Timeline Analysis: সাইবার আক্রমণের পর ডিজিটাল ফরেনসিক প্রমাণের ভিত্তিতে পূর্ণাঙ্গ অ্যাটাক টাইমলাইন তৈরি করার আর্ট!

একটি ransomware attack বা data breach investigation-এ multiple critical question-

• প্রথম compromise কখন হয়েছিল (initial access timestamp)?
• Attacker কোন route ব্যবহার করেছিল (lateral movement path)?
• Persistence কখন established হয়েছিল?
• Data exfiltration কখন এবং কোন volume-এ?
• কোন accounts compromise হয়েছে?
• Dwell time কত ছিল?

এই সব প্রশ্নের সঠিক উত্তর timeline-এ depend। Mandiant-এর M-Trends ২০২৪ অনুযায়ী মিডিয়ান dwell time ১০ দিন, কিন্তু APT campaign-এ মাস বা বছর পর্যন্ত সম্ভব। Timeline analysis সেই hidden dwell time uncover করার primary mechanism।

আদালতে যেখানে evidence presentable হতে হবে, সেখানে chain of custody, evidence integrity এবং accurate timestamp interpretation litigation-এর mandatory অংশ।

Timeline analysis-এর প্রথম challenge — সমস্ত timestamp একসাথে align করা।

Time Zone: প্রতিটি system, log source এবং evidence source ভিন্ন time zone-এ থাকতে পারে। UTC-এ standardize করা best practice। Plaso-র default UTC।

Clock Drift: system clock perfectly accurate নয়। NTP-synced system minor drift দেখাতে পারে, non-synced system significant drift।

Timestamp Manipulation: anti-forensic technique-এ adversary timestamp modify করেন (timestomping)। Windows-এ $STANDARD_INFORMATION attribute সহজে timestomp-able, কিন্তু $FILE_NAME attribute (MFT) generally tamper-resistant।

Multiple Timestamps per Object: একটি Windows file-এর চারটি timestamp — Created, Modified, Accessed, MFT Entry Modified (CTime, MTime, ATime, EntryModified)। MAC times, বা MACB (B for Born/Created)। প্রতিটি timestamp আলাদা meaning বহন করে।

Format Variation: FILETIME, Unix epoch, ISO 8601, Excel serial date, JavaScript Date — সব different binary encoding। Tool conversion handle করে।

Rob Lee এবং SANS-এর "super timeline" concept — যেখানে একটি single timeline-এ multiple evidence source থেকে event aggregate করা হয়। উদ্দেশ্য — investigator একটি unified chronological view পান, যাতে cross-source correlation সহজ হয়।

Super timeline-এর component-

• File System Metadata: MFT (NTFS), inode (ext4), HFS+ catalog।
• Windows Registry: NTUSER.DAT, SYSTEM, SOFTWARE, SAM hive।
• Event Log: Security, System, Application, Sysmon, PowerShell, Task Scheduler।
• Web Browser History: Chrome, Firefox, Edge SQLite database।
• Application Artifact: prefetch, ShimCache, Amcache, jumplists, LNK files।
• Network Log: Zeek, Suricata, NetFlow।
• Email: PST, OST, MBOX।
• Cloud Audit Log: AWS CloudTrail, Microsoft 365 audit।

Kristinn Gudjonsson-এর developed Plaso (Plaso Langar Að Safna Öllu — "Plaso wants to collect everything") timeline analysis-এর de facto standard। log2timeline.py (collection tool) এবং psort.py (sorting/filtering tool)-এর pair।

Workflow-

1. Collection: log2timeline.py timeline.plaso evidence.E01 — image বা mount-point থেকে event extract।
2. Parsing: Plaso-এর ১০০+ parser বিভিন্ন artifact recognize করে।
3. Sorting/Filtering: psort.py -o l2tcsv timeline.plaso > super.csv — চাইলে time range, source filter।
4. Analysis: Excel, Timeline Explorer, Timesketch দিয়ে review।

Plaso parser list-এ NTFS USN journal, prefetch, registry, event log, browser history, Linux syslog, Mac OS plist — virtually all common artifact।

Google-এর developed Timesketch — open-source web platform যা multiple investigator-কে একই timeline-এ collaboratively কাজ করতে দেয়। Plaso output ingest করে এবং Elasticsearch-এ index করে। Tag, comment, color, custom search সব support।

