Os ficheiros de rastrexo ou Prefetch existen en Windows desde XP. Desde entón, axudaron a forenses dixitais e especialistas en resposta a incidentes informáticos a atopar rastros de software, incluído malware. Especialista líder en informática forense Grupo-IB Oleg Skulkin di o que podes atopar usando ficheiros Prefetch e como facelo.
Os ficheiros de captura previa almacénanse no directorio %SystemRoot%Prefetch e serven para axilizar o proceso de posta en marcha de programas. Se observamos algún destes ficheiros, veremos que o seu nome consta de dúas partes: o nome do ficheiro executable e unha suma de verificación de oito caracteres desde o camiño ata o mesmo.
Os ficheiros de captación previa conteñen moita información útil dende o punto de vista forense: o nome do ficheiro executable, o número de veces que se executou, listas de ficheiros e directorios cos que interactuou o ficheiro executable e, por suposto, marcas de tempo. Normalmente, os científicos forenses usan a data de creación dun ficheiro Prefetch en particular para determinar a data de inicio do programa. Ademais, estes ficheiros almacenan a data do seu último lanzamento e, a partir da versión 26 (Windows 8.1), as marcas de tempo das sete execucións máis recentes.
Tomemos un dos ficheiros Prefetch, extraemos datos del usando o PECmd de Eric Zimmerman e vexamos cada parte del. Para demostralo, extraerei datos dun ficheiro CCLEANER64.EXE-DE05DBE1.pf.
Entón, imos comezar dende arriba. Por suposto, temos marcas de tempo de creación, modificación e acceso de ficheiros:
Van seguidos do nome do ficheiro executable, a suma de verificación da ruta ao mesmo, o tamaño do ficheiro executable e a versión do ficheiro Prefetch:
Xa que estamos a tratar con Windows 10, a continuación veremos o número de inicios, a data e hora do último inicio e sete marcas de tempo máis que indican datas de lanzamento anteriores:
A continuación aparece información sobre o volume, incluído o seu número de serie e a data de creación:
Por último, pero non menos importante, é unha lista de directorios e ficheiros cos que o executable interactuou:
Polo tanto, os directorios e ficheiros cos que interactuou o executable son exactamente nos que quero centrarme hoxe. Son estes datos os que permiten aos especialistas en forense dixital, resposta a incidentes informáticos ou caza proactiva de ameazas establecer non só o feito da execución dun determinado ficheiro, senón tamén, nalgúns casos, reconstruír tácticas e técnicas específicas dos atacantes. Hoxe, os atacantes adoitan usar ferramentas para eliminar datos de forma permanente, por exemplo, SDelete, polo que a capacidade de restaurar polo menos rastros do uso de determinadas tácticas e técnicas é simplemente necesaria para calquera defensor moderno: especialista en informática forense, especialista en resposta a incidentes, ThreatHunter. experto.
Comecemos coa táctica de acceso inicial (TA0001) e a técnica máis popular, o Anexo de Spearphishing (T1193). Algúns grupos cibercriminais son bastante creativos na elección dos investimentos. Por exemplo, o grupo Silence utilizou ficheiros no formato CHM (Axuda HTML compilada de Microsoft) para iso. Así, temos ante nós outra técnica - Ficheiro HTML compilado (T1223). Estes ficheiros lánzanse usando hh.exe, polo tanto, se extraemos datos do seu ficheiro Prefetch, descubriremos que ficheiro abriu a vítima:
Sigamos traballando con exemplos de casos reais e pasemos á seguinte táctica de execución (TA0002) e técnica CSMTP (T1191). Os atacantes poden usar o instalador de perfiles de Microsoft Connection Manager (CMSTP.exe) para executar scripts maliciosos. Un bo exemplo é o grupo Cobalt. Se extraemos datos do ficheiro Prefetch cmstp.exe, entón podemos descubrir de novo o que se lanzou exactamente:
Outra técnica popular é Regsvr32 (T1117). Regsvr32.exe tamén adoita usar os atacantes para lanzar. Aquí tes outro exemplo do grupo Cobalt: se extraemos datos dun ficheiro Prefetch regsvr32.exe, entón de novo veremos o que se lanzou:
As seguintes tácticas son Persistence (TA0003) e Privilege Escalation (TA0004), con Application Shimming (T1138) como técnica. Esta técnica foi utilizada por Carbanak/FIN7 para ancorar o sistema. Normalmente úsase para traballar con bases de datos de compatibilidade de programas (.sdb) sdbinst.exe. Polo tanto, o ficheiro Prefetch deste executable pode axudarnos a descubrir os nomes destas bases de datos e as súas localizacións:
Como podes ver na ilustración, temos non só o nome do ficheiro utilizado para a instalación, senón tamén o nome da base de datos instalada.
Vexamos un dos exemplos máis comúns de propagación de rede (TA0008), PsExec, utilizando recursos compartidos administrativos (T1077). Servizo chamado PSEXECSVC (por suposto, pódese usar calquera outro nome se os atacantes usaron o parámetro -r) crearase no sistema de destino, polo tanto, se extraemos os datos do ficheiro Prefetch, veremos o que se lanzou:
Probablemente acabarei onde comecei: eliminando ficheiros (T1107). Como xa observei, moitos atacantes usan SDelete para eliminar permanentemente ficheiros en varias etapas do ciclo de vida do ataque. Se observamos os datos do ficheiro Prefetch sdelete.exe, entón veremos o que se eliminou exactamente:
Por suposto, esta non é unha lista exhaustiva de técnicas que se poden descubrir durante a análise dos ficheiros Prefetch, pero isto debería ser suficiente para entender que tales ficheiros poden axudar non só a atopar rastros do lanzamento, senón tamén a reconstruír tácticas e técnicas específicas dos atacantes. .
Fonte: www.habr.com