Sporingsfiler eller Prefetch-filer har eksisteret i Windows siden XP. Siden da har de hjulpet specialister i digital efterforskning og computerhændelse med at finde spor af software, herunder malware. Førende specialist i computer forensics Group-IB Oleg Skulkin fortæller dig, hvad du kan finde ved hjælp af Prefetch-filer, og hvordan du gør det.
Prefetch-filer gemmes i mappen %SystemRoot%Prefetch og tjene til at fremskynde processen med at lancere programmer. Hvis vi ser på nogen af disse filer, vil vi se, at dens navn består af to dele: navnet på den eksekverbare fil og en kontrolsum på otte tegn fra stien til den.
Prefetch-filer indeholder en masse information, der er nyttig fra et retsmedicinsk synspunkt: navnet på den eksekverbare fil, antallet af gange, den blev udført, lister over filer og mapper, som den eksekverbare fil interagerede med, og selvfølgelig tidsstempler. Typisk bruger retsmedicinere oprettelsesdatoen for en bestemt Prefetch-fil til at bestemme datoen, hvor programmet først blev lanceret. Derudover gemmer disse filer datoen for den sidste lancering og fra version 26 (Windows 8.1) - tidsstemplerne for de syv seneste kørsler.
Lad os tage en af Prefetch-filerne, udtrække data fra den ved hjælp af Eric Zimmermans PECmd og se på hver del af den. For at demonstrere vil jeg udtrække data fra en fil CCLEANER64.EXE-DE05DBE1.pf.
Så lad os starte fra toppen. Selvfølgelig har vi filoprettelse, ændring og adgangstidsstempler:
De efterfølges af navnet på den eksekverbare fil, checksummen af stien til den, størrelsen på den eksekverbare fil og versionen af Prefetch-filen:
Da vi har at gøre med Windows 10, vil vi næste gang se antallet af starter, datoen og klokkeslættet for sidste start og yderligere syv tidsstempler, der angiver tidligere lanceringsdatoer:
Disse efterfølges af oplysninger om bindet, herunder dets serienummer og oprettelsesdato:
Sidst men ikke mindst er en liste over mapper og filer, som den eksekverbare interagerede med:
Så de mapper og filer, som den eksekverbare interagerede med, er præcis, hvad jeg vil fokusere på i dag. Det er disse data, der gør det muligt for specialister inden for digital efterforskning, reaktion på computerhændelser eller proaktiv trusselsjagt at fastslå ikke kun det faktum, at en bestemt fil er eksekveret, men også, i nogle tilfælde, at rekonstruere specifikke taktikker og teknikker for angribere. I dag bruger angribere ret ofte værktøjer til permanent at slette data, for eksempel SDelete, så evnen til at gendanne i det mindste spor af brugen af visse taktikker og teknikker er simpelthen nødvendig for enhver moderne forsvarer - computer efterforskningsspecialist, hændelsesreaktionsspecialist, ThreatHunter ekspert.
Lad os starte med Initial Access-taktikken (TA0001) og den mest populære teknik, Spearphishing Attachment (T1193). Nogle cyberkriminelle grupper er ret kreative i deres valg af investeringer. For eksempel brugte Silence-gruppen filer i CHM-formatet (Microsoft Compiled HTML Help) til dette. Derfor har vi en anden teknik foran os - Compiled HTML File (T1223). Sådanne filer lanceres vha Hh.exeDerfor, hvis vi udtrækker data fra dens Prefetch-fil, vil vi finde ud af, hvilken fil der blev åbnet af offeret:
Lad os fortsætte med at arbejde med eksempler fra virkelige sager og gå videre til den næste udførelsestaktik (TA0002) og CSMTP-teknik (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) kan bruges af angribere til at køre ondsindede scripts. Et godt eksempel er Cobalt-gruppen. Hvis vi udtrækker data fra Prefetch-filen cmstp.exe, så kan vi igen finde ud af, hvad der præcist blev lanceret:
En anden populær teknik er Regsvr32 (T1117). Regsvr32.exe bruges også ofte af angribere til at starte. Her er et andet eksempel fra Cobalt-gruppen: hvis vi udtrækker data fra en Prefetch-fil regsvr32.exe, så vil vi igen se, hvad der blev lanceret:
Den næste taktik er Persistence (TA0003) og Privilege Escalation (TA0004), med Application Shimming (T1138) som en teknik. Denne teknik blev brugt af Carbanak/FIN7 til at forankre systemet. Anvendes typisk til at arbejde med programkompatibilitetsdatabaser (.sdb) sdbinst.exe. Derfor kan Prefetch-filen for denne eksekverbare hjælpe os med at finde ud af navnene på sådanne databaser og deres placeringer:
Som du kan se på illustrationen, har vi ikke kun navnet på den fil, der bruges til installationen, men også navnet på den installerede database.
Lad os tage et kig på et af de mest almindelige eksempler på netværksudbredelse (TA0008), PsExec, ved hjælp af administrative shares (T1077). Tjeneste med navnet PSEXECSVC (selvfølgelig kan ethvert andet navn bruges, hvis angribere brugte parameteren -r) vil blive oprettet på målsystemet, så hvis vi udtrækker dataene fra Prefetch-filen, vil vi se, hvad der blev lanceret:
Jeg slutter nok, hvor jeg startede - sletning af filer (T1107). Som jeg allerede har bemærket, bruger mange angribere SDelete til permanent at slette filer på forskellige stadier af angrebets livscyklus. Hvis vi ser på dataene fra Prefetch-filen sdelete.exe, så vil vi se, hvad der præcist blev slettet:
Selvfølgelig er dette ikke en udtømmende liste over teknikker, der kan opdages under analysen af Prefetch-filer, men dette burde være nok til at forstå, at sådanne filer ikke kun kan hjælpe med at finde spor efter lanceringen, men også rekonstruere specifikke angribertaktik og -teknikker .
Kilde: www.habr.com