Timesketch-এর key feature-

• Sketch: একটি investigation-এর container।
• Story: timeline-এর narrative wrap।
• Analyzer Plugin: automated analysis — যেমন browser timeline analyzer, YARA scanner।
• AI Integration: ২০২৪-পরবর্তী version-এ LLM-driven event summarization।
• Sigma Rule: timeline event-এ Sigma rule run।

Enterprise DFIR firm যেমন Mandiant, Stroz Friedberg, Kroll Timesketch-এর variation ব্যবহার করে।

Master File Table (MFT)

NTFS-এর MFT প্রতিটি file/directory-এর metadata record করে। প্রতিটি record-এ $STANDARD_INFORMATION (SI) এবং $FILE_NAME (FN) attribute। SI সহজে modified, FN সাধারণত MFT-এ creation time-এই set হয় এবং পরে rarely modified।

Timestomping detection-এ SI vs FN comparison key — যদি SI timestamp FN timestamp-এর আগে হয়, suspicious।

USN Journal

NTFS USN journal recent file system change-এর rolling log। File creation, modification, deletion-এর history। Plaso-এর USN parser এই data extract করে।

Prefetch

Windows Prefetch (C:\Windows\Prefetch\*.pf) recently executed application track করে। প্রতিটি .pf file-এ executable name, last execution time, run count, এবং referenced file list।

Prefetch বিশেষভাবে valuable — কারণ এটি execution evidence — even যদি malware deleted হয়।

ShimCache (AppCompatCache)

Windows Application Compatibility Cache। SYSTEM registry hive-এ। Recently executed binary-এর evidence — যদিও sometimes কেবল file existence indicate করে।

Amcache

Amcache.hve (Windows 7+)। Application execution-এর detailed record — SHA1 hash সহ।

Event Log

%SystemRoot%\System32\winevt\Logs\ directory-এর EVTX file। Critical event-

• Security.evtx: 4624 (logon success), 4625 (logon failure), 4634 (logoff), 4672 (special privilege), 4688 (process creation with cmdline), 4768/4769 (Kerberos), 4720 (account created)।
• System.evtx: service start, time change।
• Sysmon.evtx: comprehensive — process, network, file, registry।
• PowerShell/Operational.evtx: script block logging, module logging।
• Microsoft-Windows-TaskScheduler/Operational.evtx: scheduled task creation এবং execution।

Registry

NTUSER.DAT — user-specific (UserAssist, RecentDocs, TypedURLs, RunMRU)। SYSTEM hive — services, devices, network। SOFTWARE — installed application। SAM — local user account।

UserAssist key-তে GUI-launched application track হয় ROT13 encoded form-এ।

Browser

Chrome — History (SQLite), Cookies, Login Data। Firefox — places.sqlite। Edge — Chromium-based now, similar structure।

Hindsight (Ryan Benson-এর tool) Chrome browser forensics-এ specialized।

Recent and LNK Files

%AppData%\Microsoft\Windows\Recent — opened file-এর shortcut। প্রতিটি .lnk file-এ target path, working directory, timestamp।

JumpLists — taskbar-এ recent items। *.automaticDestinations-ms এবং *.customDestinations-ms।

Linux-এ artifact source-

• /var/log/: syslog, auth.log, kern.log।
• bash history: .bash_history।
• /etc/passwd, /etc/shadow: account।
• journal: systemd-journald।
• audit log: /var/log/audit/audit.log (if auditd enabled)।
• ext4 inode: timestamp।

macOS-এ-

• Unified Logging: macOS 10.12+।
• Quarantine database: downloaded file metadata।
• FSEvents: file system event।
• TCC database: Privacy permission।
• plist files: countless application-specific।

Cloud breach investigation-এ on-prem artifact থাকে না — কেবল log।

• AWS CloudTrail: API call audit।
• AWS GuardDuty: threat finding।
• AWS VPC Flow Log: network traffic।
• Azure Activity Log, Azure AD Sign-in Log।
• Microsoft 365 Unified Audit Log: mailbox access, file access, admin action।
• GCP Cloud Audit Logs।

Cloud timeline-এ challenge — log retention period এবং completeness। Default 90-day retention-এর বাইরে data lost।

Volatile memory artifact disk-based timeline supplement করে। Volatility/Rekall দিয়ে memory dump থেকে process, network, registry hive extract।

Memory-এর timestamp limited — কিন্তু running process-এর start time, network connection-এর state কিছু temporal information প্রদান করে।

ধরা যাক একটি ransomware incident। Initial alert: file encryption notice ১১:৪২ AM-এ। Investigator question — initial compromise কখন?

Stage 1 — Endpoint Triage: KAPE বা CyLR দিয়ে affected host-এর forensic image বা triage collection।

Stage 2 — Plaso Run: super timeline generate।

Stage 3 — Filter and Pivot: ransomware execution time-এর পেছনে ৭২ ঘণ্টা থেকে event filter।

Stage 4 — Identification: প্রায়ই pattern পাওয়া যায়-

• ৪৮ ঘণ্টা আগে: phishing email-এর attachment open (Outlook recent files, Office trust records)।
• ৪৭:৫০ ঘণ্টা আগে: macro-enabled document execution (Office Trusted Documents, AmCache record)।
• ৪৭:৪৫ ঘণ্টা আগে: Cobalt Strike beacon process (Sysmon Event ID 1)।
• ৪৫ ঘণ্টা আগে: lateral movement to file server (Security Event 4624 logon type 3)।
• ১২ ঘণ্টা আগে: domain admin credential dump (LSASS access)।
• ৩ ঘণ্টা আগে: data exfiltration (network log, large outbound)।
• ১১:৪২ AM: ransomware deployment via SMB push।

Stage 5 — MITRE ATT&CK Mapping: প্রতিটি event-কে ATT&CK technique-এ map।

Stage 6 — Containment এবং Eradication Recommendation।

Stage 7 — Final Report: timeline visualization (Timesketch, Excel), executive summary, root cause analysis, remediation plan।

Skilled adversary timeline analysis frustrate করার চেষ্টা করেন।

• Timestomping: SetMACE, Timestomp tool।
• Log Deletion: wevtutil cl Security বা Clear-EventLog।
• USN Journal Deletion: fsutil usn deletejournal।
• Prefetch Deletion।
• Secure File Deletion: SDelete, sdelete++।
• Memory-only Operation: fileless malware।
• Living-off-the-Land: legitimate Windows tool ব্যবহার যাতে fewer artifact।

Defender-এর responseও সমান sophistication-এ -

• Multi-source Correlation: একটি source-এ evidence missing হলেও অন্য source-এ found।
• Tamper Detection: $FILE_NAME vs $STANDARD_INFORMATION discrepancy।
• Volume Shadow Copy: deleted file recovery।
• Endpoint Telemetry: EDR-এ centralized, tamper-resistant।
• Memory Forensics: কিছু evidence কেবল RAM-এ।

Common DFIR tool-

• KAPE (Kroll Artifact Parser and Extractor): rapid triage collection।
• CyLR: live response collection।
• Velociraptor: open-source DFIR platform, fleet collection।
• EnCase, FTK, X-Ways: commercial forensic suite।
• Autopsy/Sleuth Kit: open-source forensic platform।
• Plaso: super timeline।
• Timesketch: collaborative timeline।
• Eric Zimmerman tool: MFTECmd, Registry Explorer, Timeline Explorer, LECmd, JLECmd — best-in-class Windows artifact parser।
• Hayabusa, Chainsaw: EVTX-এ Sigma rule-based analysis।
• Volatility/Rekall: memory forensics।

Effective timeline analysis-এর জন্য preparation-

Logging Strategy: Sysmon deploy with comprehensive config, PowerShell script block logging, command-line auditing (Event 4688)। Cloud audit log enabled, sufficient retention।

Log Centralization: SIEM-এ centralized log। Tamper-resistant (write-once, append-only)।

Backup Strategy: Volume Shadow Copy enabled, regular snapshot, immutable backup।

Incident Response Plan: documented IR playbook, forensic readiness assessment, retainer with IR firm।

Team Training: DFIR analyst-দের Plaso, Timesketch, Eric Zimmerman tool-এ proficiency।

Tool Pre-positioning: forensic image acquisition tool, triage collection script — easily deployable।

Legal Preparation: chain of custody process, evidence handling SOP, expert witness arrangement।

Tabletop Exercise: simulated incident-এ timeline analysis practice।

Cloud Forensic Readiness: cloud log retention extended, forensic-friendly architecture।

Continuous Improvement: post-incident review, lessons learned, playbook update।