Izsekošanas faili jeb Prefetch faili ir pieejami sistēmā Windows kopš XP. Kopš tā laika viņi ir palīdzējuši digitālās kriminālistikas un datoru incidentu reaģēšanas speciālistiem atrast programmatūras, tostarp ļaunprātīgas programmatūras, pēdas. Vadošais datorkriminālistikas speciālists Group-IB Oļegs Skuļkins norāda, ko varat atrast, izmantojot Prefetch failus un kā to izdarīt.
Iepriekšējas ielādes faili tiek saglabāti direktorijā %SystemRoot%Prefetch un palīdz paātrināt programmu palaišanas procesu. Ja aplūkosim kādu no šiem failiem, mēs redzēsim, ka tā nosaukums sastāv no divām daļām: izpildāmā faila nosaukuma un astoņu rakstzīmju kontrolsummas no ceļa uz to.
Iepriekšējas ielādes faili satur daudz informācijas, kas ir noderīga no kriminālistikas viedokļa: izpildāmā faila nosaukums, izpildes reižu skaits, failu un direktoriju saraksti, ar kuriem izpildāmais fails mijiedarbojās, un, protams, laikspiedoli. Parasti kriminālistikas zinātnieki izmanto konkrēta Prefetch faila izveides datumu, lai noteiktu programmas pirmās palaišanas datumu. Turklāt šajos failos tiek saglabāts pēdējās palaišanas datums un, sākot ar 26. versiju (Windows 8.1) — septiņu pēdējo palaišanas laikspiedolu.
Paņemsim vienu no Prefetch failiem, izgūsim no tā datus, izmantojot Ērika Cimmermana PECmd, un apskatīsim katru tā daļu. Lai demonstrētu, es izvilkšu datus no faila CCLEANER64.EXE-DE05DBE1.pf.
Tātad sāksim no augšas. Protams, mums ir failu izveides, modifikācijas un piekļuves laikspiedoli:
Tiem seko izpildāmā faila nosaukums, ceļa uz to kontrolsumma, izpildāmā faila lielums un Prefetch faila versija:
Tā kā mums ir darīšana ar Windows 10, nākamreiz redzēsim palaišanas reižu skaitu, pēdējā starta datumu un laiku, kā arī vēl septiņus laikspiedolus, kas norāda iepriekšējos palaišanas datumus:
Tam seko informācija par sējumu, tostarp tā sērijas numurs un izveides datums:
Pēdējais, bet ne mazāk svarīgais ir to direktoriju un failu saraksts, ar kuriem izpildāmā programma mijiedarbojās:
Tātad direktoriji un faili, ar kuriem mijiedarbojās izpildāmais fails, ir tieši tas, uz ko es šodien vēlos pievērsties. Tieši šie dati ļauj digitālās kriminālistikas, datoru incidentu reaģēšanas vai proaktīvas draudu meklēšanas speciālistiem konstatēt ne tikai konkrēta faila izpildes faktu, bet atsevišķos gadījumos arī rekonstruēt konkrētu uzbrucēju taktiku un paņēmienus. Mūsdienās uzbrucēji diezgan bieži izmanto rīkus, lai neatgriezeniski dzēstu datus, piemēram, SDelete, tāpēc iespēja atjaunot vismaz noteiktas taktikas un paņēmienu izmantošanas pēdas ir vienkārši nepieciešama jebkuram mūsdienu aizstāvim - datoru kriminālistikas speciālistam, incidentu reaģēšanas speciālistam, ThreatHunter. eksperts.
Sāksim ar sākotnējās piekļuves taktiku (TA0001) un vispopulārāko paņēmienu — Spearphishing Attachment (T1193). Dažas kibernoziedznieku grupas ir diezgan radošas, izvēloties ieguldījumus. Piemēram, grupa Klusums šim nolūkam izmantoja failus CHM (Microsoft Compiled HTML Help) formātā. Tādējādi mūsu priekšā ir vēl viena tehnika - kompilētais HTML fails (T1223). Šādi faili tiek palaisti, izmantojot hh.exe, tādēļ, ja mēs izvilksim datus no tā Prefetch faila, mēs uzzināsim, kuru failu atvēra upuris:
Turpināsim darbu ar piemēriem no reāliem gadījumiem un pāriesim pie nākamās Izpildes taktikas (TA0002) un CSMTP tehnikas (T1191). Uzbrucēji var izmantot Microsoft Connection Manager Profile Installer (CMSTP.exe), lai palaistu ļaunprātīgus skriptus. Labs piemērs ir Kobalta grupa. Ja mēs iegūstam datus no faila Prefetch cmstp.exe, tad mēs atkal varam uzzināt, kas tieši tika palaists:
Vēl viens populārs paņēmiens ir Regsvr32 (T1117). Regsvr32.exe to bieži izmanto arī uzbrucēji, lai palaistu. Šeit ir vēl viens piemērs no grupas Cobalt: ja mēs iegūstam datus no Prefetch faila regsvr32.exe, tad atkal redzēsim, kas tika palaists:
Nākamā taktika ir noturība (TA0003) un privilēģiju palielināšana (TA0004), kā paņēmiens lietojumprogrammu shēmošana (T1138). Šo paņēmienu izmantoja Carbanak/FIN7, lai noenkurotu sistēmu. Parasti izmanto, lai strādātu ar programmu saderības datu bāzēm (.sdb) sdbinst.exe. Tāpēc šī izpildāmā faila Prefetch fails var mums palīdzēt noskaidrot šādu datu bāzu nosaukumus un to atrašanās vietas:
Kā redzat attēlā, mums ir ne tikai instalēšanai izmantotā faila nosaukums, bet arī instalētās datu bāzes nosaukums.
Apskatīsim vienu no visizplatītākajiem tīkla izplatīšanas piemēriem (TA0008), PsExec, izmantojot administratīvās koplietošanas (T1077). Pakalpojums ar nosaukumu PSEXECSVC (protams, var izmantot jebkuru citu nosaukumu, ja uzbrucēji izmantoja parametru -r) tiks izveidots mērķa sistēmā, tāpēc, ja mēs izvilksim datus no faila Prefetch, mēs redzēsim, kas tika palaists:
Es droši vien beigšu tur, kur sāku - failu dzēšanu (T1107). Kā jau esmu atzīmējis, daudzi uzbrucēji izmanto SDelete, lai neatgriezeniski dzēstu failus dažādos uzbrukuma dzīves cikla posmos. Ja aplūkojam datus no faila Prefetch sdelete.exe, tad mēs redzēsim, kas tieši tika izdzēsts:
Protams, šis nav pilnīgs paņēmienu saraksts, ko var atklāt Prefetch failu analīzes laikā, taču ar to vajadzētu pietikt, lai saprastu, ka šādi faili var palīdzēt ne tikai atrast palaišanas pēdas, bet arī rekonstruēt konkrētu uzbrucēju taktiku un paņēmienus. .
Avots: www.habr.com