File jejak, atau file Prefetch, telah ada di Windows sejak XP. Sejak itu, mereka telah membantu spesialis forensik digital dan respons insiden komputer menemukan jejak perangkat lunak, termasuk malware. Spesialis terkemuka di bidang forensik komputer Group-IB Oleg Skulkin memberi tahu Anda apa yang dapat Anda temukan menggunakan file Prefetch dan cara melakukannya.
File prefetch disimpan dalam direktori %SystemRoot%Prefetch dan berfungsi untuk mempercepat proses peluncuran program. Jika kita melihat salah satu file ini, kita akan melihat bahwa namanya terdiri dari dua bagian: nama file yang dapat dieksekusi dan checksum delapan karakter dari jalur ke file tersebut.
File prefetch berisi banyak informasi berguna dari sudut pandang forensik: nama file yang dapat dieksekusi, berapa kali dieksekusi, daftar file dan direktori yang berinteraksi dengan file yang dapat dieksekusi, dan, tentu saja, stempel waktu. Biasanya, ilmuwan forensik menggunakan tanggal pembuatan file Prefetch tertentu untuk menentukan tanggal peluncuran program pertama kali. Selain itu, file-file ini menyimpan tanggal peluncuran terakhirnya, dan mulai dari versi 26 (Windows 8.1) - stempel waktu dari tujuh proses terbaru.
Mari kita ambil salah satu file Prefetch, ekstrak datanya menggunakan PECmd Eric Zimmerman dan lihat setiap bagiannya. Untuk mendemonstrasikannya, saya akan mengekstrak data dari sebuah file CCLEANER64.EXE-DE05DBE1.pf.
Jadi mari kita mulai dari atas. Tentu saja, kami memiliki stempel waktu pembuatan, modifikasi, dan akses file:
Diikuti dengan nama file yang dapat dieksekusi, checksum jalur ke file tersebut, ukuran file yang dapat dieksekusi, dan versi file Prefetch:
Karena kita berurusan dengan Windows 10, selanjutnya kita akan melihat jumlah permulaan, tanggal dan waktu permulaan terakhir, dan tujuh cap waktu lagi yang menunjukkan tanggal peluncuran sebelumnya:
Ini diikuti dengan informasi tentang volume, termasuk nomor seri dan tanggal pembuatannya:
Yang terakhir namun tidak kalah pentingnya adalah daftar direktori dan file yang berinteraksi dengan executable:
Jadi, direktori dan file yang berinteraksi dengan executable adalah hal yang ingin saya fokuskan hari ini. Data inilah yang memungkinkan spesialis dalam forensik digital, respons insiden komputer, atau perburuan ancaman proaktif untuk menetapkan tidak hanya fakta eksekusi file tertentu, tetapi juga, dalam beberapa kasus, untuk merekonstruksi taktik dan teknik spesifik penyerang. Saat ini, penyerang cukup sering menggunakan alat untuk menghapus data secara permanen, misalnya SDelete, sehingga kemampuan untuk memulihkan setidaknya jejak penggunaan taktik dan teknik tertentu hanya diperlukan untuk setiap pembela modern - spesialis forensik komputer, spesialis respons insiden, ThreatHunter pakar.
Mari kita mulai dengan taktik Akses Awal (TA0001) dan teknik paling populer, Spearphishing Attachment (T1193). Beberapa kelompok penjahat dunia maya cukup kreatif dalam memilih investasi. Misalnya, grup Silence menggunakan file dalam format CHM (Microsoft Compiled HTML Help) untuk ini. Jadi, kita memiliki teknik lain - File HTML Terkompilasi (T1223). File-file tersebut diluncurkan menggunakan hh.exeOleh karena itu, jika kita mengekstrak data dari file Prefetch-nya, kita akan mengetahui file mana yang dibuka oleh korban:
Mari lanjutkan bekerja dengan contoh dari kasus nyata dan beralih ke taktik Eksekusi berikutnya (TA0002) dan teknik CSMTP (T1191). Penginstal Profil Microsoft Connection Manager (CMSTP.exe) dapat digunakan oleh penyerang untuk menjalankan skrip berbahaya. Contoh yang bagus adalah kelompok Cobalt. Jika kita mengekstrak data dari file Prefetch cmstp.exe, maka kita dapat mengetahui kembali apa sebenarnya yang diluncurkan:
Teknik populer lainnya adalah Regsvr32 (T1117). Regsvr32.exe juga sering digunakan oleh penyerang untuk meluncurkan. Berikut contoh lain dari grup Cobalt: jika kita mengekstrak data dari file Prefetch regsvr32.exe, sekali lagi kita akan melihat apa yang diluncurkan:
Taktik selanjutnya adalah Persistence (TA0003) dan Privilege Escalation (TA0004), dengan Application Shimming (T1138) sebagai tekniknya. Teknik ini digunakan oleh Carbanak/FIN7 untuk menjangkar sistem. Biasanya digunakan untuk bekerja dengan database kompatibilitas program (.sdb) sdbinst.exe. Oleh karena itu, file Prefetch dari executable ini dapat membantu kita mengetahui nama database tersebut dan lokasinya:
Seperti yang Anda lihat dalam ilustrasi, kami tidak hanya memiliki nama file yang digunakan untuk instalasi, tetapi juga nama database yang diinstal.
Mari kita lihat salah satu contoh propagasi jaringan yang paling umum (TA0008), PsExec, menggunakan pembagian administratif (T1077). Layanan bernama PSEXECSVC (tentu saja, nama lain apa pun dapat digunakan jika penyerang menggunakan parameter tersebut -r) akan dibuat pada sistem target, oleh karena itu, jika kita mengekstrak data dari file Prefetch, kita akan melihat apa yang diluncurkan:
Saya mungkin akan mengakhiri di mana saya memulai β menghapus file (T1107). Seperti yang telah saya catat, banyak penyerang menggunakan SDelete untuk menghapus file secara permanen di berbagai tahap siklus hidup serangan. Jika kita melihat data dari file Prefetch hapus.exe, lalu kita akan melihat apa sebenarnya yang dihapus:
Tentu saja, ini bukan daftar lengkap teknik yang dapat ditemukan selama analisis file Prefetch, namun ini sudah cukup untuk memahami bahwa file tersebut dapat membantu tidak hanya menemukan jejak peluncuran, tetapi juga merekonstruksi taktik dan teknik penyerang tertentu. .
Sumber: www.habr.com