Na Parte 1 desta série, “Investigando a linha do tempo de atividades do Windows”, analisamos os princípios básicos da linha do tempo: onde está, qual a aparência no disco e como o uso do Cellebrite BlackLight pode ajudar a encontrar pistas importantes, investigativas e fáceis de usar. Há muito mais que a linha do tempo pode fornecer aos investigadores, então vamos nos aprofundar um pouco mais.

Também mostraremos como aplicar as mesmas técnicas de pesquisa a dispositivos baseados em Mac. Para recapitular brevemente, a linha do tempo é um recurso do Windows 10 que rastreia vários tipos de atividades do usuário. Ela pode lembrar ao usuário o que ele tem feito e permitir que ele simplesmente clique em um bloco da IU para retomar uma das atividades anteriores, por exemplo, abrir um navegador até uma página da Web que o usuário visitou anteriormente.

Windows Sync

Na Parte 1 desta série, nos concentramos exclusivamente em uma única máquina, mas a linha do tempo tem muito mais a oferecer do que isso. Como você deve ter percebido na parte ConnectedDevicesPlatform do caminho onde o banco de dados (db) principal está localizado, ele pode sincronizar as atividades de um usuário entre várias máquinas.

No caso mais simples, isso requer apenas que o usuário efetue login em várias máquinas Windows 10 com o mesmo ID da Microsoft. Quando o usuário faz login em uma segunda máquina com Windows 10 com o mesmo ID da Microsoft usado na primeira máquina, as atividades armazenadas no banco de dados serão sincronizadas entre elas. O mesmo acontece ao usar mais de duas máquinas.

Para exemplificar esse fato, fiz o seguinte teste:

  • Eu ativei uma das várias máquinas virtuais (MVs) do Windows 10 (versão 1903) que uso para teste, fazendo login com uma das minhas contas de teste de ID da Microsoft.
  • Em seguida, fiz algumas “coisas normais de usuário” – naveguei na Web em alguns navegadores, criei e editei alguns documentos e visualizei fotos.
  • Posteriormente, criei uma nova MV (versão 1909). Em seguida, fiz login com a mesma conta de teste de ID da Microsoft que usei na MV 1903.

Ao examinar o ActivitiesCache.db na nova MV 1909, vi o seguinte:

Figura 1: ActivityCache.db na MV 1903

Podemos ver dois valores diferentes destacados na coluna Platform Device ID. Este campo contém um blob binário codificado em base64 que não parece particularmente útil à primeira vista. Porém, quando olhamos o registro da conta do usuário vico na máquina 1909 em NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/TaskFlow/DeviceCache, vemos que esses valores podem ser mapeados em máquinas distintas específicas.

Figura 2: Primeira entrada do DeviceCache

Figura 3: Segunda entrada do DeviceCache

Observe que os dois nomes de chave de string base64 destacados na Figura 2 e 3 correspondem aos dois IDs de dispositivo da plataforma na Figura 1.

Embora DeviceMake e DeviceModel correspondam, seus valores de DeviceName são diferentes.

Observando os nomes reais dos computadores nas duas MVs em seus respectivos registros em SYSTEM/CurrentControlSet/Control/ComputerName/ComputerName, vemos o seguinte para a máquina de 1909:

Figura 4: Nome do computador 1909

A máquina 1903 mostra:

Figura 5: Nome do computador 1903

Podemos ver que os valores de DeviceName correspondem aos nomes das respectivas MVs. Com o uso desse mapeamento, podemos identificar facilmente em qual máquina uma determinada atividade ocorreu.

Algo ainda mais interessante ocorre se olhamos os horários de início de atividade mais antigos no ActivitiesCache.db da MV 1909 na Figura 6 abaixo, constatamos que as atividades remontam a 2020-01-03.

Criei esta MV em 2020-02-21. Não apenas sincronizamos as atividades, mas também temos um histórico de antes mesmo de a máquina ser criada. Não é divertido?

Figura 6: Horários de início da atividade

Apresentam ramificações investigativas significativas. Por exemplo, se um suspeito “perder” uma máquina que pode conter dados relevantes para uma investigação, qualquer outra máquina na qual o usuário tenha efetuado login com o mesmo ID da Microsoft poderá conter vestígios.

Mesmo que o suspeito compre uma máquina totalmente nova para disfarçar uma máquina mais antiga, desde que ele use o mesmo ID da Microsoft, possivelmente poderá haver vestígios da atividade antes de a nova máquina estar em uso.

Mas espere, tem mais!

Sincronização para Mac

Além de sincronizar atividades em dispositivos baseados no Windows, a linha do tempo também pode sincronizar certos tipos de atividades de dispositivos Android, macOS e iOS.

