Pendahuluan: Forensik Digital dan Tantangan Windows
Dalam penyelidikan insiden keamanan siber, analis forensik sering mencari setiap bukti yang dapat mengungkap alur serangan — mulai dari event log standar hingga jejak artefak sistem. Namun, tidak semua bukti mudah ditemukan; beberapa artefak sistem penting justru tersembunyi jauh di dalam sistem operasi. Salah satu temuan menarik dari FortiGuard Incident Response (FGIR) adalah pengungkapan potensi bukti forensik di sebuah file telemetry Windows yang jarang diperhatikan: AutoLogger-Diagtrack-Listener.etl.
File ETL ini bukan log teks biasa, tetapi bagian dari Event Tracing for Windows (ETW) — infrastruktur logging berperforma tinggi Windows yang mencatat aktivitas mendalam seperti peluncuran proses, perubahan registry, bahkan aktivitas kernel — namun dikemas dalam file biner. Analisis terhadap file ini dalam konteks respons insiden membuka wawasan baru tentang bagaimana artefak yang sering diabaikan dapat membantu merekonstruksi kejadian serangan.
Event Tracing for Windows (ETW) dan AutoLogger-Diagtrack-Listener.etl
Event Tracing for Windows (ETW) adalah sistem logging internal Windows yang dirancang untuk mencatat event-event sistem secara efisien, tanpa menurunkan performa sistem secara signifikan. Tiga komponen utama dalam ETW adalah:
-
Providers: sumber event (misalnya kernel, network stack, aplikasi).
-
Controllers: mengatur sesi logging, sering kali melalui utilitas seperti logman atau PerfMon.
-
Consumers: perangkat atau proses yang mengkonsumsi atau membaca data, seperti debugger, Event Viewer, atau sistem EDR (Endpoint Detection and Response) yang modern.
Salah satu artefak yang dihasilkan ETW adalah file AutoLogger-Diagtrack-Listener.etl, yang biasanya berada di:
%ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\
File ini dibuat ketika layanan telemetry Windows yang dikenal sebagai Connected User Experiences and Telemetry atau DiagTrack aktif dan mengumpulkan data diagnostik.
Bagaimana Artefak Ini Membantu Forensik?
Dalam kasus nyata sebuah penyerangan ransomware terhadap server Windows, FGIR menemukan bahwa meskipun pelaku telah melakukan anti-forensic techniques — seperti menghapus file, mengosongkan log, atau mengaburkan malware — jejak aktivitasnya masih tersimpan dalam file ETL ini.
Melalui pemrosesan lanjutan terhadap ETW payload dalam file ini — khususnya aliran KernelProcess → ProcessStarted — analis menemukan catatan proses yang pernah dijalankan, termasuk:
-
ProcessID (PID): ID proses yang diberikan oleh Windows.
-
ParentProcessID: ID proses induk.
-
ImageName: Jalur lengkap executable yang dijalankan.
-
CommandLine: Argumen baris perintah yang digunakan untuk menjalankan proses.
-
UserSID: Identifier keamanan pengguna yang menjalankan proses.
Informasi seperti nama proses, jalur executable, dan parameter baris perintah ini sangat penting karena dapat mengungkap bukti eksekusi malware yang telah dihapus dari sistem. Bahkan setelah binary dihapus oleh penyerang, jejak pelaksanaannya masih tertinggal di artefak ETW ini.
Temuan Spesifik: Ransomware dan Alat yang Diubah
Dalam contoh yang diinvestigasi oleh FGIR, artefak ETL ini menyimpan bukti peluncuran beberapa program yang sebelumnya telah dihapus oleh aktor ancaman, termasuk:
-
Ransomware payload, yang dinamai seperti “svhost.exe” tetapi berfungsi untuk mengenkripsi drive.
-
Alat GMER yang diganti namanya menjadi “gomer.exe”.
-
Beberapa skrip batch berbahaya yang dijalankan untuk memfasilitasi kegiatan pelaku.
Temuan-temuan ini jelas menunjukkan bahwa file telemetry tersembunyi seperti AutoLogger-Diagtrack-Listener.etl dapat berfungsi sebagai sumber bukti alternatif ketika log tradisional sudah terhapus atau tercemar — membuatnya sangat berharga dalam fase post-mortem digital forensik dan respons insiden.
