Sporingsfiler, eller Prefetch-filer, har eksistert i Windows siden XP. Siden den gang har de hjulpet spesialister innen digital etterforskning og respons på datahendelser med å finne spor av programvare, inkludert skadelig programvare. Ledende spesialist i dataetterforskning Group-IB Oleg Skulkin forteller deg hva du kan finne ved å bruke Prefetch-filer og hvordan du gjør det.
Forhåndshentingsfiler lagres i katalogen %SystemRoot%Prefetch og tjene til å fremskynde prosessen med å lansere programmer. Hvis vi ser på noen av disse filene, vil vi se at navnet består av to deler: navnet på den kjørbare filen og en kontrollsum på åtte tegn fra banen til den.
Prefetch-filer inneholder mye informasjon som er nyttig fra et rettsmedisinsk synspunkt: navnet på den kjørbare filen, antall ganger den ble utført, lister over filer og kataloger som den kjørbare filen samhandlet med, og selvfølgelig tidsstempler. Vanligvis bruker rettsmedisinere opprettelsesdatoen for en bestemt Prefetch-fil for å bestemme datoen programmet først ble lansert. I tillegg lagrer disse filene datoen for den siste lanseringen, og fra og med versjon 26 (Windows 8.1) - tidsstemplene for de syv siste kjøringene.
La oss ta en av Prefetch-filene, trekke ut data fra den ved å bruke Eric Zimmermans PECmd og se på hver del av den. For å demonstrere vil jeg trekke ut data fra en fil CCLEANER64.EXE-DE05DBE1.pf.
Så la oss starte fra toppen. Selvfølgelig har vi tidsstempler for filoppretting, modifisering og tilgang:
De blir fulgt av navnet på den kjørbare filen, sjekksummen av banen til den, størrelsen på den kjørbare filen og versjonen av Prefetch-filen:
Siden vi har å gjøre med Windows 10, vil vi nå se antall starter, dato og klokkeslett for siste start, og ytterligere syv tidsstempler som indikerer tidligere lanseringsdatoer:
Disse blir fulgt av informasjon om volumet, inkludert serienummer og opprettelsesdato:
Sist men ikke minst er en liste over kataloger og filer som den kjørbare interaksjonen med:
Så katalogene og filene som den kjørbare interaksjonen med er akkurat det jeg vil fokusere på i dag. Det er disse dataene som gjør det mulig for spesialister innen digital etterforskning, respons på datahendelser eller proaktiv trusseljakt å fastslå ikke bare det faktum at en bestemt fil kjøres, men også, i noen tilfeller, å rekonstruere spesifikke taktikker og teknikker til angripere. I dag bruker angripere ganske ofte verktøy for å slette data permanent, for eksempel SDelete, så muligheten til å gjenopprette i det minste spor av bruken av visse taktikker og teknikker er ganske enkelt nødvendig for enhver moderne forsvarer - dataetterforskningsspesialist, hendelsesresponsspesialist, ThreatHunter Ekspert.
La oss starte med Initial Access-taktikken (TA0001) og den mest populære teknikken, Spearphishing Attachment (T1193). Noen nettkriminelle grupper er ganske kreative i valg av investeringer. For eksempel brukte Silence-gruppen filer i CHM-formatet (Microsoft Compiled HTML Help) for dette. Dermed har vi en annen teknikk foran oss - Compiled HTML File (T1223). Slike filer startes ved hjelp av Hh.exeDerfor, hvis vi trekker ut data fra Prefetch-filen, vil vi finne ut hvilken fil som ble åpnet av offeret:
La oss fortsette å jobbe med eksempler fra virkelige saker og gå videre til neste utførelsestaktikk (TA0002) og CSMTP-teknikk (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) kan brukes av angripere til å kjøre skadelige skript. Et godt eksempel er Cobalt-gruppen. Hvis vi trekker ut data fra Prefetch-filen cmstp.exe, så kan vi igjen finne ut hva som ble lansert:
En annen populær teknikk er Regsvr32 (T1117). Regsvr32.exe brukes også ofte av angripere for å lansere. Her er et annet eksempel fra Cobalt-gruppen: hvis vi trekker ut data fra en Prefetch-fil regsvr32.exe, så igjen vil vi se hva som ble lansert:
Den neste taktikken er Persistence (TA0003) og Privilege Escalation (TA0004), med Application Shimming (T1138) som teknikk. Denne teknikken ble brukt av Carbanak/FIN7 for å forankre systemet. Brukes vanligvis til å jobbe med programkompatibilitetsdatabaser (.sdb) sdbinst.exe. Derfor kan Prefetch-filen til denne kjørbare filen hjelpe oss med å finne ut navnene på slike databaser og deres plassering:
Som du kan se i illustrasjonen, har vi ikke bare navnet på filen som brukes til installasjonen, men også navnet på den installerte databasen.
La oss ta en titt på et av de vanligste eksemplene på nettverksutbredelse (TA0008), PsExec, ved bruk av administrative delinger (T1077). Tjeneste kalt PSEXECSVC (selvfølgelig kan et hvilket som helst annet navn brukes hvis angripere brukte parameteren -r) vil bli opprettet på målsystemet, derfor, hvis vi trekker ut dataene fra Prefetch-filen, vil vi se hva som ble lansert:
Jeg slutter sannsynligvis der jeg startet – sletting av filer (T1107). Som jeg allerede har lagt merke til, bruker mange angripere SDelete for å permanent slette filer på forskjellige stadier av angrepets livssyklus. Hvis vi ser på dataene fra Prefetch-filen sdelete.exe, så får vi se hva som ble slettet:
Dette er selvfølgelig ikke en uttømmende liste over teknikker som kan oppdages under analysen av Prefetch-filer, men dette burde være nok til å forstå at slike filer ikke bare kan hjelpe med å finne spor etter lanseringen, men også rekonstruere spesifikke angripertaktikker og teknikker .
Kilde: www.habr.com