Mae ffeiliau olrhain, neu ffeiliau Prefetch, wedi bod o gwmpas yn Windows ers XP. Ers hynny, maent wedi helpu arbenigwyr fforensig digidol ac ymateb i ddigwyddiadau cyfrifiadurol i ddod o hyd i olion meddalwedd, gan gynnwys meddalwedd faleisus. Arbenigwr blaenllaw mewn fforensig cyfrifiadurol Group-IB Oleg Skulkin yn dweud wrthych beth allwch chi ei ddarganfod gan ddefnyddio ffeiliau Prefetch a sut i wneud hynny.
Mae ffeiliau prefetch yn cael eu storio yn y cyfeiriadur %SystemRoot%Prefetch ac yn cyflymu'r broses o lansio rhaglenni. Os edrychwn ar unrhyw un o'r ffeiliau hyn, fe welwn fod ei enw yn cynnwys dwy ran: enw'r ffeil gweithredadwy a gwiriad wyth nod o'r llwybr iddo.
Mae ffeiliau Prefetch yn cynnwys llawer o wybodaeth ddefnyddiol o safbwynt fforensig: enw'r ffeil gweithredadwy, y nifer o weithiau y cafodd ei gweithredu, rhestrau o ffeiliau a chyfeiriaduron y mae'r ffeil gweithredadwy yn rhyngweithio Γ’ nhw, ac, wrth gwrs, stampiau amser. Yn nodweddiadol, mae gwyddonwyr fforensig yn defnyddio dyddiad creu ffeil Prefetch benodol i bennu'r dyddiad y lansiwyd y rhaglen gyntaf. Yn ogystal, mae'r ffeiliau hyn yn storio dyddiad ei lansiad diwethaf, ac yn dechrau o fersiwn 26 (Windows 8.1) - stampiau amser y saith rhediad diweddaraf.
Gadewch i ni gymryd un o'r ffeiliau Prefetch, tynnu data ohono gan ddefnyddio PECmd Eric Zimmerman ac edrych ar bob rhan ohono. I ddangos, byddaf yn tynnu data o ffeil CCLEANER64.EXE-DE05DBE1.pf.
Felly gadewch i ni ddechrau o'r brig. Wrth gwrs, mae gennym ni stampiau amser creu ffeiliau, addasu a mynediad:
Fe'u dilynir gan enw'r ffeil gweithredadwy, gwiriad y llwybr iddi, maint y ffeil gweithredadwy, a fersiwn y ffeil Prefetch:
Gan ein bod yn delio Γ’ Windows 10, nesaf byddwn yn gweld nifer y cychwyniadau, dyddiad ac amser y cychwyn diwethaf, a saith stamp amser arall yn nodi dyddiadau lansio blaenorol:
Dilynir y rhain gan wybodaeth am y gyfrol, gan gynnwys ei rhif cyfresol a dyddiad creu:
Yn olaf ond nid lleiaf yw rhestr o gyfeiriaduron a ffeiliau y bu i'r gweithredadwy ryngweithio Γ’ nhw:
Felly, y cyfeiriaduron a'r ffeiliau y rhyngweithiodd y gweithredadwy Γ’ nhw yw'r union beth rydw i eisiau canolbwyntio arno heddiw. Y data hwn sy'n caniatΓ‘u i arbenigwyr mewn fforensig digidol, ymateb i ddigwyddiadau cyfrifiadurol, neu hela bygythiadau rhagweithiol sefydlu nid yn unig y ffaith o weithredu ffeil benodol, ond hefyd, mewn rhai achosion, i ail-greu tactegau a thechnegau penodol ymosodwyr. Heddiw, mae ymosodwyr yn aml yn defnyddio offer i ddileu data yn barhaol, er enghraifft, SDelete, felly mae'r gallu i adfer o leiaf olion o'r defnydd o dactegau a thechnegau penodol yn angenrheidiol ar gyfer unrhyw amddiffynwr modern - arbenigwr fforensig cyfrifiadurol, arbenigwr ymateb i ddigwyddiadau, ThreatHunter arbenigwr.