Pengujian Terkendali & Observasi
Untuk memahami kapan dan bagaimana file ETL ini dibuat dan terisi, FGIR melakukan eksperimen terkendali pada Windows Server 2022 dan Windows 11:
-
Mereka mengubah AllowTelemetry di registry Windows menjadi level 3 (Full).
-
Menjalankan perintah logman untuk memulai dan mengatur session AutoLogger-Diagtrack-Listener.
Namun, meskipun file ETL dibuat, tidak ada telemetri yang ditulis ke dalamnya selama pengujian. Ini menunjukkan bahwa pencatatan nyata dalam file ini tergantung pada trigger internal layanan DiagTrack yang tidak terdokumentasi oleh Microsoft.
Artinya, meskipun file ETL tersebut ada, keberadaannya tidak menjamin bahwa data proses akan terekam — hal ini bergantung pada kondisi tertentu yang belum dipahami sepenuhnya dan mungkin berbeda antar versi Windows.
Nilai Forensik — Kesempatan & Batasan
Penemuan ini menjadi penting karena menunjukkan bahwa artefak yang sering diabaikan dapat menyimpan jejak sejarah aktivitas sistem, yang sangat berguna dalam investigasi keamanan. Namun, para analis forensik diminta untuk memahami keterbatasannya:
-
Pengisian file yang tidak konsisten: Artefak ini tidak selalu terisi, tergantung perilaku internal DiagTrack yang tidak terdokumentasi.
-
Kebijakan privacy/telemetry: Banyak organisasi menonaktifkan atau membatasi telemetry Windows, yang mungkin mencegah file ini terbentuk sama sekali.
-
Adaptasi OS: Microsoft dapat mengubah perilaku ini di build Windows mendatang, sehingga playbook forensik harus diperbarui.
Meskipun demikian, penggunaan file ETW seperti AutoLogger-Diagtrack-Listener.etl tetap menjadi alat investigasi bagi pihak yang menyelidiki kejadian siber — terutama untuk reconstruction alur peluncuran proses yang sudah dihapus dari sistem.
📊 Tabel: Informasi Forensik dari AutoLogger-Diagtrack-Listener.etl
| Kolom/Event Forensik | Deskripsi |
|---|---|
| ProcessID (PID) | ID unik proses yang dijalankan oleh Windows. |
| ParentProcessID | ID proses yang memanggil proses anak. |
| ImageName | Jalur lengkap file executable yang dijalankan. |
| CommandLine | Parameter yang digunakan saat eksekusi proses. |
| UserSID | Security identifier (SID) pengguna yang menjalankan proses. |
| PackageFullName | Nama paket aplikasi UWP (jika relevan). |
| Flags | Informasi internal tentang cara proses dibuat. |
Peran Solusi Deteksi Modern
Fortinet menyoroti bahwa solusi-solusi modern seperti:
-
FortiEDR: pemantauan aktivitas endpoint waktu nyata dan perilaku kernel.
-
FortiAnalyzer & FortiSIEM: mampu menelan dan mengkorelasikan telemetri Windows (termasuk ETW) untuk membangun gambaran kejadian yang lengkap.
-
FortiGuard Threat Intelligence: melengkapi deteksi dengan wawasan ancaman global.
ketiganya dapat membantu— dalam konteks Security Fabric — untuk lebih cepat mendeteksi tindakan berbahaya seperti peluncuran proses tak dikenal, skrip berbahaya, atau living-off-the-land techniques yang sering digunakan dalam serangan canggih.
Kesimpulan
Temuan Fortinet tentang AutoLogger-Diagtrack-Listener.etl membuka pintu baru bagi penyelidik keamanan siber untuk menemukan bukti forensik yang sebelumnya tersembunyi di Windows. Artefak ini berpotensi memberikan catatan peluncuran proses, meskipun sering terlewatkan dalam playbook forensik tradisional.
Namun keterbatasannya — seperti ketergantungan pada trigger internal dan kebijakan telemetry — berarti bahwa file ini bukan solusi tunggal yang selalu tersedia, melainkan sumber tambahan yang bisa sangat berharga ketika ada. Penelitian lanjutan diperlukan untuk memahami kapan otentikasi dan kondisi internal Windows memicu pengisian file ini.
Bagi analis forensik, menambahkan artefak ini ke toolkit mereka bisa menghasilkan wawasan yang lebih kaya tentang serangan kompleks — khususnya ketika pelaku menggunakan teknik anti-forensik yang bertujuan menghapus jejak jejak kegiatan mereka dari log konvensional.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Fortinet Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut !