Jäljitystiedostot eli Prefetch-tiedostot ovat olleet käytössä Windowsissa XP:stä lähtien. Siitä lähtien he ovat auttaneet digitaalisia rikosteknisiä ja tietokoneonnettomuuksien torjuntaasiantuntijoita löytämään jälkiä ohjelmistoista, mukaan lukien haittaohjelmat. Johtava tietokonerikostekniikan asiantuntija Group-IB Oleg Skulkin kertoo, mitä voit löytää Prefetch-tiedostojen avulla ja miten se tehdään.
Esihakutiedostot tallennetaan hakemistoon %SystemRoot%Prefetch ja nopeuttaa ohjelmien käynnistämistä. Jos tarkastelemme jotakin näistä tiedostoista, huomaamme, että sen nimi koostuu kahdesta osasta: suoritettavan tiedoston nimestä ja sen polun kahdeksan merkin tarkistussummasta.
Esihakutiedostot sisältävät paljon rikoslääketieteen kannalta hyödyllistä tietoa: suoritettavan tiedoston nimen, sen suorituskertojen lukumäärän, luettelot tiedostoista ja hakemistoista, joiden kanssa suoritettava tiedosto oli vuorovaikutuksessa, ja tietysti aikaleimat. Yleensä oikeuslääketieteen tutkijat käyttävät tietyn Prefetch-tiedoston luomispäivämäärää määrittääkseen päivämäärän, jolloin ohjelma käynnistettiin ensimmäisen kerran. Lisäksi nämä tiedostot tallentavat viimeisimmän käynnistyksen päivämäärän ja versiosta 26 (Windows 8.1) alkaen - seitsemän viimeisimmän ajon aikaleimat.
Otetaan yksi Prefetch-tiedostoista, puretaan siitä tiedot Eric Zimmermanin PECmd:llä ja tarkastellaan sen jokaista osaa. Havainnollistamiseksi puran tiedot tiedostosta CCLEANER64.EXE-DE05DBE1.pf.
Aloitetaan siis ylhäältä. Tietysti meillä on tiedostojen luonti-, muokkaus- ja käyttöaikaleimat:
Niitä seuraa suoritettavan tiedoston nimi, sen polun tarkistussumma, suoritettavan tiedoston koko ja Prefetch-tiedoston versio:
Koska kyseessä on Windows 10, näemme seuraavaksi käynnistysten lukumäärän, viimeisen käynnistyksen päivämäärän ja kellonajan sekä seitsemän muuta aikaleimaa, jotka osoittavat aiemmat käynnistyspäivät:
Näitä seuraavat tiedot asemasta, mukaan lukien sen sarjanumero ja luontipäivämäärä:
Viimeisenä mutta ei vähäisimpänä on luettelo hakemistoista ja tiedostoista, joiden kanssa suoritettava tiedosto oli vuorovaikutuksessa:
Joten hakemistot ja tiedostot, joiden kanssa suoritettava tiedosto oli vuorovaikutuksessa, ovat juuri niitä, joihin haluan keskittyä tänään. Juuri nämä tiedot antavat digitaalisen rikosteknisen, tietokonetapahtumien reagoinnin tai ennakoivan uhkien metsästyksen asiantuntijat todeta tietyn tiedoston suorittamisen lisäksi joissakin tapauksissa myös luoda uudelleen tiettyjä hyökkääjien taktiikoita ja tekniikoita. Nykyään hyökkääjät käyttävät melko usein työkaluja tietojen poistamiseen pysyvästi, esimerkiksi SDelete, joten kyky palauttaa ainakin jälkiä tiettyjen taktiikkojen ja tekniikoiden käytöstä on yksinkertaisesti välttämätöntä jokaiselle nykyaikaiselle puolustajalle - tietokonerikosteknisen asiantuntijan, tapausvastaavan asiantuntijan, ThreatHunterin. asiantuntija.
Aloitetaan Initial Access -taktiikasta (TA0001) ja suosituimmasta tekniikasta, Spearphishing Attachmentista (T1193). Jotkut kyberrikollisryhmät ovat varsin luovia sijoitusvalinnassa. Esimerkiksi Hiljaisuus-ryhmä käytti tähän tiedostoja CHM (Microsoft Compiled HTML Help) -muodossa. Näin ollen meillä on edessämme toinen tekniikka - Compiled HTML File (T1223). Tällaiset tiedostot käynnistetään käyttämällä hh.exe, joten jos poimimme tiedot sen Prefetch-tiedostosta, saamme selville, minkä tiedoston uhri avasi:
Jatketaan työskentelyä esimerkkien parissa todellisista tapauksista ja siirrytään seuraavaan Toteutustaktiikkaan (TA0002) ja CSMTP-tekniikkaan (T1191). Hyökkääjät voivat käyttää Microsoft Connection Manager Profile Installeria (CMSTP.exe) haitallisten komentosarjojen suorittamiseen. Hyvä esimerkki on Cobalt-ryhmä. Jos poimimme tiedot Prefetch-tiedostosta cmstp.exe, niin voimme jälleen selvittää, mikä tarkalleen ottaen lanseerattiin:
Toinen suosittu tekniikka on Regsvr32 (T1117). Regsvr32.exe hyökkääjät käyttävät sitä myös usein käynnistämiseen. Tässä on toinen esimerkki Cobalt-ryhmästä: jos poimimme tiedot Prefetch-tiedostosta regsvr32.exe, sitten taas nähdään, mitä käynnistettiin:
Seuraavat taktiikat ovat Persistence (TA0003) ja Privilege Escalation (TA0004), joissa tekniikkana on Application Shimming (T1138). Carbanak/FIN7 käytti tätä tekniikkaa järjestelmän ankkuroimiseen. Yleensä käytetään ohjelmien yhteensopivuustietokantojen (.sdb) kanssa työskentelemiseen. sdbinst.exe. Siksi tämän suoritettavan tiedoston Prefetch-tiedosto voi auttaa meitä selvittämään tällaisten tietokantojen nimet ja niiden sijainnit:
Kuten kuvasta näet, meillä ei ole vain asennukseen käytetyn tiedoston nimi, vaan myös asennetun tietokannan nimi.
Katsotaanpa yhtä yleisimmistä esimerkeistä verkon leviämisestä (TA0008), PsExec, jossa käytetään järjestelmänvalvojan jakoja (T1077). Palvelu nimeltä PSEXECSVC (tietenkin mitä tahansa muuta nimeä voidaan käyttää, jos hyökkääjät käyttivät parametria -r) luodaan kohdejärjestelmään, joten jos puramme tiedot Prefetch-tiedostosta, näemme, mitä käynnistettiin:
Todennäköisesti lopetan siitä, mistä aloitin – tiedostojen poistamiseen (T1107). Kuten olen jo todennut, monet hyökkääjät käyttävät SDelete-toimintoa tiedostojen pysyvään poistamiseen hyökkäyksen elinkaaren eri vaiheissa. Jos tarkastelemme Prefetch-tiedoston tietoja sdelete.exe, sitten näemme, mitä tarkalleen poistettiin:
Tämä ei tietenkään ole tyhjentävä luettelo tekniikoista, jotka voidaan löytää Prefetch-tiedostojen analysoinnin aikana, mutta tämän pitäisi riittää ymmärtämään, että tällaiset tiedostot voivat auttaa paitsi löytämään laukaisujälkiä, myös rekonstruoida tiettyjä hyökkääjätaktiikoita ja tekniikoita. .
Lähde: will.com