Datoteke praćenja, ili datoteke prethodnog preuzimanja, postoje u Windows-u od XP-a. Od tada su pomogli digitalnoj forenzici i stručnjacima za odgovor na kompjuterske incidente da pronađu tragove softvera, uključujući zlonamjerni softver. Vodeći specijalista za kompjutersku forenziku Group-IB Oleg Skulkin govori vam šta možete pronaći koristeći Prefetch datoteke i kako to učiniti.
Datoteke prethodnog preuzimanja se pohranjuju u direktorij %SystemRoot%Predohvat i služe za ubrzavanje procesa pokretanja programa. Ako pogledamo bilo koju od ovih datoteka, vidjet ćemo da se njeno ime sastoji od dva dijela: imena izvršne datoteke i kontrolne sume od osam znakova iz putanje do nje.
Datoteke prethodnog preuzimanja sadrže mnogo informacija korisnih sa forenzičke tačke gledišta: naziv izvršne datoteke, broj puta kada je izvršena, liste datoteka i direktorija s kojima je izvršna datoteka stupila u interakciju i, naravno, vremenske oznake. Tipično, forenzičari koriste datum kreiranja određene datoteke Prefetch da bi odredili datum kada je program prvi put pokrenut. Osim toga, ove datoteke pohranjuju datum posljednjeg pokretanja, a počevši od verzije 26 (Windows 8.1) - vremenske oznake sedam najnovijih pokretanja.
Uzmimo jednu od datoteka unaprijed, izvučemo podatke iz nje koristeći PECmd Erica Zimmermana i pogledamo svaki njen dio. Da demonstriram, izvući ću podatke iz datoteke CCLEANER64.EXE-DE05DBE1.pf.
Pa počnimo od vrha. Naravno, imamo kreiranje, modifikaciju i vremenske oznake pristupa:
Nakon njih slijedi naziv izvršne datoteke, kontrolna suma putanje do nje, veličina izvršne datoteke i verzija datoteke za preuzimanje:
Budući da se radi o Windows 10, sljedeće ćemo vidjeti broj pokretanja, datum i vrijeme posljednjeg pokretanja i još sedam vremenskih oznaka koje ukazuju na datume prethodnih pokretanja:
Nakon njih slijede informacije o volumenu, uključujući njegov serijski broj i datum kreiranja:
Posljednja, ali ne i najmanje važna, je lista direktorija i datoteka s kojima je izvršna datoteka komunicirala:
Dakle, direktoriji i datoteke sa kojima je izvršna datoteka bila u interakciji su upravo ono na šta želim da se fokusiram danas. Upravo ti podaci omogućavaju stručnjacima za digitalnu forenziku, reakciju na kompjuterske incidente ili proaktivni lov na prijetnje da utvrde ne samo činjenicu izvršenja određene datoteke, već i, u nekim slučajevima, da rekonstruišu specifične taktike i tehnike napadača. Danas napadači prilično često koriste alate za trajno brisanje podataka, na primjer, SDelete, tako da je mogućnost vraćanja barem tragova upotrebe određenih taktika i tehnika jednostavno neophodna za svakog modernog branitelja - stručnjaka za kompjutersku forenziku, stručnjaka za odgovor na incidente, ThreatHunter ekspert.
Počnimo s taktikom početnog pristupa (TA0001) i najpopularnijom tehnikom, Spearphishing Attachment (T1193). Neke cyber kriminalne grupe su prilično kreativne u izboru ulaganja. Na primjer, grupa Silence je za ovo koristila datoteke u formatu CHM (Microsoft Compiled HTML Help). Dakle, pred nama je još jedna tehnika - kompajlirani HTML fajl (T1223). Takve datoteke se pokreću pomoću hh.exe, dakle, ako izvučemo podatke iz njegove datoteke prefetcha, saznat ćemo koju je datoteku otvorila žrtva:
Nastavimo raditi s primjerima iz stvarnih slučajeva i prijeđimo na sljedeću taktiku izvršenja (TA0002) i CSMTP tehniku (T1191). Napadači mogu koristiti Microsoft Connection Manager Profile Installer (CMSTP.exe) za pokretanje zlonamjernih skripti. Dobar primjer je grupa Cobalt. Ako ekstrahiramo podatke iz datoteke unaprijed cmstp.exe, onda ponovo možemo saznati šta je tačno lansirano:
Još jedna popularna tehnika je Regsvr32 (T1117). Regsvr32.exe također ga napadači često koriste za pokretanje. Evo još jednog primjera iz grupe Cobalt: ako izvučemo podatke iz datoteke unaprijed regsvr32.exe, pa ćemo opet vidjeti šta je lansirano:
Sljedeće taktike su upornost (TA0003) i eskalacija privilegija (TA0004), sa aplikacijom Shimming (T1138) kao tehnikom. Ovu tehniku je koristio Carbanak/FIN7 za sidrenje sistema. Obično se koristi za rad sa bazama podataka kompatibilnosti programa (.sdb) sdbinst.exe. Stoga nam Prefetch datoteka ovog izvršnog fajla može pomoći da saznamo nazive takvih baza podataka i njihove lokacije:
Kao što možete vidjeti na ilustraciji, imamo ne samo naziv datoteke koja se koristi za instalaciju, već i naziv instalirane baze podataka.
Pogledajmo jedan od najčešćih primjera širenja mreže (TA0008), PsExec, korištenjem administrativnih dionica (T1077). Usluga pod nazivom PSEXECSVC (naravno, može se koristiti bilo koje drugo ime ako su napadači koristili parametar -r) će biti kreiran na ciljnom sistemu, stoga, ako izvučemo podatke iz datoteke Prefetch, vidjet ćemo šta je pokrenuto:
Vjerovatno ću završiti tamo gdje sam počeo – brisanjem datoteka (T1107). Kao što sam već primijetio, mnogi napadači koriste SDelete za trajno brisanje datoteka u različitim fazama životnog ciklusa napada. Ako pogledamo podatke iz datoteke prefetcha sdelete.exe, onda ćemo vidjeti šta je tačno obrisano:
Naravno, ovo nije potpuna lista tehnika koje se mogu otkriti tokom analize Prefetch datoteka, ali ovo bi trebalo biti dovoljno da shvatimo da takve datoteke mogu pomoći ne samo u pronalaženju tragova pokretanja, već i rekonstruirati specifične taktike i tehnike napadača. .
izvor: www.habr.com