Search
Menu

فایل MPLog چیست و چه نقشی در فارنزیک دارد

هنگام پاسخ به حادثه، تحلیلگران از چندین نقطه‌ی داده استفاده می‌کنند تا اطلاعات مربوط به افراد، اشیا، زمان و چگونگی حوادث را تجزیه‌وتحلیل کنند. تحلیلگرانی که سیستم‌های ویندوز را بررسی می‌کنند، به‌عنوان بخشی از ماموریت پیدا کردن حقایق از فایل MPLog یا Microsoft Protection Log بهره می‌برند، یک محصول فارنزیک روی سیستم عامل‌های ویندوز که داده‌های زیادی را برای پشتیبانی از بررسی‌های جرم‌شناسی فراهم می‌کند. ثابت شده است که MPLog در شناسایی فرایندها و دسترسی به فایل روی سیستم‌ها مفید است.

برای کمک به بررسی‌های جرم‌شناسی، این مقاله شرحی کلی از فایل‌های MPLog را ارائه می‌دهد، مثال‌هایی از داده‌های درون آن را بیان می‌کند و یک مطالعه موردی از RClone را شرح می‌دهد که یک ابزار استخراج داده است که توسط عاملان جرایم سایبری در طول حملات باج‌افزار مورد استفاده قرار می‌گیرد.

فایل MPLog چیست؟

فایل MPLog یا Microsoft Protection Log  یک فایل لاگ به‌صورت Plain-Text است که توسط Windows Defender یا Microsoft Security Essentials برای اهداف عیب‌یابی مورد استفاده قرار می‌گیرد. این لاگ می‌تواند حاوی شواهد تاریخی از موارد زیر باشد:

  • اجرای فرایند
  • تهدیدات شناسایی‌شده
  • نتایج اسکن و اقدامات انجام‌شده
  • نسخه‌های بروزرسانی Signature
  • وجود فایل

محل فایل MPLog

فایل‌ MPLog در دایرکتوری C:\ProgramData\Microsoft\Windows Defender\Support ذخیره می‌شوند. در این دایرکتوری، می‌توان فایل MPLog-* را پیدا کرد. تصویر ۱ مثالی از محتوای نمونه را نشان می‌دهد.

شکل ۱. مثالی از محل MPLog

تفسیر داده‌های MPLog

چندین نوع رخداد مختلف در این فایل لاگ وجود دارد چندین مثال در ادامه فهرست شده‌اند.

نکته: فرمت لاگ برای هر رخداد در طول زمان تغییر کرده است، پس بسته به اینکه رخداد چه زمانی نوشته شده، ممکن است Fieldهای بیشتر یا کمتر از چیزی که در ادامه بیان می‌شود داشته باشید.

Estimated Impact Eventها

Estimated Impact Eventها (رخداد‌ها با تاثیر تخمینی) ایجاد می‌شوند تا اطلاعات تاثیر تخمینی روی عملکرد نرم‌افزار‌های درحال‌ اجرا را به‌عنوان بخشی از Windows Defender، لاگ کنند. این رخدادها می‌توانند شواهدی از اجرا، دسترسی فایل و تعداد دسترسی فایل را نشان دهند.

مثال:

۲۰۲۰-۰۶-۱۴T20:11:42.880Z ProcessImageName: explorer.exe, TotalTime: 30, Count: 11, MaxTime: 15, MaxTimeFile: \Device\HarddiskVolume1\Users\Public\Desktop\PuTTY (64-bit).lnk->[CMDEmbedded], EstimatedImpact: 9%

نام فایل شرح داده
N/A زمان رخداد ایجاد شده در UTC ۲۰۲۰-۰۶-۱۴T20:11:42.880Z
ProcessImageName نام Image فرایند explorer.exe
TotalTime مدت زمانی که صرف اسکن کردن فایل‌هایی می‌شود که مورد دسترسی این فرایند قرار می‌گیرند به میلی‌ثانیه ۳۰
Count تعداد فایل‌های اسکن‌شده توسط این فرایند ۱۱
MaxTime مدت زمان طولانی‌ترین اسکن یک فایل که مورد دسترسی این فرایند قرار می‌گیرد به میلی‌ثانیه ۱۵
MaxTimeFile مسیر فایلی که مورد دسترسی این فرایند قرار می‌گیرد و طولانی‌ترین اسکن از مدت زمان MaxTime برای آن ثبت شده بود \Device\HarddiskVolume1\Users\Public\Desktop\PuTTY (64-bit).lnk
EstimatedImpact درصد زمانی که در اسکن‌ها برای فایل‌هایی سپری می‌شود که مورد دسترسی این فرایند قرار گرفتند، نسبت به دوره‌ای که این فرایند در آن فعالیت اسکن را تجربه کرده است ۹%

جدول ۱: Estimated Impact Eventها

رخدادهای SDN

به‌عنوان بخشی از سرویس حفاظت از Cloud متعلق به Windows Defender، رخدادهای SDN می‌توانند شواهدی از وجود فایل روی دیسک را همراه با Hashهای sha1 و sha2 برای فایل شناسایی‌شده نشان دهند. در ادامه مثالی از رخداد SDN ارائه می‌شود:

فایل MPLOg

نام فایل شرح داده
N/A مسیر کامل و نام فایل C:\ProgramData\badfile.exe
Sha1 Hash از فایل SHA1 ۸۷۶d0908145c822c06060413ecacc1baca97892c
Sha2 Hash از فایل SHA256 ۱۲۱b6ad75b3ead2a09e8bf6959423f6ce91239e0c062060aa948bb379f906534

جدول ۲. رخدادهای SDN

رخدادهای شناسایی

این رخدادها می‌توانند شواهدی از اجرای فایل و اطلاعات فرایند Windows Defender را برای شناسایی نمایش دهند.

