Trace failai arba išankstinio iškvietimo failai sistemoje „Windows“ buvo naudojami nuo XP. Nuo tada jie padėjo skaitmeninės kriminalistikos ir kompiuterinių incidentų reagavimo specialistams rasti programinės įrangos pėdsakų, įskaitant kenkėjiškas programas. Vadovaujantis kompiuterinės ekspertizės grupės IB specialistas Olegas Skulkinas nurodo, ką galite rasti naudodami išankstinio iškvietimo failus ir kaip tai padaryti.
Išankstinio gavimo failai saugomi kataloge %SystemRoot%Prefetch ir paspartinti programų paleidimo procesą. Jei pažvelgsime į bet kurį iš šių failų, pamatysime, kad jo pavadinimas susideda iš dviejų dalių: vykdomojo failo pavadinimo ir aštuonių simbolių kontrolinės sumos nuo kelio iki jo.
Išankstinio iškvietimo failuose yra daug informacijos, naudingos kriminalistikos požiūriu: vykdomojo failo pavadinimas, jo vykdymo kartų skaičius, failų ir katalogų, su kuriais sąveikavo vykdomasis failas, sąrašai ir, žinoma, laiko žymos. Paprastai kriminalistai naudoja tam tikro „Prefetch“ failo sukūrimo datą, kad nustatytų programos pirmojo paleidimo datą. Be to, šiuose failuose saugoma paskutinio paleidimo data, o nuo 26 versijos („Windows 8.1“) – septynių paskutinių paleidimų laiko žymos.
Paimkime vieną iš Prefetch failų, iš jo ištraukime duomenis naudodami Erico Zimmermano PECmd ir pažiūrėkime į kiekvieną jo dalį. Norėdami parodyti, ištrauksiu duomenis iš failo CCLEANER64.EXE-DE05DBE1.pf.
Taigi pradėkime nuo viršaus. Žinoma, turime failų kūrimo, modifikavimo ir prieigos laiko žymes:
Po jų nurodomas vykdomojo failo pavadinimas, kelio į jį kontrolinė suma, vykdomojo failo dydis ir išankstinio iškvietimo failo versija:
Kadangi susiduriame su „Windows 10“, toliau pamatysime paleidimų skaičių, paskutinio paleidimo datą ir laiką bei dar septynias laiko žymes, nurodančias ankstesnes paleidimo datas:
Po jų pateikiama informacija apie tomą, įskaitant jo serijos numerį ir sukūrimo datą:
Paskutinis, bet ne mažiau svarbus dalykas yra katalogų ir failų, su kuriais sąveikavo vykdomasis failas, sąrašas:
Taigi, katalogai ir failai, su kuriais sąveikavo vykdomoji programa, yra būtent tai, į ką šiandien noriu atkreipti dėmesį. Būtent šie duomenys leidžia skaitmeninės kriminalistikos, kompiuterinių incidentų reagavimo ar aktyvios grėsmių paieškos specialistams nustatyti ne tik konkretaus failo vykdymo faktą, bet ir tam tikrais atvejais atkurti konkrečias užpuolikų taktikas ir būdus. Šiandien užpuolikai gana dažnai naudoja įrankius visam laikui ištrinti duomenis, pavyzdžiui, SDelete, todėl galimybė atkurti bent tam tikros taktikos ir technikos naudojimo pėdsakus yra tiesiog būtina bet kuriam šiuolaikiniam gynėjui – kompiuterių kriminalistikos specialistui, reagavimo į incidentus specialistui, ThreatHunter. ekspertas.
Pradėkime nuo pradinės prieigos taktikos (TA0001) ir populiariausios technikos – „Spearphishing Attachment“ (T1193). Kai kurios kibernetinės nusikaltėlių grupės gana kūrybiškai renkasi investicijas. Pavyzdžiui, grupė tyla tam naudojo CHM (Microsoft Compiled HTML Help) formato failus. Taigi, prieš mus yra kita technika - sudarytas HTML failas (T1223). Tokie failai paleidžiami naudojant hh.exe, todėl, jei ištrauksime duomenis iš jo Prefetch failo, sužinosime, kurį failą atidarė auka:
Tęskime darbą su realių atvejų pavyzdžiais ir pereikime prie kitos vykdymo taktikos (TA0002) ir CSMTP technikos (T1191). „Microsoft Connection Manager Profile Installer“ (CMSTP.exe) gali būti naudojama užpuolikams paleisti kenksmingus scenarijus. Puikus pavyzdys yra Kobalto grupė. Jei ištrauksime duomenis iš Prefetch failo cmstp.exe, tada vėl galime sužinoti, kas tiksliai buvo paleista:
Kitas populiarus metodas yra Regsvr32 (T1117). Regsvr32.exe užpuolikai taip pat dažnai naudoja jį paleisti. Štai dar vienas pavyzdys iš grupės „Cobalt“: jei išgausime duomenis iš „Prefetch“ failo regsvr32.exe, tada vėl pamatysime, kas buvo paleista:
Kita taktika yra patvarumas (TA0003) ir privilegijų padidinimas (TA0004), naudojant taikomųjų programų keitimą (T1138). Šią techniką Carbanak/FIN7 naudojo sistemai pritvirtinti. Paprastai naudojamas darbui su programų suderinamumo duomenų bazėmis (.sdb) sdbinst.exe. Todėl šio vykdomojo failo Prefetch failas gali padėti mums sužinoti tokių duomenų bazių pavadinimus ir jų vietas:
Kaip matote iliustracijoje, turime ne tik diegimui naudoto failo pavadinimą, bet ir įdiegtos duomenų bazės pavadinimą.
Pažvelkime į vieną iš labiausiai paplitusių tinklo plitimo pavyzdžių (TA0008), PsExec, naudojant administracines dalis (T1077). Paslauga pavadinta PSEXECSVC (žinoma, bet koks kitas pavadinimas gali būti naudojamas, jei užpuolikai naudojo parametrą -r) bus sukurtas tikslinėje sistemoje, todėl, jei ištrauksime duomenis iš Prefetch failo, pamatysime, kas buvo paleista:
Tikriausiai baigsiu nuo to, kur pradėjau – ištrinsiu failus (T1107). Kaip jau pastebėjau, daugelis užpuolikų naudoja SDelete visam laikui ištrinti failus įvairiais atakos gyvavimo ciklo etapais. Jei pažvelgsime į duomenis iš Prefetch failo sdelete.exe, tada pamatysime, kas tiksliai buvo ištrinta:
Žinoma, tai nėra baigtinis sąrašas metodų, kuriuos galima atrasti analizuojant Prefetch failus, tačiau to turėtų pakakti, kad suprastume, jog tokie failai gali padėti ne tik rasti paleidimo pėdsakus, bet ir atkurti konkrečias užpuoliko taktikas bei metodus. .
Šaltinis: www.habr.com