თავდასხმის ტექნიკისა და ტაქტიკის ძიება Prefetch ფაილების გამოყენებით

Trace ფაილები ან Prefetch ფაილები Windows-ში XP-დან არსებობს. მას შემდეგ ისინი ეხმარებოდნენ ციფრულ სასამართლო ექსპერტიზას და კომპიუტერულ ინციდენტებზე რეაგირების სპეციალისტებს პროგრამული უზრუნველყოფის, მათ შორის მავნე პროგრამების კვალი იპოვონ. წამყვანი სპეციალისტი კომპიუტერული სასამართლო ექსპერტიზის Group-IB ოლეგ სკულკინი გეტყვით, რა შეგიძლიათ იპოვოთ Prefetch ფაილების გამოყენებით და როგორ გააკეთოთ ეს.

Prefetch ფაილები ინახება დირექტორიაში %SystemRoot%Prefetch და ემსახურება პროგრამების გაშვების პროცესის დაჩქარებას. თუ გადავხედავთ რომელიმე ამ ფაილს, დავინახავთ, რომ მისი სახელი შედგება ორი ნაწილისგან: შესრულებადი ფაილის სახელი და რვა სიმბოლოანი საკონტროლო ჯამი მისკენ მიმავალ გზაზე.

Prefetch ფაილები შეიცავს უამრავ სასარგებლო ინფორმაციას სასამართლო ექსპერტიზის თვალსაზრისით: შესრულებადი ფაილის სახელს, მისი შესრულების რაოდენობას, ფაილებისა და დირექტორიების სიებს, რომლებთანაც შესრულებადი ფაილი ურთიერთქმედებს და, რა თქმა უნდა, დროის შტამპები. როგორც წესი, სასამართლო მეცნიერები იყენებენ კონკრეტული Prefetch ფაილის შექმნის თარიღს პროგრამის პირველად გაშვების თარიღის დასადგენად. გარდა ამისა, ეს ფაილები ინახავს მისი ბოლო გაშვების თარიღს და დაწყებული 26-ე ვერსიიდან (Windows 8.1) - შვიდი უახლესი გაშვების დროის ნიშანს.

ავიღოთ ერთ-ერთი Prefetch ფაილი, ამოვიღოთ მისგან მონაცემები ერიკ ზიმერმანის PECmd-ის გამოყენებით და გადავხედოთ მის თითოეულ ნაწილს. დემონსტრირებისთვის, მე ამოვიღებ მონაცემებს ფაილიდან CCLEANER64.EXE-DE05DBE1.pf.

ასე რომ, დავიწყოთ ზემოდან. რა თქმა უნდა, ჩვენ გვაქვს ფაილის შექმნის, მოდიფიკაციისა და წვდომის დროის ანაბეჭდები:

მათ მოსდევს შესრულებადი ფაილის სახელი, მისკენ მიმავალი გზის საკონტროლო ჯამი, შესრულებადი ფაილის ზომა და Prefetch ფაილის ვერსია:

ვინაიდან საქმე გვაქვს Windows 10-თან, შემდეგ ვნახავთ დაწყების რაოდენობას, ბოლო დაწყების თარიღსა და დროს და კიდევ შვიდი დროის ნიშანს, რომლებიც მიუთითებს წინა გაშვების თარიღებზე:

ამას მოჰყვება ინფორმაცია მოცულობის შესახებ, სერიული ნომრის და შექმნის თარიღის ჩათვლით:

ბოლო, მაგრამ არანაკლებ მნიშვნელოვანი არის დირექტორიებისა და ფაილების სია, რომლებთანაც შესრულებადი ურთიერთქმედებს:

ასე რომ, დირექტორიები და ფაილები, რომლებთანაც შესრულებადი ურთიერთქმედებს, არის ზუსტად ის, რაზეც დღეს მინდა გავამახვილო ყურადღება. სწორედ ეს მონაცემები საშუალებას აძლევს სპეციალისტებს ციფრული სასამართლო ექსპერტიზის, კომპიუტერულ ინციდენტზე რეაგირების ან პროაქტიული საფრთხის ნადირობის დადგენის არა მხოლოდ კონკრეტული ფაილის შესრულების ფაქტის დადგენა, არამედ, ზოგიერთ შემთხვევაში, აღადგინონ თავდამსხმელთა კონკრეტული ტაქტიკა და ტექნიკა. დღეს, თავდამსხმელები საკმაოდ ხშირად იყენებენ ინსტრუმენტებს მონაცემების სამუდამოდ წასაშლელად, მაგალითად, SDelete, ასე რომ, გარკვეული ტაქტიკისა და ტექნიკის გამოყენების მინიმუმ კვალი აღდგენის შესაძლებლობა უბრალოდ აუცილებელია ნებისმიერი თანამედროვე დამცველისთვის - კომპიუტერის სასამართლო ექსპერტიზის სპეციალისტი, ინციდენტების რეაგირების სპეციალისტი, ThreatHunter. ექსპერტი.

