Spoorlêers, of Prefetch-lêers, bestaan sedert XP in Windows. Sedertdien het hulle digitale forensiese en rekenaarvoorvalreaksiespesialiste gehelp om spore van sagteware, insluitend wanware, te vind. Voorste spesialis in rekenaar forensiese groep-IB Oleg Skulkin vertel jou wat jy kan vind met Prefetch-lêers en hoe om dit te doen.
Prefetch-lêers word in die gids gestoor %SystemRoot%Prefetch en dien om die proses van bekendstelling van programme te bespoedig. As ons na enige van hierdie lêers kyk, sal ons sien dat die naam daarvan uit twee dele bestaan: die naam van die uitvoerbare lêer en 'n kontrolesom van agt karakters vanaf die pad daarheen.
Prefetch-lêers bevat baie inligting wat uit 'n forensiese oogpunt nuttig is: die naam van die uitvoerbare lêer, die aantal kere wat dit uitgevoer is, lyste van lêers en gidse waarmee die uitvoerbare lêer interaksie gehad het, en natuurlik tydstempels. Tipies gebruik forensiese wetenskaplikes die skeppingsdatum van 'n spesifieke Prefetch-lêer om die datum te bepaal waarop die program die eerste keer van stapel gestuur is. Daarbenewens stoor hierdie lêers die datum van sy laaste bekendstelling, en vanaf weergawe 26 (Windows 8.1) - die tydstempels van die sewe mees onlangse lopies.
Kom ons neem een van die Prefetch-lêers, onttrek data daaruit met behulp van Eric Zimmerman se PECmd en kyk na elke deel daarvan. Om te demonstreer, sal ek data uit 'n lêer onttrek CCLEANER64.EXE-DE05DBE1.pf.
Kom ons begin dus van bo af. Natuurlik het ons lêerskepping, wysiging en toegangstydstempels:
Hulle word gevolg deur die naam van die uitvoerbare lêer, die kontrolesom van die pad daarheen, die grootte van die uitvoerbare lêer en die weergawe van die Prefetch-lêer:
Aangesien ons met Windows 10 te doen het, sal ons volgende die aantal begin, die datum en tyd van die laaste begin sien, en nog sewe tydstempels wat vorige bekendstellingsdatums aandui:
Dit word gevolg deur inligting oor die volume, insluitend sy reeksnommer en skeppingsdatum:
Laaste maar nie die minste nie is 'n lys van dopgehou en lêers waarmee die uitvoerbare interaksie was:
Dus, die gidse en lêers waarmee die uitvoerbare interaksie was, is presies waarop ek vandag wil fokus. Dit is hierdie data wat spesialiste in digitale forensika, rekenaarvoorvalreaksie of proaktiewe bedreigingjag toelaat om nie net die feit van uitvoering van 'n spesifieke lêer vas te stel nie, maar ook, in sommige gevalle, om spesifieke taktiek en tegnieke van aanvallers te rekonstrueer. Vandag gebruik aanvallers dikwels gereedskap om data permanent uit te vee, byvoorbeeld SDelete, so die vermoë om ten minste spore van die gebruik van sekere taktieke en tegnieke te herstel is eenvoudig nodig vir enige moderne verdediger - rekenaar forensiese spesialis, insident reaksie spesialis, ThreatHunter kenner.
Kom ons begin met die Aanvanklike Toegang-taktiek (TA0001) en die gewildste tegniek, Spearphishing Attachment (T1193). Sommige kuberkriminele groepe is nogal kreatief in hul keuse van beleggings. Die Silence-groep het byvoorbeeld lêers in die CHM (Microsoft Compiled HTML Help)-formaat hiervoor gebruik. Ons het dus 'n ander tegniek voor ons - saamgestelde HTML-lêer (T1223). Sulke lêers word geloods met behulp van hh.exe, dus, as ons data uit sy Prefetch-lêer onttrek, sal ons uitvind watter lêer deur die slagoffer oopgemaak is:
Kom ons gaan voort om met voorbeelde uit werklike gevalle te werk en gaan aan na die volgende uitvoeringstaktiek (TA0002) en CSMTP-tegniek (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) kan deur aanvallers gebruik word om kwaadwillige skrifte uit te voer. 'n Goeie voorbeeld is die Cobalt-groep. As ons data uit die Prefetch-lêer onttrek cmstp.exe, dan kan ons weer uitvind wat presies van stapel gestuur is:
Nog 'n gewilde tegniek is Regsvr32 (T1117). Regsvr32.exe word ook dikwels deur aanvallers gebruik om te begin. Hier is nog 'n voorbeeld van die Cobalt-groep: as ons data uit 'n Prefetch-lêer onttrek regsvr32.exe, dan sal ons weer sien wat van stapel gestuur is:
Die volgende taktiek is Persistence (TA0003) en Privilege Escalation (TA0004), met Application Shimming (T1138) as 'n tegniek. Hierdie tegniek is deur Carbanak/FIN7 gebruik om die stelsel te anker. Tipies gebruik om met programversoenbaarheidsdatabasisse te werk (.sdb) sdbinst.exe. Daarom kan die Prefetch-lêer van hierdie uitvoerbare lêer ons help om die name van sulke databasisse en hul liggings uit te vind:
Soos u in die illustrasie kan sien, het ons nie net die naam van die lêer wat vir installasie gebruik word nie, maar ook die naam van die geïnstalleerde databasis.
Kom ons kyk na een van die mees algemene voorbeelde van netwerkverspreiding (TA0008), PsExec, met behulp van administratiewe aandele (T1077). Diens met die naam PSEXECSVC (natuurlik kan enige ander naam gebruik word as aanvallers die parameter gebruik het -r) sal op die teikenstelsel geskep word, dus, as ons die data uit die Prefetch-lêer onttrek, sal ons sien wat van stapel gestuur is:
Ek sal waarskynlik eindig waar ek begin het - lêers uitvee (T1107). Soos ek reeds opgemerk het, gebruik baie aanvallers SDelete om lêers permanent uit te vee in verskillende stadiums van die aanvallewensiklus. As ons kyk na die data van die Prefetch-lêer sdelete.exe, dan sal ons sien wat presies uitgevee is:
Natuurlik is dit nie 'n volledige lys van tegnieke wat tydens die ontleding van Prefetch-lêers ontdek kan word nie, maar dit behoort genoeg te wees om te verstaan dat sulke lêers nie net kan help om spore van die bekendstelling te vind nie, maar ook spesifieke aanvallerstaktieke en -tegnieke kan rekonstrueer .
Bron: will.com