File trace, utawa file Prefetch, wis ana ing Windows wiwit XP. Wiwit iku, dheweke wis nulungi spesialis forensik digital lan tanggap insiden komputer nemokake jejak piranti lunak, kalebu malware. Spesialis terkemuka ing forensik komputer Group-IB Oleg Skulkin ngandhani apa sampeyan bisa nemokake nggunakake file Prefetch lan carane nindakake.
File prefetch disimpen ing direktori %SystemRoot%Prefetch lan ngawula kanggo nyepetake proses miwiti program. Yen kita ndeleng file kasebut, kita bakal weruh manawa jenenge kalebu rong bagean: jeneng file sing bisa dieksekusi lan checksum wolung karakter saka dalan kasebut.
File prefetch ngemot akeh informasi sing migunani saka sudut pandang forensik: jeneng file sing bisa dieksekusi, kaping pirang-pirang dieksekusi, dhaptar file lan direktori karo file sing bisa dieksekusi, lan, mesthi, cap wektu. Biasane, ilmuwan forensik nggunakake tanggal nggawe file Prefetch tartamtu kanggo nemtokake tanggal program kasebut pisanan diluncurake. Kajaba iku, file kasebut nyimpen tanggal peluncuran pungkasan, lan wiwit saka versi 26 (Windows 8.1) - cap wektu saka pitung paling anyar.
Ayo njupuk salah siji saka file Prefetch, extract data saka nggunakake Eric Zimmerman PECmd lan katon ing saben bagean. Kanggo nduduhake, aku bakal ngekstrak data saka file CCLEANER64.EXE-DE05DBE1.pf.
Dadi ayo miwiti saka ndhuwur. Mesthi, kita duwe nggawe file, modifikasi, lan cap wektu akses:
Dheweke diterusake kanthi jeneng file sing bisa dieksekusi, checksum saka path menyang, ukuran file sing bisa dieksekusi, lan versi file Prefetch:
Awit kita lagi ngurusi Windows 10, sabanjure kita bakal weruh nomer wiwitan, tanggal lan wektu wiwitan pungkasan, lan pitung cap wektu liyane sing nuduhake tanggal peluncuran sadurunge:
Iki diterusake karo informasi babagan volume, kalebu nomer seri lan tanggal nggawe:
Pungkasan nanging paling ora yaiku dhaptar direktori lan file sing bisa dieksekusi karo:
Dadi, direktori lan file sing bisa dieksekusi sesambungan karo apa sing dakkarepake saiki. Data iki ngidini spesialis ing forensik digital, respon insiden komputer, utawa mburu ancaman proaktif kanggo netepake ora mung kasunyatan eksekusi file tartamtu, nanging uga, ing sawetara kasus, kanggo mbangun maneh taktik lan teknik penyerang tartamtu. Dina iki, panyerang cukup kerep nggunakake alat kanggo mbusak data permanen, contone, SDelete, supaya kemampuan kanggo mulihake paling tilak saka nggunakake taktik lan Techniques tartamtu mung perlu kanggo sembarang bek modern - spesialis forensik komputer, spesialis respon kedadean. , pakar ThreatHunter.
Ayo miwiti taktik Akses Awal (TA0001) lan teknik sing paling populer, Spearphishing Attachment (T1193). Sawetara klompok cybercriminal cukup kreatif ing pilihan investasi. Contone, grup Silence nggunakake file ing format CHM (Microsoft Compiled HTML Help) kanggo iki. Mangkono, kita duwe sadurunge kita technique liyane - Compiled HTML File (T1223). File kasebut diluncurake kanthi nggunakake hh.exe, mula, yen kita ngekstrak data saka file Prefetch, kita bakal nemokake file sing dibukak dening korban:
Ayo terus nggarap conto saka kasus nyata lan pindhah menyang taktik Eksekusi sabanjure (TA0002) lan teknik CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) bisa digunakake dening panyerang kanggo mbukak skrip jahat. Conto apik yaiku klompok Cobalt. Yen kita extract data saka file Prefetch cmstp.exe, banjur kita bisa ngerteni maneh apa sing diluncurake:
Teknik populer liyane yaiku Regsvr32 (T1117). Regsvr32.exe uga asring digunakake dening panyerang kanggo miwiti. Iki conto liyane saka klompok Cobalt: yen kita extract data saka file Prefetch regsvr32.exe, banjur maneh kita bakal weruh apa sing diluncurake:
Taktik sabanjure yaiku Persistence (TA0003) lan Privilege Escalation (TA0004), kanthi aplikasi Shimming (T1138) minangka teknik. Teknik iki digunakake dening Carbanak/FIN7 kanggo jangkar sistem. Biasane digunakake kanggo nggarap database kompatibilitas program (.sdb) sdbinst.exe. Mula, file Prefetch saka eksekusi iki bisa mbantu kita ngerteni jeneng database kasebut lan lokasine:
Nalika sampeyan bisa ndeleng ing ilustrasi, kita duwe ora mung jeneng file sing digunakake kanggo instalasi, nanging uga jeneng database diinstal.
Ayo goleki salah sawijining conto panyebaran jaringan sing paling umum (TA0008), PsExec, nggunakake saham administratif (T1077). Layanan sing dijenengi PSEXECSVC (mesthi, jeneng liya bisa digunakake yen panyerang nggunakake parameter kasebut -r) bakal digawe ing sistem target, mula, yen kita ngekstrak data saka file Prefetch, kita bakal weruh apa sing diluncurake:
Aku mbokmenawa bakal mungkasi ngendi aku miwiti - mbusak file (T1107). Kaya sing wis dakcritakake, akeh panyerang nggunakake SDelete kanggo mbusak file kanthi permanen ing macem-macem tahapan siklus urip serangan. Yen kita ndeleng data saka file Prefetch sdelete.exe, banjur kita bakal weruh apa sing wis dibusak:
Mesthi, iki dudu dhaptar lengkap teknik sing bisa ditemokake sajrone analisis file Prefetch, nanging iki kudu cukup kanggo ngerti manawa file kasebut bisa mbantu ora mung nemokake jejak peluncuran, nanging uga mbangun maneh taktik lan teknik penyerang khusus. .
Source: www.habr.com