всіх пророблених дій необхідно відновити віддалений сертифікат. Дамп був зроблений таким чином, що відновити сертифікат за допомогою різних recovery-засобів для віддалених файлів було неможливо. І тут на допомогу приходить служба тіньових копій тома.

Вийти з тіні

Переглянути існуючі тіньові копії можна за допомогою утиліти vssadmin, яка включена за умовчанням в Windows 7 і вище.



Видно, що кожна тіньова копія характеризується унікальним ідентифікатором у вигляді GUID. Самі тіньові копії представлені у вигляді об'єктів пристроїв типу «Generic Volume Shadow Copy»



Змонтувати її можна як те в нову букву диска або створити посилання на папку. Також можливий доступ до вмісту тіньової копії з допомогою імені пристрою, яке виявляється у властивостях самої копії.

Тепер учасникам необхідно було відновити значення закритого ключа сертифіката сховища для користувача (в цьому випадку доступ до файлу виявляється відкритим).

Це можна зробити, відновивши відповідні ключі реєстру і файл закритого ключа в папці %AppData%\Microsoft\Crypto\RSA, в якій зберігаються закриті ключі користувача. Потрібну інформацію можна отримати з тіньової копії (монтуючи її або роблячи посилання на неї).

Або ж можна було піти більш простим шляхом – відкотити стан розділу до тіньової копії. Після цього досить було залогуватися в системі і експортувати сертифікат з закритим ключем у файл.

В поточному стані системи треба було імпортувати сертифікат з закритим ключем у сховищі особистих сертифікатів користувача і відкрити файл.

Виконати відкат можна за допомогою засобу diskshadow з набору утиліт Windows Sever підключивши диск до віртуальній машині з цією ОС або ж скористатися відповідними об'єктами WMI для томів та їх копії. Використання diskshadow — більш простий і швидкий шлях. Для відкоту до розділу снепшоту потрібно запросити ідентифікатор копії, а по ньому вже виконати відновлення.

Отримуємо ідентифікатор тіньової копії:



Відновлюємо тіньову копію:



Завантажуємося з отриманого «минулого» стану системи. Сертифікат присутній. Це можна зрозуміти з того, що відразу ж з'являється пропозиція від Windows зробити бекап ключа. Експортуємо його у файл.



Завантажуємося в «поточному» стан диска. Імпортуємо сертифікат на «поточному» стан системи в сховище особистих сертифікатів користувача. Тепер файл можна відкрити і прочитати. Вміст файлу і є ключ проходження завдання!

Робимо висновки

З усього описаного вище для себе можна зробити наступні висновки:
1. Не варто зберігати важливі дані, які потім необхідно буде видалити, на системному томі (диск «C:\»). Вони можуть виявитися в тіньовий копії, а ви про це можете не знати або не пам'ятати.
2. У випадку якщо ви випадково видалили важливий файл з системного розділу, можна спробувати удачу і спробувати його знайти в збереженою тіньової копії.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.