Fichye tras, oswa dosye Prefetch, yo te alantou nan Windows depi XP. Depi lè sa a, yo te ede dijital legal ak espesyalis repons ensidan òdinatè jwenn tras nan lojisyèl, ki gen ladan malveyan. Dirijan espesyalis nan enfòmatik forensics Group-IB Oleg Skulkin di ou sa ou ka jwenn lè l sèvi avèk dosye Prefetch ak ki jan fè li.
Fichye Prefetch yo estoke nan anyè a %SystemRoot%Prefetch epi sèvi akselere pwosesis lanse pwogram yo. Si nou gade nan nenpòt nan fichye sa yo, nou pral wè ke non li konsiste de de pati: non an nan dosye a ègzèkutabl ak yon checksum uit karaktè soti nan chemen an.
Fichye Prefetch yo genyen anpil enfòmasyon ki itil nan yon pwendvi legal: non dosye ègzekutabl la, kantite fwa li te egzekite, lis fichye ak repèrtwar ak ki dosye ègzèkutabl la te kominike, epi, nan kou, timestamps. Tipikman, syantis legal yo itilize dat kreyasyon yon fichye Prefetch patikilye pou detèmine dat pwogram nan te premye lanse. Anplis de sa, fichye sa yo estoke dat dènye lansman li yo, epi kòmanse nan vèsyon 26 (Windows 8.1) - timestamps yo nan sèt kouri ki pi resan yo.
Ann pran youn nan fichye Prefetch yo, ekstrè done nan li lè l sèvi avèk PECmd Eric Zimmerman a epi gade chak pati nan li. Pou demontre, mwen pral ekstrè done ki sòti nan yon dosye CCLEANER64.EXE-DE05DBE1.pf.
Se konsa, ann kòmanse soti nan tèt la. Natirèlman, nou gen kreyasyon fichye, modifikasyon, ak timestamps aksè:
Yo swiv non fichye ègzèkutabl la, sòm chèk chemen an, gwosè dosye ègzèkutabl la, ak vèsyon fichye Prefetch la:
Depi nou ap fè fas ak Windows 10, pwochen nou pral wè kantite kòmanse, dat ak lè dènye kòmansman an, ak sèt lòt timestamps ki endike dat lansman anvan yo:
Sa yo swiv pa enfòmasyon sou volim nan, ki gen ladan nimewo seri li yo ak dat kreyasyon an:
Denye men pa pi piti se yon lis anyè ak dosye ke ègzèkutabl la te kominike avèk yo:
Se konsa, anyè ak dosye ke ègzèkutabl la kominike avèk yo se egzakteman sa mwen vle konsantre sou jodi a. Li se done sa yo ki pèmèt espesyalis nan forensics dijital, repons ensidan òdinatè, oswa lachas menas aktif etabli non sèlman reyalite a nan ekzekisyon yon dosye patikilye, men tou, nan kèk ka, rekonstwi taktik espesifik ak teknik nan atakè. Jodi a, atakè yo byen souvan itilize zouti pou efase done pou tout tan, pou egzanp, SDelete, kidonk kapasite nan retabli omwen tras nan itilizasyon sèten taktik ak teknik se tou senpleman nesesè pou nenpòt defandè modèn - espesyalis forensics òdinatè, espesyalis repons ensidan, ThreatHunter. ekspè.
Ann kòmanse ak taktik Aksè Inisyal la (TA0001) ak teknik ki pi popilè a, Spearphishing Attachment (T1193). Gen kèk gwoup cyberkriminèl yo byen kreyatif nan chwa yo nan envestisman. Pou egzanp, gwoup Silence a te itilize dosye nan fòma CHM (Microsoft Compiled HTML Help) pou sa. Kidonk, nou gen devan nou yon lòt teknik - Konpile HTML File (T1223). Fichye sa yo lanse lè l sèvi avèk hh.exe, Se poutèt sa, si nou ekstrè done nan dosye Prefetch li a, nou pral chèche konnen ki dosye viktim nan te louvri:
Ann kontinye travay ak egzanp nan ka reyèl epi ale nan pwochen taktik Egzekisyon (TA0002) ak teknik CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) ka itilize pa atakè pou kouri move scripts. Yon bon egzanp se gwoup Cobalt la. Si nou ekstrè done ki soti nan fichye Prefetch la cmstp.exe, Lè sa a, nou ka ankò chèche konnen ki sa egzakteman te lanse:
Yon lòt teknik popilè se Regsvr32 (T1117). Regsvr32.exe se tou souvan itilize pa atakè yo lanse. Men yon lòt egzanp nan gwoup Cobalt la: si nou ekstrè done ki sòti nan yon dosye Prefetch regsvr32.exe, Lè sa a, ankò nou pral wè sa ki te lanse:
Taktik kap vini yo se Persistence (TA0003) ak Privilèj Eskalad (TA0004), ak Application Shimming (T1138) kòm yon teknik. Teknik sa a te itilize pa Carbanak/FIN7 pou anchor sistèm nan. Tipikman yo itilize pou travay avèk baz done konpatibilite pwogram (.sdb) sdbinst.exe. Se poutèt sa, dosye Prefetch nan ègzèkutabl sa a ka ede nou jwenn non baz done sa yo ak kote yo:
Kòm ou ka wè nan ilistrasyon an, nou gen non sèlman non dosye a itilize pou enstalasyon, men tou non baz done enstale a.
Ann pran yon gade nan youn nan egzanp ki pi komen nan pwopagasyon rezo (TA0008), PsExec, lè l sèvi avèk pataje administratif (T1077). Sèvis yo te rele PSEXECSVC (nan kou, nenpòt lòt non ka itilize si atakè yo te itilize paramèt la -r) yo pral kreye sou sistèm sib la, Se poutèt sa, si nou ekstrè done yo nan dosye Prefetch la, nou pral wè sa ki te lanse:
Mwen pral pwobableman fini kote mwen te kòmanse - efase fichye (T1107). Kòm mwen te deja remake, anpil atakè itilize SDelete pou efase fichye yo nèt ale nan plizyè etap nan sik lavi atak la. Si nou gade done ki soti nan fichye Prefetch la sdelete.exe, Lè sa a, nou pral wè ki sa egzakteman yo te efase:
Natirèlman, sa a se pa yon lis konplè teknik ki ka dekouvri pandan analiz la nan dosye Prefetch, men sa a ta dwe ase yo konprann ke dosye sa yo ka ede non sèlman jwenn tras nan lansman an, men tou rekonstwi taktik atakè espesifik ak teknik. .
Sous: www.habr.com