Solution de timruff pour Académie de l'investigation - Porte dérobée

Table des matières

Contexte

On a une porte dérobée qui été a exécutée et qui est capable d’exécuter des commandes, on doit retrouver :

Le port d’écoute.
L’adresse IP distante.
L’horodatage du processus en UTC.

Solution

Pour volatility 3, on utilisera la version au minimum 2.27.

python3 vol.py -f dmp.mem linux.pstree.PsTree
...
Volatility 3 Framework 2.27.0

OFFSET (V)	PID	TID	PPID	COMM

0x9d72c6fb1f00	1	1	0	systemd
* 0x9d72b52d2e80	364	364	1	systemd-journal
* 0x9d72b527be00	386	386	1	systemd-udevd
* 0x9d72c49b0000	397	397	1	vmware-vmblock-
* 0x9d72bd170000	618	618	1	systemd-timesyn
* 0x9d72bd173e00	620	620	1	VGAuthService
* 0x9d72c4a88000	622	622	1	vmtoolsd
* 0x9d72bd176c80	633	633	1	avahi-daemon
** 0x9d72b5870000	651	651	633	avahi-daemon
* 0x9d72c0232e80	634	634	1	cron
* 0x9d72c0230000	635	635	1	dbus-daemon
* 0x9d72c0230f80	636	636	1	NetworkManager
* 0x9d72c0231f00	639	639	1	polkitd
* 0x9d72c0236c80	641	641	1	rsyslogd
* 0x9d72bea93e00	647	647	1	udisksd
* 0x9d72bea95d00	648	648	1	wpa_supplicant
* 0x9d72bea94d80	654	654	1	ModemManager
* 0x9d72b52d6c80	667	667	1	lightdm
** 0x9d72bd9fbe00	754	754	667	Xorg
** 0x9d72c1be4d80	1171	1171	667	lightdm
*** 0x9d72bd8c6c80	1201	1201	1171	xfce4-session
**** 0x9d72bfc26c80	1232	1232	1201	ssh-agent
**** 0x9d72bfc25d00	1265	1265	1201	xfwm4
**** 0x9d72bef48f80	1378	1378	1201	xfce4-panel
***** 0x9d72bef49f00	1403	1403	1378	panel-6-systray
***** 0x9d72c07e1f00	1404	1404	1378	panel-8-pulseau
***** 0x9d72c07e0000	1405	1405	1378	panel-9-power-m
***** 0x9d72c07e6c80	1406	1406	1378	panel-10-notifi
***** 0x9d72bef00000	1408	1408	1378	panel-14-action
***** 0x9d72be64cd80	118911	118911	1378	firefox-esr
****** 0x9d72c081cd80	118971	118971	118911	Web Content
****** 0x9d72c173cd80	119020	119020	118911	WebExtensions
****** 0x9d72c177ec80	119061	119061	118911	Web Content
****** 0x9d72c177be00	119087	119087	118911	Web Content
****** 0x9d72950e8f80	119478	119478	118911	Web Content
***** 0x9d72c1848f80	119148	119148	1378	chromium
****** 0x9d72bd8a3e00	119162	119162	119148	chrome-sandbox
******* 0x9d72940e8000	119163	119163	119162	chromium
******** 0x9d72940eae80	119165	119165	119163	chromium
********* 0x9d729ce6dd00	119218	119218	119165	chromium
********* 0x9d7283045d00	119233	119233	119165	chromium
********* 0x9d72824e3e00	119274	119274	119165	chromium
********* 0x9d7282481f00	119302	119302	119165	chromium
********* 0x9d7284f86c80	119364	119364	119165	chromium
********* 0x9d7284f82e80	119380	119380	119165	chromium
********* 0x9d729a269f00	119394	119394	119165	chromium
********* 0x9d72940e4d80	119735	119735	119165	chromium
********* 0x9d72c1848000	119757	119757	119165	chromium
****** 0x9d72bd57be00	119184	119184	119148	chromium
****** 0x9d72bd57cd80	119187	119187	119148	chromium
***** 0x9d7284e8cd80	119514	119514	1378	cli
**** 0x9d72bef4ec80	1386	1386	1201	Thunar
**** 0x9d72bed51f00	1391	1391	1201	xfdesktop
**** 0x9d72bebd8f80	1416	1416	1201	polkit-gnome-au
**** 0x9d72bef05d00	1418	1418	1201	light-locker
**** 0x9d72bef01f00	1427	1427	1201	nm-applet
**** 0x9d72c07e3e00	1430	1430	1201	xiccd
**** 0x9d72c1a29f00	1446	1446	1201	applet.py
* 0x9d72b522ae80	695	695	1	unbound
