Trace files, o Prefetch files, sò stati in Windows da XP. Da tandu, anu aiutatu à a forensica digitale è à i specialisti in risposta à l'incidente di l'informatica à truvà tracce di software, cumpresu malware. Specialista di punta in computer forensics Group-IB Oleg Skulkin vi dice ciò chì pudete truvà cù i schedari Prefetch è cumu fà.
I schedari Prefetch sò almacenati in u cartulare %SystemRoot%Prefetch è serve à accelerà u prucessu di lanciari prugrammi. Se guardemu à qualsiasi di sti schedari, vedemu chì u so nome hè custituitu di duie parte: u nome di u schedariu eseguibile è un checksum di ottu caratteri da u percorsu à questu.
I schedari Prefetch cuntenenu assai infurmazioni utili da un puntu di vista forensicu: u nome di u schedariu eseguibile, u numeru di volte chì hè stata eseguita, listi di schedari è cartulari cù quale u schedariu eseguibile interagisce, è, sicuru, timestamps. Di genere, i scientisti forensici utilizanu a data di creazione di un schedariu Prefetch particulare per determinà a data chì u prugramma hè stata lanciata per a prima volta. Inoltre, questi schedari guardanu a data di u so ultimu lanciamentu, è partendu da a versione 26 (Windows 8.1) - i timestamps di e sette più recenti runs.
Andemu piglià unu di i schedari Prefetch, estratti dati da lu cù Eric Zimmerman PECmd è fighjulà ogni parte di lu. Per dimustrà, estraraghju dati da un schedariu CCLEANER64.EXE-DE05DBE1.pf.
Allora partemu da a cima. Di sicuru, avemu a creazione di fugliali, mudificazione è timestamps d'accessu:
Sò seguiti da u nome di u schedariu eseguibile, u checksum di a strada per ellu, a dimensione di u schedariu eseguibile, è a versione di u schedariu Prefetch:
Siccomu avemu trattatu cù Windows 10, dopu vedemu u numeru di iniziali, a data è l'ora di l'ultimu iniziu, è sette più timestamps chì indicanu e date di lanciamentu precedente:
Quessi sò seguiti da infurmazioni nantu à u voluminu, cumpresu u so numeru di serie è a data di creazione:
L'ultimu ma micca menu hè una lista di cartulari è fugliali chì l'eseguibile interagisce cù:
Dunque, i cartulari è i fugliali chì l'eseguibile interagiscenu sò esattamente ciò chì vogliu fucalizza oghje. Hè sta dati chì permette specialisti in forensics digitale, risposta incidente urdinatore, o caccia di minaccia proattivu à stabilisce micca solu u fattu di esicuzzioni di un schedariu particulari, ma dinù, in certi casi, à ricustruisce specifichi tattiche è tecniche di attaccanti. Oghje, l'attaccanti abbastanza spessu usanu arnesi per sguassà permanentemente dati, per esempiu, SDelete, cusì a capacità di restaurà almenu tracce di l'usu di certe tattiche è tecniche hè simplicemente necessariu per ogni difensore mudernu - specialista in informatica forensica, specialista in risposta à incidenti, ThreatHunter. espertu.
Cuminciamu cù a tattica di Accessu Iniziale (TA0001) è a tecnica più famosa, Spearphishing Attachment (T1193). Certi gruppi cibercriminali sò abbastanza creativi in a so scelta di investimenti. Per esempiu, u gruppu Silence hà utilizatu schedari in u formatu CHM (Microsoft Compiled HTML Help) per questu. Cusì, avemu davanti à noi una altra tecnica - Compiled HTML File (T1223). Tali schedari sò lanciati usendu hh.exe, per quessa, s'è avemu estratti dati da u so schedariu Prefetch, avemu da sapè chì u schedariu hè statu apertu da a vittima:
Andemu cuntinuà à travaglià cù esempii da i casi veri è passà à a prossima tattica Esecuzione (TA0002) è tecnica CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) pò esse usatu da l'attaccanti per eseguisce scripts maliziusi. Un bon esempiu hè u gruppu Cobalt. Sè avemu estratti dati da u schedariu Prefetch cmstp.exe, allora pudemu truvà dinò ciò chì esattamente hè statu lanciatu:
Una altra tecnica populari hè Regsvr32 (T1117). Regsvr32.exe hè ancu spessu usatu da l'attaccanti per lancià. Eccu un altru esempiu da u gruppu Cobalt: se extraemu dati da un schedariu Prefetch regsvr32.exe, poi di novu videremu ciò chì hè stata lanciata:
I seguenti tattiche sò Persistence (TA0003) è Privilege Escalation (TA0004), cù Application Shimming (T1138) cum'è tecnica. Sta tecnica hè stata aduprata da Carbanak/FIN7 per ancorarà u sistema. Di solitu usatu per travaglià cù basa di dati di cumpatibilità di prugrammi (.sdb) sdbinst.exe. Dunque, u schedariu Prefetch di questu eseguibile pò aiutà à truvà i nomi di tali basa di dati è e so locu:
Comu pudete vede in l'illustrazione, ùn avemu micca solu u nome di u schedariu utilizatu per a stallazione, ma ancu u nome di a basa di dati installata.
Fighjemu un ochju à unu di l'esempii più cumuni di a propagazione di a rete (TA0008), PsExec, utilizendu sparte amministrativi (T1077). U serviziu chjamatu PSEXECSVC (di sicuru, qualsiasi altru nome pò esse usatu se l'attaccanti anu utilizatu u paràmetru -r) serà creatu nantu à u sistema di destinazione, per quessa, s'ellu si estrae e dati da u schedariu Prefetch, vedemu ciò chì hè stata lanciata:
Probabilmente finisceraghju induve aghju cuminciatu - sguassà i schedari (T1107). Cumu aghju digià nutatu, assai attaccanti utilizanu SDelete per sguassà permanentemente i fugliali in diverse tappe di u ciclu di vita di l'attaccu. Sè avemu guardà i dati da u schedariu Prefetch sdelete.exe, allora videremu ciò chì esattamente hè statu eliminatu:
Di sicuru, questu ùn hè micca una lista exhaustiva di tecniche chì ponu esse scuperte durante l'analisi di i schedari Prefetch, ma questu deve esse abbastanza per capiscenu chì tali schedari ponu aiutà micca solu à truvà tracce di u lanciamentu, ma ancu ricustruisce tattiche è tecniche attaccanti specifiche. .
Source: www.habr.com