Spurdosieroj, aŭ Prefetch-dosieroj, ekzistas en Vindozo ekde XP. Ekde tiam, ili helpis al ciferecaj jurmedicinoj kaj komputilaj okazaĵrespondspecialistoj trovi spurojn de programaro, inkluzive de malware. Ĉefa specialisto pri komputila jurmedicina Grupo-IB Oleg Skulkin diras al vi, kion vi povas trovi uzante Prefetch-dosierojn kaj kiel fari ĝin.
Prefetch dosieroj estas konservitaj en la dosierujo %SystemRoot%Prefetch kaj servas por akceli la procezon de lanĉado de programoj. Se ni rigardas iun el ĉi tiuj dosieroj, ni vidos, ke ĝia nomo konsistas el du partoj: la nomo de la plenumebla dosiero kaj ok-karaktera kontrolsumo de la vojo al ĝi.
Prefetch-dosieroj enhavas multajn informojn utilajn el krimmedicina vidpunkto: la nomo de la plenumebla dosiero, la nombro da fojoj kiam ĝi estis ekzekutita, listoj de dosieroj kaj dosierujoj kun kiuj la rulebla dosiero interagis, kaj, kompreneble, tempomarkoj. Tipe, krimmedicinaj sciencistoj uzas la kredaton de aparta Prefetch-dosiero por determini la daton, kiam la programo unue estis lanĉita. Krome, ĉi tiuj dosieroj konservas la daton de ĝia lasta lanĉo, kaj ekde la versio 26 (Vindozo 8.1) - la tempomarkoj de la sep plej lastatempaj kuroj.
Ni prenu unu el la Prefetch-dosieroj, ĉerpi datumojn de ĝi uzante la PECmd de Eric Zimmerman kaj rigardu ĉiun parton de ĝi. Por pruvi, mi ĉerpos datumojn el dosiero CCLEANER64.EXE-DE05DBE1.pf.
Do ni komencu de la supro. Kompreneble, ni havas dosierojn pri kreado, modifo kaj aliro tempomarkoj:
Ili estas sekvataj de la nomo de la rulebla dosiero, la kontrolsumo de la vojo al ĝi, la grandeco de la rulebla dosiero kaj la versio de la Prefetch-dosiero:
Ĉar ni traktas Windows 10, poste ni vidos la nombron da komencoj, la daton kaj horon de la lasta komenco, kaj sep pliajn tempomarkojn indikante antaŭajn lanĉdatojn:
Ĉi tiuj estas sekvataj de informoj pri la volumeno, inkluzive de ĝia seria numero kaj kreodato:
Laste sed ne malplej estas listo de dosierujoj kaj dosieroj kun kiuj la rulebla interagis:
Do, la dosierujoj kaj dosieroj, kun kiuj la rulebla interagis, estas ĝuste pri kio mi volas koncentriĝi hodiaŭ. Estas ĉi tiuj datumoj, kiuj permesas al specialistoj pri cifereca jurmedicino, komputila incidenta respondo aŭ iniciatema minaco-ĉasado establi ne nur la fakton de ekzekuto de aparta dosiero, sed ankaŭ, en iuj kazoj, rekonstrui specifajn taktikojn kaj teknikojn de atakantoj. Hodiaŭ, atakantoj sufiĉe ofte uzas ilojn por konstante forigi datumojn, ekzemple SDelete, do la kapablo restarigi almenaŭ spurojn de la uzo de iuj taktikoj kaj teknikoj estas simple necesa por iu ajn moderna defendanto - komputila jurmedicina specialisto, okazaĵresponda specialisto, ThreatHunter. sperta.
Ni komencu per la taktiko de Komenca Aliro (TA0001) kaj la plej populara tekniko, Spearphishing Attachment (T1193). Iuj ciberkrimaj grupoj estas sufiĉe kreemaj en sia elekto de investoj. Ekzemple, la grupo Silence uzis dosierojn en la formato CHM (Microsoft Compiled HTML Help) por tio. Tiel, ni havas antaŭ ni alian teknikon - Kompilita HTML-Dosiero (T1223). Tiaj dosieroj estas lanĉitaj uzante hh.exe, do, se ni ĉerpas datumojn el ĝia Prefetch-dosiero, ni ekscios, kiu dosiero estis malfermita de la viktimo:
Ni daŭrigu labori kun ekzemploj de realaj kazoj kaj pluiru al la sekva Ekzekuta taktiko (TA0002) kaj CSMTP-tekniko (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) povas esti uzata de atakantoj por ruli malicajn skriptojn. Bona ekzemplo estas la Kobalta grupo. Se ni ĉerpas datumojn el la Prefetch-dosiero cmstp.exe, tiam ni denove povas ekscii, kio ĝuste estis lanĉita:
Alia populara tekniko estas Regsvr32 (T1117). Regsvr32.exe ankaŭ estas ofte uzata de atakantoj por lanĉi. Jen alia ekzemplo de la grupo Cobalt: se ni ĉerpas datumojn el Prefetch-dosiero regsvr32.exe, tiam denove ni vidos kio estis lanĉita:
La venontaj taktikoj estas Persistence (TA0003) kaj Privilege Escalation (TA0004), kun Application Shimming (T1138) kiel tekniko. Tiu tekniko estis uzita fare de Carbanak/FIN7 por ankri la sistemon. Kutime uzata por labori kun programaj kongruaj datumbazoj (.sdb) sdbinst.exe. Tial, la Prefetch-dosiero de ĉi tiu efektivigebla povas helpi nin eltrovi la nomojn de tiaj datumbazoj kaj iliaj lokoj:
Kiel vi povas vidi en la ilustraĵo, ni havas ne nur la nomon de la dosiero uzata por instalo, sed ankaŭ la nomon de la instalita datumbazo.
Ni rigardu unu el la plej oftaj ekzemploj de reto-disvastigo (TA0008), PsExec, uzante administrajn akciojn (T1077). Servo nomita PSEXECSVC (kompreneble, ajna alia nomo povas esti uzata se atakantoj uzis la parametron -r) estos kreita sur la cela sistemo, do, se ni ĉerpas la datumojn el la Prefetch-dosiero, ni vidos, kio estis lanĉita:
Mi verŝajne finos kie mi komencis - forigi dosierojn (T1107). Kiel mi jam notis, multaj atakantoj uzas SDelete por konstante forigi dosierojn en diversaj stadioj de la atakvivciklo. Se ni rigardas la datumojn de la Prefetch-dosiero sdelete.exe, tiam ni vidos kio ĝuste estis forigita:
Kompreneble, ĉi tio ne estas ĝisfunda listo de teknikoj, kiuj povas esti malkovritaj dum la analizo de Prefetch-dosieroj, sed ĉi tio devus sufiĉi por kompreni, ke tiaj dosieroj povas helpi ne nur trovi spurojn de la lanĉo, sed ankaŭ rekonstrui specifajn atakajn taktikojn kaj teknikojn. .
fonto: www.habr.com