Arquivos de rastreamento, ou arquivos de pré-busca, existem no Windows desde o XP. Desde então, eles têm ajudado especialistas em análise forense digital e resposta a incidentes de computador a encontrar vestígios de software, incluindo malware. Especialista líder em computação forense Group-IB Oleg Skulkin informa o que você pode encontrar usando arquivos de pré-busca e como fazer isso.
Os arquivos de pré-busca são armazenados no diretório %SystemRoot%Pré-busca e servem para agilizar o processo de lançamento de programas. Se observarmos qualquer um desses arquivos, veremos que seu nome consiste em duas partes: o nome do arquivo executável e uma soma de verificação de oito caracteres do caminho para ele.
Os arquivos de pré-busca contêm muitas informações úteis do ponto de vista forense: o nome do arquivo executável, o número de vezes que ele foi executado, listas de arquivos e diretórios com os quais o arquivo executável interagiu e, claro, carimbos de data/hora. Normalmente, os cientistas forenses usam a data de criação de um arquivo de pré-busca específico para determinar a data em que o programa foi lançado pela primeira vez. Além disso, esses arquivos armazenam a data de seu último lançamento e, a partir da versão 26 (Windows 8.1), os carimbos de data e hora das sete execuções mais recentes.
Vamos pegar um dos arquivos Prefetch, extrair dados dele usando o PECmd de Eric Zimmerman e examinar cada parte dele. Para demonstrar, vou extrair dados de um arquivo CCLEANER64.EXE-DE05DBE1.pf.
Então, vamos começar do topo. Claro, temos carimbos de data e hora de criação, modificação e acesso de arquivos:
Eles são seguidos pelo nome do arquivo executável, a soma de verificação do caminho para ele, o tamanho do arquivo executável e a versão do arquivo de pré-busca:
Como estamos lidando com o Windows 10, a seguir veremos o número de inicializações, a data e hora da última inicialização e mais sete carimbos de data e hora indicando datas de lançamento anteriores:
Estes são seguidos por informações sobre o volume, incluindo seu número de série e data de criação:
Por último, mas não menos importante, está uma lista de diretórios e arquivos com os quais o executável interagiu:
Portanto, os diretórios e arquivos com os quais o executável interagiu são exatamente o que quero focar hoje. São estes dados que permitem aos especialistas em análise forense digital, resposta a incidentes informáticos ou caça proactiva a ameaças estabelecer não só o facto da execução de um determinado ficheiro, mas também, em alguns casos, reconstruir tácticas e técnicas específicas dos atacantes. Hoje, os invasores costumam usar ferramentas para excluir dados permanentemente, por exemplo, SDelete, portanto, a capacidade de restaurar pelo menos vestígios do uso de certas táticas e técnicas é simplesmente necessária para qualquer defensor moderno - especialista em computação forense, especialista em resposta a incidentes, ThreatHunter especialista.
Vamos começar com a tática de Acesso Inicial (TA0001) e a técnica mais popular, Spearphishing Attachment (T1193). Alguns grupos cibercriminosos são bastante criativos na escolha dos investimentos. Por exemplo, o grupo Silence usou arquivos no formato CHM (Microsoft Compiled HTML Help) para isso. Assim, temos diante de nós outra técnica - Arquivo HTML Compilado (T1223). Esses arquivos são iniciados usando hh.exe, portanto, se extrairmos dados de seu arquivo Prefetch, descobriremos qual arquivo foi aberto pela vítima:
Vamos continuar trabalhando com exemplos de casos reais e passar para a próxima tática de Execução (TA0002) e técnica CSMTP (T1191). O instalador de perfil do Microsoft Connection Manager (CMSTP.exe) pode ser usado por invasores para executar scripts maliciosos. Um bom exemplo é o grupo Cobalt. Se extrairmos dados do arquivo Prefetch cmstp.exe, então podemos descobrir novamente o que exatamente foi lançado:
Outra técnica popular é o Regsvr32 (T1117). Regsvr32.exe também é frequentemente usado por invasores para iniciar. Aqui está outro exemplo do grupo Cobalt: se extrairmos dados de um arquivo Prefetch regsvr32.exe, então veremos novamente o que foi lançado:
As próximas táticas são Persistência (TA0003) e Escalação de Privilégios (TA0004), com Application Shimming (T1138) como técnica. Esta técnica foi utilizada por Carbanak/FIN7 para ancorar o sistema. Normalmente usado para trabalhar com bancos de dados de compatibilidade de programas (.sdb) sdbinst.exe. Portanto, o arquivo Prefetch deste executável pode nos ajudar a descobrir os nomes desses bancos de dados e suas localizações:
Como você pode ver na ilustração, não temos apenas o nome do arquivo utilizado para instalação, mas também o nome do banco de dados instalado.
Vejamos um dos exemplos mais comuns de propagação de rede (TA0008), PsExec, usando compartilhamentos administrativos (T1077). Serviço chamado PSEXECSVC (é claro, qualquer outro nome pode ser usado se os invasores usarem o parâmetro -r) será criado no sistema de destino, portanto, se extrairmos os dados do arquivo Prefetch, veremos o que foi iniciado:
Provavelmente terminarei onde comecei – excluindo arquivos (T1107). Como já observei, muitos invasores usam o SDelete para excluir arquivos permanentemente em vários estágios do ciclo de vida do ataque. Se olharmos os dados do arquivo Prefetch sdelete.exe, então veremos o que exatamente foi excluído:
É claro que esta não é uma lista exaustiva de técnicas que podem ser descobertas durante a análise de arquivos de pré-busca, mas deve ser suficiente para entender que tais arquivos podem ajudar não apenas a encontrar vestígios de lançamento, mas também a reconstruir táticas e técnicas específicas do invasor. .
Fonte: habr.com