Pendahuluan
Dalam dunia forensik digital dan respons insiden, ketersediaan jejak aktivitas sistem merupakan kunci untuk memahami bagaimana serangan terjadi dan bagaimana pelaku beraksi. Namun, pada banyak kasus kompromi Windows, pelaku sering menggunakan teknik anti-forensik yang efektif untuk menghapus atau mengaburkan bukti mereka, seperti menghapus log, memodifikasi file, atau menyabotase artefak forensik standar. Tantangan seperti ini memaksa penyelidik keamanan untuk menggali lebih dalam artefak yang tidak biasa atau kurang dikenal—salah satunya adalah file telemetry tersembunyi bernama AutoLogger-Diagtrack-Listener.etl.
Artikel ini membahas penemuan penting oleh tim FortiGuard Incident Response (FGIR) yang menunjukkan bahwa file ETL (Event Trace Log) ini, meskipun tidak terdokumentasi luas, dapat menyimpan jejak aktivitas sistem yang sangat berharga untuk rekonstruksi kejadian forensik—bahkan ketika artefak lain telah dihapus oleh penyerang.
Bagaimana ETW & AutoLogger Bekerja di Windows
Windows memiliki sebuah framework logging kinerja tinggi yang disebut Event Tracing for Windows (ETW). ETW memungkinkan Windows dan aplikasi untuk merekam peristiwa sistem yang sangat rinci dengan overhead minimal. Alih-alih menulis log teks biasa, ETW menggunakan providers seperti kernel, jaringan, atau registry untuk mengirim data peristiwa ke sesi ETW yang kemudian dapat disimpan ke file ETL biner atau dikonsumsi secara langsung oleh debugger, Event Viewer, atau sistem EDR.
Dalam struktur ini terdapat tiga peran penting:
-
Providers – Sumber peristiwa.
-
Controllers – Pengendali sesi (misalnya via tool seperti
logman). -
Consumers – Entitas yang membaca dan menginterpretasi log (misal EDR).
Banyak sistem EDR modern secara langsung subscribe ke provider ETW untuk mendapatkan visibilitas runtime yang lebih mendalam terhadap aktivitas sistem seperti peluncuran proses dan perilaku aplikasi.
Lokasi & Sifat AutoLogger-Diagtrack-Listener.etl
Salah satu sesi ETW yang kurang dikenal adalah AutoLogger-Diagtrack-Listener.etl, yang berada dalam direktori:
📍 %ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\
File ETL ini dihasilkan oleh layanan Connected User Experiences and Telemetry (atau dikenal juga sebagai DiagTrack), sebuah layanan Windows yang mengumpulkan telemetry dan data diagnostik sistem.
Tingkat detail logging dikendalikan oleh nilai registri AllowTelemetry, yang dapat diatur antara level 0 (tidak ada ETL) sampai level 3 (telemetri penuh). Dengan pengaturan default 0x1, file ETL biasanya tidak dibuat—namun pada beberapa sistem atau kondisi tertentu, file ini dapat muncul dan menyimpan data penting.
Temuan Forensik dari Insiden Ransomware
Ketika tim FGIR menyelidiki sebuah insiden ransomware yang menyerang Windows Server 2016, mereka mendapati bahwa file AutoLogger-Diagtrack-Listener.etl menyimpan jejak aktivitas proses yang sebelumnya dianggap telah dihapus oleh penyerang. Para pelaku telah melakukan berbagai teknik anti-forensik seperti:
✔ Menghapus file serta folder yang dibuatnya
✔ Menghapus log tradisional
✔ Obfuscating malware supaya analisis sulit dilakukan
Namun, meskipun binary malware dan log standar telah dibersihkan, proses-proses tersebut masih terekam dalam struktur ETW yang tersimpan di AutoLogger-Diagtrack-Listener.etl. Dengan memparsing payload ETW di file ini, FGIR berhasil mengekstraksi event KernelProcess → ProcessStarted yang memiliki data berharga seperti:
-
ProcessID – Identifikasi proses
-
ParentProcessID – PID induk proses
-
ImageName – Jalur lengkap eksekusi
-
CommandLine – Argumen perintah
-
UserSID – Identitas pengguna yang menjalankan proses
Beberapa eksekusi yang berhasil diidentifikasi termasuk alat rootkit yang dinamai ulang (gomer.exe, alias GMER) dan file ransomware (svhost.exe) yang digunakan untuk mengenkripsi drive remote.
