Windows Forensics

Ada 3 sistem operasi paling populer di dunia sampai tahun 2023, yaitu Windows, Mac, dan Linux. Sistem operasi Windows masih yang merajai pasaran. Windows forensics merujuk pada investigasi kejahatan siber yang terjadi pada mesin Windows. Seperti yang diketahui dalam fundamental forensik ada 2 tipe data yaitu volatile dan non-volatile. Informasi yang diperoleh melalui data volatile bisa membantu investigator untuk menganalisis pergerakan malware. Di bawah merupakan data volatile:

  1. System time
    • date /t & time /t
    • Langkah awal dalam menginvestigasi sebuah insiden adalah mengoleksi waktu sistem. Yang dimaksud waktu sistem merujuk pada tanggal dan waktu yang pasti kapan sebuah insiden terjadi. Waktu sistem akan menyediakan aplikasi dengan tanggal dan waktu yang akurat. Capture layar command dari system time akan menjadi bukti kapan sebuah insiden terjadi.
  2. Logged-on user
    • Install terlebih dahulu PsLoggedOn di PsLoggedOn - Sysinternals | Microsoft Learn
      • Arahkan command prompt ke folder hasil download
      • Jalankan command: PsLoggedon64.exe
    • net sessions
    • Selama investigasi, seorang investigator harus mengumpulkan secara detail seluruh users yang telah login ke sistem yang dicurigai. Ini bukan hanya informasi siapa saja yang login ke sistem secara logic, melainkan juga siapa yang telah remote access ke sistem.
  3. Network information
    • nbtstat -c
    • nbtstat -a <ip>
    • Ketika intruder mendapat keuntungan untuk akses remote ke sistem, mereka akan coba menemukan sistem lain yang terkoneksi ke jaringan dan itu memungkinkan terjadi kompormi terhadap sistem. Untuk mencapai hal tersebut, intruder akan membuat dan mengeksekusi batch file di dalam sistem dan meluncurkan net view command melalui SQL injection.
  4. Open files
    • net file
    • Koleksi informasi tentang file yang telah terbuka dengan intruder menggunakan login secara remote.
  5. Network connections
    • netstat -ano
    • netstat -r
    • Investigator harus mengoleksi informasi mengenai koneksi jaringan ke dan dari sistem.
  6. Process information
    • tasklist /v
    • Download di https://docs.microsoft.com
      • pslist
    • Investigator harus mengoleksi informasi tentang selua proses yang sedang berjalan di sistem. Bisa digunakan Task Manager untuk meninjau informasi tentang setiap proses. Bagaimanapun, task manager tidak menampilkan seluruh informasi yang dipersyaratkan. Investigator bisa mengambil seluruh informasi proses dengan melihat detail seperti path lengkap dari file eksekusi (.exe file) dan command line menggunakan proses yang diluncurkan.
  7. Process-to-port mapping
    • netstat -o
    • netstat -a -n -o
    • Ketika ada koneksi jaringan yang terbuka dari sistem, kemudian beberapa proses harus menggunakan koneksi tersebut, maka setiap koneksi jaringan dan port yang terbuka akan berasosisasi dengan sebuah proses.
  8. Process memory
    • Process Explorer (https://docs.microsoft.com)
    • ProcDump (https://docs.microsoft.com)
    • Process Dumper (https://github.com)
    • Proses yang sedang berjalan bisa berupa hal yang berbahaya atau hal yang mencurigakan. Investigator harus menggunakan alat seperti Process Explorer untuk memeriksa jika proses berbahaya atau mencurigakan.
  9. Network Status
    • ipconfig /all
    • Promise Detect dapat di download di Vidstrom Labs
    • Investigator harus mengekstrak informasi tentang status dari network interface card (NICs) yang terhubung ke sistem melalui jaringan yang tersedia. Saat ini banyak laptops atau desktops yang dibangun denagn wireless NICs, jadi informasi mengenai tipe koneksi dari sebuah devise yang digunakan atau IP address tetap tersembunyi. Investigator harus mengumpulkan informasi tentang status dari NICs prioritas untuk memperoleh sistem dalam urutan sehingga bisa memberikan hasil pandangan yang lebih baik.
  10. Mapped drivers
  11. Shares
  12. Clipboard contents
  13. Service/driver information
  14. Command history
Data volatile yang berada di RAM dapat di-capture dengan menggunakan FTK Imager. Sedangkan data non-volatile dari windows berupa file system data (berisi detail struktur file system seperti block size dan nomor allocated blocks), content data (isi dari file system), metadata (informasi dari konten seperti location, file size, dan MAC timestamps), dan application data (informasi tentang file system journal quota statistics). Tools yang dapat digunakan diantaranya ESDatabaseView (DataStore.edb menyimpan informasi pembaruan Windows). Windows registry merupakan jantung dari sistem operasi Windows yang terdiri atas data volatile dan non-volatile. Sebagaimana diketahui bahwa hard disk merupakan salah satu evidence yang bersifat non-volatile atau jika komputer kehilangan daya maka masih menyimpan data. Hard disk yang sama sekali baru tentu saja tidak menyimpan informasi baru, berbeda dengan hard disk yang sudah lama digunakan dan sering dilakukan penghapusan. Apabila penggunaan hard disk telah menyebar secara 100%, biarpun masih ada area yang kosong dari hard disk maka area kosong yang pernah dipakai menyimpan tersebut dikatakan sebagai slack space. Maksud dari slack space adalah adanya kemungkinan pemulihan data yang pernah ada di area tersebut. Langkah untuk mengumpulkan informasi dari slack space adalah:
  1. Connect to the target computer and select the media
  2. Create bit-level copy of the original media
  3. Verify the copy by generating its hash value
  4. Investigate using keyword searches, hash analysis, file signature analysis, and Enscripts present in Encase tool

