I file di traccia, o file di prefetch, sono presenti in Windows a partire da XP. Da allora, hanno aiutato la scientifica digitale e gli specialisti di risposta agli incidenti informatici a trovare tracce di software, incluso malware. Specialista leader in informatica forense Group-IB Oleg Skulkin ti dice cosa puoi trovare usando i file Prefetch e come farlo.
I file di prelettura vengono archiviati nella directory %SystemRoot%Precarica e servono per accelerare il processo di avvio dei programmi. Se guardiamo uno di questi file, vedremo che il suo nome è composto da due parti: il nome del file eseguibile e un checksum di otto caratteri dal percorso ad esso.
I file di prefetch contengono molte informazioni utili da un punto di vista forense: il nome del file eseguibile, il numero di volte in cui è stato eseguito, elenchi di file e directory con cui il file eseguibile ha interagito e, ovviamente, timestamp. In genere, gli scienziati forensi utilizzano la data di creazione di un particolare file Prefetch per determinare la data in cui il programma è stato lanciato per la prima volta. Inoltre, questi file memorizzano la data dell'ultimo avvio e, a partire dalla versione 26 (Windows 8.1), i timestamp delle sette esecuzioni più recenti.
Prendiamo uno dei file Prefetch, estraiamo i dati da esso utilizzando PECmd di Eric Zimmerman e ne osserviamo ogni parte. Per dimostrare, estrarrò i dati da un file CCLEANER64.EXE-DE05DBE1.pf.
Quindi cominciamo dall'alto. Naturalmente, abbiamo i timestamp di creazione, modifica e accesso dei file:
Sono seguiti dal nome del file eseguibile, dal checksum del percorso, dalla dimensione del file eseguibile e dalla versione del file Prefetch:
Dato che abbiamo a che fare con Windows 10, vedremo successivamente il numero di avvii, la data e l'ora dell'ultimo avvio e altri sette timestamp che indicano le date di lancio precedenti:
Seguono le informazioni sul volume, incluso il numero di serie e la data di creazione:
Ultimo ma non meno importante è un elenco di directory e file con cui l'eseguibile ha interagito:
Quindi, le directory e i file con cui ha interagito l'eseguibile sono esattamente ciò su cui voglio concentrarmi oggi. Sono questi dati che consentono agli specialisti in informatica forense, risposta agli incidenti informatici o caccia proattiva alle minacce di stabilire non solo l'esecuzione di un determinato file, ma anche, in alcuni casi, di ricostruire tattiche e tecniche specifiche degli aggressori. Oggi, gli aggressori utilizzano molto spesso strumenti per eliminare definitivamente i dati, ad esempio SDelete, quindi la capacità di ripristinare almeno tracce dell'uso di determinate tattiche e tecniche è semplicemente necessaria per qualsiasi difensore moderno: specialista di informatica forense, specialista di risposta agli incidenti, ThreatHunter esperto.
Cominciamo con la tattica di accesso iniziale (TA0001) e la tecnica più popolare, l'attacco di spearphishing (T1193). Alcuni gruppi di criminali informatici sono piuttosto creativi nella scelta degli investimenti. Ad esempio, il gruppo Silence ha utilizzato a questo scopo file nel formato CHM (Microsoft Compiled HTML Help). Quindi, abbiamo davanti a noi un'altra tecnica: file HTML compilato (T1223). Tali file vengono avviati utilizzando hh.exe, quindi, se estraiamo dati dal suo file Prefetch, scopriremo quale file è stato aperto dalla vittima:
Continuiamo a lavorare con esempi tratti da casi reali e passiamo alla successiva tattica di esecuzione (TA0002) e alla tecnica CSMTP (T1191). Il programma di installazione del profilo di Microsoft Connection Manager (CMSTP.exe) può essere utilizzato dagli aggressori per eseguire script dannosi. Un buon esempio è il gruppo Cobalto. Se estraiamo i dati dal file Prefetch cmstp.exe, quindi potremo nuovamente scoprire cosa è stato lanciato esattamente:
Un'altra tecnica popolare è Regsvr32 (T1117). Regsvr32.exe viene spesso utilizzato anche dagli aggressori per il lancio. Ecco un altro esempio dal gruppo Cobalt: se estraiamo dati da un file Prefetch regsvr32.exe, poi di nuovo vedremo cosa è stato lanciato:
Le tattiche successive sono Persistence (TA0003) e Privilege Escalation (TA0004), con Application Shimming (T1138) come tecnica. Questa tecnica è stata utilizzata da Carbanak/FIN7 per ancorare il sistema. Tipicamente utilizzato per lavorare con i database di compatibilità dei programmi (.sdb) sdbinst.exe. Pertanto, il file Prefetch di questo eseguibile può aiutarci a scoprire i nomi di tali database e le loro posizioni:
Come puoi vedere nell'illustrazione, non abbiamo solo il nome del file utilizzato per l'installazione, ma anche il nome del database installato.
Diamo un'occhiata a uno degli esempi più comuni di propagazione di rete (TA0008), PsExec, utilizzando condivisioni amministrative (T1077). Servizio denominato PSEXECSVC (ovviamente è possibile utilizzare qualsiasi altro nome se gli aggressori utilizzano il parametro -r) verrà creato sul sistema di destinazione, quindi, se estraiamo i dati dal file Prefetch, vedremo cosa è stato lanciato:
Probabilmente finirò da dove ho iniziato: eliminando i file (T1107). Come ho già notato, molti aggressori utilizzano SDelete per eliminare definitivamente i file nelle varie fasi del ciclo di vita dell'attacco. Se guardiamo i dati dal file Prefetch sdelete.exe, poi vedremo cosa è stato eliminato esattamente:
Naturalmente, questo non è un elenco esaustivo delle tecniche che possono essere scoperte durante l'analisi dei file Prefetch, ma questo dovrebbe essere sufficiente per capire che tali file possono aiutare non solo a trovare tracce del lancio, ma anche a ricostruire tattiche e tecniche specifiche dell'attaccante. .
Fonte: habr.com