トレース ファイル、つまりプリフェッチ ファイルは、XP 以降 Windows に存在します。 それ以来、デジタル フォレンジックやコンピューター インシデント対応の専門家がマルウェアを含むソフトウェアの痕跡を発見するのを支援してきました。 コンピュータフォレンジックのトップスペシャリスト Group-IB オレグ・スカルキン プリフェッチ ファイルを使用して何を検索できるか、およびその方法について説明します。
プリフェッチファイルはディレクトリに保存されます %SystemRoot%プリフェッチ プログラムの起動プロセスを高速化するのに役立ちます。 これらのファイルのいずれかを確認すると、その名前が XNUMX つの部分で構成されていることがわかります。実行可能ファイルの名前と、そのファイルへのパスからの XNUMX 文字のチェックサムです。
プリフェッチ ファイルには、実行可能ファイルの名前、実行回数、実行可能ファイルがやり取りしたファイルとディレクトリのリスト、そしてもちろんタイムスタンプなど、フォレンジックの観点から役立つ多くの情報が含まれています。 通常、法医学者は特定のプリフェッチ ファイルの作成日を使用して、プログラムが最初に起動された日付を特定します。 さらに、これらのファイルには、前回の起動日と、バージョン 26 (Windows 8.1) 以降、最新 XNUMX 回の実行のタイムスタンプが保存されます。
プリフェッチ ファイルの XNUMX つを取得し、Eric Zimmerman の PECmd を使用してそこからデータを抽出し、その各部分を見てみましょう。 デモとして、ファイルからデータを抽出します。 CCLEANER64.EXE-DE05DBE1.pf.
それでは、上から始めましょう。 もちろん、ファイルの作成、変更、およびアクセスのタイムスタンプがあります。
これらの後に、実行可能ファイルの名前、そのパスのチェックサム、実行可能ファイルのサイズ、およびプリフェッチ ファイルのバージョンが続きます。
ここでは Windows 10 を扱っているため、次に、起動回数、最後の起動日時、および以前の起動日を示すさらに XNUMX つのタイムスタンプが表示されます。
これらの後に、シリアル番号や作成日などのボリュームに関する情報が続きます。
最後になりましたが、実行可能ファイルがやり取りしたディレクトリとファイルのリストは次のとおりです。
したがって、実行可能ファイルが対話するディレクトリとファイルは、まさに今日私が注目したいものです。 このデータにより、デジタル フォレンジック、コンピューター インシデント対応、プロアクティブな脅威ハンティングの専門家は、特定のファイルが実行されたという事実を確立できるだけでなく、場合によっては攻撃者の特定の戦術やテクニックを再構築することもできます。 今日、攻撃者は SDelete などのデータを永久に削除するツールを頻繁に使用しているため、コンピューターフォレンジックのスペシャリスト、インシデント対応のスペシャリスト、ThreatHunter など、現代の防御者には、少なくとも特定の戦術やテクニックの使用の痕跡を復元する機能が必要です。専門家。
初期アクセス戦術 (TA0001) と最も人気のある手法であるスピアフィッシング アタッチメント (T1193) から始めましょう。 一部のサイバー犯罪グループは、投資の選択において非常に創造的です。 たとえば、Silence グループは、これに CHM (Microsoft Compiled HTML Help) 形式のファイルを使用しました。 したがって、私たちの前には別のテクニック、コンパイルされた HTML ファイル (T1223) が用意されています。 このようなファイルは次を使用して起動されます hh.exeしたがって、プリフェッチ ファイルからデータを抽出すると、被害者がどのファイルを開いたのかがわかります。
実際のケースの例を使って作業を続け、次の実行戦術 (TA0002) と CSMTP テクニック (T1191) に進みましょう。 Microsoft 接続マネージャー プロファイル インストーラー (CMSTP.exe) は、攻撃者が悪意のあるスクリプトを実行するために使用される可能性があります。 良い例はコバルトグループです。 プリフェッチファイルからデータを抽出すると、 cmstp.exeそうすると、正確に何が起動されたかを再び知ることができます。
もう 32 つの一般的な手法は Regsvr1117 (TXNUMX) です。 Regsvr32.exe 攻撃者が起動するためによく使用されます。 Cobalt グループの別の例を次に示します。プリフェッチ ファイルからデータを抽出する場合 regsvr32.exe、次に、何が起動されたかを再度確認します。
次の戦術は永続化 (TA0003) と特権昇格 (TA0004) であり、テクニックとしてアプリケーション シミング (T1138) を使用します。 この技術は、システムを固定するために Carbanak/FIN7 によって使用されました。 通常、プログラム互換性データベース (.sdb) を操作するために使用されます。 sdbinst.exe。 したがって、この実行可能ファイルのプリフェッチ ファイルは、そのようなデータベースの名前とその場所を見つけるのに役立ちます。
図からわかるように、インストールに使用されたファイルの名前だけでなく、インストールされたデータベースの名前もわかります。
ネットワーク伝播の最も一般的な例 (TA0008) の 1077 つである、管理共有 (TXNUMX) を使用した PsExec を見てみましょう。 PSEXECSVC という名前のサービス (もちろん、攻撃者がパラメータを使用した場合は、他の名前も使用できます) -r) はターゲット システム上に作成されるため、プリフェッチ ファイルからデータを抽出すると、何が起動されたかがわかります。
おそらく、最初の作業、つまりファイルの削除で終了するでしょう (T1107)。 すでに述べたように、多くの攻撃者は SDelete を使用して、攻撃ライフサイクルのさまざまな段階でファイルを完全に削除します。 プリフェッチファイルのデータを見ると sdelete.exe, 次に、正確に何が削除されたかを確認します。
もちろん、これはプリフェッチ ファイルの分析中に発見できるテクニックの完全なリストではありませんが、このようなファイルが発射の痕跡を見つけるだけでなく、特定の攻撃者の戦術やテクニックを再構築するのにも役立つことを理解するには十分です。 。
出所: habr.com