Trace файлдары же Prefetch файлдары Windows'до XPден бери бар. Ошондон бери алар санариптик криминалистикага жана компьютердик инциденттерге жооп берүү боюнча адистерге программалык камсыздоонун, анын ичинде кесепеттүү программанын издерин табууга жардам беришти. Компьютердик криминалистика боюнча жетектөөчү адис Group-IB Олег Скулкин Prefetch файлдарын колдонуу менен эмне таба аларыңызды жана аны кантип жасоону айтып берет.
Prefetch файлдары каталогдо сакталат %SystemRoot%Prefetch жана программаларды ишке киргизүү процессин тездетүү үчүн кызмат кылат. Бул файлдардын кайсынысын карап көрсөк, анын аты эки бөлүктөн турганын көрөбүз: аткарылуучу файлдын аталышы жана ага баруучу жолдун сегиз белгиден турган текшерүү суммасы.
Prefetch файлдары криминалистикалык көз карашта пайдалуу көптөгөн маалыматтарды камтыйт: аткарылуучу файлдын аты, анын канча жолу аткарылгандыгы, аткарылуучу файл өз ара аракеттенген файлдардын жана каталогдордун тизмелери жана, албетте, убакыт белгилери. Адатта, криминалисттер программа биринчи жолу ишке киргизилген датаны аныктоо үчүн белгилүү бир Prefetch файлынын түзүлгөн күнүн колдонушат. Кошумчалай кетсек, бул файлдар анын акыркы ишке киргизилген күнүн жана 26 (Windows 8.1) версиясынан баштап - эң акыркы жети иштетүүнүн убакыт белгилерин сактайт.
Келгиле, Prefetch файлдарынын бирин алып, андан Эрик Циммермандын PECmd жардамы менен маалыматтарды чыгарып, анын ар бир бөлүгүн карап көрөлү. Көрсөтүү үчүн мен файлдан маалыматтарды чыгарам CCLEANER64.EXE-DE05DBE1.pf.
Ошентип, жогору жактан баштайлы. Албетте, бизде файлдарды түзүү, өзгөртүү жана кирүү убакыт белгилери бар:
Алардан кийин аткарылуучу файлдын аты, ага баруучу жолдун текшерүү суммасы, аткарылуучу файлдын өлчөмү жана Prefetch файлынын версиясы келет:
Биз Windows 10 менен иштешип жаткандыктан, андан ары биз башталуулардын санын, акыркы башталган күнүн жана убактысын жана мурунку ишке киргизүү даталарын көрсөткөн дагы жети убакыт белгисин көрөбүз:
Андан кийин сериялык номери жана түзүлгөн датасы камтылган том жөнүндө маалымат берилет:
Акыркысы, бирок эң аз дегенде, аткарылуучу файл менен иштешкен каталогдордун жана файлдардын тизмеси:
Ошентип, аткаруучу файл менен иштешкен каталогдор жана файлдар - бул мен бүгүн көңүл бургум келген нерсе. Дал ушул маалыматтар санариптик криминалистика, компьютердик инциденттерге жооп берүү же проактивдүү коркунучтарга аңчылык боюнча адистерге белгилүү бир файлды аткаруу фактысын гана эмес, ошондой эле айрым учурларда чабуулчулардын конкреттүү тактикасын жана ыкмаларын кайра курууга мүмкүндүк берет. Бүгүнкү күндө чабуулчулар көбүнчө маалыматтарды биротоло жок кылуу үчүн куралдарды колдонушат, мисалы, SDelete, ошондуктан, жок эле дегенде, белгилүү бир тактикаларды жана ыкмаларды колдонуунун изин калыбына келтирүү жөндөмү ар кандай заманбап коргоочу - компьютердик криминалист, инциденттерге жооп берүү боюнча адис, ThreatHunter үчүн зарыл. эксперт.
Алгачкы мүмкүндүк алуу тактикасынан (TA0001) жана эң популярдуу техникадан, Spearphishing Attachment (T1193) менен баштайлы. Кээ бир киберкриминалдык топтор инвестицияларды тандоодо абдан чыгармачыл. Мисалы, Silence тобу бул үчүн CHM (Microsoft Compiled HTML Help) форматындагы файлдарды колдонушкан. Ошентип, биздин алдыбызда дагы бир техника бар - Compiled HTML File (T1223). Мындай файлдар колдонуу менен ишке киргизилет hh.exe, ошондуктан, анын Prefetch файлынан маалыматтарды чыгарсак, жабырлануучу кайсы файлды ачканын билебиз:
Келгиле, реалдуу окуялардан мисалдар менен иштөөнү уланталы жана кийинки Аткаруу тактикасына (TA0002) жана CSMTP техникасына (T1191) өтөлү. Microsoft Connection Manager Profile Installer (CMSTP.exe) зыяндуу скрипттерди иштетүү үчүн чабуулчулар тарабынан колдонулушу мүмкүн. Жакшы мисал Cobalt тобу болуп саналат. Эгерде Prefetch файлынан маалыматтарды чыгарып алсак cmstp.exe, анда биз дагы бир жолу так эмне ишке киргизилгенин биле алабыз:
Дагы бир популярдуу техника Regsvr32 (T1117) болуп саналат. Regsvr32.exe ошондой эле көбүнчө чабуулчулар тарабынан ишке киргизүү үчүн колдонулат. Бул жерде Cobalt тобунун дагы бир мисалы: Prefetch файлынан маалыматтарды чыгарып алсак regsvr32.exe, анда биз эмне ишке киргизилгенин дагы бир жолу көрөбүз:
Кийинки тактикалар Persistence (TA0003) жана Privilege Escalation (TA0004) болуп саналат, бул колдонмо Шимминг (T1138) ыкмасы катары. Бул ыкма Carbanak/FIN7 тарабынан системаны бекитүү үчүн колдонулган. Эреже катары, программа шайкештик маалымат базалары менен иштөө үчүн колдонулат (.sdb) sdbinst.exe. Ошондуктан, бул аткарылуучу файлдын Prefetch файлы бизге мындай маалымат базаларынын аттарын жана алардын жайгашкан жерлерин билүүгө жардам берет:
Сүрөттө көрүнүп тургандай, бизде орнотуу үчүн колдонулган файлдын аты гана эмес, ошондой эле орнотулган маалымат базасынын аты да бар.
Тармакты жайылтуунун эң кеңири таралган мисалдарынын бирин (TA0008), PsExec, административдик үлүштөрдү (T1077) колдонуп карап көрөлү. PSEXECSVC деп аталган кызмат (албетте, эгер чабуулчулар параметрди колдонсо, башка ат колдонулушу мүмкүн -r) максаттуу тутумда түзүлөт, ошондуктан Prefetch файлынан маалыматтарды чыгарсак, эмне ишке киргизилгенин көрөбүз:
Мен баштаган жерим менен бүтүрөм - файлдарды жок кылуу (T1107). Мен буга чейин белгилеп өткөндөй, көптөгөн чабуулчулар кол салуу циклинин ар кандай баскычтарында файлдарды биротоло жок кылуу үчүн SDelete колдонушат. Prefetch файлынан алынган маалыматтарды карасак sdelete.exe, анда эмне так өчүрүлгөнүн көрөбүз:
Албетте, бул Prefetch файлдарын талдоо учурунда табыла турган ыкмалардын толук тизмеси эмес, бирок бул мындай файлдар ишке киргизүүнүн изин табууга гана эмес, ошондой эле чабуулчулардын конкреттүү тактикасын жана ыкмаларын кайра курууга жардам берерин түшүнүү үчүн жетиштүү болушу керек. .
Source: www.habr.com