Fajls tat-traċċa, jew fajls Prefetch, ilhom fil-Windows minn XP. Minn dakinhar 'l hawn, għenu lill-forensika diġitali u lill-ispeċjalisti tar-rispons għall-inċidenti tal-kompjuter isibu traċċi ta' softwer, inkluż malware. Speċjalista ewlieni fil-forensika tal-kompjuter Group-IB Oleg Skulkin jgħidlek x'tista' ssib billi tuża fajls Prefetch u kif tagħmel dan.
Fajls Prefetch huma maħżuna fid-direttorju %SystemRoot%Prefetch u jservu biex jitħaffef il-proċess tat-tnedija tal-programmi. Jekk inħarsu lejn xi wieħed minn dawn il-fajls, se naraw li l-isem tiegħu jikkonsisti f'żewġ partijiet: l-isem tal-fajl eżekutibbli u checksum ta 'tmien karattri mill-mogħdija lejh.
Fajls Prefetch fihom ħafna informazzjoni utli mil-lat forensiku: l-isem tal-fajl eżekutibbli, in-numru ta 'drabi li ġie eżegwit, listi ta' fajls u direttorji li magħhom il-fajl eżekutibbli interaġixxa, u, ovvjament, timestamps. Tipikament, xjenzati forensiċi jużaw id-data tal-ħolqien ta 'fajl Prefetch partikolari biex jiddeterminaw id-data li fiha l-programm tnieda għall-ewwel darba. Barra minn hekk, dawn il-fajls jaħżnu d-data tal-aħħar tnedija tiegħu, u li jibdew mill-verżjoni 26 (Windows 8.1) - il-timestamps tas-seba 'ġirjiet l-aktar riċenti.
Ejja nieħdu wieħed mill-fajls Prefetch, estratt id-dejta minnha billi tuża l-PECmd ta 'Eric Zimmerman u nħarsu lejn kull parti minnha. Biex nuri, se niġbed id-dejta minn fajl CCLEANER64.EXE-DE05DBE1.pf.
Mela ejja nibdew minn fuq. Naturalment, għandna l-ħolqien, il-modifika, u l-timestamps tal-aċċess tal-fajls:
Huma segwiti mill-isem tal-fajl eżekutibbli, iċ-checksum tal-mogħdija għalih, id-daqs tal-fajl eżekutibbli, u l-verżjoni tal-fajl Prefetch:
Peress li qed nittrattaw ma 'Windows 10, li jmiss se naraw in-numru ta' bidu, id-data u l-ħin tal-aħħar bidu, u seba 'timestamps oħra li jindikaw dati ta' tnedija preċedenti:
Dawn huma segwiti minn informazzjoni dwar il-volum, inkluż in-numru tas-serje tiegħu u d-data tal-ħolqien:
L-aħħar iżda mhux l-inqas hija lista ta’ direttorji u fajls li l-eżekutibbli interaġixxa magħhom:
Għalhekk, id-direttorji u l-fajls li l-eżekutibbli interaġixxa magħhom huma eżattament dak li rrid niffoka fuqhom illum. Hija din id-dejta li tippermetti lill-ispeċjalisti fil-forensika diġitali, ir-rispons għall-inċidenti tal-kompjuter, jew il-kaċċa proattiva għat-theddid biex jistabbilixxu mhux biss il-fatt tal-eżekuzzjoni ta 'fajl partikolari, iżda wkoll, f'xi każijiet, biex jibnu mill-ġdid tattiċi u tekniki speċifiċi tal-attakkanti. Illum, l-attakkanti ta 'spiss jużaw għodod biex iħassru b'mod permanenti d-dejta, pereżempju, SDelete, għalhekk il-kapaċità li jirrestawraw mill-inqas traċċi tal-użu ta' ċerti tattiċi u tekniki hija sempliċement meħtieġa għal kwalunkwe difensur modern - speċjalista tal-forensika tal-kompjuter, speċjalista tar-rispons għall-inċidenti, ThreatHunter espert.
