Trace fitxategiak edo Prefetch fitxategiak Windows-en daude XP-tik. Harrezkero, forentse digitalen eta informatikako gertakariei erantzuteko espezialistei softwarearen aztarnak aurkitzen lagundu diete, malwarea barne. Informatikako auzitegiko espezialista nagusia-IB Taldea Oleg Skulkin Prefetch fitxategiak erabiliz zer aurki dezakezun eta nola egin esaten dizu.
Aurrez jasotzeko fitxategiak direktorioan gordetzen dira %SystemRoot%Prefetch eta programak abiarazteko prozesua azkartzeko balio du. Fitxategi hauetakoren bati begiratzen badiogu, bere izenak bi zati ditu: fitxategi exekutagarriaren izena eta bidetik zortzi karaktereko checksum bat.
Prefetch fitxategiek forentsearen ikuspuntutik erabilgarria den informazio asko dute: fitxategi exekutagarriaren izena, zenbat aldiz exekutatu den, fitxategi exekutagarriak elkarreragin izan duten fitxategi eta direktorioen zerrendak eta, jakina, denbora-zigiluak. Normalean, auzitegiko zientzialariek Prefetch fitxategi jakin baten sorrera-data erabiltzen dute programa abian jarri zen eguna zehazteko. Gainera, fitxategi hauek azken abiarazteko data gordetzen dute, eta 26. bertsiotik (Windows 8.1) - azken zazpi exekuzioen denbora-zigiluak.
Har dezagun Prefetch fitxategietako bat, atera dezagun bertatik datuak Eric Zimmerman-en PECmd erabiliz eta begiratu zati bakoitza. Frogatzeko, fitxategi batetik datuak aterako ditut CCLEANER64.EXE-DE05DBE1.pf.
Has gaitezen, beraz, goitik. Noski, fitxategiak sortzeko, aldatzeko eta atzitzeko denbora-zigiluak ditugu:
Ondoren, fitxategi exekutagarriaren izena, bidearen kontrol-bagaketa, fitxategi exekutagarriaren tamaina eta Prefetch fitxategiaren bertsioa daude:
Windows 10-rekin ari garenez, hurrengo abiarazte-kopurua, azken hasierako data eta ordua eta aurreko abiarazte-datak adierazten dituzten beste zazpi denbora zigilu ikusiko ditugu:
Ondoren, bolumenari buruzko informazioa dago, bere serie-zenbakia eta sortze-data barne:
Azkena, baina ez behintzat, exekutagarriak elkarrekintzan aritu diren direktorio eta fitxategien zerrenda da:
Beraz, exekutagarriak elkarreragiten duen direktorio eta fitxategiak dira gaur zentratu nahi dudana. Datu horiei esker, auzitegi digitalean, gertakari informatikoen erantzunean edo mehatxuen ehiza proaktiboan espezialistek fitxategi jakin baten exekuzioa ez ezik, kasu batzuetan, erasotzaileen taktika eta teknika zehatzak berreraiki ditzakete. Gaur egun, erasotzaileek sarritan erabiltzen dituzte tresnak betirako datuak ezabatzeko, adibidez, SDelete, beraz, taktika eta teknika jakin batzuen erabileraren aztarnak gutxienez leheneratzeko gaitasuna beharrezkoa da edozein defendatzaile modernorentzat - informatika auzitegiko espezialista, gertakarien erantzunaren espezialista, ThreatHunter. aditua.
Has gaitezen Initial Access taktikarekin (TA0001) eta teknikarik ezagunenarekin, Spearphishing Attachment (T1193). Ziberkriminal talde batzuk nahiko sormenak dira inbertsioak aukeratzerakoan. Adibidez, Silence taldeak CHM (Microsoft Compiled HTML Help) formatuko fitxategiak erabili zituen horretarako. Horrela, beste teknika bat dugu aurrean: HTML Fitxategi Konpilatua (T1223). Horrelako fitxategiak erabiliz abiarazten dira hh.exe, beraz, bere Prefetch fitxategitik datuak ateratzen baditugu, biktimak zein fitxategi ireki duen jakingo dugu:
Jarrai dezagun kasu errealetako adibideekin lanean eta hurrengo Exekuzio taktika (TA0002) eta CSMTP teknikara (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) erasotzaileek erabil dezakete script gaiztoak exekutatzeko. Adibide ona da Cobalt taldea. Prefetch fitxategitik datuak ateratzen baditugu cmstp.exe, orduan berriro jakin dezakegu zer abian jarri zen zehazki:
Beste teknika ezagun bat Regsvr32 (T1117) da. Regsvr32.exe abiarazterako ere erabiltzen dute erasotzaileek. Hona hemen Cobalt taldeko beste adibide bat: Prefetch fitxategi batetik datuak ateratzen baditugu regsvr32.exe, orduan berriro ikusiko dugu zer abian jarri zen:
Hurrengo taktikak Iraunkortasuna (TA0003) eta Pribilegioen Eskalada (TA0004) dira, Aplikazioaren Shimming (T1138) teknika gisa. Teknika hau Carbanak/FIN7-k erabili zuen sistema ainguratzeko. Normalean programa bateragarritasun datu-baseekin lan egiteko erabiltzen da (.sdb) sdbinst.exe. Beraz, exekutagarri honen Prefetch fitxategiak datu-base horien izenak eta haien kokapenak jakiten lagun gaitzake:
Ilustrazioan ikus dezakezun bezala, instalaziorako erabilitako fitxategiaren izena ez ezik, instalatutako datu-basearen izena ere badugu.
Ikus dezagun sarearen hedapenaren adibide ohikoenetako bat (TA0008), PsExec, administrazio-partekatzeak (T1077) erabiliz. PSEXECSVC izeneko zerbitzua (noski, beste edozein izen erabil daiteke erasotzaileek parametroa erabiltzen badute -r) xede-sisteman sortuko da, beraz, Prefetch fitxategitik datuak ateratzen baditugu, abiarazitakoa ikusiko dugu:
Ziurrenik hasi nintzen lekuan amaituko dut: fitxategiak ezabatuz (T1107). Dagoeneko adierazi dudan bezala, erasotzaile askok SDelete erabiltzen dute erasoaren bizi-zikloko hainbat fasetan fitxategiak betiko ezabatzeko. Prefetch fitxategiko datuak ikusten baditugu sdelete.exe, orduan ikusiko dugu zer ezabatu den zehazki:
Jakina, hau ez da Prefetch fitxategiak aztertzean aurki daitezkeen tekniken zerrenda osoa, baina nahikoa izan beharko luke fitxategi horiek abiaraztearen aztarnak aurkitzen ez ezik, erasotzaileen taktika eta teknika espezifikoak berreraikitzen lagun dezaketela ulertzeko. .
Iturria: www.habr.com