* 0x9d72b522be00	706	706	1	tor
* 0x9d72bea91f00	746	746	1	systemd-logind
* 0x9d72c4a8ec80	755	755	1	agetty
* 0x9d72c1abae80	1048	1048	1	exim4
* 0x9d72b527ec80	1102	1102	1	rtkit-daemon
* 0x9d72c09a8000	1176	1176	1	systemd
** 0x9d72c0235d00	1177	1177	1176	(sd-pam)
** 0x9d72bfdcbe00	1195	1195	1176	pulseaudio
** 0x9d72bfdcec80	1209	1209	1176	dbus-daemon
** 0x9d72bf86ec80	1242	1242	1176	at-spi-bus-laun
*** 0x9d72bf8d3e00	1247	1247	1242	dbus-daemon
** 0x9d72bf868000	1251	1251	1176	xfconfd
** 0x9d72bf869f00	1257	1257	1176	at-spi2-registr
** 0x9d72bf86be00	1263	1263	1176	gpg-agent
** 0x9d72bf86dd00	1268	1268	1176	gvfsd
*** 0x9d72bef88000	1491	1491	1268	gvfsd-trash
** 0x9d72bef8cd80	1444	1444	1176	dconf-service
** 0x9d729ce79f00	1455	1455	1176	xfce4-notifyd
** 0x9d729ce58f80	1480	1480	1176	gvfs-udisks2-vo
** 0x9d729b330000	1496	1496	1176	gvfsd-metadata
** 0x9d72bfdfdd00	119202	119202	1176	gnome-keyring-d
** 0x9d729ce7cd80	119590	119590	1176	tumblerd
* 0x9d72bf0edd00	1288	1288	1	xfsettingsd
* 0x9d72c09aae80	1305	1305	1	upowerd
* 0x9d72bebdae80	1415	1415	1	xfce4-power-man
* 0x9d72c07e5d00	1426	1426	1	vmtoolsd
* 0x9d72bea96c80	1458	1458	1	colord
* 0x9d72bf0ecd80	1503	1503	1	x-terminal-emul
** 0x9d72c014dd00	1513	1513	1503	bash
*** 0x9d72c014be00	1515	1515	1513	ncat
**** 0x9d72c5d50000	119511	119511	1515	sh
*** 0x9d7287b05d00	119577	119577	1513	smbclient
** 0x9d72bef03e00	1519	1519	1503	bash
*** 0x9d72c014ec80	1522	1522	1519	su
**** 0x9d729ce69f00	1523	1523	1522	bash
***** 0x9d7282483e00	119822	119822	1523	insmod
** 0x9d72940e8f80	119463	119463	1503	bash
*** 0x9d72940ecd80	119468	119468	119463	ssh
** 0x9d7283a44d80	119707	119707	1503	bash
*** 0x9d7284928000	119711	119711	119707	ncat
* 0x9d7287b00000	119599	119599	1	oosplash
** 0x9d72848edd00	119615	119615	119599	soffice.bin
0x9d72c6fb4d80	2	2	0	kthreadd
* 0x9d72c6fb6c80	3	3	2	rcu_gp
* 0x9d72c6fb2e80	4	4	2	rcu_par_gp
* 0x9d72c6fb0f80	6	6	2	kworker/0:0H
* 0x9d72c6fdec80	9	9	2	mm_percpu_wq
* 0x9d72c6fdae80	10	10	2	ksoftirqd/0
* 0x9d72c6fd8000	11	11	2	rcu_sched
* 0x9d72c6fd8f80	12	12	2	migration/0
* 0x9d72c6713e00	13	13	2	cpuhp/0
* 0x9d72c6715d00	14	14	2	cpuhp/1
* 0x9d72c6711f00	15	15	2	migration/1
* 0x9d72c6714d80	16	16	2	ksoftirqd/1
* 0x9d72c6719f00	18	18	2	kworker/1:0H
* 0x9d72c671cd80	19	19	2	cpuhp/2
* 0x9d72c671ec80	20	20	2	migration/2
* 0x9d72c671ae80	21	21	2	ksoftirqd/2
* 0x9d72c6718f80	23	23	2	kworker/2:0H
* 0x9d72c671be00	24	24	2	cpuhp/3
