Trace Dateien, oder Prefetch Dateien, sinn zënter XP a Windows ronderëm. Zënterhier hunn se digital Forensik a Computer Tëschefall Äntwert Spezialisten gehollef Spure vu Software ze fannen, dorënner Malware. Leading Spezialist an Computer Forensics Group-IB Oleg Skulkin erzielt Iech wat Dir mat Prefetch Dateien fannt a wéi Dir et maacht.
Prefetch Dateien ginn am Verzeechnes gespäichert %SystemRoot%Prefetch an déngen fir de Prozess vun der Start vun Programmer ze beschleunegen. Wa mir eng vun dësen Dateie kucken, wäerte mir gesinn datt säin Numm aus zwee Deeler besteet: den Numm vun der ausführbarer Datei an eng aacht Zeechentchecksum vum Wee dohinner.
Prefetch-Dateien enthalen vill Informatioun nëtzlech aus enger forensescher Siicht: den Numm vun der ausführbarer Datei, d'Zuel vun Zäiten déi se gestart gouf, Lëschte vu Dateien an Verzeichnisser mat deenen déi ausführbar Datei interagéiert huet, an natierlech Zäitstempel. Typesch benotze forensesch Wëssenschaftler den Erstellungsdatum vun enger bestëmmter Prefetch-Datei fir den Datum ze bestëmmen wou de Programm fir d'éischt gestart gouf. Zousätzlech späicheren dës Dateien den Datum vu sengem leschte Start, a vun der Versioun 26 (Windows 8.1) un - d'Zäitstempele vun de siwe jéngste Runen.
Loosst eis ee vun de Prefetch Dateien huelen, Donnéeën dovun extrahéieren mam Eric Zimmerman sengem PECmd a kuckt op all Deel dovun. Fir ze demonstréieren, extrahéieren ech Daten aus enger Datei CCLEANER64.EXE-DE05DBE1.pf.
Also loosst eis vun uewen ufänken. Natierlech hu mir Dateikreatioun, Ännerung an Zougangszäitstempel:
Si ginn gefollegt vum Numm vun der ausführbarer Datei, der Kontrollsumme vum Wee dohinner, der Gréisst vun der ausführbarer Datei an der Versioun vun der Prefetch Datei:
Zënter datt mir mat Windows 10 ze dinn hunn, wäerte mir als nächst d'Zuel vun den Starten, den Datum an d'Zäit vum leschte Start gesinn, a siwe méi Zäitstempel, déi vireg Startdatum uginn:
Dës gi gefollegt vun Informatioun iwwer de Volume, inklusiv seng Seriennummer a Kreatiounsdatum:
Lescht awer net zulescht ass eng Lëscht vu Verzeichnisser a Dateien mat deenen den ausführbar interagéiert:
Also, d'Verzeichnisser an d'Dateien, mat deenen d'Ausféierbar interagéiert huet, si genee wat ech haut wëll konzentréieren. Et ass dës Donnéeën, déi Spezialisten an der digitaler Forensik, Computer Tëschefall Äntwert, oder proaktiv Bedrohung Juegd erlaabt net nëmmen d'Tatsaach vun der Ausféierung vun engem bestëmmte Fichier festzeleeën, awer och, an e puer Fäll, spezifesch Taktiken an Technike vun Ugräifer ze rekonstruéieren. Haut benotzen Ugräifer ganz dacks Tools fir dauerhaft Daten ze läschen, zum Beispill SDelete, sou datt d'Fäegkeet fir op d'mannst Spure vun der Notzung vu bestëmmten Taktiken an Techniken ze restauréieren ass einfach néideg fir all modernen Verteideger - e Computer Forensik Spezialist, en Tëschefall Äntwert Spezialist , engem ThreatHunter Expert.
Loosst eis mat der Initial Access Taktik ufänken (TA0001) an déi populärste Technik, Spearphishing Attachment (T1193). E puer Cyberkriminelle Gruppe si ganz kreativ an hirer Wiel vun Investitiounen. Zum Beispill huet d'Silence Grupp Dateien am CHM (Microsoft Compiled HTML Help) Format fir dëst benotzt. Also hu mir eng aner Technik virun eis - Kompiléiert HTML Datei (T1223). Esou Dateie gi mat Hëllef lancéiert hh.exeDofir, wa mir Daten aus senger Prefetch Datei extrahéieren, fanne mir eraus wéi eng Datei vum Affer opgemaach gouf:
Loosst eis weider mat Beispiller aus echte Fäll schaffen a weidergoen op déi nächst Ausféierungstaktik (TA0002) an CSMTP Technik (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) ka vun Ugräifer benotzt ginn fir béiswëlleg Skripte auszeféieren. E gutt Beispill ass d'Kobalt Grupp. Wa mir Daten aus der Prefetch Datei extrahéieren cmstp.exe, da kënne mir erëm erausfannen wat genee lancéiert gouf:
Eng aner populär Technik ass Regsvr32 (T1117). Regsvr32.exe gëtt och dacks vun Ugräifer benotzt fir ze starten. Hei ass en anert Beispill aus der Cobalt Grupp: wa mir Daten aus enger Prefetch Datei extrahéieren regsvr32.exe, da wäerte mir erëm kucken wat lancéiert gouf:
Déi nächst Taktik sinn Persistenz (TA0003) a Privilege Eskalatioun (TA0004), mat Applikatioun Shimming (T1138) als Technik. Dës Technik gouf vum Carbanak / FIN7 benotzt fir de System ze verankeren. Typesch benotzt fir mat Programmkompatibilitéitsdatenbanken ze schaffen (.sdb) sdbinst.exe. Dofir kann d'Prefetch-Datei vun dësem ausführbaren eis hëllefen d'Nimm vun esou Datenbanken an hir Plazen erauszefannen:
Wéi Dir an der Illustratioun gesitt, hu mir net nëmmen den Numm vun der Datei déi fir d'Installatioun benotzt gëtt, awer och den Numm vun der installéierter Datebank.
Loosst d'e Bléck op ee vun de meeschte gemeinsam Beispiller vun Reseau Ausbreedung (TA0008), PsExec, benotzt administrativ deelt (T1077). Service mam Numm PSEXECSVC (natierlech kann all aner Numm benotzt ginn wann Ugräifer de Parameter benotzt hunn -r) gëtt um Zilsystem erstallt, dofir, wa mir d'Donnéeën aus der Prefetch-Datei extrahéieren, gesi mir wat lancéiert gouf:
Ech wäert wahrscheinlech Enn wou ech ugefaang - Fichieren läschen (T1107). Wéi ech scho bemierkt hunn, benotze vill Ugräifer SDelete fir Dateien op verschiddene Stadien vum Attack Liewenszyklus permanent ze läschen. Wa mir d'Donnéeën aus der Prefetch Datei kucken sdelete.exe, da gesi mer wat genee geläscht gouf:
Natierlech ass dëst net eng ustrengend Lëscht vun Techniken, déi während der Analyse vu Prefetch-Dateien entdeckt kënne ginn, awer dëst sollt genuch sinn fir ze verstoen datt sou Dateien hëllefen net nëmmen Spure vum Start ze fannen, mee och spezifesch Attacker Taktiken an Techniken ze rekonstruéieren. .
Source: will.com