Datoteke praćenja ili Prefetch datoteke postoje u sustavu Windows od XP-a. Od tada su pomogli digitalnoj forenzici i stručnjacima za odgovor na računalne incidente da pronađu tragove softvera, uključujući zlonamjerni softver. Vodeći stručnjak za računalnu forenziku Group-IB Oleg Skulkin govori vam što možete pronaći koristeći Prefetch datoteke i kako to učiniti.
Datoteke prethodnog dohvaćanja pohranjuju se u direktorij %SystemRoot%Prefetch a služe za ubrzavanje procesa pokretanja programa. Ako pogledamo bilo koju od ovih datoteka, vidjet ćemo da se njen naziv sastoji od dva dijela: imena izvršne datoteke i kontrolne sume od osam znakova iz putanje do nje.
Datoteke za prethodno dohvaćanje sadrže mnogo informacija korisnih s forenzičke točke gledišta: naziv izvršne datoteke, koliko je puta izvršena, popise datoteka i direktorija s kojima je izvršna datoteka bila u interakciji i, naravno, vremenske oznake. Forenzičari obično koriste datum stvaranja određene Prefetch datoteke kako bi odredili datum kada je program prvi put pokrenut. Osim toga, te datoteke pohranjuju datum posljednjeg pokretanja, a počevši od verzije 26 (Windows 8.1) - vremenske oznake sedam najnovijih pokretanja.
Uzmimo jednu od Prefetch datoteka, izdvojimo podatke iz nje koristeći PECmd Erica Zimmermana i pogledajmo svaki njen dio. Za demonstraciju, izdvojit ću podatke iz datoteke CCLEANER64.EXE-DE05DBE1.pf.
Pa krenimo od vrha. Naravno, imamo vremenske oznake za stvaranje, modificiranje i pristup datotekama:
Nakon njih slijedi naziv izvršne datoteke, kontrolni zbroj puta do nje, veličina izvršne datoteke i verzija datoteke Prefetch:
Budući da imamo posla sa sustavom Windows 10, sljedeće ćemo vidjeti broj pokretanja, datum i vrijeme posljednjeg pokretanja te još sedam vremenskih oznaka koje označavaju prethodne datume pokretanja:
Nakon njih slijede podaci o svesku, uključujući njegov serijski broj i datum stvaranja:
Posljednje, ali ne manje važno, je popis direktorija i datoteka s kojima je izvršna datoteka bila u interakciji:
Dakle, direktoriji i datoteke s kojima je izvršna datoteka bila u interakciji upravo su ono na što se danas želim usredotočiti. Upravo ti podaci omogućuju stručnjacima za digitalnu forenziku, odgovor na računalne incidente ili proaktivni lov na prijetnje da utvrde ne samo činjenicu izvršenja određene datoteke, već i, u nekim slučajevima, da rekonstruiraju specifične taktike i tehnike napadača. Danas napadači vrlo često koriste alate za trajno brisanje podataka, na primjer, SDelete, tako da je mogućnost vraćanja barem tragova korištenja određenih taktika i tehnika jednostavno neophodna za svakog modernog branitelja - stručnjaka za računalnu forenziku, stručnjaka za odgovor na incidente, ThreatHuntera stručnjak.
Počnimo s taktikom početnog pristupa (TA0001) i najpopularnijom tehnikom, Spearphishing Attachment (T1193). Neke skupine kibernetičkog kriminala prilično su kreativne u odabiru ulaganja. Na primjer, grupa Silence za to je koristila datoteke u formatu CHM (Microsoft Compiled HTML Help). Dakle, pred nama je još jedna tehnika - kompilirana HTML datoteka (T1223). Takve se datoteke pokreću pomoću hh.exe, dakle, ako izdvojimo podatke iz njegove Prefetch datoteke, saznat ćemo koju je datoteku otvorila žrtva:
Nastavimo raditi s primjerima iz stvarnih slučajeva i prijeđimo na sljedeću taktiku izvršenja (TA0002) i tehniku CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) napadači mogu koristiti za pokretanje zlonamjernih skripti. Dobar primjer je grupa Cobalt. Ako izdvojimo podatke iz datoteke Prefetch cmstp.exe, tada ponovno možemo saznati što je točno pokrenuto:
Druga popularna tehnika je Regsvr32 (T1117). Regsvr32.exe napadači također često koriste za pokretanje. Evo još jednog primjera iz Cobalt grupe: ako izvučemo podatke iz Prefetch datoteke regsvr32.exe, onda ćemo opet vidjeti što je pokrenuto:
Sljedeće taktike su ustrajnost (TA0003) i eskalacija privilegija (TA0004), s šimiranjem aplikacije (T1138) kao tehnikom. Ovu je tehniku koristio Carbanak/FIN7 za usidrenje sustava. Obično se koristi za rad s bazama podataka kompatibilnosti programa (.sdb) sdbinst.exe. Stoga nam datoteka Prefetch ove izvršne datoteke može pomoći da saznamo nazive takvih baza podataka i njihove lokacije:
Kao što možete vidjeti na ilustraciji, nemamo samo naziv datoteke koja se koristi za instalaciju, već i naziv instalirane baze podataka.
Pogledajmo jedan od najčešćih primjera mrežnog širenja (TA0008), PsExec, korištenjem administrativnih dijeljenja (T1077). Usluga pod nazivom PSEXECSVC (naravno, može se koristiti bilo koji drugi naziv ako su napadači koristili parametar -r) će se kreirati na ciljnom sustavu, stoga, ako izdvojimo podatke iz Prefetch datoteke, vidjet ćemo što je pokrenuto:
Vjerojatno ću završiti gdje sam počeo - brisanje datoteka (T1107). Kao što sam već primijetio, mnogi napadači koriste SDelete za trajno brisanje datoteka u različitim fazama životnog ciklusa napada. Ako pogledamo podatke iz datoteke Prefetch sdelete.exe, onda ćemo vidjeti što je točno izbrisano:
Naravno, ovo nije iscrpan popis tehnika koje se mogu otkriti tijekom analize Prefetch datoteka, ali ovo bi trebalo biti dovoljno da shvatimo da takve datoteke mogu pomoći ne samo u pronalaženju tragova lansiranja, već i rekonstruirati specifične taktike i tehnike napadača .
Izvor: www.habr.com