* 0x9d72c671dd00	25	25	2	migration/3
* 0x9d72c676ae80	26	26	2	ksoftirqd/3
* 0x9d72c6768f80	28	28	2	kworker/3:0H
* 0x9d72c679ec80	29	29	2	kdevtmpfs
* 0x9d72c679ae80	30	30	2	netns
* 0x9d72c6798000	31	31	2	kauditd
* 0x9d72c6769f00	35	35	2	khungtaskd
* 0x9d72c676cd80	36	36	2	oom_reaper
* 0x9d72c676ec80	37	37	2	writeback
* 0x9d72c6183e00	38	38	2	kcompactd0
* 0x9d72c6185d00	39	39	2	ksmd
* 0x9d72c6181f00	40	40	2	khugepaged
* 0x9d72c6186c80	42	42	2	kworker/2:1
* 0x9d72c5ec5d00	85	85	2	kintegrityd
* 0x9d72c4b70f80	86	86	2	kblockd
* 0x9d72c4b73e00	87	87	2	blkcg_punt_bio
* 0x9d72c4b75d00	88	88	2	edac-poller
* 0x9d72c4b71f00	89	89	2	devfreq_wq
* 0x9d72c5ec1f00	90	90	2	kswapd0
* 0x9d72c5ec4d80	91	91	2	kthrotld
* 0x9d72c5ec6c80	92	92	2	irq/24-pciehp
* 0x9d72c5ec2e80	93	93	2	irq/25-pciehp
* 0x9d72c5ec0000	94	94	2	irq/26-pciehp
* 0x9d72c5ec0f80	95	95	2	irq/27-pciehp
* 0x9d72c5ec3e00	96	96	2	irq/28-pciehp
* 0x9d72c55e1f00	97	97	2	irq/29-pciehp
* 0x9d72c55e3e00	98	98	2	irq/30-pciehp
* 0x9d72c55e0000	99	99	2	irq/31-pciehp
* 0x9d72c55e6c80	100	100	2	irq/32-pciehp
* 0x9d72c55e4d80	101	101	2	irq/33-pciehp
* 0x9d72c55e5d00	102	102	2	irq/34-pciehp
* 0x9d72c55e0f80	103	103	2	irq/35-pciehp
* 0x9d72c55e2e80	104	104	2	irq/36-pciehp
* 0x9d72c679cd80	105	105	2	irq/37-pciehp
* 0x9d72c6799f00	106	106	2	irq/38-pciehp
* 0x9d72c679dd00	107	107	2	irq/39-pciehp
* 0x9d72b54bdd00	108	108	2	irq/40-pciehp
* 0x9d72b54b9f00	109	109	2	irq/41-pciehp
* 0x9d72b54bcd80	110	110	2	irq/42-pciehp
* 0x9d72b54bec80	111	111	2	irq/43-pciehp
* 0x9d72b54bae80	112	112	2	irq/44-pciehp
* 0x9d72b54b8000	113	113	2	irq/45-pciehp
* 0x9d72b54b8f80	114	114	2	irq/46-pciehp
* 0x9d72b54bbe00	115	115	2	irq/47-pciehp
* 0x9d72b54dec80	116	116	2	irq/48-pciehp
* 0x9d72b54dae80	117	117	2	irq/49-pciehp
* 0x9d72b54d8000	118	118	2	irq/50-pciehp
* 0x9d72b54d8f80	119	119	2	irq/51-pciehp
* 0x9d72b54dbe00	120	120	2	irq/52-pciehp
* 0x9d72b54ddd00	121	121	2	irq/53-pciehp
* 0x9d72b54d9f00	122	122	2	irq/54-pciehp
* 0x9d72b54dcd80	123	123	2	irq/55-pciehp
* 0x9d72b5550f80	124	124	2	kworker/3:1
* 0x9d72b5553e00	125	125	2	acpi_thermal_pm
* 0x9d72b5555d00	126	126	2	ipv6_addrconf
* 0x9d72b5550000	137	137	2	kstrp
* 0x9d72b5119f00	141	141	2	kworker/u257:0
* 0x9d72b5870f80	175	175	2	mpt_poll_0
* 0x9d72b511cd80	176	176	2	ata_sff
* 0x9d72b511ec80	177	177	2	scsi_eh_0
* 0x9d72b5873e00	178	178	2	mpt/0
* 0x9d72b511ae80	179	179	2	scsi_eh_1
* 0x9d72b5118000	180	180	2	scsi_tmf_0
* 0x9d72b5118f80	181	181	2	scsi_eh_2
* 0x9d72b511be00	182	182	2	scsi_tmf_1
* 0x9d72b511dd00	183	183	2	scsi_tmf_2
* 0x9d72c5c58f80	185	185	2	scsi_eh_3
* 0x9d72c5c5be00	186	186	2	scsi_tmf_3
* 0x9d72b5871f00	188	188	2	scsi_eh_4
* 0x9d72b522ec80	191	191	2	irq/16-vmwgfx
* 0x9d72b522cd80	192	192	2	scsi_tmf_4
* 0x9d72b5229f00	193	193	2	ttm_swap
* 0x9d72b522dd00	194	194	2	scsi_eh_5
