Trace-bestannen, of Prefetch-bestannen, binne sûnt XP yn Windows rûn. Sûnt dy tiid, se hawwe holpen digitale forensics en kompjûter ynsidint antwurd spesjalisten fine spoaren fan software, ynklusyf malware. Leading spesjalist yn kompjûter forensics Group-IB Oleg Skulkin fertelt jo wat jo kinne fine mei Prefetch-bestannen en hoe't jo it dwaan.
Prefetch-bestannen wurde opslein yn 'e map %SystemRoot%Prefetch en tsjinje om it proses fan it starten fan programma's te fersnellen. As wy nei ien fan dizze bestannen sjogge, sille wy sjen dat de namme bestiet út twa dielen: de namme fan it útfierbere bestân en in kontrôlesum fan acht tekens fan it paad dernei.
Prefetch-bestannen befetsje in protte ynformaasje dy't nuttich is út in forensysk eachpunt: de namme fan it útfierbere bestân, it oantal kearen dat it is útfierd, listen mei bestannen en mappen wêrmei't it útfierbere bestân ynteraksje hat, en, fansels, tiidstempels. Typysk brûke forensyske wittenskippers de oanmaakdatum fan in bepaald Prefetch-bestân om de datum te bepalen dat it programma foar it earst waard lansearre. Derneist bewarje dizze bestannen de datum fan har lêste lansearring, en begjinnend fan ferzje 26 (Windows 8.1) - de tiidstempels fan 'e sân meast resinte runs.
Litte wy ien fan 'e Prefetch-bestannen nimme, gegevens derút ekstrahearje mei Eric Zimmerman's PECmd en besjoch elk diel dêrfan. Om te demonstrearjen sil ik gegevens út in bestân ekstrahearje CCLEANER64.EXE-DE05DBE1.pf.
Lit ús dus fan boppen begjinne. Fansels hawwe wy bestânskepping, wiziging en tagongstiidstempels:
Se wurde folge troch de namme fan it útfierbere bestân, de kontrôlesum fan it paad dernei, de grutte fan it útfierbere bestân, en de ferzje fan it Prefetch-bestân:
Sûnt wy te krijen hawwe mei Windows 10, sille wy folgjende it oantal starts sjen, de datum en tiid fan 'e lêste start, en noch sân tiidstempels dy't eardere startdatums oanjaan:
Dizze wurde folge troch ynformaasje oer it folume, ynklusyf it serialnûmer en skeppingsdatum:
Last but not least is in list mei mappen en bestannen wêrmei it útfierbere ynteraksje mei:
Dat, de mappen en bestannen wêrmei't it útfierbere ynteraksje mei is krekt wêr't ik hjoed op rjochtsje wol. It is dizze gegevens dy't spesjalisten yn digitale forensika, reaksje op komputerynsidinten, as proaktive bedrigingsjacht kinne net allinich it feit fan útfiering fan in bepaald bestân fêststelle, mar ek, yn guon gefallen, spesifike taktyk en techniken fan oanfallers rekonstruearje. Tsjintwurdich brûke oanfallers faak ark om gegevens permanint te wiskjen, bygelyks SDelete, sadat de mooglikheid om op syn minst spoaren fan it brûken fan bepaalde taktyk en techniken te herstellen gewoan needsaaklik is foar elke moderne ferdigener - spesjalist foar kompjûterforensika, spesjalist foar ynsidintrespons, ThreatHunter saakkundige.
Litte wy begjinne mei de Initial Access taktyk (TA0001) en de populêrste technyk, Spearphishing Attachment (T1193). Guon cyberkriminele groepen binne frij kreatyf yn har kar fan ynvestearrings. Bygelyks, de Silence-groep brûkte bestannen yn it CHM-formaat (Microsoft Compiled HTML Help) foar dit. Sa hawwe wy foar ús in oare technyk - kompilearre HTML-bestân (T1223). Sokke bestannen wurde lansearre mei hh.exe, dêrom, as wy gegevens út har Prefetch-bestân ekstrahearje, sille wy útfine hokker bestân troch it slachtoffer iepene is:
Litte wy trochgean te wurkjen mei foarbylden út echte gefallen en gean troch nei de folgjende útfieringstaktyk (TA0002) en CSMTP-technyk (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) kin brûkt wurde troch oanfallers om kweade skripts út te fieren. In goed foarbyld is de Cobalt groep. As wy gegevens út it Prefetch-bestân ekstrahearje cmstp.exe, dan kinne wy wer útfine wat krekt lansearre is:
In oare populêre technyk is Regsvr32 (T1117). Regsvr32.exe wurdt ek faak brûkt troch oanfallers om te lansearjen. Hjir is in oar foarbyld fan 'e Cobalt-groep: as wy gegevens út in Prefetch-bestân ekstrahearje regsvr32.exe, dan sille wy wer sjen wat waard lansearre:
De folgjende taktyk binne Persistence (TA0003) en Privilege Escalation (TA0004), mei Application Shimming (T1138) as technyk. Dizze technyk waard brûkt troch Carbanak / FIN7 om it systeem te ankerjen. Typysk brûkt om te wurkjen mei programmakompatibiliteitsdatabases (.sdb) sdbinst.exe. Dêrom kin it Prefetch-bestân fan dit útfierbere bestannen ús helpe om de nammen fan sokke databases en har lokaasjes te finen:
Lykas jo yn 'e yllustraasje kinne sjen, hawwe wy net allinich de namme fan it bestân dat brûkt wurdt foar ynstallaasje, mar ek de namme fan' e ynstalleare databank.
Lit ús ris efkes yn ien fan de meast foarkommende foarbylden fan netwurk propagation (TA0008), PsExec, mei help fan bestjoerlike oandielen (T1077). Tsjinst mei de namme PSEXECSVC (fansels kin elke oare namme brûkt wurde as oanfallers de parameter brûkten -r) sil wurde makke op it doelsysteem, dus as wy de gegevens út 'e Prefetch-bestân ekstrahearje, sille wy sjen wat is lansearre:
Ik sil nei alle gedachten einigje wêr't ik begûn - wiskjen triemmen (T1107). Lykas ik al opmurken haw, brûke in protte oanfallers SDelete om bestannen permanint te wiskjen yn ferskate stadia fan 'e oanfalslibben. As wy sjogge nei de gegevens út de Prefetch triem sdelete.exe, dan sille wy sjen wat der krekt wiske is:
Fansels is dit net in útputtende list fan techniken dy't ûntdutsen wurde kinne tidens de analyze fan Prefetch-bestannen, mar dit soe genôch wêze moatte om te begripen dat sokke bestannen kinne helpe net allinich spoaren fan 'e lansearring te finen, mar ek spesifike oanfallertaktiken en techniken rekonstruearje kinne. .
Boarne: www.habr.com