Los archivos de seguimiento, o archivos de captación previa, existen en Windows desde XP. Desde entonces, han ayudado a especialistas forenses digitales y a especialistas en respuesta a incidentes informáticos a encontrar rastros de software, incluido malware. Especialista líder en informática forense Group-IB Oleg Skulkin le dice qué puede encontrar usando archivos Prefetch y cómo hacerlo.
Los archivos de captación previa se almacenan en el directorio %SystemRoot%Captación previa y sirven para acelerar el proceso de lanzamiento de programas. Si observamos cualquiera de estos archivos, veremos que su nombre consta de dos partes: el nombre del archivo ejecutable y una suma de comprobación de ocho caracteres de la ruta al mismo.
Los archivos de captación previa contienen mucha información útil desde un punto de vista forense: el nombre del archivo ejecutable, el número de veces que se ejecutó, listas de archivos y directorios con los que interactuó el archivo ejecutable y, por supuesto, marcas de tiempo. Normalmente, los científicos forenses utilizan la fecha de creación de un archivo Prefetch en particular para determinar la fecha en que se lanzó el programa por primera vez. Además, estos archivos almacenan la fecha de su último lanzamiento y, a partir de la versión 26 (Windows 8.1), las marcas de tiempo de las siete ejecuciones más recientes.
Tomemos uno de los archivos Prefetch, extraigamos datos usando PECmd de Eric Zimmerman y observemos cada parte. Para demostrarlo, extraeré datos de un archivo. CCLEANER64.EXE-DE05DBE1.pf.
Así que comencemos desde arriba. Por supuesto, tenemos marcas de tiempo de creación, modificación y acceso a archivos:
Van seguidos del nombre del archivo ejecutable, la suma de comprobación de la ruta al mismo, el tamaño del archivo ejecutable y la versión del archivo Prefetch:
Ya que estamos ante Windows 10, a continuación veremos el número de inicios, la fecha y hora del último inicio y siete marcas de tiempo más que indican fechas de lanzamiento anteriores:
A ellos les sigue información sobre el volumen, incluido su número de serie y fecha de creación:
Por último, pero no menos importante, hay una lista de directorios y archivos con los que interactuó el ejecutable:
Entonces, los directorios y archivos con los que interactuó el ejecutable son exactamente en lo que quiero centrarme hoy. Son estos datos los que permiten a los especialistas en análisis forense digital, respuesta a incidentes informáticos o búsqueda proactiva de amenazas establecer no solo el hecho de la ejecución de un archivo en particular, sino también, en algunos casos, reconstruir tácticas y técnicas específicas de los atacantes. Hoy en día, los atacantes suelen utilizar herramientas para eliminar datos permanentemente, por ejemplo, SDelete, por lo que la capacidad de restaurar al menos rastros del uso de ciertas tácticas y técnicas es simplemente necesaria para cualquier defensor moderno: especialista en informática forense, especialista en respuesta a incidentes, ThreatHunter. experto.
Comencemos con la táctica de acceso inicial (TA0001) y la técnica más popular, el archivo adjunto de Spearphishing (T1193). Algunos grupos de ciberdelincuentes son bastante creativos a la hora de elegir sus inversiones. Por ejemplo, el grupo Silencio utilizó archivos en formato CHM (Ayuda HTML compilada de Microsoft) para esto. Por tanto, tenemos ante nosotros otra técnica: el archivo HTML compilado (T1223). Estos archivos se inician utilizando hh.exe, por lo tanto, si extraemos datos de su archivo Prefetch, descubriremos qué archivo abrió la víctima:
Sigamos trabajando con ejemplos de casos reales y pasemos a la siguiente táctica de ejecución (TA0002) y técnica CSMTP (T1191). Los atacantes pueden utilizar el instalador de perfiles de Microsoft Connection Manager (CMSTP.exe) para ejecutar scripts maliciosos. Un buen ejemplo es el grupo Cobalt. Si extraemos datos del archivo Prefetch cmstp.exe, luego podemos volver a descubrir qué se lanzó exactamente:
Otra técnica popular es Regsvr32 (T1117). Regsvr32.exe Los atacantes también suelen utilizarlo para iniciar. Aquí hay otro ejemplo del grupo Cobalt: si extraemos datos de un archivo Prefetch regsvr32.exe, luego nuevamente veremos lo que se lanzó:
Las siguientes tácticas son Persistencia (TA0003) y Escalada de privilegios (TA0004), con Aplicación Shimming (T1138) como técnica. Esta técnica fue utilizada por Carbanak/FIN7 para anclar el sistema. Normalmente se utiliza para trabajar con bases de datos de compatibilidad de programas (.sdb) sdbinst.exe. Por tanto, el archivo Prefetch de este ejecutable puede ayudarnos a conocer los nombres de dichas bases de datos y sus ubicaciones:
Como puede ver en la ilustración, no solo tenemos el nombre del archivo utilizado para la instalación, sino también el nombre de la base de datos instalada.
Echemos un vistazo a uno de los ejemplos más comunes de propagación de red (TA0008), PsExec, utilizando recursos compartidos administrativos (T1077). Servicio llamado PSEXECSVC (por supuesto, se puede usar cualquier otro nombre si los atacantes usaron el parámetro -r) se creará en el sistema de destino, por lo tanto, si extraemos los datos del archivo Prefetch, veremos lo que se lanzó:
Probablemente terminaré donde comencé: eliminando archivos (T1107). Como ya he señalado, muchos atacantes utilizan SDelete para eliminar archivos permanentemente en varias etapas del ciclo de vida del ataque. Si miramos los datos del archivo Prefetch sdelete.exe, luego veremos qué se eliminó exactamente:
Por supuesto, esta no es una lista exhaustiva de técnicas que se pueden descubrir durante el análisis de archivos Prefetch, pero debería ser suficiente para comprender que dichos archivos pueden ayudar no solo a encontrar rastros del lanzamiento, sino también a reconstruir tácticas y técnicas específicas de un atacante. .
Fuente: habr.com