* 0x9d72b5228f80	196	196	2	scsi_tmf_5
* 0x9d72b515dd00	198	198	2	scsi_eh_6
* 0x9d72b515be00	199	199	2	scsi_tmf_6
* 0x9d72b5158f80	200	200	2	scsi_eh_7
* 0x9d72b5158000	201	201	2	scsi_tmf_7
* 0x9d72b515ae80	202	202	2	scsi_eh_8
* 0x9d72b515ec80	203	203	2	scsi_tmf_8
* 0x9d72b515cd80	204	204	2	scsi_eh_9
* 0x9d72b5159f00	205	205	2	scsi_tmf_9
* 0x9d72b3f01f00	206	206	2	scsi_eh_10
* 0x9d72b3f04d80	207	207	2	scsi_tmf_10
* 0x9d72b3f06c80	208	208	2	scsi_eh_11
* 0x9d72b3f02e80	209	209	2	scsi_tmf_11
* 0x9d72b3f00000	210	210	2	scsi_eh_12
* 0x9d72b3f00f80	211	211	2	scsi_tmf_12
* 0x9d72b3f03e00	212	212	2	scsi_eh_13
* 0x9d72b3f05d00	213	213	2	scsi_tmf_13
* 0x9d72b3f40f80	214	214	2	scsi_eh_14
* 0x9d72b3f43e00	215	215	2	scsi_tmf_14
* 0x9d72b3f45d00	216	216	2	scsi_eh_15
* 0x9d72b3f41f00	217	217	2	scsi_tmf_15
* 0x9d72b3f44d80	218	218	2	scsi_eh_16
* 0x9d72c5c58000	219	219	2	scsi_tmf_16
* 0x9d72c5c5ae80	220	220	2	scsi_eh_17
* 0x9d72c5c5cd80	221	221	2	scsi_tmf_17
* 0x9d72c5c59f00	222	222	2	scsi_eh_18
* 0x9d72c4b70000	223	223	2	scsi_tmf_18
* 0x9d72c4b72e80	224	224	2	scsi_eh_19
* 0x9d72c4b74d80	225	225	2	scsi_tmf_19
* 0x9d72c4b76c80	226	226	2	scsi_eh_20
* 0x9d72b5552e80	227	227	2	scsi_tmf_20
* 0x9d72b5556c80	228	228	2	scsi_eh_21
* 0x9d72b5554d80	229	229	2	scsi_tmf_21
* 0x9d72b5551f00	230	230	2	scsi_eh_22
* 0x9d72c5c0dd00	231	231	2	scsi_tmf_22
* 0x9d72c5c08f80	232	232	2	scsi_eh_23
* 0x9d72c5c0ec80	233	233	2	scsi_tmf_23
* 0x9d72c5c09f00	234	234	2	scsi_eh_24
* 0x9d72c5c0be00	235	235	2	scsi_tmf_24
* 0x9d72c5c08000	236	236	2	scsi_eh_25
* 0x9d72c5c0ae80	237	237	2	scsi_tmf_25
* 0x9d72c5c0cd80	238	238	2	scsi_eh_26
* 0x9d72c61c1f00	239	239	2	scsi_tmf_26
* 0x9d72c61c3e00	240	240	2	scsi_eh_27
* 0x9d72c61c0000	241	241	2	scsi_tmf_27
* 0x9d72c61c6c80	242	242	2	scsi_eh_28
* 0x9d72c61c5d00	243	243	2	scsi_tmf_28
* 0x9d72c61c0f80	244	244	2	scsi_eh_29
* 0x9d72c61c2e80	245	245	2	scsi_tmf_29
* 0x9d72c61c4d80	246	246	2	scsi_eh_30
* 0x9d72c6184d80	247	247	2	scsi_tmf_30
* 0x9d72c6182e80	248	248	2	scsi_eh_31
* 0x9d72c6180f80	249	249	2	scsi_tmf_31
* 0x9d72b389cd80	277	277	2	kworker/u256:31
* 0x9d72b38e4d80	281	281	2	scsi_eh_32
* 0x9d72b3884d80	282	282	2	kworker/3:1H
* 0x9d72b3886c80	283	283	2	scsi_tmf_32
* 0x9d72b38e6c80	286	286	2	kworker/1:1H
* 0x9d72b38e2e80	288	288	2	kworker/2:1H
* 0x9d72b38e0000	290	290	2	kworker/0:1H
* 0x9d72bd0f5d00	326	326	2	jbd2/sda1-8
* 0x9d72bd0f2e80	327	327	2	ext4-rsv-conver
* 0x9d72bd174d80	543	543	2	cryptd
* 0x9d72b52d0f80	790	790	2	kworker/1:3
* 0x9d72c09add00	119452	119452	2	kworker/0:0
* 0x9d72c09a9f00	119458	119458	2	kworker/u256:0
* 0x9d72b527cd80	119579	119579	2	kworker/3:0
* 0x9d72b527dd00	119671	119671	2	kworker/2:0
* 0x9d72b5279f00	119682	119682	2	kworker/0:2
* 0x9d72c676be00	119693	119693	2	kworker/1:0
* 0x9d72bea92e80	119695	119695	2	kworker/1:1
* 0x9d72bea90000	119817	119817	2	kworker/3:2
...

