في ميدان الأمن السيبراني، يتفنن المهاجمون في إخفاء آثارهم بعد التسلل إلى الأنظمة، مستعينين بأساليب دقيقة تجعل عملية التتبع صعبة حتى على المحققين المحترفين. ومن أبرز هذه الأساليب التلاعب بالطوابع الزمنية للملفات، أو ما يعرف بـ Timestomping، وهي تقنية تشكل تحديًا كبيرًا أمام خبراء التحقيق الرقمي.
جوهر التقنية
يقوم Timestomping على تعديل بيانات الميتاداتا الخاصة بالملفات — مثل وقت الإنشاء والتعديل والوصول — بحيث تظهر وكأنها تعود إلى تواريخ مختلفة عن الواقع. وهذا يمنح البرمجيات الخبيثة القدرة على التمويه داخل النظام، ويصعّب عملية تحديد نقطة البداية للهجوم.
خطورة الاستخدام
تمكّن هذه الآلية المهاجمين من:
-
إخفاء توقيت التثبيت الفعلي للبرمجيات الخبيثة.
-
دمج ملفاتهم ضمن تحديثات أو مكونات نظام شرعية.
-
تضليل المحللين الرقميين أثناء إعادة بناء تسلسل الأحداث.
وقد استُخدمت هذه التقنية في حملات تجسس متقدمة مثل CHILLYHELL على macOS، وكذلك في برمجيات الفدية التي تُشوّه تواريخ الملفات بعد تشفيرها.
المواجهة الجنائية الرقمية
1. التحليل المتقاطع للسجلات
لا يعتمد المحققون على الطوابع الزمنية للملفات وحدها، بل يقارنونها مع:
-
Windows Event Logs: لرصد أي تعارض بين وقت الأحداث ووقت الملفات.
-
Prefetch Files في ويندوز: التي تسجل آخر تشغيل للتطبيقات، حتى إن تغير تاريخ الملف التنفيذي.
-
USN Journal: سجل نظام الملفات NTFS الذي يوثق أي تعديل على الملفات.
2. استخدام أدوات الطب الشرعي الرقمي
هناك أدوات متخصصة في كشف التلاعب بالزمن، مثل:
-
Sleuth Kit وAutopsy: لتحليل نظم الملفات واستخراج الميتاداتا الأصلية.
-
Plaso (Log2Timeline): لإعادة بناء الخط الزمني الرقمي ومقارنة الأحداث المختلفة.
-
FTK (Forensic Toolkit) وEnCase: اللتان تقدمان إمكانيات متقدمة في التدقيق بالبيانات الزمنية.
3. كشف الأنماط غير الطبيعية
-
وجود ملفات بتاريخ سابق لتاريخ تثبيت النظام يُعد مؤشرًا قويًا على تلاعب زمني.
-
التوافق المريب بين مئات الملفات في نفس التاريخ والوقت بدقة بالثواني، وهو ما لا يحدث عادة بشكل طبيعي.
4. الاعتماد على الطبقات الدنيا للنظام
بعض المهاجمين ينجحون في تعديل بيانات الميتاداتا، لكن يبقى أثرهم محفوظًا في سجلات أعمق مثل:
-
MFT (Master File Table) في NTFS، والتي غالبًا ما تحتفظ بمعلومات يصعب التلاعب بها.
-
Journaling systems في لينكس (EXT4, XFS)، التي توفر سجلات غير متزامنة مع الطوابع التقليدية.
ويمثل Timestomping واحدة من أكثر تقنيات التمويه خُبثًا، إذ يُحوّل الأدوات التي يعتمد عليها المحققون عادة لكشف الاختراق إلى مصادر مضللة. غير أن مزيجًا من التحليل المتقاطع للسجلات، والاستعانة بأدوات متقدمة، وفهم البنية الداخلية لنظم الملفات، يبقى الوسيلة الأكثر فعالية لكشف هذه الممارسات وإعادة بناء مسرح الجريمة الرقمية بدقة.
