Jälgimisfailid ehk eellaadimisfailid on Windowsis olnud kasutusel alates XP-st. Sellest ajast alates on nad aidanud digitaalsel kohtuekspertiisi ja arvutiintsidentidele reageerimise spetsialistidel leida tarkvara, sealhulgas pahavara jälgi. Arvuti kohtuekspertiisi juhtiv spetsialist Group-IB Oleg Skulkin ütleb teile, mida saate failide eellaadimise abil leida ja kuidas seda teha.
Eellaadimisfailid salvestatakse kataloogi %SystemRoot%Eellaadimine ja kiirendavad programmide käivitamise protsessi. Kui vaatame mõnda neist failidest, näeme, et selle nimi koosneb kahest osast: käivitatava faili nimest ja kaheksakohalisest kontrollsummast selleni jõudvalt.
Eellaadimisfailid sisaldavad palju kohtuekspertiisi seisukohalt kasulikku teavet: käivitatava faili nimi, selle käitamiskordade arv, failide ja kataloogide loendid, millega käivitatav fail suhtles, ja loomulikult ajatemplid. Tavaliselt kasutavad kohtuekspertiisi teadlased programmi esmakordse käivitamise kuupäeva määramiseks konkreetse Prefetch-faili loomise kuupäeva. Lisaks salvestavad need failid selle viimase käivitamise kuupäeva ja alates versioonist 26 (Windows 8.1) - seitsme viimase käitamise ajatemplid.
Võtame ühe Prefetch-failidest, eraldame sellest andmed Eric Zimmermani PECmd abil ja vaatame selle iga osa. Demonstreerimiseks eraldan failist andmed CCLEANER64.EXE-DE05DBE1.pf.
Nii et alustame ülevalt. Loomulikult on meil failide loomise, muutmise ja juurdepääsu ajatemplid:
Neile järgneb käivitatava faili nimi, selle tee kontrollsumma, käivitatava faili suurus ja eellaadimisfaili versioon:
Kuna tegemist on Windows 10-ga, näeme järgmisena käivituste arvu, viimase käivitamise kuupäeva ja kellaaega ning veel seitset ajatemplit, mis näitavad eelmisi käivitamiskuupäevi:
Nendele järgneb teave köite kohta, sealhulgas selle seerianumber ja loomise kuupäev:
Viimane, kuid mitte vähem oluline on loend kataloogidest ja failidest, millega käivitatav fail suhtles:
Niisiis, kataloogid ja failid, millega käivitatav fail suhtles, on täpselt see, millele tahan täna keskenduda. Just need andmed võimaldavad digitaalse kohtuekspertiisi, arvutiintsidentidele reageerimise või ennetava ohujahi spetsialistidel kindlaks teha mitte ainult konkreetse faili täitmise fakti, vaid mõnel juhul ka taastada ründajate konkreetsed taktikad ja tehnikad. Tänapäeval kasutavad ründajad andmete lõplikuks kustutamiseks üsna sageli tööriistu, näiteks SDelete, nii et võimalus taastada vähemalt jälgi teatud taktikate ja tehnikate kasutamisest on lihtsalt vajalik iga kaasaegse kaitsja jaoks - arvuti kohtuekspertiisi spetsialist, intsidentidele reageerimise spetsialist, ThreatHunter. asjatundja.
Alustame esmase juurdepääsu taktikast (TA0001) ja kõige populaarsemast tehnikast Spearphishing Attachment (T1193). Mõned küberkurjategijate rühmitused on investeeringute valikul üsna loovad. Näiteks rühm Vaikus kasutas selleks CHM (Microsoft Compiled HTML Help) vormingus faile. Seega on meie ees veel üks tehnika - kompileeritud HTML-fail (T1223). Sellised failid käivitatakse kasutades hh.exeSeega, kui eraldame andmed selle Prefetch-failist, saame teada, millise faili ohver avas:
Jätkame tööd reaalsete juhtumite näidetega ja liigume edasi järgmise täitmistaktika (TA0002) ja CSMTP tehnika (T1191) juurde. Ründajad saavad pahatahtlike skriptide käitamiseks kasutada Microsoft Connection Manageri profiili installijat (CMSTP.exe). Hea näide on rühmitus Cobalt. Kui eraldame andmed Prefetch-failist cmstp.exe, siis saame uuesti teada, mis täpselt käivitati:
Teine populaarne tehnika on Regsvr32 (T1117). Regsvr32.exe ründajad kasutavad seda sageli ka käivitamiseks. Siin on veel üks näide rühmast Cobalt: kui eraldame andmed Prefetch-failist regsvr32.exe, siis näeme jälle, mis käivitati:
Järgmised taktikad on Püsivus (TA0003) ja Privilege Escalation (TA0004), mille tehnikaks on rakenduse Shimming (T1138). Seda tehnikat kasutas Carbanak/FIN7 süsteemi ankurdamiseks. Tavaliselt kasutatakse programmide ühilduvuse andmebaasidega (.sdb) töötamiseks sdbinst.exe. Seetõttu võib selle käivitatava faili Prefetch fail aidata meil välja selgitada selliste andmebaaside nimed ja asukohad:
Nagu näete joonisel, pole meil mitte ainult installimiseks kasutatud faili nimi, vaid ka installitud andmebaasi nimi.
Vaatame üht levinumat võrgu levitamise näidet (TA0008), PsExec, kasutades haldusjagamisi (T1077). Teenus nimega PSEXECSVC (muidugi võib kasutada mis tahes muud nime, kui ründajad seda parameetrit kasutasid -r) luuakse sihtsüsteemis, seega, kui eraldame andmed failist Prefetch, näeme, mis käivitati:
Tõenäoliselt lõpetan seal, kus alustasin – failide kustutamisega (T1107). Nagu ma juba märkisin, kasutavad paljud ründajad rünnaku elutsükli eri etappides failide jäädavalt kustutamiseks funktsiooni SDelete. Kui vaatame andmeid Prefetch failist sdelete.exe, siis näeme, mis täpselt kustutati:
Loomulikult ei ole see ammendav loetelu tehnikatest, mida saab Prefetch-failide analüüsimisel avastada, kuid sellest peaks piisama, et mõista, et sellised failid aitavad mitte ainult käivitamise jälgi leida, vaid ka konkreetseid ründaja taktikaid ja tehnikaid taastada. .
Allikas: www.habr.com