Fait avec volatility 3. On liste l’arborescence des processus et on remarque ceci :

* 0x9d72bf0ecd80	1503	1503	1	x-terminal-emul
** 0x9d72c014dd00	1513	1513	1503	bash
*** 0x9d72c014be00	1515	1515	1513	ncat
**** 0x9d72c5d50000	119511	119511	1515	sh

Fait avec volatility 3.
On voit qu’une émulation de terminal est ouverte dans une interface graphique , puis il y a un interpréteur de ligne de commande bash qui est exécuté. Après le plus important est ncat qui permet de communiquer sur une machine distante qui est exécuté et puis en dernier un shell est ouvert.
Le fait qu’un shell est ouvert après ncat est suspect.
On récupère le PID de ncat qui est 1515.

python3 vol.py -f dmp.mem linux.sockstat.Sockstat | grep 1515
4026531992	ncat	1515	1515	5	0x9d72c1bc1280	AF_INET6	STREAM	TCP	fd:6663:7363:1000:c10b:6374:25f:dc37	36280	fd:6663:7363:1000:55cf:b9c6:f41d:cc24	58014	ESTABLISHED	-

On liste toutes les connexions en filtrant par le numéro du PID de ncat et trouve l’addrese IPV6 qui est : fd:6663:7363:1000:c10b:6374:25f:dc37.
On trouve aussi le numéro de port qui est : 36280.

python3 vol.py -f dmp.mem/dmp.mem linux.pslist.PsList | grep 1515
0x9d72c014be00	1515	1515	1513	ncat	1001	1001	1001	1001	2020-03-26 23:24:06.410337 UTC	Disabled
0x9d72c5d50000	119511	119511	1515	sh	1001	1001	1001	1001	2020-03-26 23:32:22.156169 UTC	Disabled

Je peux savoir quand le processus ncat a commencé : 2020-03-26 23:24:06, mais malheureusement volatility 3 calculs mal l’horodatage, on a un décalage de quelques secondes.
On va être obligé d’utiliser volatility 2.
Pour exécuter volatility 2 nous allons créér un docker. Voici le fichier source Docker pour la création du conteneur.

