Soubory trasování nebo soubory Prefetch jsou ve Windows od XP. Od té doby pomáhají digitálním forenzním pracovníkům a odpovídačům počítačových incidentů najít stopy spuštěných programů, včetně malwaru. Přední specialista v počítačové forenzní skupině-IB Oleg Skulkin říká, co lze najít pomocí souborů Prefetch a jak to udělat.
Soubory předběžného načtení jsou uloženy v adresáři %SystemRoot%Prefetch a slouží k urychlení procesu spouštění programů. Podíváme-li se na některý z těchto souborů, uvidíme, že jeho název se skládá ze dvou částí: názvu spustitelného souboru a kontrolního součtu z cesty k němu, který se skládá z osmi znaků.
Prefetch soubory obsahují mnoho užitečných informací z forenzního hlediska: název spustitelného souboru, počet jeho spuštění, seznamy souborů a adresářů, se kterými spustitelný soubor interagoval, a samozřejmě časová razítka. K určení data prvního spuštění programu forenzní experti obvykle používají datum vytvoření konkrétního souboru Prefetch. V těchto souborech je navíc uloženo datum jeho posledního spuštění a počínaje verzí 26 (Windows 8.1) časová razítka posledních sedmi spuštění.
Vezměme jeden ze souborů Prefetch, extrahujeme z něj data pomocí PECmd Erica Zimmermana a podíváme se na každou jeho část. Pro demonstraci extrahuji data ze souboru CCLEANER64.EXE-DE05DBE1.pf.
Začněme tedy nahoře. Samozřejmě máme časová razítka vytváření, úpravy a přístupu:
Za nimi následuje název spustitelného souboru, kontrolní součet cesty k němu, velikost spustitelného souboru a verze souboru Prefetch:
Protože máme co do činění s Windows 10, dále uvidíme počet spuštění, datum a čas posledního spuštění a dalších sedm časových razítek označujících předchozí data spuštění:
Za nimi následují informace o svazku, včetně jeho sériového čísla a data vytvoření:
V neposlední řadě seznam adresářů a souborů, se kterými spustitelný soubor interagoval:
Takže adresáře a soubory, se kterými spustitelný soubor interagoval, jsou přesně to, na co se chci dnes zaměřit. Právě tato data umožňují specialistům na digitální kriminalistiku, reakci na počítačové incidenty nebo proaktivní detekci hrozeb zjistit nejen skutečnost, že byl konkrétní soubor spuštěn, ale v některých případech také rekonstruovat specifické taktiky a techniky útočníků. Útočníci dnes často používají nástroje k trvalému smazání dat, jako je SDelete, takže schopnost obnovit alespoň stopy použití určitých taktik a technik je prostě nezbytná pro každého moderního obránce - počítačového forenzního specialistu, specialistu na reakce na incidenty, Expert na ThreatHunter.
Začněme taktikou Initial Access (TA0001) a nejoblíbenější technikou Spearphishing Attachment (T1193). Některé skupiny kyberzločinců jsou ve výběru takových příloh docela kreativní. Například skupina Silence k tomu používala soubory CHM (Microsoft Compiled HTML Help). Máme tedy ještě jednu techniku – kompilovaný HTML soubor (T1223). Tyto soubory se spouštějí pomocí hh.exePokud tedy extrahujeme data z jeho souboru Prefetch, zjistíme, který soubor byl obětí otevřen:
Pokračujme reálnými příklady a přejdeme k další taktice Execution (TA0002) a CSMTP technice (T1191). Instalační program profilu Microsoft Connection Manager (CMSTP.exe) mohou útočníci použít ke spouštění škodlivých skriptů. Dobrým příkladem je skupina Cobalt. Pokud načteme data ze souboru předběžného načtení cmstp.exe, pak opět můžeme zjistit, co přesně bylo spuštěno:
Další oblíbenou technikou je Regsvr32 (T1117). Regsvr32.exe útočníky také často používají ke spuštění. Zde je další příklad ze skupiny Cobalt: pokud načteme data ze souboru prefetch regsvr32.exe, pak znovu uvidíme, co bylo spuštěno:
Další taktiky jsou Persistence (TA0003) a Privilege Escalation (TA0004), stejně jako Application Shimming (T1138) jako technika. Tuto techniku použil Carbanak/FIN7 k zabezpečení systému. Obvykle se pro práci s databázemi používá informace o kompatibilitě programu (.sdb). sdbinst.exe. Proto nám soubor Prefetch tohoto spustitelného souboru může pomoci zjistit názvy takových databází a jejich umístění:
Jak můžete vidět na obrázku, máme k dispozici nejen název souboru použitého pro instalaci, ale také název nainstalované databáze.
Podívejme se na jeden z nejtypičtějších příkladů procházení sítě (TA0008) - PsExec pomocí administrativních sdílených položek (T1077). Služba s názvem PSEXECSVC (samozřejmě lze použít jakýkoli jiný název, pokud útočníci použili parametr -r) se vytvoří v cílovém systému, takže pokud extrahujeme data ze souboru předběžného načtení, uvidíme, co bylo spuštěno:
Dokončím snad tam, kde jsem začal - mazání souborů (T1107). Jak jsem poznamenal, mnoho útočníků používá SDelete k trvalému odstranění souborů v různých fázích životního cyklu útoku. Pokud se podíváme na data z prefetch souboru sdelete.exe, uvidíme, co přesně bylo odstraněno:
Samozřejmě, toto není vyčerpávající seznam technik, které lze nalézt během analýzy souborů Prefetch, ale to by mělo stačit k pochopení, že takové soubory mohou pomoci nejen najít stopy spuštění, ale také reverzní inženýrství specifické taktiky a techniky útočníci.
Zdroj: www.habr.com