🕰 Timestomping — подделка дат создания и изменения файлов 👣 Почему это работает: 1️⃣ Большинство IR-специалистов сортирует файлы по дате 2️⃣ AV и EDR чаще фокусируются на новых или внезапно изменённых 3️⃣ Если EXE выглядит как созданный "год назад" — подозрение снижается 4️⃣ Особенно эффективно в сочетании с системными именами: dllhost.exe, taskhost.exe 📁 Где искать: 📂 Основные метки: Тип метки: Created Time. Где хранится: NTFS, MFT Тип метки: Modified Time. Где хранится: NTFS, MFT Тип метки: Accessed Time. Где хранится: NTFS Тип метки: Entry Modified. Где хранится: MFT (журнал $MFT в файловой системе) 🕵️ Форензика: 1️⃣ Использование SetFileTime, PowerShell, Timestomp, touch 2️⃣ Несовпадение меток (например, файл создан после изменения) 3️⃣ Хеш совпадает с вредоносом, но дата — фальшивая 4️⃣ Логи говорят: файл создан 10 минут назад, но метка — «2018» 🛠 Инструменты: 🔤 MFTECmd, LogParser, Plaso, Autopsy 🔤 Timestomp.exe, New-Item с подменой даты 🔤 fls, istat, sleuthkit — для прямого анализа $MFT 🔤 KAPE + $MFT парсеры 🔍 MITRE ATT&CK: 🔤 T1070.006 — Indicator Removal on Host: Timestomp 🔤 T1036.005 — Masquerading: Match Legitimate Name or Location 🔤 T1055 — Process Injection 🔤 T1564.001 — Hide Artifacts: Hidden Files and Directories 💥 Как бы мы это засекли в SIEM? Ищем: 🔤 Несовпадение даты создания и модификации 🔤 Файл в AppData, созданный якобы год назад 🔤 Установка .exe с временными метками из прошлого 🔤 Наличие команд SetFileTime, PowerShell (Get-Item).CreationTime=... 🧪 Кейс IR: На design-pc-11 найден taskhost.exe в %AppData% 1️⃣ Время создания: 2018 2️⃣ Система установлена в 2023 3️⃣ В журнале событий — запуск через 10 минут после логина 🎯 Timestomping применён для обхода EDR и запутывания расследования 🦾 Совет от CRATU: 1️⃣ Сравнивай метки файла с жизненным циклом ОС 2️⃣ Храни baseline-отчёты по системным папкам 3️⃣ Используй $MFT-парсеры для определения реального времени записи 4️⃣ Не верь "старым" .exe в новых системах 📅 Далее — разберём FTP-эксфильтрацию: старый, но всё ещё используемый способ утечки логов и базы браузеров 📡 Малварь просто подключается к FTP и выгружает всё — без вопросов. Подписка тут, если не хочешь пропустить: t.me/cratu_team #Timestomp #CRATU #ШпаргалкиЦифровогоДетектива #MITRE #SCSIEM #AntiForensics #Forensics