Upaya Replikasi dan Tantangan
FGIR mencoba mereplikasi kondisi yang menghasilkan file ETL yang terisi, dengan melakukan perubahan konfigurasi telemetri (AllowTelemetry = 3) serta memulai sesi ETW secara manual melalui perintah logman. Walaupun file ETL berhasil dibuat, tidak ada data yang ditulis ke dalamnya—menunjukkan bahwa pembuatan file dan pengisinya bergantung pada kondisi internal layanan DiagTrack yang tidak terdokumentasi oleh Microsoft.
Hal ini menunjukkan bahwa keberadaan bukti di file tersebut tidak selalu terjamin pada setiap sistem, sehingga menjadi subjek penting bagi penelitian lanjutan.
Mengapa Ini Penting untuk Investigasi Forensik
Artefak seperti AutoLogger-Diagtrack-Listener.etl menunjukkan bahwa jejak aktivitas yang tampak hilang bisa saja tersimpan dalam tempat yang jarang diperiksa. Dalam banyak kasus, pelaku mencoba menghapus log Windows standar (mis. Security Event Log) atau Sysmon untuk menyamarkan aktivitas mereka. Namun artefak ETW biner bisa tetap hidup dan memberikan lapisan bukti sekunder yang berharga untuk rekonstruksi kejadian.
Penemuan ini membantu tim incident response dan forensik digital untuk:
🔍 Menemukan proses yang telah dihapus
📊 Mengungkap jalur eksekusi malware
📌 Mengidentifikasi teknik anti-forensik yang digunakan penyerang
Keterbatasan dan Pertimbangan
Walaupun bermanfaat, artefak ini tidak selalu dapat diandalkan sebagai sumber bukti tunggal karena dinamika internal DiagTrack yang tidak pasti. Selain itu, beberapa organisasi mungkin mematikan telemetri karena kebijakan privasi atau regulasi, yang mencegah file ETL ini dibuat sama sekali.
Penggunaan file ini dalam playbook forensik harus mempertimbangkan kebijakan privasi, regulasi setempat, dan relevansi terhadap keseluruhan bukti yang tersedia.
Penutup
Temuan Fortinet ini menggarisbawahi pentingnya eksplorasi artefak digital yang kurang dikenal dalam investigasi forensik modern. File AutoLogger-Diagtrack-Listener.etl, meskipun jarang diperiksa, bisa menjadi sumber bukti tak ternilai ketika jejak konvensional telah dimusnahkan. Pengetahuan ini perlu diperluas oleh komunitas keamanan untuk menyusun strategi investigasi yang lebih komprehensif.
📊 Tabel Pendukung – Ringkasan Temuan Forensik AutoLogger ETL
| Aspek | Deskripsi / Detail |
|---|---|
| Artefak | AutoLogger-Diagtrack-Listener.etl |
| Dihasilkan Oleh | Layanan Telemetry Connected User Experiences (DiagTrack) di Windows |
| Framework yang Digunakan | Event Tracing for Windows (ETW) |
| Lokasi File | %ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\ |
| Data Forensik Terekam | ProcessID, ParentProcessID, ImageName, CommandLine, UserSID |
| Kondisi Pembuatan | Tergantung internal trigger DiagTrack yang tidak terdokumentasi |
| Nilai Investigasi | Jejak proses yang dihapus/obfuscated oleh penyerang |
| Keterbatasan | Tidak selalu terisi walau file ada; bergantung pada konfigurasi telemetri |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Fortinet Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut !