如何利用macOS时间戳溯源攻击行为?

导语:尽管目前网上有很多有关在Windows中检测系统时钟回溯的文章,但是却没有关于macOS的,希望本文可以起到抛砖引玉的作用。

timg (1).jpg

如何在macOS中检测系统时钟的回溯

macOS时间戳具有很多有用的信息,以下是我在一个样本文件上运行的mdls命令:

1.png

这不是一个简单的文件,它是一个Word文件,所以它有比普通文件有更多的时间戳。如果从上图的顶部开始看,就会注意到doc/docx-typical时间戳:内容创建(kMDItemContentCreationDate和kMDItemContentCreationDate_Ranking)和内容修改(kMDItemContentModificationDate)。

紧接着的一个时间戳是添加日期(kMDItemDateAdded),它是文件添加到目录的日期和时间,还有一个只有日期的时间戳—— kMDItemDateAdded_Ranking。

接下来的时间戳是内容改变(kMDItemFSContentChangeDate)和创建(kMDItemFSCreationDate),不过还有一个有趣的时间戳 – kMDItemInterestingDate_Ranking,这个你需要仔细发现。目前我也不知道它代表什么意思。

最后,还有两个最有价值的时间戳:kMDItemLastUsedDate和kMDItemLastUsedDate_Ranking。这两个时间戳表示文件上次使用的日期。

正如你所看到的,在macOS中有大量的时间戳,但找到这些时间戳的最终目的,都是为了讨论在macOS中如何检测系统时钟的回溯。我在研究时,用的是配有macOS High Sierra (10.13.2)的MacBook Air。

/private/var/db/timed

如果你熟悉* nix系统,那么你可能已经猜到了,这是一个macOS守护进程监视系统时间。它的配置存储在/ private / var / db / timed下的plist文件 – com.apple.timed.plist中。但是,如果系统时钟已经过时,就会出现另一个com.apple.timed.plist文件,它位于/ private / var / db / timed / Library / Preferences下。这个时间戳显示你过去的确切日期和时间,如下图所示:

2.png

正如你所看到的,时钟已经回溯到2016-11-01 09:16:51(UTC)。这些信息可以帮助你进一步搜索,例如,你可以使用你喜欢的工具创建时间表,然后列出相应日期的用户活动。

/private/var/log/system.log

当然,像Windows中的事件日志,macOS中的日志,当然还有system.log,将包含大量的系统时钟回溯的证据,如下图所示。

3.png

从图中可以看出,从1月到11月有一段非常奇怪的时间变化。也许你已经猜到了,这可能是攻击者将时间改为了11月1日。

/private/var/log/install.log

另一个有用的日志文件是install.log,它位于与system.log相同的目录中,但其时间戳包含的信息更多。

4.png

从上图,你可以看到2018年1月21日到2016年11月11日的回溯证据。

/var/db/uuidtext/

如果你进入macOS取证,你就知道这个文件夹是统一的日志。莎拉•爱德华兹(Sarah Edwards)对这种类型的日志有一个专门的解读,这些日志可能也是一个回溯证据。

5.png

/.DocumentRevisions-V100/.cs/ChunkStoreDatabase

如下图所示,另一个回溯的来源是ChunkStoreDatabase,它包含用于存储文件以前版本数据的“块(chunk)”。

6.png

我正在取证的是CSChunkTable,如图所示,timeStamp列中的第一条记录具有“1516469407”值 ,它可以从Unix Epoch转换为人类可阅读的时间,即2018年1月20日星期六,但是第二个值代表什么呢?它是“1477990845”,可以转换为2016年11月1日星期二09:00:45 (UTC)。

/Users/<username>/.bash_sessions

如果你怀疑在回溯日期后使用了终端,那么你可能会在/Users/<username>/.bash_sessions下找到一些很好的取证构件:

7.png

其中最有趣的文件是带有.historynew扩展名的文件,因为它们包含了攻击者在回溯时期输入的命令。例如,C8CD29B6-87A1-4E02-B0F9-813E6EF05DA4.historynew具有以下内容:

360截图16380515869295.jpg

时间戳的利用

至此,我想你已经猜到了为什么我要介绍何如从macOS时间戳开始检测系统时钟的回溯了。如果你知道系统时钟的具体日期和时间,那么你可以使用具体时间戳明细表来查找在此时间段内的创建、修改或使用的文件和文件夹。让我们来看看Secrets.rtf:

8.png

你可以看到它是在2017年9月创建的,但是在2016年11月,它的内容就被使用过了,且有人对其内容进行了修改。所以我敢判断这个文件包含了非常有价值的黑客攻击证据。

总结

尽管目前网上有很多有关在Windows中检测系统时钟回溯的文章,但是却没有关于macOS的,希望本文可以起到抛砖引玉的作用。

源链接

Hacking more

...