Datoteke sledenja ali datoteke prednalaganja so bile uvedene leta Windows Že od časov XP pomagajo strokovnjakom za digitalno forenziko in odzivanje na računalniške incidente najti sledi izvajanja programov, vključno z zlonamerno programsko opremo. Vodilni specialist za digitalno forenziko pri Group-IB Oleg Skulkin pojasnjuje, kaj je mogoče najti s pomočjo datotek prednalaganja in kako to storiti.
Datoteke za prednalaganje so shranjene v imeniku %SystemRoot%Prefetch in služijo za pospešitev postopka zagona programa. Če si ogledamo katero koli od teh datotek, bomo videli, da je njeno ime sestavljeno iz dveh delov: imena izvedljive datoteke in osemmestne kontrolne vsote poti do nje.
Datoteke prednalaganja vsebujejo obilico forenzično uporabnih informacij: ime izvršljive datoteke, število izvedb, sezname datotek in imenikov, s katerimi je izvršljiva datoteka komunicirala, in seveda časovne žige. Forenzični analitiki običajno uporabijo datum nastanka določene datoteke prednalaganja, da določijo datum prve izvedbe programa. Te datoteke shranjujejo tudi datum zadnje izvedbe, od različice 26 naprej pa naprej.Windows 8.1) - časovni žigi zadnjih sedmih izstrelitev.
Vzemimo eno od datotek za prednalaganje, iz nje izvlečemo podatke z uporabo programa PECmd Erica Zimmermana in si poglejmo vsak del. Za demonstracijo bom podatke izvlekel iz datoteke. CCLEANER64.EXE-DE05DBE1.pf.
Torej, začnimo od začetka. Seveda imamo časovne žige za ustvarjanje, spreminjanje in dostop do datotek:
Sledijo ime izvedljive datoteke, kontrolna vsota poti do nje, velikost izvedljive datoteke in različica datoteke za predhodno pridobivanje:
Ker imamo opravka z Windows 10, nato bomo videli število izstrelitev, datum in čas zadnje izstrelitve ter še sedem časovnih žigov, ki označujejo prejšnje datume izstrelitev:
Sledijo informacije o nosilcu, vključno z njegovo serijsko številko in datumom nastanka:
Nenazadnje je tu še seznam imenikov in datotek, s katerimi je izvršljiva datoteka komunicirala:
Torej, imeniki in datoteke, s katerimi je izvršljiva datoteka komunicirala, so točno tisto, na kar se želim danes osredotočiti. Ti podatki omogočajo strokovnjakom za digitalno forenziko, odzivanje na računalniške incidente in proaktivno iskanje groženj, da ne le ugotovijo, ali je bila določena datoteka izvedena, temveč v nekaterih primerih tudi rekonstruirajo specifične taktike in tehnike napadov. Danes napadalci pogosto uporabljajo orodja za trajno brisanje podatkov, kot je SDelete, zato je sposobnost obnovitve vsaj sledi uporabe specifičnih taktik in tehnik bistvena za vsakega sodobnega branilca – strokovnjaka za digitalno forenziko, odzivanje na incidente ali iskanje groženj.
Začnimo s taktiko začetnega dostopa (TA0001) in njeno najbolj priljubljeno tehniko, Spearphishing Attachment (T1193). Nekatere kibernetske kriminalne skupine so precej ustvarjalne pri izbiri prilog. Skupina Silence je na primer uporabila datoteke CHM (Microsoft Compiled HTML Help). Torej, obravnavali bomo drugo tehniko: Compiled HTML File (T1223). Te datoteke se zaženejo z uporabo hh.exe, če torej izvlečemo podatke iz datoteke Prefetch, bomo ugotovili, katero datoteko točno je žrtev odprla:
Nadaljujemo z delom s primeri iz resničnega sveta in se pomaknimo k naslednji taktiki, Izvedbi (TA0002) in tehniki CSMTP (T1191). Napadalci lahko za zagon zlonamernih skript uporabijo namestitveni program Microsoft Connection Manager Profile Installer (CMSTP.exe). Dober primer je skupina Cobalt. Če iz datoteke Prefetch izvlečemo podatke cmstp.exe, potem lahko ponovno ugotovimo, kaj točno je bilo lansirano:
Druga priljubljena tehnika je Regsvr32 (T1117). Regsvr32.exe napadalci pogosto uporabljajo tudi za zagon. Tukaj je še en primer skupine Cobalt: če iz datoteke Prefetch izvlečemo podatke regsvr32.exe, potem bomo spet videli, kaj je bilo lansirano:
Naslednje taktike so vztrajanje (TA0003) in eskalacija privilegijev (TA0004) ter tehnika popravljanja aplikacij (T1138). To tehniko sta uporabila Carbanak/FIN7 za pridobitev oporišča v sistemu. Običajno se za delo uporablja baza podatkov o združljivosti aplikacij (.sdb). sdbinst.exeZato nam lahko datoteka Prefetch te izvedljive datoteke pomaga najti imena takšnih baz podatkov in njihove lokacije:
Kot lahko vidite na sliki, nimamo le imena datoteke, ki se uporablja za namestitev, temveč tudi ime nameščene baze podatkov.
Oglejmo si enega najbolj tipičnih primerov premikanja po omrežju (TA0008) - PsExec, ki uporablja skrbniške skupne rabe (T1077). Storitev z imenom PSEXECSVC (seveda bi lahko uporabili katero koli drugo ime, če bi napadalci uporabili parameter -r) bo ustvarjena na ciljnem sistemu, zato bomo, če izvlečemo podatke iz datoteke Prefetch, videli, da je bila izvedena:
Verjetno bom končal tam, kjer sem začel: brisanje datotek (T1107). Kot sem že omenil, mnogi napadalci uporabljajo SDelete za trajno brisanje datotek v različnih fazah življenjskega cikla napada. Če pogledamo podatke iz datoteke Prefetch sdelete.exe, potem bomo videli, kaj točno je bilo izbrisano:
Seveda to ni izčrpen seznam tehnik, ki jih je mogoče odkriti med analizo datotek Prefetch, vendar bi moral biti dovolj za razumevanje, da lahko takšne datoteke pomagajo ne le najti sledi zagona, temveč tudi rekonstruirati specifične taktike in tehnike napadalcev.
Vir: www.habr.com