FROM ubuntu:18.04

ENV DEBIAN_FRONTEND=noninteractive

RUN apt-get update && apt-get install -y \
    python2.7 \
    python-pip \
    git \
    build-essential \
    gcc \
    make \
    libc6-dev \
    yara \
    unzip \
    && rm -rf /var/lib/apt/lists/*

RUN pip install setuptools wheel distorm3

# Installer YARA depuis les dépôts
#RUN apt-get update && apt-get install -y yara libyara-dev && rm -rf /var/lib/apt/lists/*
# Installer yara-python version 3.11.0
RUN pip install yara-python==3.11.0

# Installer yara-python (nécessaire pour l'intégration)
RUN pip install yara-python

RUN git clone --branch 2.6.1 --depth 1 https://github.com/volatilityfoundation/volatility.git /opt/volatility

# Copie du profil (assurez-vous que le fichier existe dans le contexte de build)
COPY /profiles/* /opt/volatility/volatility/plugins/overlays/linux/

# Rendre vol.py exécutable
RUN chmod +x /opt/volatility/vol.py

# Créer un lien symbolique dans le PATH
RUN ln -s /opt/volatility/vol.py /usr/local/bin/vol.py

ENTRYPOINT ["/usr/local/bin/vol.py"]

Avant de construire le conteneur il nous faut le profile, il faut déterminer sur quelle version de linux on est, on peut le faire avec volatility 3.

python3 vol.py -f dmp.mem banners.Banners
Volatility 3 Framework 2.27.0

Offset	Banner

0xc6001c0	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)
0xd0303f4	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)
0x4b500010	Linux version 5.4.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 9.2.1 20200203 (Debian 9.2.1-28)) #1 SMP Debian 5.4.19-1 (2020-02-13)

Donc ici on a la bonne version du noyau 5.4.0-4-amd64 (debian-kernel@lists.debian.org), pour trouver le profile.
Vous pouvez trouver les différents profiles ici : profiles.
Pour cette version de noyau c’est profiles linux 5.4.0.4.

mkdir profiles
cd profiles 
wget https://github.com/Abyss-W4tcher/volatility2-profiles/raw/refs/heads/master/Debian/amd64/5.4.0/4/Debian_5.4.0-4-amd64_5.4.19-1_amd64.zip
cd ..
sudo docker build -t volatility2 .

On crée le répertoire profiles qui contiendra le profile suivant les versions des noyaux.
On va dans le répertoire et on télécharge le bon profile.
On revient dans l’endroit ou trouve le fichier Docker et on construit le conteneur.

sudo docker run --rm  volatility2 --info | grep Linux
Volatility Foundation Volatility Framework 2.6.1
LinuxDebian_5_4_0-4-amd64_5_4_19-1_amd64x64 - A Profile for Linux Debian_5.4.0-4-amd64_5.4.19-1_amd64 x64
LinuxAMD64PagedMemory          - Linux-specific AMD 64-bit address space.
linux_aslr_shift           - Automatically detect the Linux ASLR shift
linux_banner               - Prints the Linux banner information
linux_yarascan             - A shell in the Linux memory image

On vérifie bien que l’on a le bon profile, ici : LinuxDebian_5_4_0-4-amd64_5_4_19-1_amd64x64 - A Profile for Linux Debian_5.4.0-4-amd64_5.4.19-1_amd64 x64.

sudo docker run --rm   -v dmp.mem:/dump/dmp.mem   volatility2 -f /dump/dmp.mem --profile=LinuxDebian_5_4_0-4-amd64_5_4_19-1_amd64x64 linux_pslist -p 1515
Volatility Foundation Volatility Framework 2.6.1
Offset             Name                 Pid             PPid            Uid             Gid    DTB                Start Time
------------------ -------------------- --------------- --------------- --------------- ------ ------------------ ----------
0xffff9d72c014be00 ncat                 1515            1513            1001            1001   0x000000003e3d0000 2020-03-26 23:24:20 UTC+0000

On liste le processus ncat et on a bien la date de sa création en valeur UTC : 2020-03-26 23:24:20.