Fail jejak, atau fail Prefetch, telah wujud dalam Windows sejak XP. Sejak itu, mereka telah membantu pakar forensik digital dan tindak balas insiden komputer mencari kesan perisian, termasuk perisian hasad. Pakar terkemuka dalam forensik komputer Kumpulan-IB Oleg Skulkin memberitahu anda perkara yang anda boleh temui menggunakan fail Prefetch dan cara melakukannya.
Fail prefetch disimpan dalam direktori %SystemRoot%Prefetch dan berfungsi untuk mempercepatkan proses pelancaran program. Jika kita melihat mana-mana fail ini, kita akan melihat bahawa namanya terdiri daripada dua bahagian: nama fail boleh laku dan jumlah semak lapan aksara dari laluan ke fail tersebut.
Fail prefetch mengandungi banyak maklumat yang berguna dari sudut pandangan forensik: nama fail boleh laku, bilangan kali ia dilaksanakan, senarai fail dan direktori yang mana fail boleh laku berinteraksi dan, sudah tentu, cap masa. Biasanya, saintis forensik menggunakan tarikh penciptaan fail Prefetch tertentu untuk menentukan tarikh program itu mula-mula dilancarkan. Di samping itu, fail ini menyimpan tarikh pelancarannya yang terakhir, dan bermula dari versi 26 (Windows 8.1) - cap masa bagi tujuh larian terkini.
Mari ambil salah satu fail Prefetch, ekstrak data daripadanya menggunakan PECmd Eric Zimmerman dan lihat setiap bahagiannya. Untuk menunjukkan, saya akan mengekstrak data daripada fail CCLEANER64.EXE-DE05DBE1.pf.
Jadi mari kita mulakan dari atas. Sudah tentu, kami mempunyai penciptaan fail, pengubahsuaian dan cap masa capaian:
Ia diikuti dengan nama fail boleh laku, jumlah semak laluan ke sana, saiz fail boleh laku dan versi fail Prafetch:
Memandangkan kita berurusan dengan Windows 10, seterusnya kita akan melihat bilangan permulaan, tarikh dan masa permulaan terakhir, dan tujuh lagi cap masa yang menunjukkan tarikh pelancaran sebelumnya:
Ini diikuti dengan maklumat tentang volum, termasuk nombor siri dan tarikh penciptaannya:
Akhir sekali ialah senarai direktori dan fail yang boleh dieksekusi berinteraksi dengan:
Jadi, direktori dan fail yang berinteraksi dengan executable adalah perkara yang saya mahu fokuskan hari ini. Data inilah yang membolehkan pakar dalam forensik digital, tindak balas insiden komputer, atau pemburuan ancaman proaktif untuk membuktikan bukan sahaja fakta pelaksanaan fail tertentu, tetapi juga, dalam beberapa kes, untuk membina semula taktik dan teknik tertentu penyerang. Hari ini, penyerang agak kerap menggunakan alat untuk memadam data secara kekal, contohnya, SDelete, jadi keupayaan untuk memulihkan sekurang-kurangnya kesan penggunaan taktik dan teknik tertentu hanya diperlukan untuk mana-mana pertahanan moden - pakar forensik komputer, pakar tindak balas insiden, ThreatHunter pakar.
Mari kita mulakan dengan taktik Akses Permulaan (TA0001) dan teknik yang paling popular, Spearphishing Attachment (T1193). Sesetengah kumpulan penjenayah siber agak kreatif dalam pilihan pelaburan mereka. Sebagai contoh, kumpulan Senyap menggunakan fail dalam format CHM (Microsoft Compiled HTML Help) untuk ini. Oleh itu, kami mempunyai teknik lain - Fail HTML Tersusun (T1223). Fail sedemikian dilancarkan menggunakan hh.exe, oleh itu, jika kami mengekstrak data daripada fail Prefetchnya, kami akan mengetahui fail yang dibuka oleh mangsa:
Mari teruskan bekerja dengan contoh daripada kes sebenar dan teruskan ke taktik Pelaksanaan seterusnya (TA0002) dan teknik CSMTP (T1191). Pemasang Profil Pengurus Sambungan Microsoft (CMSTP.exe) boleh digunakan oleh penyerang untuk menjalankan skrip berniat jahat. Contoh yang baik ialah kumpulan Cobalt. Jika kami mengekstrak data daripada fail Prefetch cmstp.exe, maka kita boleh mengetahui semula apa sebenarnya yang dilancarkan:
Satu lagi teknik popular ialah Regsvr32 (T1117). Regsvr32.exe juga sering digunakan oleh penyerang untuk melancarkan. Berikut ialah contoh lain daripada kumpulan Cobalt: jika kami mengekstrak data daripada fail Prefetch regsvr32.exe, sekali lagi kita akan melihat apa yang dilancarkan:
Taktik seterusnya ialah Persistence (TA0003) dan Privilege Escalation (TA0004), dengan Application Shimming (T1138) sebagai teknik. Teknik ini digunakan oleh Carbanak/FIN7 untuk menambat sistem. Biasanya digunakan untuk bekerja dengan pangkalan data keserasian program (.sdb) sdbinst.exe. Oleh itu, fail Prefetch bagi boleh laku ini boleh membantu kami mengetahui nama pangkalan data tersebut dan lokasinya:
Seperti yang anda lihat dalam ilustrasi, kami bukan sahaja mempunyai nama fail yang digunakan untuk pemasangan, tetapi juga nama pangkalan data yang dipasang.
Mari kita lihat salah satu contoh penyebaran rangkaian (TA0008) yang paling biasa, PsExec, menggunakan saham pentadbiran (T1077). Perkhidmatan bernama PSEXECSVC (sudah tentu, sebarang nama lain boleh digunakan jika penyerang menggunakan parameter tersebut -r) akan dibuat pada sistem sasaran, oleh itu, jika kami mengekstrak data daripada fail Prefetch, kami akan melihat perkara yang dilancarkan:
Saya mungkin akan menamatkan di mana saya mula - memadam fail (T1107). Seperti yang telah saya nyatakan, ramai penyerang menggunakan SDelete untuk memadam fail secara kekal pada pelbagai peringkat kitaran hayat serangan. Jika kita melihat data daripada fail Prefetch sdelete.exe, maka kita akan melihat apa sebenarnya yang telah dipadamkan:
Sudah tentu, ini bukan senarai lengkap teknik yang boleh ditemui semasa analisis fail Prefetch, tetapi ini sepatutnya cukup untuk memahami bahawa fail tersebut boleh membantu bukan sahaja mencari jejak pelancaran, tetapi juga membina semula taktik dan teknik penyerang tertentu .
Sumber: www.habr.com