Manipulation de l’horodatage (Timetomping)
Description : Le timetomping est une technique classique anti-médico-légale visant à modifier les horodatages standards associés aux fichiers ou dossiers. L’objectif principal est de modifier les temps Modifié, Accès, Modifié et/ou Naissance (MACB) afin de faire paraître un fichier malveillant (comme une triche) ou un fichier légitime récemment modifié ou se fondre dans des fichiers système sans lien, ce qui complique l’analyse de la timeline lors d’un partage d’écran.
Mécanisme: Les attaquants utilisent divers outils ou méthodes pour réécrire les métadonnées d’horodatage :
Utilitaires spécialisés : Des outils comme (issus de Metasploit) ou d’autres utilitaires autonomes sont conçus spécifiquement à cet effet.
Timestomp.exeOutils intégrés : Les commandes PowerShell () ou même des appels API de bas niveau peuvent être utilisés pour modifier les horodatages.
Set-ItemPropertyAttributs cibles : Ces outils ciblent principalement les horodatages stockés dans l’attribut () dans l’enregistrement Master File Table (MFT) du fichier, car ce sont les horodatages généralement affichés par l’Explorateur Windows et la plupart des outils de base.
$STANDARD_INFORMATION$SI
Pourquoi les tricheurs l’utilisent : Pour faire apparaître un fichier de triche récemment téléchargé, installé ou exécuté comme s’il n’avait pas été touché depuis des mois ou des années, en espérant que le ScreenSharer l’oubliera lors du tri par date ou de l’analyse des activités récentes. Il peut aussi être utilisé sur des artefacts comme les fichiers de prélecture (bien que la manipulation d’attributs y soit plus courante) ou les journaux.
Détection: La détection du timetomping implique souvent de comparer différents ensembles d’horodatages associés au fichier :
$MFT $SI vs $FN Comparaison : Comme mentionné dans la section NTFS, les fichiers contiennent souvent deux ensembles d’horodatages MACB stockés dans leur enregistrement MFT : un dans ($SI) et un autre en ($FN). Les outils de timetomping ne modifient souvent que les $SI horodatages. Analyser les $MFT (par exemple, utiliser MFTECmd) et comparer les horodatages avec ceux du même fichier peut révéler des incohérences, ce qui indique fortement une manipulation. Si les horodatages $SI montrent une ancienne date (par exemple, 2015) mais que les $FN indiquent une date récente (par exemple, correspondant à la période du partage d’écran), le timetomping est très probable.
$STANDARD_INFORMATION$FILE_NAME$SI$FNRevue USN () : L’acte de modifier les horodatages des fichiers génère généralement un événement dans le journal de l’USN, enregistré avec un horodatage précis indiquant quand la modification a eu lieu. Trouver des entrées récentes pour un fichier affichant des horodatages beaucoup plus anciens $SI est une preuve forte de timetomping.
$UsnJrnlBASIC_INFO_CHANGEBASIC_INFO_CHANGE$LogFile : En théorie, ils pourraient capturer la transaction tentant de modifier l’horodatage, montrant potentiellement à la fois l’original et le faux horodatage prévu, bien que l’analyse de cet artefact soit complexe.
$LogFileCorrélation entre changement de temps système : Si le timetomping a eu lieu récemment, consultez les journaux d’événements (ID 4616) pour les changements d’heure système autour de la même période, car les attaquants pourraient temporairement reculer l’horloge système avant de modifier les horodatages. (Note : Les outils sophistiqués peuvent ne pas nécessiter de changements d’heure système).
Mis à jour