Pliki śledzenia lub pliki pobierania wstępnego są dostępne w systemie Windows od wersji XP. Od tego czasu pomagają specjalistom z zakresu kryminalistyki cyfrowej i reagowania na incydenty komputerowe znajdować ślady oprogramowania, w tym złośliwego oprogramowania. Wiodący specjalista informatyki śledczej Group-IB Oleg Skulkin powie Ci, co możesz znaleźć za pomocą plików Prefetch i jak to zrobić.
Pliki pobierania wstępnego są przechowywane w katalogu %SystemRoot%Pobierz z wyprzedzeniem i służą do przyspieszenia procesu uruchamiania programów. Jeśli spojrzymy na którykolwiek z tych plików, zobaczymy, że jego nazwa składa się z dwóch części: nazwy pliku wykonywalnego i ośmioznakowej sumy kontrolnej ze ścieżki do niego.
Pliki pobierania wstępnego zawierają wiele informacji przydatnych z kryminalistycznego punktu widzenia: nazwę pliku wykonywalnego, liczbę jego wykonań, listę plików i katalogów, z którymi plik wykonywalny wchodził w interakcję, oraz oczywiście znaczniki czasu. Zazwyczaj specjaliści medycyny sądowej wykorzystują datę utworzenia konkretnego pliku pobierania wstępnego do ustalenia daty pierwszego uruchomienia programu. Dodatkowo w plikach tych przechowywana jest data jego ostatniego uruchomienia, a począwszy od wersji 26 (Windows 8.1) - znaczniki czasu siedmiu ostatnich uruchomień.
Weźmy jeden z plików Prefetch, wyodrębnijmy z niego dane za pomocą narzędzia PECmd Erica Zimmermana i przyjrzyjmy się każdej jego części. Aby to zademonstrować, wyodrębnię dane z pliku CCLEANER64.EXE-DE05DBE1.pf.
Zacznijmy więc od góry. Oczywiście mamy znaczniki czasu tworzenia, modyfikacji i dostępu do plików:
Po nich następuje nazwa pliku wykonywalnego, suma kontrolna ścieżki do niego, rozmiar pliku wykonywalnego i wersja pliku Prefetch:
Ponieważ mamy do czynienia z Windowsem 10, następnie zobaczymy liczbę uruchomień, datę i godzinę ostatniego uruchomienia oraz siedem kolejnych znaczników czasu wskazujących daty poprzednich uruchomień:
Po nich następują informacje o wolumenie, w tym jego numer seryjny i data powstania:
Na koniec znajduje się lista katalogów i plików, z którymi plik wykonywalny wchodził w interakcję:
Zatem katalogi i pliki, z którymi współpracował plik wykonywalny, są dokładnie tym, na czym chcę się dzisiaj skupić. To właśnie te dane pozwalają specjalistom zajmującym się kryminalistyką cyfrową, reagowaniem na incydenty komputerowe czy proaktywnym polowaniem na zagrożenia ustalić nie tylko fakt wykonania konkretnego pliku, ale także w niektórych przypadkach zrekonstruować konkretną taktykę i techniki atakujących. Dziś napastnicy dość często korzystają z narzędzi do trwałego usunięcia danych, np. SDelete, dlatego umiejętność przywrócenia chociaż śladów stosowania określonych taktyk i technik jest po prostu niezbędna każdemu współczesnemu obrońcy – specjalistowi informatyki śledczej, specjaliście reagowania na incydenty, ThreatHunterowi ekspert.
Zacznijmy od taktyki początkowego dostępu (TA0001) i najpopularniejszej techniki, czyli załącznika typu spearphishing (T1193). Niektóre grupy cyberprzestępcze są dość kreatywne w wyborze inwestycji. Na przykład grupa Silence użyła do tego plików w formacie CHM (Microsoft Compiled HTML Help). Zatem mamy przed sobą kolejną technikę - Skompilowany plik HTML (T1223). Takie pliki są uruchamiane za pomocą hh.exedlatego też, jeśli wyodrębnimy dane z jej pliku Prefetch, dowiemy się, który plik został otwarty przez ofiarę:
Kontynuujmy pracę z przykładami z rzeczywistych przypadków i przejdźmy do kolejnej taktyki wykonania (TA0002) i techniki CSMTP (T1191). Instalator profilu Microsoft Connection Manager (CMSTP.exe) może zostać wykorzystany przez osoby atakujące do uruchomienia złośliwych skryptów. Dobrym przykładem jest grupa Cobalt. Jeśli wyodrębnimy dane z pliku Prefetch cmstp.exe, wtedy możemy ponownie dowiedzieć się, co dokładnie zostało uruchomione:
Inną popularną techniką jest Regsvr32 (T1117). Regsvr32.exe jest również często używany przez atakujących do uruchomienia. Oto kolejny przykład z grupy Cobalt: jeśli wyodrębnimy dane z pliku Prefetch regsvr32.exe, wtedy jeszcze raz zobaczymy, co zostało uruchomione:
Następną taktyką są Trwałość (TA0003) i Eskalacja uprawnień (TA0004), z techniką Shimming aplikacji (T1138). Technikę tę wykorzystali Carbanak/FIN7 do zakotwiczenia systemu. Zwykle używany do pracy z bazami danych kompatybilności programów (.sdb) sdbinst.exe. Dlatego plik Prefetch tego pliku wykonywalnego może pomóc nam znaleźć nazwy takich baz danych i ich lokalizacje:
Jak widać na ilustracji, mamy nie tylko nazwę pliku użytego do instalacji, ale także nazwę zainstalowanej bazy danych.
Przyjrzyjmy się jednemu z najczęstszych przykładów propagacji sieci (TA0008), PsExec, przy użyciu udziałów administracyjnych (T1077). Usługa o nazwie PSEXECSVC (oczywiście można użyć dowolnej innej nazwy, jeśli atakujący użyli parametru -r) zostanie utworzony na systemie docelowym, dlatego jeśli wyodrębnimy dane z pliku Prefetch, zobaczymy, co zostało uruchomione:
Prawdopodobnie zakończę tam, gdzie zacząłem – usuwaniem plików (T1107). Jak już zauważyłem, wielu atakujących używa SDelete do trwałego usuwania plików na różnych etapach cyklu życia ataku. Jeśli spojrzymy na dane z pliku Prefetch sdelete.exe, wtedy zobaczymy, co dokładnie zostało usunięte:
Oczywiście nie jest to wyczerpująca lista technik, które można odkryć podczas analizy plików Prefetch, ale powinno wystarczyć, aby zrozumieć, że takie pliki mogą pomóc nie tylko znaleźć ślady uruchomienia, ale także zrekonstruować konkretną taktykę i techniki atakującego .
Źródło: www.habr.com