Gadewch i ni ddechrau gyda'r dacteg Mynediad Cychwynnol (TA0001) a'r dechneg fwyaf poblogaidd, Spearphishing Attachment (T1193). Mae rhai grwpiau seiberdroseddol yn eithaf creadigol yn eu dewis o fuddsoddiadau. Er enghraifft, defnyddiodd y grΕ΅p Silence ffeiliau yn y fformat CHM (Microsoft Compiled HTML Help) ar gyfer hyn. Felly, mae gennym dechneg arall o'n blaenau - Ffeil HTML Wedi'i Llunio (T1223). Mae ffeiliau o'r fath yn cael eu lansio gan ddefnyddio hh.exe, felly, os byddwn yn tynnu data o'i ffeil Prefetch, byddwn yn darganfod pa ffeil a agorwyd gan y dioddefwr:
Gadewch i ni barhau i weithio gydag enghreifftiau o achosion go iawn a symud ymlaen i'r dacteg Cyflawni nesaf (TA0002) a thechneg CSMTP (T1191). Gall ymosodwyr ddefnyddio Gosodwr Proffil Rheolwr Cysylltiad Microsoft (CMSTP.exe) i redeg sgriptiau maleisus. Enghraifft dda yw'r grΕ΅p Cobalt. Os byddwn yn tynnu data o'r ffeil Prefetch cmstp.exe, yna gallwn ddarganfod eto beth yn union gafodd ei lansio:
Techneg boblogaidd arall yw Regsvr32 (T1117). Regsvr32.exe hefyd yn cael ei ddefnyddio'n aml gan ymosodwyr i lansio. Dyma enghraifft arall o'r grΕ΅p Cobalt: os ydym yn tynnu data o ffeil Prefetch regsvr32.exe, yna eto cawn weld beth gafodd ei lansio:
Y tactegau nesaf yw Dyfalbarhad (TA0003) a DwysΓ‘u Braint (TA0004), gyda Chymhwysiad Shimming (T1138) fel techneg. Defnyddiwyd y dechneg hon gan Carbanak/FIN7 i angori'r system. Defnyddir yn nodweddiadol i weithio gyda chronfeydd data cydweddoldeb rhaglen (.sdb) sdbinst.exe. Felly, gall ffeil Prefetch y gweithredadwy hon ein helpu i ddarganfod enwau cronfeydd data o'r fath a'u lleoliadau:
Fel y gwelwch yn y llun, mae gennym nid yn unig enw'r ffeil a ddefnyddir ar gyfer gosod, ond hefyd enw'r gronfa ddata sydd wedi'i gosod.
Gadewch i ni edrych ar un o'r enghreifftiau mwyaf cyffredin o luosogi rhwydwaith (TA0008), PsExec, gan ddefnyddio cyfranddaliadau gweinyddol (T1077). Gwasanaeth o'r enw PSEXECSVC (wrth gwrs, gellir defnyddio unrhyw enw arall pe bai ymosodwyr yn defnyddio'r paramedr -r) yn cael ei greu ar y system darged, felly, os byddwn yn tynnu'r data o'r ffeil Prefetch, fe welwn yr hyn a lansiwyd:
Mae'n debyg y byddaf yn gorffen lle dechreuais - dileu ffeiliau (T1107). Fel y nodais eisoes, mae llawer o ymosodwyr yn defnyddio SDelete i ddileu ffeiliau yn barhaol ar wahanol gamau o gylch bywyd yr ymosodiad. Os edrychwn ar y data o'r ffeil Prefetch sdelete.exe, yna byddwn yn gweld beth yn union gafodd ei ddileu:
Wrth gwrs, nid yw hon yn rhestr gynhwysfawr o dechnegau y gellir eu darganfod wrth ddadansoddi ffeiliau Prefetch, ond dylai hyn fod yn ddigon i ddeall y gall ffeiliau o'r fath helpu nid yn unig i ddod o hyd i olion y lansiad, ond hefyd i ail-greu tactegau a thechnegau ymosodwr penodol .
Ffynhonnell: hab.com