مثال‌ها:

  • ۲۰۲۱-۰۷-۲۲T15:38:04.557Z DETECTION_ADD Ransom:Win32/Conti.ZA file:C:\ProgramData\badfile.exe
  • ۲۰۲۱-۰۷-۲۲T15:38:04.557Z DETECTION_ADD Ransom:Win32/Conti.ZA process:pid:100128,ProcessStart:132696072639875080
نام فایل شرح داده
N/A زمان رخداد ایجاد شده در UTC ۲۰۲۱-۰۷-۲۲T15:38:04.557Z
N/A Street Name AV Win32/Conti.ZA
PID Process ID ۱۰۰۱۲۸
ProcessStart زمان شروع فرایند (WebKit/Chrome Timestamp) ۱۳۲۶۹۶۰۷۲۶۳۹۸۷۵۰۸۰
File مسیر کامل و نام فایل C:\ProgramData\badfile.exe

جدول ۳. رخدادهای شناسایی

رخدادهای شناسایی EMS

به‌عنوان بخشی از موتور اسکن حافظه‌ی Windows Defender، رخدادهای شناسایی EMS می‌توانند شواهدی از تزریق فرایند را نشان دهند.

مثال‌ها:

  • Engine:EMS scan for process: explorer pid: 6108, sigseq: 0x0, sendMemoryScanReport: 0, source: 1
  • Engine:EMS detection: HackTool:Win64/CobaltStrike.A!!CobaltStrike.A64, sigseq=0x0000C0C53E1F0B73, pid=6108
نام فایل شرح داده
N/A نام فرایند explorer.exe
N/A Street Name AV HackTool:Win64/CobaltStrike.A!!CobaltStrike.A64
PID Process ID ۶۱۰۸

جدول ۴. رخدادهای شناسایی EMS

مطالعه‌ی موردی Rclone

در یک حادثه‌ی باج‌افزار اخیربا استفاده ازز داده‌های MPLog تلاش شد تا بینش بیشتری نسبت به استفاده از ابزار انتقال فایل Rclone بدست آورد که توسط عامل تهدید برای استخراج داده مورد استفاده قرار گرفته بود. داده‌ی MPLog برای شناسایی اینکه کدام فایل‌ها مورد هدف عامل تهدید قرار گرفته بود و تعداد احتمالی فایل‌هایی که استخراج شده بودند مورد استفاده قرار گرفت.

مثل بسیاری از رخدادهای باج‌افزار امروزی، شواهدی از استخراج داده‌ی احتمالی را پیش از اجرای باج‌افزار شناسایی شد. این امر از حضور ابزار Rclone و شواهدی از اجرا که روی یک سیستم رمزگذاری‌شده پیدا شده بود، مشخص بود. متاسفانه هیچ دورسنجی (Telemetry) از سیستم نبود که نشان دهد پارامترهای دستور Rclone، دقیقا چه مواردی بودند. برای کسانی که با Rclone آشنایی ندارند، باید گفت که یک دستور معمولا به شکل زیر است:

همانطور که در دستور نمونه دیده می‌شود، داده‌هایی که هدف استخراج دارند را می‌توان در اطلاعات مسیر پیدا کرد. تیم پاسخ به حادثه با استفاده از یک جستجوی رشته‌ی ساده برای عبارت «rclone.exe» موارد زیر را در فایل MPLog کشف کرد:

با توجه به چیزی که در مورد Estimated Impact Eventها از اسناد مایکروسافت می‌دانیم، می‌توانیم چندین گذاره را از این داده‌ها دریافت کنیم:

  1. rclone.exe اجرا شده با Pid 5244
  2. rclone.exe به ۳۲۸۷۳ فایل دسترسی پیدا کرد
  • Windows Defender تعداد ۳۲۸۷۳ فایل را اسکن کرد که rclone.exe به آن‌ها دسترسی پیدا کرده بود
  1. rclone.exe به فایل \Device\Mup\fileserver\VOL1\PRIVATE\HR\PAYROLL\<redacted>.exe دسترسی پیدا کرد.
  • از بین فایل‌هایی که rclone.exe به آن‌ها دسترسی پیدا کرده بود، این فایلی است که اسکن کردن آن توسط Windows Defender بیشتر از همه زمان برد

نتیجه‌گیری

باید تحقیقات بیشتری انجام شود تا جزئیات و ارزش اضافه‌ فایل MPLog برای تحلیل و بررسی به درستی درک شود، اما تجزیه‌و‌تحلیل و تحقیقات ابتدایی نشان می‌دهد که این داده‌ها می‌توانند برای کمک به بررسی‌های جرم‌شناسی و شناسایی اجرای فرایند و دسترسی به فایل روی سیستم‌ها ارزشمند باشد. مخصوصا در مواردی که اقدامات زد جرم‌شناسی اتخاذ می‌شوند یا موارد دیگری روی دیسک تحت تاثیر قرار می‌گیرند، MPLog می‌تواند به تحلیلگران کمک کند که اجزای مختلف را کنار هم قرار داده و متوجه کل داستان بشوند.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.