ملفات التتبع ، أو ملفات الجلب المسبق ، موجودة في Windows منذ XP. منذ ذلك الحين ، ساعدوا الطب الشرعي الرقمي والمستجيبين لحوادث الكمبيوتر في العثور على آثار للبرامج قيد التشغيل ، بما في ذلك البرامج الضارة. متخصص رائد في مجموعة الطب الشرعي الحاسوبي- IB أوليج سكولكين يوضح ما يمكن العثور عليه باستخدام ملفات الجلب المسبق وكيفية القيام بذلك.
يتم تخزين ملفات الجلب المسبق في الدليل ٪ SystemRoot٪ الجلب المسبق وتعمل على تسريع عملية إطلاق البرامج. إذا نظرنا إلى أي من هذه الملفات ، فسنرى أن اسمها يتكون من جزأين: اسم الملف القابل للتنفيذ والمجموع الاختباري من المسار إليه ، ويتكون من ثمانية أحرف.
تحتوي ملفات الجلب المسبق على الكثير من المعلومات المفيدة من وجهة نظر الطب الشرعي: اسم الملف القابل للتنفيذ ، وعدد مرات تشغيله ، وقوائم الملفات والأدلة التي تفاعل معها الملف التنفيذي ، وبالطبع الطوابع الزمنية. عادةً ما يستخدم الطب الشرعي تاريخ إنشاء ملف الجلب المسبق المعين لتحديد تاريخ الإطلاق الأول للبرنامج. بالإضافة إلى ذلك ، تخزن هذه الملفات تاريخ آخر إطلاق لها ، وبدءًا من الإصدار 26 (Windows 8.1) ، والطوابع الزمنية لآخر سبعة عمليات تشغيل.
لنأخذ أحد ملفات الجلب المسبق ، ونستخرج البيانات منه باستخدام PECmd من Eric Zimmerman ، وننظر إلى كل جزء منه. للتوضيح ، سأستخرج البيانات من ملف CCLEANER64.EXE-DE05DBE1.pf.
لذلك لنبدأ من القمة. بالطبع ، لدينا طوابع زمنية لإنشاء الملفات وتعديلها والوصول إليها:
يتبعها اسم الملف القابل للتنفيذ ، والمجموع الاختباري للمسار المؤدي إليه ، وحجم الملف القابل للتنفيذ ، وإصدار ملف الجلب المسبق:
نظرًا لأننا نتعامل مع Windows 10 ، فسنرى بعد ذلك عدد عمليات الإطلاق وتاريخ ووقت آخر عملية إطلاق وسبعة طوابع زمنية أخرى تشير إلى تواريخ الإطلاق السابقة:
تليها معلومات حول المجلد ، بما في ذلك الرقم التسلسلي وتاريخ الإنشاء:
أخيرًا وليس آخرًا ، قائمة بالأدلة والملفات التي تفاعل معها الملف التنفيذي:
لذا ، فإن الدلائل والملفات التي تفاعل معها الملف التنفيذي هي بالضبط ما أريد التركيز عليه اليوم. تسمح هذه البيانات للمتخصصين في الطب الشرعي الرقمي أو الاستجابة لحوادث الكمبيوتر أو الكشف الاستباقي للتهديدات بإثبات ليس فقط حقيقة تنفيذ ملف معين ، ولكن أيضًا ، في بعض الحالات ، لإعادة بناء التكتيكات والتقنيات المحددة للمهاجمين. اليوم ، غالبًا ما يستخدم المهاجمون أدوات لحذف البيانات بشكل دائم ، مثل SDelete ، وبالتالي فإن القدرة على استعادة آثار استخدام تكتيكات وتقنيات معينة على الأقل ضرورية لأي مدافع حديث - أخصائي الطب الشرعي بالكمبيوتر ، أخصائي الاستجابة للحوادث ، خبير ThreatHunter.
لنبدأ بتكتيك الوصول الأولي (TA0001) والأسلوب الأكثر شيوعًا ، مرفق الرمح (T1193). بعض مجموعات مجرمي الإنترنت مبدعة تمامًا في اختيارهم لمثل هذه المرفقات. على سبيل المثال ، استخدمت مجموعة Silence ملفات CHM (تعليمات HTML المترجمة من Microsoft) لهذا الغرض. وبالتالي ، لدينا تقنية أخرى - ملف HTML مترجم (T1223). يتم تشغيل هذه الملفات مع hh.exeلذلك ، إذا استخرجنا البيانات من ملف الجلب المسبق الخاص به ، فسنكتشف الملف الذي تم فتحه بواسطة الضحية:
دعنا نواصل مع أمثلة الحالة الحقيقية وننتقل إلى تنفيذ التكتيك التالي (TA0002) وتقنية CSMTP (T1191). يمكن للمهاجمين استخدام Microsoft Connection Manager Profile Installer (CMSTP.exe) لتشغيل البرامج النصية الضارة. وخير مثال على ذلك هو مجموعة الكوبالت. إذا قمنا بجلب البيانات من ملف الجلب المسبق cmstp.exe، ثم مرة أخرى يمكننا معرفة ما تم إطلاقه بالضبط:
تقنية شائعة أخرى هي Regsvr32 (T1117). Regsvr32.exe غالبًا ما يستخدمه المهاجمون للإطلاق. إليك مثال آخر من مجموعة Cobalt: إذا جلبنا البيانات من ملف الجلب المسبق regsvr32.exe، ثم سنرى مرة أخرى ما تم إطلاقه:
التكتيكات التالية هي المثابرة (TA0003) وتصعيد الامتياز (TA0004) ، بالإضافة إلى تطبيق Shimming (T1138) كتقنية. تم استخدام هذه التقنية بواسطة Carbanak / FIN7 لتأمين النظام. عادةً ما يتم استخدام العمل مع قواعد البيانات التي تحتوي على معلومات حول توافق البرامج (.sdb) sdbinst.exe. لذلك ، يمكن أن يساعدنا ملف الجلب المسبق لهذا الملف القابل للتنفيذ في معرفة أسماء قواعد البيانات هذه وموقعها:
كما ترى في الرسم التوضيحي ، ليس لدينا فقط اسم الملف المستخدم للتثبيت ، ولكن أيضًا اسم قاعدة البيانات المثبتة.
دعنا نلقي نظرة على أحد الأمثلة الأكثر شيوعًا لاجتياز الشبكة (TA0008) - PsExec باستخدام المشاركات الإدارية (T1077). تسمى الخدمة PSEXECSVC (بالطبع ، يمكن استخدام أي اسم آخر إذا استخدم المهاجمون المعلمة -r) على النظام الهدف ، لذلك إذا استخرجنا البيانات من ملف الجلب المسبق ، فسنرى ما تم تشغيله:
سأنتهي ، ربما ، من حيث بدأت - حذف الملفات (T1107). كما أشرت ، يستخدم العديد من المهاجمين SDelete لحذف الملفات نهائيًا في مراحل مختلفة من دورة حياة الهجوم. إذا نظرنا إلى البيانات من ملف الجلب المسبق sdelete.exe، سنرى بالضبط ما تمت إزالته:
بالطبع ، هذه ليست قائمة شاملة من التقنيات التي يمكن العثور عليها أثناء تحليل ملفات الجلب المسبق ، ولكن هذا يجب أن يكون كافياً لفهم أن مثل هذه الملفات يمكن أن تساعد ليس فقط في العثور على آثار الإطلاق ، ولكن أيضًا عكس أساليب وتقنيات الهندسة العكسية الخاصة المهاجمين.
المصدر: www.habr.com