Trace-Dateien oder Prefetch-Dateien gibt es in Windows seit XP. Seitdem haben sie Spezialisten für digitale Forensik und Computer-Incident-Response dabei geholfen, Spuren von Software, einschließlich Malware, zu finden. Führender Spezialist für Computerforensik Group-IB Oleg Skulkin erklärt Ihnen, was Sie mithilfe von Prefetch-Dateien finden können und wie es geht.
Prefetch-Dateien werden im Verzeichnis gespeichert %SystemRoot%Prefetch und dienen dazu, den Startprozess von Programmen zu beschleunigen. Wenn wir uns eine dieser Dateien ansehen, werden wir feststellen, dass ihr Name aus zwei Teilen besteht: dem Namen der ausführbaren Datei und einer achtstelligen Prüfsumme aus dem Pfad zu ihr.
Prefetch-Dateien enthalten viele aus forensischer Sicht nützliche Informationen: den Namen der ausführbaren Datei, die Häufigkeit ihrer Ausführung, Listen der Dateien und Verzeichnisse, mit denen die ausführbare Datei interagiert hat, und natürlich Zeitstempel. Normalerweise verwenden Forensiker das Erstellungsdatum einer bestimmten Prefetch-Datei, um das Datum zu bestimmen, an dem das Programm zum ersten Mal gestartet wurde. Darüber hinaus speichern diese Dateien das Datum des letzten Starts und ab Version 26 (Windows 8.1) die Zeitstempel der sieben letzten Läufe.
Nehmen wir eine der Prefetch-Dateien, extrahieren Daten daraus mit Eric Zimmermans PECmd und schauen uns jeden Teil davon an. Zur Demonstration extrahiere ich Daten aus einer Datei CCLEANER64.EXE-DE05DBE1.pf.
Fangen wir also von oben an. Natürlich verfügen wir über Zeitstempel für Dateierstellung, -änderung und -zugriff:
Es folgen der Name der ausführbaren Datei, die Prüfsumme des Pfads dazu, die Größe der ausführbaren Datei und die Version der Prefetch-Datei:
Da es sich um Windows 10 handelt, sehen wir als nächstes die Anzahl der Starts, das Datum und die Uhrzeit des letzten Starts sowie sieben weitere Zeitstempel, die frühere Startdaten angeben:
Darauf folgen Informationen zum Band, einschließlich Seriennummer und Erstellungsdatum:
Zu guter Letzt finden Sie eine Liste der Verzeichnisse und Dateien, mit denen die ausführbare Datei interagiert hat:
Daher möchte ich mich heute genau auf die Verzeichnisse und Dateien konzentrieren, mit denen die ausführbare Datei interagiert hat. Anhand dieser Daten können Spezialisten für digitale Forensik, Reaktion auf Computervorfälle oder proaktive Bedrohungssuche nicht nur die Tatsache der Ausführung einer bestimmten Datei feststellen, sondern in einigen Fällen auch bestimmte Taktiken und Techniken von Angreifern rekonstruieren. Heutzutage verwenden Angreifer häufig Tools zum dauerhaften Löschen von Daten, beispielsweise SDelete. Daher ist die Fähigkeit, zumindest Spuren der Verwendung bestimmter Taktiken und Techniken wiederherzustellen, für jeden modernen Verteidiger – Computerforensiker, Incident-Response-Spezialisten, ThreatHunter – einfach notwendig Experte.
Beginnen wir mit der Taktik „Initial Access“ (TA0001) und der beliebtesten Technik, dem Spearphishing-Anhang (T1193). Einige Cyberkriminelle-Gruppen sind bei der Wahl ihrer Investitionen recht kreativ. Beispielsweise nutzte die Silence-Gruppe hierfür Dateien im CHM-Format (Microsoft Compiled HTML Help). Somit haben wir eine weitere Technik vor uns – kompilierte HTML-Datei (T1223). Solche Dateien werden mit gestartet hh.exeWenn wir also Daten aus der Prefetch-Datei extrahieren, finden wir heraus, welche Datei vom Opfer geöffnet wurde:
Lassen Sie uns mit Beispielen aus realen Fällen weiterarbeiten und mit der nächsten Ausführungstaktik (TA0002) und CSMTP-Technik (T1191) fortfahren. Der Microsoft Connection Manager Profile Installer (CMSTP.exe) kann von Angreifern zum Ausführen bösartiger Skripts verwendet werden. Ein gutes Beispiel ist die Cobalt-Gruppe. Wenn wir Daten aus der Prefetch-Datei extrahieren cmstp.exe, dann können wir noch einmal herausfinden, was genau gestartet wurde:
Eine weitere beliebte Technik ist Regsvr32 (T1117). Regsvr32.exe wird auch häufig von Angreifern zum Starten verwendet. Hier ist ein weiteres Beispiel aus der Cobalt-Gruppe: Wenn wir Daten aus einer Prefetch-Datei extrahieren regsvr32.exe, dann werden wir noch einmal sehen, was gestartet wurde:
Die nächsten Taktiken sind Persistenz (TA0003) und Privilege Escalation (TA0004), mit Application Shimming (T1138) als Technik. Diese Technik wurde von Carbanak/FIN7 zur Verankerung des Systems verwendet. Wird normalerweise für die Arbeit mit Programmkompatibilitätsdatenbanken (.sdb) verwendet. sdbinst.exe. Daher kann uns die Prefetch-Datei dieser ausführbaren Datei dabei helfen, die Namen solcher Datenbanken und ihre Speicherorte herauszufinden:
Wie Sie in der Abbildung sehen können, liegt uns nicht nur der Name der zur Installation verwendeten Datei vor, sondern auch der Name der installierten Datenbank.
Werfen wir einen Blick auf eines der häufigsten Beispiele für die Netzwerkverbreitung (TA0008), PsExec, unter Verwendung administrativer Freigaben (T1077). Dienst mit dem Namen PSEXECSVC (natürlich kann jeder andere Name verwendet werden, wenn Angreifer den Parameter verwendet haben). -r) wird auf dem Zielsystem erstellt. Wenn wir also die Daten aus der Prefetch-Datei extrahieren, sehen wir, was gestartet wurde:
Ich werde wahrscheinlich dort aufhören, wo ich angefangen habe – Dateien löschen (T1107). Wie ich bereits festgestellt habe, verwenden viele Angreifer SDelete, um Dateien in verschiedenen Phasen des Angriffslebenszyklus dauerhaft zu löschen. Schauen wir uns die Daten aus der Prefetch-Datei an sdelete.exe, dann werden wir sehen, was genau gelöscht wurde:
Dies ist natürlich keine erschöpfende Liste der Techniken, die bei der Analyse von Prefetch-Dateien entdeckt werden können, aber dies sollte ausreichen, um zu verstehen, dass solche Dateien nicht nur dabei helfen können, Spuren des Starts zu finden, sondern auch spezifische Angreifertaktiken und -techniken zu rekonstruieren .
Source: habr.com