Windows Forensics: সাইবার হামলার শিকার উইন্ডোজ সিস্টেম থেকে ডিজিটাল প্রমাণ সংগ্রহ এবং ম্যালওয়্যারের কার্যকলাপ শনাক্ত করার ফরেনসিক পদ্ধতি!

ডিজিটাল ফরেনসিকস শুধু প্রযুক্তিগত দক্ষতা নয়; এটি একটি কঠোর পদ্ধতিগত শৃঙ্খলা যা নির্দিষ্ট নীতি অনুসরণ করে চলে। সবচেয়ে গুরুত্বপূর্ণ নীতি হলো Chain of Custody — প্রমাণ সংগ্রহ থেকে শুরু করে আদালতে উপস্থাপনা পর্যন্ত প্রতিটি স্পর্শ লিপিবদ্ধ করতে হবে। কে, কখন, কোথায়, কেন প্রমাণ স্পর্শ করেছে — এই তথ্য না থাকলে আদালতে সেই প্রমাণ গ্রহণযোগ্য নাও হতে পারে।

দ্বিতীয় গুরুত্বপূর্ণ নীতি হলো Order of Volatility — তথ্যের অস্থিরতার ক্রম অনুসরণ করা। RFC 3227 অনুযায়ী, প্রথমে সবচেয়ে অস্থির তথ্য (CPU register, cache, RAM) সংগ্রহ করতে হবে, তারপর কম অস্থির তথ্য (network connections, running processes), এবং সবশেষে স্থিতিশীল তথ্য (hard disk, backup media)। যদি আপনি প্রথমে কম্পিউটার বন্ধ করে দেন, তাহলে RAM-এ থাকা মূল্যবান তথ্য চিরতরে হারিয়ে যাবে।

তৃতীয় নীতি হলো Working Copy Principle — মূল প্রমাণে কখনো সরাসরি কাজ করবেন না। সর্বদা একটি বিট-বাই-বিট কপি তৈরি করুন এবং সেই কপিতে বিশ্লেষণ পরিচালনা করুন। FTK Imager, dd, বা EnCase-এর মতো সরঞ্জাম এই কপি তৈরিতে সাহায্য করে এবং MD5/SHA256 হ্যাশের মাধ্যমে কপির সততা যাচাই করে।

ফরেনসিক ইমেজ সংগ্রহের দুটি প্রধান পদ্ধতি রয়েছে। Dead Acquisition-এ সিস্টেম বন্ধ করে হার্ড ডিস্ক বের করে একটি Write Blocker-এর মাধ্যমে অন্য কম্পিউটারে সংযুক্ত করে ইমেজ তৈরি করা হয়। এই পদ্ধতি সবচেয়ে নিরাপদ কারণ এতে মূল ডেটা পরিবর্তনের সম্ভাবনা শূন্য, তবে এতে RAM-এর মূল্যবান তথ্য হারিয়ে যায়।

Live Acquisition-এ চলমান সিস্টেম থেকে তথ্য সংগ্রহ করা হয়। এটি অপরিহার্য যখন সিস্টেমে এনক্রিপ্টেড ভলিউম মাউন্ট করা থাকে (BitLocker, VeraCrypt) বা সক্রিয় ম্যালওয়্যার RAM-এ চলছে। FTK Imager, DumpIt, এবং Belkasoft RAM Capturer-এর মতো সরঞ্জাম দিয়ে RAM dump নেওয়া হয়, যা পরবর্তীতে Volatility Framework দিয়ে বিশ্লেষণ করা যায়।

আধুনিক র‍্যানসমওয়্যার এবং ফাইললেস ম্যালওয়্যারের যুগে Live Acquisition প্রায় অপরিহার্য হয়ে উঠেছে। অনেক উন্নত ম্যালওয়্যার শুধু RAM-এ বাস করে এবং ডিস্কে কোনো চিহ্ন রাখে না, ফলে Dead Acquisition দিয়ে তাদের সনাক্ত করা প্রায় অসম্ভব।

