Les fichiers de trace, ou fichiers Prefetch, existent dans Windows depuis XP. Depuis lors, ils ont aidé les spécialistes de la criminalistique numérique et de la réponse aux incidents informatiques à trouver des traces de logiciels, y compris de logiciels malveillants. Spécialiste leader en informatique judiciaire Groupe-IB Oleg Skoulkine vous indique ce que vous pouvez trouver en utilisant les fichiers Prefetch et comment le faire.
Les fichiers Prefetch sont stockés dans le répertoire %SystemRoot%Prélecture et servir à accélérer le processus de lancement des programmes. Si nous examinons l'un de ces fichiers, nous verrons que son nom se compose de deux parties : le nom du fichier exécutable et une somme de contrôle de huit caractères provenant du chemin d'accès à celui-ci.
Les fichiers Prefetch contiennent de nombreuses informations utiles d'un point de vue médico-légal : le nom du fichier exécutable, le nombre de fois qu'il a été exécuté, des listes de fichiers et de répertoires avec lesquels le fichier exécutable a interagi et, bien sûr, des horodatages. En règle générale, les médecins légistes utilisent la date de création d'un fichier Prefetch particulier pour déterminer la date de lancement initial du programme. De plus, ces fichiers stockent la date de son dernier lancement et, à partir de la version 26 (Windows 8.1), les horodatages des sept exécutions les plus récentes.
Prenons l'un des fichiers Prefetch, extrayons-en les données à l'aide du PECmd d'Eric Zimmerman et examinons chaque partie. Pour démontrer, je vais extraire les données d'un fichier CCLEANER64.EXE-DE05DBE1.pf.
Alors commençons par le haut. Bien sûr, nous avons des horodatages de création, de modification et d’accès aux fichiers :
Ils sont suivis du nom du fichier exécutable, de la somme de contrôle du chemin d'accès à celui-ci, de la taille du fichier exécutable et de la version du fichier Prefetch :
Puisque nous avons affaire à Windows 10, nous verrons ensuite le nombre de démarrages, la date et l'heure du dernier démarrage, ainsi que sept autres horodatages indiquant les dates de lancement précédentes :
Viennent ensuite des informations sur le volume, notamment son numéro de série et sa date de création :
Enfin et surtout, une liste de répertoires et de fichiers avec lesquels l'exécutable a interagi :
Ainsi, les répertoires et les fichiers avec lesquels l'exécutable a interagi sont exactement ce sur quoi je veux me concentrer aujourd'hui. Ce sont ces données qui permettent aux spécialistes de la criminalistique numérique, de la réponse aux incidents informatiques ou de la chasse proactive aux menaces d'établir non seulement le fait de l'exécution d'un fichier particulier, mais aussi, dans certains cas, de reconstituer les tactiques et techniques spécifiques des attaquants. Aujourd'hui, les attaquants utilisent assez souvent des outils pour supprimer définitivement des données, par exemple SDelete, de sorte que la possibilité de restaurer au moins des traces de l'utilisation de certaines tactiques et techniques est tout simplement nécessaire pour tout défenseur moderne - spécialiste de l'informatique judiciaire, spécialiste de la réponse aux incidents, ThreatHunter. expert.
Commençons par la tactique d'accès initial (TA0001) et la technique la plus populaire, le spearphishing attachment (T1193). Certains groupes de cybercriminels sont très créatifs dans leurs choix d’investissements. Par exemple, le groupe Silence a utilisé pour cela des fichiers au format CHM (Microsoft Compiled HTML Help). Ainsi, nous avons devant nous une autre technique - le fichier HTML compilé (T1223). Ces fichiers sont lancés en utilisant hh.exe, donc, si nous extrayons les données de son fichier Prefetch, nous saurons quel fichier a été ouvert par la victime :
Continuons à travailler avec des exemples tirés de cas réels et passons à la prochaine tactique d'exécution (TA0002) et à la technique CSMTP (T1191). Le programme d'installation du profil Microsoft Connection Manager (CMSTP.exe) peut être utilisé par des attaquants pour exécuter des scripts malveillants. Un bon exemple est le groupe Cobalt. Si nous extrayons les données du fichier Prefetch cmstp.exe, nous pouvons alors à nouveau découvrir ce qui a été lancé exactement :
Une autre technique populaire est Regsvr32 (T1117). Regsvr32.exe est également souvent utilisé par les attaquants pour lancer. Voici un autre exemple du groupe Cobalt : si on extrait des données d'un fichier Prefetch regsvr32.exe, là encore nous verrons ce qui a été lancé :
Les tactiques suivantes sont la persistance (TA0003) et l'escalade de privilèges (TA0004), avec Application Shimming (T1138) comme technique. Cette technique a été utilisée par Carbanak/FIN7 pour ancrer le système. Généralement utilisé pour travailler avec des bases de données de compatibilité de programmes (.sdb) sdbinst.exe. Par conséquent, le fichier Prefetch de cet exécutable peut nous aider à connaître les noms de ces bases de données et leurs emplacements :
Comme vous pouvez le voir sur l'illustration, nous avons non seulement le nom du fichier utilisé pour l'installation, mais également le nom de la base de données installée.
Jetons un coup d'œil à l'un des exemples les plus courants de propagation réseau (TA0008), PsExec, utilisant des partages administratifs (T1077). Service nommé PSEXECSVC (bien entendu, tout autre nom peut être utilisé si les attaquants utilisaient le paramètre -r) sera créé sur le système cible, donc si nous extrayons les données du fichier Prefetch, nous verrons ce qui a été lancé :
Je vais probablement terminer là où j'ai commencé : supprimer des fichiers (T1107). Comme je l'ai déjà noté, de nombreux attaquants utilisent SDelete pour supprimer définitivement des fichiers à différentes étapes du cycle de vie de l'attaque. Si nous regardons les données du fichier Prefetch sdelete.exe, nous verrons ensuite ce qui a été supprimé exactement :
Bien entendu, il ne s'agit pas d'une liste exhaustive des techniques qui peuvent être découvertes lors de l'analyse des fichiers Prefetch, mais cela devrait suffire pour comprendre que de tels fichiers peuvent aider non seulement à trouver des traces du lancement, mais également à reconstruire les tactiques et techniques spécifiques des attaquants. .
Source: habr.com