Fișierele de urmărire sau fișierele Prefetch există în Windows încă de la XP. De atunci, ei au ajutat specialiștii în criminalistica digitală și în răspunsul la incidente informatice să găsească urme de software, inclusiv malware. Specialist de frunte în criminalistica informatică Group-IB Oleg Skulkin vă spune ce puteți găsi folosind fișierele Prefetch și cum să o faceți.
Fișierele de preluare preliminară sunt stocate în director %SystemRoot%Prefetch și servesc la accelerarea procesului de lansare a programelor. Dacă ne uităm la oricare dintre aceste fișiere, vom vedea că numele acestuia constă din două părți: numele fișierului executabil și o sumă de control de opt caractere de la calea către acesta.
Fișierele Prefetch conțin o mulțime de informații utile din punct de vedere criminalistic: numele fișierului executabil, de câte ori a fost executat, liste de fișiere și directoare cu care a interacționat fișierul executabil și, bineînțeles, marcaje temporale. De obicei, oamenii de știință criminalistică folosesc data creării unui anumit fișier Prefetch pentru a determina data la care programul a fost lansat pentru prima dată. În plus, aceste fișiere stochează data ultimei lansări și, începând cu versiunea 26 (Windows 8.1) - marcajele de timp ale celor mai recente șapte rulări.
Să luăm unul dintre fișierele Prefetch, să extragem date din el folosind PECmd lui Eric Zimmerman și să ne uităm la fiecare parte a acestuia. Pentru a demonstra, voi extrage date dintr-un fișier CCLEANER64.EXE-DE05DBE1.pf.
Deci, să începem de sus. Desigur, avem marcaje temporale pentru crearea, modificarea și accesul fișierelor:
Acestea sunt urmate de numele fișierului executabil, suma de control a căii către acesta, dimensiunea fișierului executabil și versiunea fișierului Prefetch:
Deoarece avem de-a face cu Windows 10, în continuare vom vedea numărul de porniri, data și ora ultimei porniri și alte șapte marcaje temporale care indică datele anterioare de lansare:
Acestea sunt urmate de informații despre volum, inclusiv numărul de serie și data creării:
Nu în ultimul rând, este o listă de directoare și fișiere cu care executabilul a interacționat:
Deci, directoarele și fișierele cu care a interacționat executabilul sunt exact pe care vreau să mă concentrez astăzi. Aceste date le permit specialiștilor în criminalistica digitală, răspunsul la incidente informatice sau vânătoarea proactivă a amenințărilor să stabilească nu numai faptul execuției unui anumit fișier, ci și, în unele cazuri, să reconstituie tactici și tehnici specifice atacatorilor. Astăzi, atacatorii folosesc destul de des instrumente pentru a șterge definitiv datele, de exemplu, SDelete, astfel încât capacitatea de a restabili cel puțin urme ale utilizării anumitor tactici și tehnici este pur și simplu necesară oricărui apărător modern - specialist în criminalistică informatică, specialist în răspuns la incidente, ThreatHunter expert.
Să începem cu tactica Acces inițial (TA0001) și cea mai populară tehnică, Spearphishing Attachment (T1193). Unele grupuri de criminali cibernetici sunt destul de creative în alegerea investițiilor. De exemplu, grupul Silence a folosit fișiere în formatul CHM (Microsoft Compiled HTML Help) pentru aceasta. Astfel, avem în fața noastră o altă tehnică - Compiled HTML File (T1223). Astfel de fișiere sunt lansate folosind hh.exe, prin urmare, dacă extragem date din fișierul său Prefetch, vom afla ce fișier a fost deschis de victimă:
Să continuăm să lucrăm cu exemple din cazuri reale și să trecem la următoarea tactică de execuție (TA0002) și tehnică CSMTP (T1191). Instalatorul de profil Microsoft Connection Manager (CMSTP.exe) poate fi folosit de atacatori pentru a rula scripturi rău intenționate. Un bun exemplu este grupul Cobalt. Dacă extragem date din fișierul Prefetch cmstp.exe, apoi putem afla din nou ce anume a fost lansat:
O altă tehnică populară este Regsvr32 (T1117). Regsvr32.exe este, de asemenea, adesea folosit de atacatori pentru a lansa. Iată un alt exemplu din grupul Cobalt: dacă extragem date dintr-un fișier Prefetch regsvr32.exe, apoi vom vedea din nou ce a fost lansat:
Următoarele tactici sunt Persistența (TA0003) și Escalarea privilegiilor (TA0004), cu aplicarea Shimming (T1138) ca tehnică. Această tehnică a fost folosită de Carbanak/FIN7 pentru ancorarea sistemului. Folosit de obicei pentru a lucra cu baze de date de compatibilitate cu programe (.sdb) sdbinst.exe. Prin urmare, fișierul Prefetch al acestui executabil ne poate ajuta să aflăm numele unor astfel de baze de date și locațiile acestora:
După cum puteți vedea în ilustrație, avem nu numai numele fișierului folosit pentru instalare, ci și numele bazei de date instalate.
Să aruncăm o privire la unul dintre cele mai comune exemple de propagare a rețelei (TA0008), PsExec, folosind partajări administrative (T1077). Serviciu numit PSEXECSVC (desigur, orice alt nume poate fi folosit dacă atacatorii au folosit parametrul -r) va fi creat pe sistemul țintă, prin urmare, dacă extragem datele din fișierul Prefetch, vom vedea ce a fost lansat:
Probabil că voi termina de unde am început - ștergerea fișierelor (T1107). După cum am observat deja, mulți atacatori folosesc SDelete pentru a șterge definitiv fișierele în diferite etape ale ciclului de viață al atacului. Dacă ne uităm la datele din fișierul Prefetch sdelete.exe, apoi vom vedea ce anume a fost șters:
Desigur, aceasta nu este o listă exhaustivă de tehnici care pot fi descoperite în timpul analizei fișierelor Prefetch, dar acest lucru ar trebui să fie suficient pentru a înțelege că astfel de fișiere pot ajuta nu numai să găsească urme ale lansării, ci și să reconstruiască tactici și tehnici specifice atacatorului. .
Sursa: www.habr.com