🥇אנו מחפשים טכניקות התקפה וטקטיקות באמצעות קבצי Prefetch

קובצי מעקב, או קבצי Prefetch, קיימים ב-Windows מאז XP. מאז, הם עזרו למומחי זיהוי פלילי דיגיטלי ותגובת אירועי מחשב למצוא עקבות של תוכנות, כולל תוכנות זדוניות. מומחה מוביל בזיהוי פלילי מחשבים Group-IB אולג סקולקין אומר לך מה אתה יכול למצוא באמצעות קבצי Prefetch וכיצד לעשות זאת.

קבצי אחזור מראש מאוחסנים בספרייה %SystemRoot%Prefetch ומשמשות להאצת תהליך השקת תוכניות. אם נסתכל על כל אחד מהקבצים הללו, נראה ששמו מורכב משני חלקים: שם קובץ ההפעלה ו-checksum בן שמונה תווים מהנתיב אליו.

קבצי Pretch מכילים מידע רב שימושי מבחינה משפטית: שם קובץ ההפעלה, מספר הפעמים שהוא בוצע, רשימות קבצים וספריות איתם קיים אינטראקציה עם קובץ ההפעלה, וכמובן חותמות זמן. בדרך כלל, מדעני זיהוי פלילי משתמשים בתאריך היצירה של קובץ Prefetch מסוים כדי לקבוע את התאריך שבו התוכנית הושקה לראשונה. בנוסף, קבצים אלו מאחסנים את תאריך ההשקה האחרונה שלו, והחל מגרסה 26 (חלונות 8.1) - חותמות הזמן של שבע הריצות האחרונות.

בואו ניקח את אחד מקבצי Prefetch, נחלץ ממנו נתונים באמצעות PECmd של אריק צימרמן ונסתכל על כל חלק שלו. כדי להדגים, אחלץ נתונים מקובץ CCLEANER64.EXE-DE05DBE1.pf.

אז בואו נתחיל מלמעלה. כמובן, יש לנו חותמות זמן ליצירה, שינוי וגישה של קבצים:

אחריהם מופיעים שם קובץ ההפעלה, סכום הבדיקה של הנתיב אליו, גודל קובץ ההפעלה והגרסה של קובץ Prefetch:

מכיוון שאנו עוסקים ב-Windows 10, בשלב הבא נראה את מספר ההתחלות, התאריך והשעה של ההתחלה האחרונה, ועוד שבע חותמות זמן המציינות תאריכי השקה קודמים:

אחריהם מופיע מידע על הכרך, כולל המספר הסידורי שלו ותאריך היצירה:

אחרון חביב היא רשימה של ספריות וקבצים שקובץ ההפעלה קיים איתם אינטראקציה:

אז, הספריות והקבצים שקובץ ההפעלה קיים איתם אינטראקציה הם בדיוק מה שאני רוצה להתמקד בהם היום. הנתונים הללו הם שמאפשרים למומחים בזיהוי פלילי דיגיטלי, תגובה לאירועי מחשב או ציד איומים יזום לקבוע לא רק את עובדת הביצוע של קובץ מסוים, אלא גם, במקרים מסוימים, לשחזר טקטיקות וטכניקות ספציפיות של תוקפים. כיום, תוקפים משתמשים לעתים קרובות בכלים כדי למחוק נתונים לצמיתות, למשל, SDelete, כך שהיכולת לשחזר לפחות עקבות של שימוש בטקטיקות וטכניקות מסוימות היא פשוט הכרחית לכל מגן מודרני - מומחה לזיהוי פלילי מחשבים, מומחה לתגובה לאירועים, ThreatHunter מוּמחֶה.

בואו נתחיל עם טקטיקת הגישה הראשונית (TA0001) והטכניקה הפופולרית ביותר, Spearphishing Attachment (T1193). חלק מקבוצות פושעי הסייבר הן יצירתיות למדי בבחירת ההשקעות שלהן. לדוגמה, קבוצת Silence השתמשה בקבצים בפורמט CHM (עזרה של Microsoft Compiled HTML) לשם כך. לפיכך, לפנינו טכניקה נוספת - Compiled HTML File (T1223). קבצים כאלה מופעלים באמצעות hh.exeלכן, אם נחלץ נתונים מקובץ Prefetch שלו, נגלה איזה קובץ נפתח על ידי הקורבן:

בואו נמשיך לעבוד עם דוגמאות ממקרים אמיתיים ונעבור לטקטיקה הבאה של ביצוע (TA0002) ולטכניקת CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) יכול לשמש תוקפים כדי להפעיל סקריפטים זדוניים. דוגמה טובה היא קבוצת קובלט. אם נחלץ נתונים מקובץ Prefetch cmstp.exe, אז נוכל שוב לגלות מה בדיוק הושק:

טכניקה פופולרית נוספת היא Regsvr32 (T1117). Regsvr32.exe משמש לעתים קרובות גם על ידי תוקפים לשיגור. הנה דוגמה נוספת מקבוצת Cobalt: אם נחלץ נתונים מקובץ Prefetch regsvr32.exe, אז שוב נראה מה הושק:

הטקטיקות הבאות הן Persistence (TA0003) ו-Privilege Escalation (TA0004), עם Application Shimming (T1138) כטכניקה. טכניקה זו שימשה את Carbanak/FIN7 לעיגון המערכת. משמש בדרך כלל לעבודה עם מסדי נתונים של תאימות תוכניות (.sdb) sdbinst.exe. לכן, קובץ Prefetch של קובץ ההפעלה הזה יכול לעזור לנו לגלות את השמות של מסדי נתונים כאלה ואת המיקומים שלהם:

כפי שניתן לראות באיור, יש לנו לא רק את שם הקובץ המשמש להתקנה, אלא גם את שם מסד הנתונים המותקן.

בואו נסתכל על אחת הדוגמאות הנפוצות ביותר של הפצת רשת (TA0008), PsExec, באמצעות שיתופים מנהליים (T1077). שירות בשם PSEXECSVC (כמובן, ניתן להשתמש בכל שם אחר אם תוקפים השתמשו בפרמטר -r) ייווצר במערכת היעד, לכן, אם נחלץ את הנתונים מקובץ Prefetch, נראה מה הושק:

כנראה אסיים איפה שהתחלתי - מחיקת קבצים (T1107). כפי שכבר ציינתי, תוקפים רבים משתמשים ב-SDelete כדי למחוק קבצים לצמיתות בשלבים שונים של מחזור חיי ההתקפה. אם נסתכל על הנתונים מקובץ Prefetch sdelete.exe, אז נראה מה בדיוק נמחק:

כמובן, זו אינה רשימה ממצה של טכניקות שניתן לגלות במהלך הניתוח של קבצי Prefetch, אבל זה אמור להספיק כדי להבין שקבצים כאלה יכולים לעזור לא רק למצוא עקבות של השיגור, אלא גם לשחזר טקטיקות וטכניקות תוקף ספציפיות .

מקור: www.habr.com

חיפוש אחר טכניקות תקיפה וטקטיקות באמצעות קבצי Prefetch

הוספת תגובה ביטול תגובה