A nyomkövetési fájlok vagy Prefetch fájlok az XP óta léteznek a Windows rendszerben. Azóta segítettek a digitális kriminalisztika és a számítógépes incidensek kezelésére szakosodott szakembereknek szoftverek, köztük rosszindulatú programok nyomait megtalálni. A számítógépes kriminalisztika vezető szakértője, Group-IB Oleg Skulkin megmondja, hogy mit találhat az Előzetes letöltéssel, és hogyan kell ezt megtenni.
Az előzetes letöltési fájlok a könyvtárban vannak tárolva %SystemRoot%Prefetch és a programok indítási folyamatának felgyorsítását szolgálják. Ha megnézzük bármelyik fájlt, látni fogjuk, hogy a neve két részből áll: a végrehajtható fájl nevéből és egy nyolc karakterből álló ellenőrző összegből az elérési útból.
Az előzetes letöltési fájlok rengeteg igazságügyi szempontból hasznos információt tartalmaznak: a végrehajtható fájl nevét, végrehajtásának számát, azon fájlok és könyvtárak listáját, amelyekkel a végrehajtható fájl interakcióba került, és természetesen időbélyegeket. A törvényszéki szakértők általában egy adott Prefetch fájl létrehozási dátumát használják a program első elindításának dátumának meghatározására. Ezenkívül ezek a fájlok tárolják az utolsó indítás dátumát, és a 26-os verziótól (Windows 8.1) kezdődően - a hét legutóbbi futtatás időbélyegét.
Vegyük az egyik Prefetch fájlt, kinyerjük ki az adatokat Eric Zimmerman PECmd segítségével, és nézzük meg az egyes részeket. A demonstrációhoz kivonok adatokat egy fájlból CCLEANER64.EXE-DE05DBE1.pf.
Kezdjük tehát felülről. Természetesen vannak fájl létrehozási, módosítási és hozzáférési időbélyegeink:
Ezeket követi a végrehajtható fájl neve, az elérési út ellenőrző összege, a végrehajtható fájl mérete és az előzetes letöltési fájl verziója:
Mivel Windows 10-zel van dolgunk, a következőkben látni fogjuk az indítások számát, az utolsó indítás dátumát és időpontját, valamint további hét időbélyeget, amelyek jelzik a korábbi indítási dátumokat:
Ezeket követik a kötetre vonatkozó információk, beleértve a sorozatszámot és a létrehozás dátumát:
Végül, de nem utolsósorban azoknak a könyvtáraknak és fájloknak a listája, amelyekkel a végrehajtható kölcsönhatásba lép:
Tehát azokra a könyvtárakra és fájlokra, amelyekkel a végrehajtható fájl interakcióba került, pontosan azokra szeretnék ma összpontosítani. Ezek az adatok teszik lehetővé a digitális kriminalisztika, a számítógépes incidensekre való reagálás vagy a proaktív fenyegetésvadászat szakértői számára, hogy ne csak egy adott fájl végrehajtásának tényét állapítsák meg, hanem bizonyos esetekben a támadók konkrét taktikáit és technikáit is rekonstruálják. Manapság a támadók gyakran használnak eszközöket az adatok végleges törlésére, például az SDelete-t, így bizonyos taktikák és technikák használatának legalább nyomait vissza kell állítani minden modern védő számára - számítógépes kriminalisztikai szakértő, incidensreagáló szakember, ThreatHunter szakértő.
Kezdjük az Initial Access taktikával (TA0001) és a legnépszerűbb technikával, a Spearphishing Attachment-el (T1193). Egyes kiberbűnözői csoportok meglehetősen kreatívak a befektetések megválasztásában. Például a Csend csoport CHM (Microsoft Compiled HTML Help) formátumú fájlokat használt ehhez. Így egy másik technika áll előttünk - a Compiled HTML File (T1223). Az ilyen fájlok a segítségével indulnak el hh.exe, ezért ha adatokat kinyerünk a Prefetch fájlból, megtudjuk, melyik fájlt nyitotta meg az áldozat:
Folytassuk a munkát valós esetekből származó példákkal, és folytassuk a következő végrehajtási taktikát (TA0002) és a CSMTP technikát (T1191). A Microsoft Connection Manager Profile Installer (CMSTP.exe) segítségével a támadók rosszindulatú parancsfájlokat futtathatnak. Jó példa erre a Cobalt csoport. Ha a Prefetch fájlból kinyerjük az adatokat cmstp.exe, akkor ismét megtudhatjuk, hogy mi is indult el pontosan:
Egy másik népszerű technika a Regsvr32 (T1117). Regsvr32.exe a támadók is gyakran használják indításhoz. Íme egy másik példa a Cobalt csoportból: ha adatokat nyerünk ki egy Prefetch fájlból regsvr32.exe, akkor ismét meglátjuk, mi indult el:
A következő taktika a Persistence (TA0003) és a Privilege Escalation (TA0004), az Application Shimming (T1138) technikával. Ezt a technikát a Carbanak/FIN7 használta a rendszer rögzítésére. Általában programkompatibilitási adatbázisokkal (.sdb) való munkához használják sdbinst.exe. Ezért a végrehajtható fájl Prefetch fájlja segíthet megtudni az ilyen adatbázisok nevét és helyét:
Ahogy az ábrán is látható, nem csak a telepítéshez használt fájl neve van, hanem a telepített adatbázis neve is.
Vessünk egy pillantást a hálózati terjesztés egyik legáltalánosabb példájára (TA0008), a PsExec-re, adminisztrációs megosztásokkal (T1077). PSEXECSVC nevű szolgáltatás (természetesen bármilyen más név is használható, ha a támadók használták a paramétert -r) jön létre a célrendszeren, ezért ha kivonjuk az adatokat a Prefetch fájlból, akkor látni fogjuk, hogy mi indult el:
Valószínűleg ott fogom befejezni, ahol elkezdtem – a fájlok törlésével (T1107). Ahogy már megjegyeztem, sok támadó az SDelete funkciót használja a fájlok végleges törlésére a támadás életciklusának különböző szakaszaiban. Ha a Prefetch fájl adatait nézzük sdelete.exe, akkor meglátjuk, hogy pontosan mit töröltek:
Természetesen ez nem egy kimerítő lista a Prefetch fájlok elemzése során felfedezhető technikákról, de ez elegendő ahhoz, hogy megértsük, az ilyen fájlok nemcsak az indítás nyomainak megtalálásában segíthetnek, hanem konkrét támadói taktikák és technikák rekonstruálásában is. .
Forrás: will.com