Jälgimisfailid ehk eellaadimisfailid võeti kasutusele aastal Windows XP päevist peale on nad aidanud digitaalse kohtuekspertiisi ja arvutiintsidentidele reageerimise spetsialistidel leida programmide käivitamise jälgi, sealhulgas pahavara. Group-IB juhtiv digitaalse kohtuekspertiisi spetsialist. Oleg Skulkin ütleb teile, mida saate failide eellaadimise abil leida ja kuidas seda teha.
Eellaadimisfailid salvestatakse kataloogi %SystemRoot%Eellaadimine ja kiirendavad programmide käivitamise protsessi. Kui vaatame mõnda neist failidest, näeme, et selle nimi koosneb kahest osast: käivitatava faili nimest ja kaheksakohalisest kontrollsummast selleni jõudvalt.
Eeltoomise failid sisaldavad rohkelt kohtuekspertiisi seisukohast kasulikku teavet: käivitatava faili nimi, selle käivitamiste arv, failide ja kataloogide loendid, millega käivitatav fail suhtles, ning loomulikult ajatemplid. Kohtuekspertiisi analüütikud kasutavad tavaliselt konkreetse eeltoomise faili loomise kuupäeva, et määrata programmi esmakordse käivitamise kuupäev. Need failid salvestavad ka selle viimase käivitamise kuupäeva ja alates versioonist 26 (Windows 8.1) - viimase seitsme stardi ajatemplid.
Võtame ühe Prefetch-failidest, eraldame sellest andmed Eric Zimmermani PECmd abil ja vaatame selle iga osa. Demonstreerimiseks eraldan failist andmed CCLEANER64.EXE-DE05DBE1.pf.
Nii et alustame ülevalt. Loomulikult on meil failide loomise, muutmise ja juurdepääsu ajatemplid:
Neile järgneb käivitatava faili nimi, selle tee kontrollsumma, käivitatava faili suurus ja eellaadimisfaili versioon:
Kuna me tegeleme Windows 10, siis näeme käivituste arvu, viimase käivituse kuupäeva ja kellaaega ning veel seitset ajatemplit, mis näitavad eelmisi käivituskuupäevi:
Nendele järgneb teave köite kohta, sealhulgas selle seerianumber ja loomise kuupäev:
Viimane, kuid mitte vähem oluline on loend kataloogidest ja failidest, millega käivitatav fail suhtles:
Niisiis, kataloogid ja failid, millega käivitatav fail suhtles, on täpselt see, millele tahan täna keskenduda. Just need andmed võimaldavad digitaalse kohtuekspertiisi, arvutiintsidentidele reageerimise või ennetava ohujahi spetsialistidel kindlaks teha mitte ainult konkreetse faili täitmise fakti, vaid mõnel juhul ka taastada ründajate konkreetsed taktikad ja tehnikad. Tänapäeval kasutavad ründajad andmete lõplikuks kustutamiseks üsna sageli tööriistu, näiteks SDelete, nii et võimalus taastada vähemalt jälgi teatud taktikate ja tehnikate kasutamisest on lihtsalt vajalik iga kaasaegse kaitsja jaoks - arvuti kohtuekspertiisi spetsialist, intsidentidele reageerimise spetsialist, ThreatHunter. asjatundja.
Alustame esmase juurdepääsu taktikast (TA0001) ja kõige populaarsemast tehnikast Spearphishing Attachment (T1193). Mõned küberkurjategijate rühmitused on investeeringute valikul üsna loovad. Näiteks rühm Vaikus kasutas selleks CHM (Microsoft Compiled HTML Help) vormingus faile. Seega on meie ees veel üks tehnika - kompileeritud HTML-fail (T1223). Sellised failid käivitatakse kasutades hh.exeSeega, kui eraldame andmed selle Prefetch-failist, saame teada, millise faili ohver avas:
Jätkame tööd reaalsete juhtumite näidetega ja liigume edasi järgmise täitmistaktika (TA0002) ja CSMTP tehnika (T1191) juurde. Ründajad saavad pahatahtlike skriptide käitamiseks kasutada Microsoft Connection Manageri profiili installijat (CMSTP.exe). Hea näide on rühmitus Cobalt. Kui eraldame andmed Prefetch-failist cmstp.exe, siis saame uuesti teada, mis täpselt käivitati:
Teine populaarne tehnika on Regsvr32 (T1117). Regsvr32.exe ründajad kasutavad seda sageli ka käivitamiseks. Siin on veel üks näide rühmast Cobalt: kui eraldame andmed Prefetch-failist regsvr32.exe, siis näeme jälle, mis käivitati:
Järgmised taktikad on Püsivus (TA0003) ja Privilege Escalation (TA0004), mille tehnikaks on rakenduse Shimming (T1138). Seda tehnikat kasutas Carbanak/FIN7 süsteemi ankurdamiseks. Tavaliselt kasutatakse programmide ühilduvuse andmebaasidega (.sdb) töötamiseks sdbinst.exe. Seetõttu võib selle käivitatava faili Prefetch fail aidata meil välja selgitada selliste andmebaaside nimed ja asukohad:
Nagu näete joonisel, pole meil mitte ainult installimiseks kasutatud faili nimi, vaid ka installitud andmebaasi nimi.
Vaatame üht levinumat võrgu levitamise näidet (TA0008), PsExec, kasutades haldusjagamisi (T1077). Teenus nimega PSEXECSVC (muidugi võib kasutada mis tahes muud nime, kui ründajad seda parameetrit kasutasid -r) luuakse sihtsüsteemis, seega, kui eraldame andmed failist Prefetch, näeme, mis käivitati:
Tõenäoliselt lõpetan seal, kus alustasin – failide kustutamisega (T1107). Nagu ma juba märkisin, kasutavad paljud ründajad rünnaku elutsükli eri etappides failide jäädavalt kustutamiseks funktsiooni SDelete. Kui vaatame andmeid Prefetch failist sdelete.exe, siis näeme, mis täpselt kustutati:
Loomulikult ei ole see ammendav loetelu tehnikatest, mida saab Prefetch-failide analüüsimisel avastada, kuid sellest peaks piisama, et mõista, et sellised failid aitavad mitte ainult käivitamise jälgi leida, vaid ka konkreetseid ründaja taktikaid ja tehnikaid taastada. .
Allikas: www.habr.com