დავიწყოთ საწყისი წვდომის ტაქტიკით (TA0001) და ყველაზე პოპულარული ტექნიკით, Spearphishing Attachment (T1193). ზოგიერთი კიბერდანაშაულებრივი ჯგუფი საკმაოდ კრეატიულია ინვესტიციების არჩევისას. მაგალითად, Silence ჯგუფმა ამისათვის გამოიყენა ფაილები CHM (Microsoft Compiled HTML Help) ფორმატში. ამრიგად, ჩვენ წინ გვაქვს კიდევ ერთი ტექნიკა - Compiled HTML File (T1223). ასეთი ფაილები გაშვებულია გამოყენებით hh.exeმაშასადამე, თუ ამოვიღებთ მონაცემებს მისი Prefetch ფაილიდან, გავიგებთ, რომელი ფაილი გახსნა დაზარალებულმა:

მოდით გავაგრძელოთ რეალური შემთხვევების მაგალითებით მუშაობა და გადავიდეთ შემდეგ შესრულების ტაქტიკაზე (TA0002) და CSMTP ტექნიკაზე (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) შეიძლება გამოყენებულ იქნას თავდამსხმელების მიერ მავნე სკრიპტების გასაშვებად. კარგი მაგალითია კობალტის ჯგუფი. თუ ჩვენ ამოვიღებთ მონაცემებს Prefetch ფაილიდან cmstp.exe, შემდეგ ჩვენ კვლავ შეგვიძლია გავარკვიოთ, რა იყო ზუსტად გაშვებული:

კიდევ ერთი პოპულარული ტექნიკაა Regsvr32 (T1117). Regsvr32.exe ასევე ხშირად იყენებენ თავდამსხმელებს გასაშვებად. აი კიდევ ერთი მაგალითი Cobalt ჯგუფიდან: თუ ჩვენ ამოვიღებთ მონაცემებს Prefetch ფაილიდან regsvr32.exe, შემდეგ ისევ ვნახავთ რა გაუშვა:

შემდეგი ტაქტიკაა მდგრადობა (TA0003) და პრივილეგიის ესკალაცია (TA0004), Application Shimming (T1138) როგორც ტექნიკა. ეს ტექნიკა გამოიყენა Carbanak/FIN7-მა სისტემის დასამაგრებლად. ჩვეულებრივ გამოიყენება პროგრამის თავსებადობის მონაცემთა ბაზებთან მუშაობისთვის (.sdb) sdbinst.exe. აქედან გამომდინარე, ამ შესრულებადი ფაილის Prefetch ფაილი დაგვეხმარება გავარკვიოთ ასეთი მონაცემთა ბაზების სახელები და მათი მდებარეობა:

როგორც ილუსტრაციაში ხედავთ, ჩვენ გვაქვს არა მხოლოდ ინსტალაციისთვის გამოყენებული ფაილის სახელი, არამედ დაინსტალირებული მონაცემთა ბაზის სახელი.

მოდით გადავხედოთ ქსელის გავრცელების ერთ-ერთ ყველაზე გავრცელებულ მაგალითს (TA0008), PsExec, ადმინისტრაციული აქციების გამოყენებით (T1077). სერვისი სახელად PSEXECSVC (რა თქმა უნდა, ნებისმიერი სხვა სახელის გამოყენება შესაძლებელია, თუ თავდამსხმელები იყენებდნენ პარამეტრს -r) შეიქმნება სამიზნე სისტემაზე, შესაბამისად, თუ ჩვენ გამოვიყვანთ მონაცემებს Prefetch ფაილიდან, დავინახავთ, თუ რა იყო გაშვებული:

მე ალბათ დავამთავრებ იქ, სადაც დავიწყე - ფაილების წაშლა (T1107). როგორც უკვე აღვნიშნე, ბევრი თავდამსხმელი იყენებს SDelete-ს ფაილების სამუდამოდ წასაშლელად თავდასხმის სასიცოცხლო ციკლის სხვადასხვა ეტაპზე. თუ გადავხედავთ მონაცემებს Prefetch ფაილიდან sdelete.exe, შემდეგ ვნახავთ, რა წაიშალა:

რა თქმა უნდა, ეს არ არის ტექნიკის ამომწურავი სია, რომელიც შეიძლება აღმოჩნდეს Prefetch ფაილების ანალიზის დროს, მაგრამ ეს საკმარისი უნდა იყოს იმის გასაგებად, რომ ასეთ ფაილებს შეუძლიათ არა მხოლოდ გაშვების კვალის პოვნა, არამედ თავდამსხმელის კონკრეტული ტაქტიკისა და ტექნიკის აღდგენა. .

წყარო: www.habr.com