Datoteke sledenja ali datoteke Prefetch so v sistemu Windows prisotne že od XP. Od takrat so pomagali strokovnjakom za digitalno forenziko in odziv na računalniške incidente pri iskanju sledi programske opreme, vključno z zlonamerno programsko opremo. Vodilni specialist za računalniško forenziko Group-IB Oleg Skulkin vam pove, kaj lahko najdete z uporabo datotek Prefetch in kako to storite.
Datoteke za vnaprejšnje pridobivanje so shranjene v imeniku %SystemRoot%Prefetch in služijo za pospešitev procesa zagona programov. Če pogledamo katero koli od teh datotek, bomo videli, da je njeno ime sestavljeno iz dveh delov: imena izvršljive datoteke in osemmestne kontrolne vsote iz poti do nje.
Datoteke za vnaprejšnje pridobivanje vsebujejo veliko informacij, ki so uporabne s forenzičnega vidika: ime izvršljive datoteke, kolikokrat je bila izvedena, sezname datotek in imenikov, s katerimi je izvršljiva datoteka komunicirala, in seveda časovne žige. Običajno forenzični znanstveniki uporabljajo datum nastanka določene datoteke Prefetch, da določijo datum, ko je bil program prvič zagnan. Poleg tega te datoteke hranijo datum zadnjega zagona in od različice 26 (Windows 8.1) naprej - časovne žige sedmih zadnjih zagonov.
Vzemimo eno od datotek Prefetch, ekstrahirajmo podatke iz nje s pomočjo PECmd Erica Zimmermana in si oglejmo vsak njen del. Za dokaz bom izvlekel podatke iz datoteke CCLEANER64.EXE-DE05DBE1.pf.
Pa začnimo od vrha. Seveda imamo časovne žige za ustvarjanje, spreminjanje in dostop do datotek:
Sledijo jim ime izvršljive datoteke, kontrolna vsota poti do nje, velikost izvršljive datoteke in različica datoteke Prefetch:
Ker imamo opravka z Windows 10, bomo naslednjič videli število zagonov, datum in čas zadnjega zagona ter še sedem časovnih žigov, ki označujejo prejšnje datume zagona:
Tem sledijo informacije o nosilcu, vključno z njegovo serijsko številko in datumom nastanka:
Nenazadnje je seznam imenikov in datotek, s katerimi je izvršljiva datoteka komunicirala:
Torej, imeniki in datoteke, s katerimi je izvedljiva datoteka komunicirala, so točno tisto, na kar se želim danes osredotočiti. Prav ti podatki omogočajo strokovnjakom za digitalno forenziko, odziv na računalniške incidente ali proaktivno lovljenje groženj, da ugotovijo ne le dejstvo izvajanja določene datoteke, ampak v nekaterih primerih tudi rekonstruirajo posebne taktike in tehnike napadalcev. Danes napadalci precej pogosto uporabljajo orodja za trajno brisanje podatkov, na primer SDelete, zato je zmožnost obnovitve vsaj sledi uporabe določenih taktik in tehnik preprosto potrebna za vsakega sodobnega branilca - specialista za računalniško forenziko, specialista za odzivanje na incidente, ThreatHunterja. strokovnjak.
Začnimo s taktiko začetnega dostopa (TA0001) in najbolj priljubljeno tehniko Spearphishing Attachment (T1193). Nekatere skupine kibernetskega kriminala so precej ustvarjalne pri izbiri naložb. Na primer, skupina Silence je za to uporabila datoteke v formatu CHM (Microsoft Compiled HTML Help). Tako je pred nami še ena tehnika - Prevedena datoteka HTML (T1223). Takšne datoteke se zaženejo z uporabo hh.exe, torej če izvlečemo podatke iz njegove datoteke Prefetch, bomo ugotovili, katero datoteko je odprla žrtev:
Nadaljujmo s primeri iz resničnih primerov in preidimo na naslednjo taktiko izvajanja (TA0002) in tehniko CSMTP (T1191). Napadalci lahko uporabljajo namestitveni program Microsoft Connection Manager Profile Installer (CMSTP.exe) za izvajanje zlonamernih skriptov. Dober primer je skupina Cobalt. Če izvlečemo podatke iz datoteke Prefetch cmstp.exe, potem lahko spet ugotovimo, kaj točno je bilo lansirano:
Druga priljubljena tehnika je Regsvr32 (T1117). Regsvr32.exe pogosto uporabljajo tudi napadalci za zagon. Tu je še en primer iz skupine Cobalt: če ekstrahiramo podatke iz datoteke Prefetch regsvr32.exe, potem bomo spet videli, kaj je bilo sproženo:
Naslednji taktiki sta vztrajnost (TA0003) in stopnjevanje privilegijev (TA0004), s tehniko utripanja aplikacij (T1138). To tehniko je uporabil Carbanak/FIN7 za zasidranje sistema. Običajno se uporablja za delo z zbirkami podatkov o združljivosti programov (.sdb) sdbinst.exe. Zato nam lahko datoteka Prefetch te izvedljive datoteke pomaga ugotoviti imena takih baz podatkov in njihove lokacije:
Kot lahko vidite na sliki, nimamo samo imena datoteke, uporabljene za namestitev, ampak tudi ime nameščene baze podatkov.
Oglejmo si enega najpogostejših primerov omrežnega širjenja (TA0008), PsExec, z uporabo skrbniških skupnih rab (T1077). Storitev z imenom PSEXECSVC (seveda lahko uporabite katero koli drugo ime, če so napadalci uporabili parameter -r) bodo ustvarjene v ciljnem sistemu, zato bomo, če ekstrahiramo podatke iz datoteke Prefetch, videli, kaj je bilo zagnano:
Najbrž bom končal tam, kjer sem začel – brisanje datotek (T1107). Kot sem že omenil, mnogi napadalci uporabljajo SDelete za trajno brisanje datotek v različnih fazah življenjskega cikla napada. Če pogledamo podatke iz datoteke Prefetch sdelete.exe, potem bomo videli, kaj točno je bilo izbrisano:
Seveda to ni izčrpen seznam tehnik, ki jih je mogoče odkriti med analizo datotek Prefetch, vendar bi to moralo biti dovolj, da razumemo, da lahko takšne datoteke pomagajo ne le najti sledi zagona, ampak tudi rekonstruirati specifične napadalčeve taktike in tehnike .
Vir: www.habr.com