Windows Registry হলো ফরেনসিক তদন্তকারীদের জন্য একটি স্বর্ণখনি। এটি সিস্টেম কনফিগারেশন, ব্যবহারকারীর কার্যকলাপ এবং ইনস্টল করা অ্যাপ্লিকেশনের বিস্তারিত তথ্য সংরক্ষণ করে। কিছু গুরুত্বপূর্ণ Registry Key যা প্রতিটি তদন্তে পরীক্ষা করা উচিত:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run এবং RunOnce keys — এগুলো ম্যালওয়্যারের Persistence-এর সবচেয়ে সাধারণ স্থান। প্রতিটি এন্ট্রি যাচাই করতে হবে এবং অজানা প্রোগ্রামকে গভীরভাবে অনুসন্ধান করতে হবে।

UserAssist key (NTUSER.DAT-এ) — এটি ব্যবহারকারী কোন প্রোগ্রামগুলো GUI দিয়ে চালু করেছেন তার তথ্য ROT13 এনকোডিং-এ সংরক্ষণ করে। এর সাথে রয়েছে শেষ এক্সিকিউশন সময় এবং রান কাউন্ট।

ShimCache (Application Compatibility Cache) — এটি প্রায় প্রতিটি এক্সিকিউট হওয়া প্রোগ্রামের একটি রেকর্ড রাখে, এমনকি প্রোগ্রামটি ইতিমধ্যে মুছে ফেলা হলেও। আক্রমণকারীরা প্রায়ই ম্যালওয়্যার চালানোর পর সেটি মুছে ফেলে, কিন্তু ShimCache সেই কার্যকলাপের সাক্ষী হয়ে থাকে।

AmCache.hve — এটি ShimCache-এর সাথে অনুরূপ তথ্য সংরক্ষণ করে কিন্তু আরও বিস্তারিতভাবে, এবং SHA1 হ্যাশ সহ। Windows 10 থেকে এটি ফরেনসিক বিশ্লেষণের একটি প্রধান উৎস হয়ে উঠেছে।

USBSTOR key — এটি সমস্ত USB ডিভাইসের রেকর্ড সংরক্ষণ করে যা সিস্টেমে কখনো সংযুক্ত হয়েছে। ডেটা চুরি বা অভ্যন্তরীণ হুমকির তদন্তে এটি অমূল্য।

NTFS ফাইল সিস্টেমে অনেকগুলো মূল্যবান ফরেনসিক আর্টিফ্যাক্ট রয়েছে। Master File Table (MFT) হলো এর হৃদয়, যেখানে প্রতিটি ফাইলের জন্য একটি রেকর্ড থাকে। MFT analysis-এর মাধ্যমে মুছে ফেলা ফাইল পুনরুদ্ধার, ফাইলের সঠিক তৈরি/পরিবর্তন/অ্যাক্সেস টাইমস্ট্যাম্প এবং Alternate Data Streams সনাক্ত করা যায়।

$LogFile এবং $UsnJrnl হলো NTFS-এর ট্রানজ্যাকশন লগ, যা সাম্প্রতিক ফাইল কার্যকলাপের বিস্তারিত রেকর্ড রাখে। এই লগগুলো ম্যালওয়্যার যে ফাইলগুলো তৈরি করেছিল এবং পরে মুছে ফেলেছিল সেগুলো পুনর্গঠনে সাহায্য করে।

Prefetch ফাইল (C:\Windows\Prefetch) — Windows যখন একটি প্রোগ্রাম চালায়, তখন সেটি দ্রুত লোড করার জন্য একটি .pf ফাইল তৈরি করে। প্রতিটি Prefetch ফাইলে প্রোগ্রামের নাম, রান কাউন্ট, শেষ ৮টি এক্সিকিউশন টাইমস্ট্যাম্প এবং ফাইলপাথ থাকে। PECmd সরঞ্জাম দিয়ে এগুলো সহজে পার্স করা যায়।

LNK ফাইল এবং Jump Lists — যখন একজন ব্যবহারকারী একটি ফাইল খোলেন, Windows একটি Shortcut (.lnk) তৈরি করে যাতে ফাইলের পূর্ণ পথ, MAC ঠিকানা এবং অন্যান্য মেটাডেটা থাকে। Jump Lists প্রতিটি অ্যাপ্লিকেশন কোন ফাইলগুলো খুলেছিল তার তালিকা রাখে।

Recycle Bin (C:$Recycle.Bin) — এমনকি যখন ব্যবহারকারী একটি ফাইল ডিলিট করে, এটি প্রথমে Recycle Bin-এ যায়। প্রতিটি ডিলিট করা ফাইলের জন্য একটি $I ফাইল (মেটাডেটা সহ) এবং একটি $R ফাইল (প্রকৃত ডেটা) তৈরি হয়।

RAM Dump বিশ্লেষণের সর্বশ্রেষ্ঠ সরঞ্জাম হলো Volatility Framework। Python-এ লেখা এই ওপেন সোর্স টুলটি Windows, Linux এবং macOS-এর মেমরি ইমেজ বিশ্লেষণ করতে পারে।

কিছু গুরুত্বপূর্ণ Volatility plugins:

• pslist এবং pstree: চলমান প্রসেসের তালিকা
• psxview: লুকানো প্রসেস সনাক্তকরণ
• netscan: সক্রিয় নেটওয়ার্ক কানেকশন
• malfind: প্রসেস ইনজেকশন সনাক্তকরণ
• cmdscan এবং consoles: কমান্ড লাইন ইতিহাস
• hashdump: পাসওয়ার্ড হ্যাশ এক্সট্র্যাক্ট
• dlllist: প্রতিটি প্রসেসে লোড হওয়া DLL

Memory Forensics বিশেষভাবে কার্যকর প্রসেস ইনজেকশন এবং ডিএলএল হাইজ্যাকিংয়ের মতো আক্রমণ সনাক্ত করতে, যা ঐতিহ্যবাহী ডিস্ক ফরেনসিক্সে ধরা পড়ে না।

Windows Event Logs হলো তদন্তকারীদের জন্য আরেকটি অপরিহার্য উৎস। %SystemRoot%\System32\winevt\Logs\ ফোল্ডারে .evtx ফাইল হিসেবে এগুলো সংরক্ষিত থাকে। কিছু গুরুত্বপূর্ণ লগ:

Security.evtx — লগইন ইভেন্ট, বিশেষাধিকার ব্যবহার, অবজেক্ট অ্যাক্সেস। Event ID 4624 (সফল লগইন) এবং এর Logon Type বিশেষভাবে গুরুত্বপূর্ণ। Type 3 (Network), Type 10 (RemoteInteractive/RDP) এবং Type 4 (Batch/Scheduled Task) সন্দেহজনক কার্যকলাপের ইঙ্গিত হতে পারে।

System.evtx — সার্ভিস তৈরি (Event ID 7045), সিস্টেম শাটডাউন/রিস্টার্ট, ড্রাইভার ইনস্টলেশন।

Microsoft-Windows-PowerShell/Operational.evtx — PowerShell স্ক্রিপ্ট ব্লক এবং এক্সিকিউশন। Event ID 4104 আক্রমণকারীর PowerShell পেলোড প্রকাশ করতে পারে।

Microsoft-Windows-Sysmon/Operational.evtx — যদি Sysmon ইনস্টল করা থাকে, এটি প্রসেস তৈরি, নেটওয়ার্ক কানেকশন, ফাইল তৈরি এবং Registry পরিবর্তনের বিস্তারিত তথ্য সরবরাহ করে। Sysmon ছাড়া আধুনিক EDR এবং SIEM-এর কার্যকারিতা সীমিত।

ব্রাউজার হলো বেশিরভাগ আক্রমণের প্রবেশদ্বার, তাই ব্রাউজার আর্টিফ্যাক্ট পরীক্ষা অত্যন্ত গুরুত্বপূর্ণ। Chrome, Firefox এবং Edge প্রত্যেকেই SQLite ডাটাবেসে ইতিহাস, ডাউনলোড, কুকিজ এবং সংরক্ষিত পাসওয়ার্ড সংরক্ষণ করে।

DB Browser for SQLite বা DBeaver দিয়ে এই ফাইলগুলো খুলে দেখা যায়। তবে সরাসরি লাইভ ব্রাউজার ডেটাবেস খোলা যাবে না; প্রথমে কপি তৈরি করতে হবে। Hindsight এবং Browser History Examiner-এর মতো বিশেষায়িত সরঞ্জাম এই প্রক্রিয়াকে আরও সহজ করে।

একটি বাস্তব পরিস্থিতি বিবেচনা করুন: একটি কোম্পানির ফাইল সার্ভার র‍্যানসমওয়্যার দ্বারা এনক্রিপ্ট হয়ে গেছে। তদন্ত শুরু করার জন্য আপনাকে কয়েকটি প্রশ্নের উত্তর খুঁজতে হবে: আক্রমণ কখন শুরু হয়েছিল? কীভাবে প্রবেশ করেছিল? কী কী এক্সফিল্ট্রেট হয়েছে?

প্রথমে Security Event Log পরীক্ষা করে অস্বাভাবিক লগইন ইভেন্ট খুঁজুন। Type 10 (RDP) এর অপরিচিত IP থেকে লগইন একটি লাল পতাকা। তারপর Registry-তে Run keys, Services এবং Scheduled Tasks পরীক্ষা করে Persistence Mechanism চিহ্নিত করুন।

Prefetch ফাইল বিশ্লেষণ করে দেখুন কোন কোন অপরিচিত এক্সিকিউটেবল চলেছিল। vssadmin.exe delete shadows কমান্ডের প্রমাণ পেলে এটি র‍্যানসমওয়্যারের একটি স্বাক্ষর — এটি Shadow Copies মুছে ফেলে যাতে ব্যাকআপ থেকে পুনরুদ্ধার সম্ভব না হয়।

নেটওয়ার্ক লগ এবং firewall লগ পর্যালোচনা করে আউটবাউন্ড C2 কমিউনিকেশন এবং সম্ভাব্য ডেটা এক্সফিল্ট্রেশন সনাক্ত করুন। অস্বাভাবিকভাবে বড় আউটবাউন্ড ট্রাফিক ডেটা চুরির ইঙ্গিত হতে পারে।

ফরেনসিক বিশ্লেষণের জন্য পেশাদাররা বিভিন্ন সরঞ্জাম ব্যবহার করেন। Autopsy এবং Sleuth Kit হলো শক্তিশালী ওপেন সোর্স সরঞ্জাম যা সম্পূর্ণ ডিস্ক ইমেজ পরীক্ষা করতে পারে। FTK এবং EnCase হলো বাণিজ্যিক সমাধান যা বড় এন্টারপ্রাইজে ব্যবহৃত হয়।

KAPE (Kroll Artifact Parser and Extractor) হলো একটি দ্রুত triage সরঞ্জাম যা একটি চলমান সিস্টেম থেকে সবচেয়ে গুরুত্বপূর্ণ আর্টিফ্যাক্ট দ্রুত সংগ্রহ করতে পারে। Eric Zimmerman-এর সরঞ্জামসমূহ (PECmd, MFTECmd, RECmd, JLECmd) প্রায় প্রতিটি Windows আর্টিফ্যাক্ট পার্স করতে পারে।

ভবিষ্যতের তদন্ত সহজ করতে কিছু পদক্ষেপ গ্রহণ করা প্রয়োজন:

Sysmon মোতায়েন করুন। SwiftOnSecurity-এর কনফিগারেশন একটি চমৎকার শুরুর পয়েন্ট প্রদান করে।

PowerShell Script Block Logging এবং Module Logging সক্ষম করুন।

Audit Policy সঠিকভাবে কনফিগার করুন যাতে গুরুত্বপূর্ণ ইভেন্ট লগ হয়। ডিফল্ট সেটিং ফরেনসিক বিশ্লেষণের জন্য যথেষ্ট নয়।

কেন্দ্রীয় লগ সংগ্রহ স্থাপন করুন। আক্রান্ত হোস্টের লগ সহজেই মুছে ফেলা যায়, কিন্তু রিমোট সার্ভারে পাঠানো লগ আক্রমণকারী সাধারণত স্পর্শ করতে পারে না।

নিয়মিত ব্যাকআপ এবং অফলাইন ব্যাকআপ পরিকল্পনা রাখুন।

Endpoint Detection and Response (EDR) সমাধান মোতায়েন করুন যা রিয়েল-টাইম পর্যবেক্ষণ এবং স্বয়ংক্রিয় তদন্ত সক্ষমতা প্রদান করে।