Windows memory analysis adalah bagian terintegrasi dari analisis forensik dan melibatkan akuisisi dari memory fisik atau RAM dumps dari mesin Windows. Pemeriksaan memory dumps akan membantu investigator untuk mendeteksi rootkits yang tersembunyi, menemukan objek yang tersembunyi, dan menentukan proses yang mencurigakan.

Memory dump atau crash dump adalah sebuah ruang penyimpanan dimana sistem menyimpan sebuah memory backup saat terjadi kegagalan sistem. Sistem juga membuat sebuah memory dump ketika memory tidak cukup untuk operasi dari sistem. Crash dump membantu di dalam mendiagnosis dan mengidentifikasi bugs di dalam sebuah program yang memimpin system crash. Termasuk semua informasi mengenai pesan stop, daftar muatan drivers, dan informasi tentang berhentinya processor.

Windows registry adalah database hirarkial yang mengandung pengaturan pada level rendah untuk Micrososft Windows OS dan untuk aplikasi yang menggunakan registry. Investigasi pada data saat ini di registry membantu investigator memperoleh informasi dari software yang terinstall dan konfigurasi driver perangkat keras, melacak aktivitas user yang mencurigakan, dan menentukan informasi device yang terkoneksi. Informasi tersebut akan membantu investigator untuk membangun timeline analysis dari insiden saat investigasi forensik. Perhatikan Windows registry di bawah:

  1. Windows Registry Volatile
    • HKEY_CLASSES_ROOT : informasi konfigurasi untuk aplikasi
    • HKEY_CURRENT_USER : logged-on user saat ini
    • HKEY_CURRENT_CONFIG : profile perangkat keras yang akan digunakan sistem pada saat startup
  2. Windows Registry non-Volatile
    • HKEY_LOCAL_MACHINE : informasi konfigurasi untuk sistem termasuk pengaturan hardware dan software, dan mengandung:
      • SAM (Security Account Manager) : ada informasi tentang user, akun adminstrasi, akun tamu, kriptografi hash atau setiap password dari user
      • Security : menyimpan informasi kebijakan keamanan user saat ini
      • Software : informasi konfigurasi dan instalasi perangkat lunak
      • System : informasi pengaturan konfigurasi dari perangkat keras
      • Default : informasi pengaturan user secara default
    • HKEY_USERS : muatan aktif dari profil user

Registry di dalam hive file ada 5 tipe sel yaitu key cell, value cell, subkey list cell, value list cell, dan security descriptor cell. Dari 5 hive file pada registry tersebut akan dilakukan analisis forensik. Analisis forensik dari registry ada 2 jenis, yaitu static analysis (data tersimpan di C:\Windows\System32\config) dan live analysis (diambil dengan alat seperti FTK imager kemudian hasil capture di analisis). 

sumber: https://pixabay.com/photos/windows-11-operating-system-laptop-6855457/

Aktivitas user juga tercata pada cache, cookie, dan history. Lokasi file history dan cookies untuk google chrome berada di C:\Users\{user}\AppData\Local\Google\Chrome\User Data\Default, sedangkan lokasi file cache untuk google chrome berada di C:\Users\{user}\AppData\Local\Google\Chrome\User Data\Default\Cache. Untuk membuka file cache dapat digunakan alat ChromeCacheView (https://www.nirsoft.net), sedangkan untuk membuka file cookies dapat digunakan alat ChromeCookiesView (https://www.nirsoft.net), dan untuk membuka file history dapat digunakan alat ChromeHistoryView (https://www.nirsoft.net). 

Forensik pada Windows belum lengkap tanpa pemeriksaan Windows Files dan Metadata. Di antara Windows Files yang penting adalah log files dan prefetch. Seperti diketahui bahwa log files adalah dokumen yang berisi rekaman aktivitas pengguna sedangkan prefetch merupakan folder yang berisi track aplikasi saat user melakukan instalasi aplikasi, menjalankannya, dan menghapusnya. Biasanya prefetch digunakan Windows untuk mempercepat proses booting. Sedangkan metadata biasanya diperoleh dari database, image files, word files, web browser dan sebagainya. Metadata ini memberikan informasi tentang karakteristik dari data elektronik termasuk waktu dan kapan seseorang membuat, mengakses, serta memodifikasi data. Dapat dikatakan metadata adalah data dari data. Setiap file sistem memiliki metadata yang berbeda. Untuk melakukan analisis metadata dapat menggunakan alat Metashield Analyzer (https://www.elevenpaths.com).




ref:
ec-council

Komentar

Posting Komentar