Ở phần này này chúng ta sẽ tìm hiểu về một trong những điều quan trọng cần nắm được khi bắt đầu phân tích Registry đó là thu thập thông tin của user.

1. Profiling Users

Profiling users (lập hồ sơ người dùng) là cực kỳ quan trọng trong một cuộc điều tra. Sẽ rất hữu ích khi biết những thông tin đăng nhập của một user cụ thể như số lần người dùng đăng nhập, thời điểm đăng nhập cuối cùng, lần đăng nhập thất bại gần nhất. Những thông tin này chúng ta có thể tìm thấy dựa vào việc phân tích registry hive SAM.

Trên thực tế, nhiều chương trình chẳng hạn như Recycle Bin, sử dụng Users RID (Relatitive Identifier) chứ không phải là user name. Vậy làm thế nào chúng ta có thể ánh xạ RID trở lại user, nhất là khi trên máy tính đó có nhiều user? Câu trả lời là chúng ta sẽ dựa vào SAM file.

Ngoài ra ta còn có thể tìm kiếm được Group information trong SAM:

SAM file trên Windows không mở trực tiếp được vì vậy bạn cần sử dụng công cụ để thực hiện việc đó, và ở đây mình sử dụng Registry Explorer, bạn chỉ cần import SAM vào Registry Explorer và kiểm tra nó.

SAM hive nằm tại trong thư mục \system32\config :

Tóm lại SAM hive sẽ giúp chúng ta liệt kê tất cả những người dùng có profile trên máy. Nếu máy của bạn là một phần của domain, tệp SAM chứa user profiles sẽ nằm trên Domain Controller

Có một số điều cần thực hiện:

1) RID (Relative Identifier): trên máy Windows trỏ về RID của người dùng chứ không phải tên người dùng. Điều quan trọng là phải ghi lại usemame và RID tương ứng cho các mục đích sau này. Đây là một bước rất quan trọng.

2) Profiling the user: Việc lập hồ sơ người dùng máy dựa trên thói quen đăng nhập của họ là vô cùng quan trọng. Nó có thể cho bạn biết mức độ, tần suất hoạt động của một người dùng cụ thể trên máy.

2. Analyzing SAM

Bây giờ hãy thử phân tích SAM bằng Registry Explorer. Sau khi import SAM hive vào ta sẽ kiểm tra key SAM\Domains\Account\Users\:

Trong key này, có thể xác định được các RID 1F4, 1F5, 3E8 và tương ứng với nó việc của chúng ta là ánh xạ để tìm ra tên user tương ứng. Chẳng hạn như với user root dưới đây được ánh xạ với RID là 1000 (0x3E8):

Registry Explorer sẽ đọc key này và sẽ cho chúng ta kết quả rất dễ nhìn như hình dưới:

Registry Explorer kiểm tra SAM nhằm xem RID của người dùng và các thông tin thích hợp khác. Trong trường hợp này, RID của user “root” là 1000, điều này rất hữu ích sau này khi chúng ta kiểm tra dữ liệu liên quan đến các hoạt động của “root” trên hệ thống. Bạn cũng nên chú ý lần cuối cùng tài khoản này đăng nhập, tổng số lần đã đăng nhập, cũng như lần cuối cùng mật khẩu đã được thay đổi.

Một điểm nữa là ta có thể thấy The last write time vào group key này là 2020-08-03 17:10:03 và thời điểm tài khoản có username “root” được tạo cũng vào thời gian này, điều này có nghĩa là không có user nào khác được tạo trên hệ thống kể từ khi user root được tạo vào ngày 03 tháng 8 năm 2020 lúc 17:10:03.

Lưu ý rằng tất cả các thời gian được lưu trữ trong key này sẽ theo giờ UTC. Chẳng hạn như nếu tính theo local time là GMT +7 thì thời gian tạo của User “root” sẽ là 00:10:03 ngày 04 tháng 8 năm 2020.

Ngoài ra cũng có một số trường hợp khác chẳng hạn như sau:

Chúng ta cũng có thể thấy rằng Logon Count bằng 0. Điều này sẽ là bình thường nếu user chưa bao giờ đăng nhập, nhưng rõ ràng là có vì vẫn có thể thấy các trường khác như Last logon time,.. vẫn có thông tin cho thấy user đã đăng nhập. Lý giải cho vấn đề này là khi người dùng đăng nhập bằng Microsoft Live ID số lần đăng nhập sẽ không tăng. LiveID được sử dụng để đăng nhập được lưu trữ dưới giá trị InternetUserName.

3. Account Password

Ngoài thông tin về logon information trong SAM còn có một thông tin hữu ích nữa đó chính là Password. Ví dụ, một câu hỏi đơn giản là với một tài khoản đăng nhập không cần mật khẩu, làm sao để chúng ta biết được điều đó?

Phần này mình sử dụng thêm một công cụ nữa đó là SAMInside.

SAMInside là một chương trình khôi phục mật khẩu để, bẻ khóa mật khẩu (LM và NTLM). Mặc dù chúng ta có thể sử dụng nó để bẻ khóa mật khẩu, nhưng chúng ta cũng có thể kiểm tra xem các trường mật khẩu của users.

Import vào SAMInside (SAMInside sẽ yêu cầu import thêm System Hive) ta được:

RID 500 cho Administrator, 501 cho Guest, 100x cho các user account được tạo, và 1000 chính là user account được tạo đầu tiên. Nếu bạn thấy một entry <Disabled> trong trường LM hoặc NT-Password, thì kiểu hash hiện đang bị tắt. Empty NT-Hash luôn có giá trị là 31D6CFE0D 16AE931 B73C59D7 E0C089C0.

Như trường hợp trên có thể thấy tài khoản “root” có mật khẩu NT-hash là AFC44EE7351D61D00698796DA06B1EBF. Password tài khoản này là “toor” có thể sử dụng công cụ để thử hash password này cho kết quả:

Còn tài khoản “Test” thì <Disabled> cả LM-Password và NT-Password, và không cần mật khẩu để đăng nhập.

By,

RE_Team

68 lượt xem