Nibdew bit-tattika tal-Aċċess Inizjali (TA0001) u l-aktar teknika popolari, Spearphishing Attachment (T1193). Xi gruppi ċiberkriminali huma pjuttost kreattivi fl-għażla tagħhom tal-investimenti. Pereżempju, il-grupp Silence uża fajls fil-format CHM (Microsoft Compiled HTML Help) għal dan. Għalhekk, għandna quddiemna teknika oħra - Compiled HTML File (T1223). Fajls bħal dawn huma mnedija bl-użu hh.exe, għalhekk, jekk nieħdu dejta mill-fajl Prefetch tiegħu, insibu liema fajl infetaħ mill-vittma:
Ejja nkomplu naħdmu b'eżempji minn każijiet reali u mmorru għat-tattika ta' Eżekuzzjoni (TA0002) u teknika CSMTP (T1191) li jmiss. Microsoft Connection Manager Profile Installer (CMSTP.exe) jista' jintuża minn attakkanti biex imexxu skripts malizzjużi. Eżempju tajjeb huwa l-grupp Kobalt. Jekk nieħdu dejta mill-fajl Prefetch cmstp.exe, allura nistgħu nerġgħu nsiru nafu x'tnieda eżattament:
Teknika popolari oħra hija Regsvr32 (T1117). Regsvr32.exe huwa wkoll spiss użat mill-attakkanti biex tniedi. Hawn eżempju ieħor mill-grupp Kobalt: jekk niġbdu data minn fajl Prefetch regsvr32.exe, imbagħad għal darb'oħra naraw x'tnieda:
It-tattiċi li jmiss huma Persistenza (TA0003) u Escalation tal-Privileġġ (TA0004), bl-Applikazzjoni Shimming (T1138) bħala teknika. Din it-teknika ntużat minn Carbanak/FIN7 biex jankraw is-sistema. Tipikament użat biex jaħdem ma' databases ta' kompatibilità tal-programmi (.sdb) sdbinst.exe. Għalhekk, il-fajl Prefetch ta’ dan l-eżekutibbli jista’ jgħinna nsibu l-ismijiet ta’ tali databases u l-postijiet tagħhom:
Kif tistgħu taraw fl-illustrazzjoni, għandna mhux biss l-isem tal-fajl użat għall-installazzjoni, iżda wkoll l-isem tad-database installata.
Ejja nagħtu ħarsa lejn wieħed mill-aktar eżempji komuni ta 'propagazzjoni tan-netwerk (TA0008), PsExec, bl-użu ta' ishma amministrattivi (T1077). Servizz jismu PSEXECSVC (naturalment, kwalunkwe isem ieħor jista’ jintuża jekk l-attakkanti użaw il-parametru -r) se tinħoloq fuq is-sistema fil-mira, għalhekk, jekk niġbdu d-dejta mill-fajl Prefetch, naraw x'tnieda:
Probabbilment se nispiċċa fejn bdejt - tħassar fajls (T1107). Kif diġà nnutajt, ħafna attakkanti jużaw SDelete biex iħassru fajls b'mod permanenti f'diversi stadji taċ-ċiklu tal-ħajja tal-attakk. Jekk inħarsu lejn id-dejta mill-fajl Prefetch sdelete.exe, imbagħad naraw x'kienet eżattament imħassra:
Naturalment, din mhix lista eżawrjenti ta 'tekniki li jistgħu jiġu skoperti waqt l-analiżi tal-fajls Prefetch, iżda dan għandu jkun biżżejjed biex wieħed jifhem li fajls bħal dawn jistgħu jgħinu mhux biss isibu traċċi tat-tnedija, iżda wkoll jirrikostitwixxu tattiċi u tekniki speċifiċi tal-attakkant. .
Sors: www.habr.com