如何利用macOS時間戳溯源攻擊行為？

新聞 02-04

如何在macOS中檢測系統時鐘的回溯

macOS時間戳具有很多有用的信息，以下是我在一個樣本文件上運行的mdls命令：

這不是一個簡單的文件，它是一個Word文件，所以它有比普通文件有更多的時間戳。如果從上圖的頂部開始看，就會注意到doc/docx-typical時間戳：內容創建（kMDItemContentCreationDate和kMDItemContentCreationDate_Ranking）和內容修改（kMDItemContentModificationDate）。

緊接著的一個時間戳是添加日期（kMDItemDateAdded），它是文件添加到目錄的日期和時間，還有一個只有日期的時間戳—— kMDItemDateAdded_Ranking。

接下來的時間戳是內容改變（kMDItemFSContentChangeDate）和創建（kMDItemFSCreationDate），不過還有一個有趣的時間戳 - kMDItemInterestingDate_Ranking，這個你需要仔細發現。目前我也不知道它代表什麼意思。

最後，還有兩個最有價值的時間戳：kMDItemLastUsedDate和kMDItemLastUsedDate_Ranking。這兩個時間戳表示文件上次使用的日期。

正如你所看到的，在macOS中有大量的時間戳，但找到這些時間戳的最終目的，都是為了討論在macOS中如何檢測系統時鐘的回溯。我在研究時，用的是配有macOS High Sierra (10.13.2)的MacBook Air。

/private/var/db/timed

如果你熟悉* nix系統，那麼你可能已經猜到了，這是一個macOS守護進程監視系統時間。它的配置存儲在/ private / var / db / timed下的plist文件 - com.apple.timed.plist中。但是，如果系統時鐘已經過時，就會出現另一個com.apple.timed.plist文件，它位於/ private / var / db / timed / Library / Preferences下。這個時間戳顯示你過去的確切日期和時間，如下圖所示：

正如你所看到的，時鐘已經回溯到2016-11-01 09:16:51（UTC）。這些信息可以幫助你進一步搜索，例如，你可以使用你喜歡的工具創建時間表，然後列出相應日期的用戶活動。

/private/var/log/system.log

當然，像Windows中的事件日誌，macOS中的日誌，當然還有system.log，將包含大量的系統時鐘回溯的證據，如下圖所示。

從圖中可以看出，從1月到11月有一段非常奇怪的時間變化。也許你已經猜到了，這可能是攻擊者將時間改為了11月1日。

/private/var/log/install.log

另一個有用的日誌文件是install.log，它位於與system.log相同的目錄中，但其時間戳包含的信息更多。

從上圖，你可以看到2018年1月21日到2016年11月11日的回溯證據。

/var/db/uuidtext/

如果你進入macOS取證，你就知道這個文件夾是統一的日誌。莎拉?愛德華茲（Sarah Edwards）對這種類型的日誌有一個專門的解讀，這些日誌可能也是一個回溯證據。

/.DocumentRevisions-V100/.cs/ChunkStoreDatabase

如下圖所示，另一個回溯的來源是ChunkStoreDatabase，它包含用於存儲文件以前版本數據的「塊（chunk）」。

我正在取證的是CSChunkTable，如圖所示，timeStamp列中的第一條記錄具有「1516469407」值，它可以從Unix Epoch轉換為人類可閱讀的時間，即2018年1月20日星期六，但是第二個值代表什麼呢?它是「1477990845」，可以轉換為2016年11月1日星期二09:00:45 (UTC)。

/Users//.bash_sessions

如果你懷疑在回溯日期後使用了終端，那麼你可能會在/Users//.bash_sessions下找到一些很好的取證構件：