O Cellebrite MacQuisition foi desenvolvido para ajudar a coletar estas informações de dispositivos Mac. Nos testes que realizei até agora, se um usuário instalar o Microsoft Office 365 e selecionar as opções padrão (que também instalarão o OneDrive), as atividades, como acessar documentos do Office, serão sincronizadas com qualquer máquina Windows 10 em que um usuário faça login com a mesma conta da Microsoft.

No entanto, existem várias limitações além de apenas sincronizar atividades relacionadas ao Office. Primeiro, a sincronização ocorre de outros sistemas operacionais para o Windows, mas não ao contrário. Não há evidência de que a atividade que ocorre em uma máquina Windows fique armazenada em sistemas que não sejam Windows. Isso faz sentido porque, até onde eu sei, não há ActivitesCache.db em outros sistemas operacionais. (Se alguém tiver evidências em contrário, adoraria saber mais sobre isso). Outras limitações são discutidas abaixo em exemplos do macOS e Android.

Aqui você pode ver as atividades realizadas em uma máquina macOS, observando o ActivitiesCache.db em um sistema Windows.

Figura 7: Tipo de atividade 5 do Mac

O painel inferior à direita exibe informações da Atividade 5 destacada no painel superior à direita. Lembre-se de que o tipo de atividade 5 indica “aplicativo aberto”.

Existem várias informações úteis mostradas aqui:

  • As linhas 1, 3, 5 e 6 indicam que um documento denominado “coffee blog.docx” foi acessado e está armazenado no OneDrive.
  • A linha 2 indica que o programa utilizado para acessar o documento foi o Word. (Isso se parece com qualquer outra atividade que ocorreu localmente na máquina Windows; e outros campos no banco de dados corroboram com estas constatações).
  • A linha 4 (a mais interessante) mostra a devicePlatform e indica que a máquina que fez o acesso foi uma máquina “Mac”.

Infelizmente, é aí que a maior parte das boas notícias termina. No painel superior à direita, o Platform Device ID está vazio – não há como saber em qual máquina Mac a atividade ocorreu. Tudo o que sabemos é que se trata de uma máquina que possui o Office365 instalado e que a conta conhecida da Microsoft foi usada.

Figura 8: Tipo de atividade 6 do Mac

Olhando a entrada do tipo de atividade 6 (que indica “aplicativo em foco”) para a mesma atividade (Figura 8), o painel inferior à direita mostra que activeDurationSeconds é zero. Parece estar sempre definido como zero, por isso não temos ideia de quanto tempo o usuário interagiu com o aplicativo. Além disso, o userTimeZone que aparece nas atividades do tipo de atividade 6 baseadas no Windows está faltando aqui também. A seguir, analisaremos o Android e veremos que a história é praticamente a mesma.

Sincronização do Android

Figura 9: Tipo de atividade 5 do Android

Como vimos no exemplo do Mac, se olharmos o painel inferior à direita na Figura 9 acima, poderemos ver evidências de que o documento “coffee blog.docx” foi acessado do OneDrive usando o Word.

A devicePlatform aqui, no entanto, é “Android”, indicando que a atividade ocorreu em um sistema Android (neste exemplo, um smartphone Pixel 3). Novamente, no painel superior à direita, vemos que o ID do dispositivo da plataforma está em branco, então não temos ideia de qualsistema Android a atividade se originou.

Figura 10: Tipo de atividade 6 do Android

Além disso, como vimos no exemplo do Mac, observando uma entrada do tipo de atividade 6 da mesma atividade, vemos que oactiveDurationSeconds é zero e o userTimezone está ausente.

Deixando essas advertências de lado, conseguir ver as evidências de atividades ocorridas em dispositivos Mac e Android por meio de um dispositivo Windows conectado usando o mesmo ID da Microsoft ainda é uma vitória significativa para os investigadores forenses. Este é um artefato do qual mesmo usuários altamente técnicos provavelmente não sabem, o que o torna potencialmente ainda mais valioso.

Conclusão

Resumindo, a funcionalidade de sincronização da linha do tempo das atividades do Windows significa que é bem provável encontrar evidências de atividades em máquinas Windows de atividades que ocorreram em uma máquina ocorrendo em outras máquinas, mesmo aquelas que não são baseadas no Windows, o que representa uma possível virada de jogo em algumas situações.

E, agora, você tem duas ferramentas valiosas no Cellebrite BlackLight e no Cellebrite MacQuisition que podem ajudá-lo a encontrar evidências em dispositivos Android ou Mac, respectivamente.

Adicione esta técnica ao seu arsenal e boa investigação!

Saiba mais sobre como o Cellebrite BlackLight e o Cellebrite MacQuisition podem ajudá-lo a progredir em suas investigações aqui.

Veja como nossas soluções de inteligência digital podem ajudar você a resolver casos mais rapidamente.

Fale conosco,

Share this post