Trace skrár, eða Prefetch skrár, hafa verið til í Windows síðan XP. Síðan þá hafa þeir hjálpað sérfræðingum í stafrænum réttarrannsóknum og tölvuatvikum að finna ummerki um hugbúnað, þar á meðal spilliforrit. Leiðandi sérfræðingur í tölvuréttarfræði Group-IB Oleg Skulkin segir þér hvað þú getur fundið með því að nota Prefetch skrár og hvernig á að gera það.
Forsækja skrár eru geymdar í möppunni %SystemRoot%Prefetch og þjóna til að flýta fyrir því að hefja forrit. Ef við skoðum einhverjar af þessum skrám munum við sjá að nafn hennar samanstendur af tveimur hlutum: nafni keyrsluskráarinnar og átta stafa eftirlitsummu frá slóðinni að henni.
Prefetch skrár innihalda mikið af upplýsingum sem eru gagnlegar frá réttarfræðilegu sjónarhorni: heiti keyrsluskrár, fjölda skipta sem hún var keyrð, listar yfir skrár og möppur sem keyrsluskráin hafði samskipti við, og auðvitað tímastimplar. Venjulega nota réttarfræðingar stofnunardagsetningu tiltekinnar Prefetch skrá til að ákvarða dagsetninguna sem forritið var fyrst hleypt af stokkunum. Að auki geyma þessar skrár dagsetningu síðustu ræsingar og frá og með útgáfu 26 (Windows 8.1) - tímastimplar sjö síðustu keyrslunnar.
Við skulum taka eina af Prefetch skránum, draga gögn úr henni með PECmd frá Eric Zimmerman og skoða hvern hluta hennar. Til að sýna fram á, mun ég draga gögn úr skrá CCLEANER64.EXE-DE05DBE1.pf.
Svo skulum við byrja frá toppnum. Auðvitað höfum við skráagerð, breytingar og aðgangstímastimpla:
Þeim er fylgt eftir með nafni keyrsluskráarinnar, eftirlitsummu slóðarinnar að henni, stærð keyrsluskráarinnar og útgáfa Prefetch skráarinnar:
Þar sem við erum að fást við Windows 10, næst munum við sjá fjölda ræsinga, dagsetningu og tíma síðustu ræsingar og sjö tímastimplar til viðbótar sem gefa til kynna fyrri ræsingardagsetningar:
Þar á eftir koma upplýsingar um bindið, þar á meðal raðnúmer þess og stofnunardag:
Síðast en ekki síst er listi yfir möppur og skrár sem keyrslan hafði samskipti við:
Svo, möppurnar og skrárnar sem keyrsluefnið hafði samskipti við eru nákvæmlega það sem ég vil einbeita mér að í dag. Það eru þessi gögn sem gera sérfræðingum í stafrænum réttarrannsóknum, viðbrögðum við tölvuatvikum eða fyrirbyggjandi ógnarleit kleift að staðfesta ekki aðeins þá staðreynd að framkvæmt er tiltekinn skrá, heldur einnig, í sumum tilfellum, að endurbyggja sérstakar aðferðir og tækni árásarmanna. Í dag nota árásarmenn nokkuð oft verkfæri til að eyða gögnum varanlega, til dæmis SDelete, svo hæfileikinn til að endurheimta að minnsta kosti ummerki um notkun ákveðinna aðferða og tækni er einfaldlega nauðsynleg fyrir alla nútíma varnarmenn - tölvuréttarsérfræðingar, sérfræðingur í viðbrögðum við atvikum, ThreatHunter sérfræðingur.
Byrjum á Initial Access taktíkinni (TA0001) og vinsælustu tækninni, Spearphishing Attachment (T1193). Sumir netglæpahópar eru frekar skapandi í vali sínu á fjárfestingum. Til dæmis notaði Silence hópurinn skrár á CHM (Microsoft Compiled HTML Help) sniði fyrir þetta. Þannig höfum við aðra tækni fyrir okkur - Compiled HTML File (T1223). Slíkar skrár eru settar af stað með því að nota hh.exe, þess vegna, ef við tökum út gögn úr Prefetch skrá hennar, munum við komast að því hvaða skrá var opnuð af fórnarlambinu:
Höldum áfram að vinna með dæmi úr raunverulegum málum og förum yfir í næstu framkvæmdaraðferð (TA0002) og CSMTP tækni (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) er hægt að nota af árásarmönnum til að keyra illgjarn forskrift. Gott dæmi er Cobalt hópurinn. Ef við tökum út gögn úr Prefetch skránni cmstp.exe, þá getum við aftur fundið út hvað nákvæmlega var hleypt af stokkunum:
Önnur vinsæl tækni er Regsvr32 (T1117). Regsvr32.exe er líka oft notað af árásarmönnum til að ræsa. Hér er annað dæmi úr Cobalt hópnum: ef við tökum út gögn úr Prefetch skrá regsvr32.exe, þá munum við aftur sjá hvað var hleypt af stokkunum:
Næstu aðferðir eru Persistence (TA0003) og Privilege Escalation (TA0004), með Application Shimming (T1138) sem tækni. Þessi tækni var notuð af Carbanak/FIN7 til að festa kerfið. Venjulega notað til að vinna með forritasamhæfni gagnagrunna (.sdb) sdbinst.exe. Þess vegna getur Prefetch skrá þessarar executable hjálpað okkur að finna nöfn slíkra gagnagrunna og staðsetningu þeirra:
Eins og þú sérð á myndinni höfum við ekki aðeins nafnið á skránni sem er notað fyrir uppsetningu, heldur einnig nafnið á uppsettum gagnagrunni.
Við skulum skoða eitt algengasta dæmið um netútbreiðslu (TA0008), PsExec, með því að nota stjórnunarhluti (T1077). Þjónusta sem heitir PSEXECSVC (auðvitað er hægt að nota hvaða annað nafn sem er ef árásarmenn notuðu færibreytuna -r) verður búið til á markkerfinu, þess vegna, ef við tökum út gögnin úr Prefetch skránni, munum við sjá hvað var sett af stað:
Ég mun líklega enda þar sem ég byrjaði - eyða skrám (T1107). Eins og ég hef þegar tekið fram, nota margir árásarmenn SDelete til að eyða skrám varanlega á ýmsum stigum líftíma árásarinnar. Ef við skoðum gögnin úr Prefetch skránni sdelete.exe, þá munum við sjá hverju nákvæmlega var eytt:
Auðvitað er þetta ekki tæmandi listi yfir aðferðir sem hægt er að uppgötva við greiningu á Prefetch skrám, en þetta ætti að vera nóg til að skilja að slíkar skrár geta ekki aðeins hjálpað til við að finna ummerki um skotið, heldur einnig endurbyggja sérstakar árásaraðferðir og tækni. .
Heimild: www.habr.com