Skedarët e gjurmimit, ose skedarët Prefetch, kanë ekzistuar në Windows që nga XP. Që atëherë, ata kanë ndihmuar mjekësinë ligjore dixhitale dhe specialistët e reagimit ndaj incidenteve kompjuterike të gjejnë gjurmë të softuerit, duke përfshirë malware. Specialisti kryesor në forenzikën kompjuterike Group-IB Oleg Skulkin ju tregon se çfarë mund të gjeni duke përdorur skedarët Prefetch dhe si ta bëni atë.
Skedarët e marrjes paraprake ruhen në drejtori %SystemRoot%Prefetch dhe shërbejnë për të përshpejtuar procesin e nisjes së programeve. Nëse shikojmë ndonjërin prej këtyre skedarëve, do të shohim se emri i tij përbëhet nga dy pjesë: emri i skedarit të ekzekutueshëm dhe një kontroll me tetë karaktere nga rruga drejt tij.
Skedarët Prefetch përmbajnë shumë informacione të dobishme nga pikëpamja mjeko-ligjore: emrin e skedarit të ekzekutueshëm, numrin e herëve që është ekzekutuar, listat e skedarëve dhe drejtorive me të cilat skedari i ekzekutueshëm ndërveproi dhe, natyrisht, vulat kohore. Në mënyrë tipike, shkencëtarët mjeko-ligjorë përdorin datën e krijimit të një skedari të caktuar Prefetch për të përcaktuar datën kur programi u nis për herë të parë. Përveç kësaj, këta skedarë ruajnë datën e lëshimit të tij të fundit dhe duke filluar nga versioni 26 (Windows 8.1) - vulat kohore të shtatë ekzekutimeve më të fundit.
Le të marrim një nga skedarët Prefetch, të nxjerrim të dhëna prej tij duke përdorur PECmd të Eric Zimmerman dhe të shikojmë secilën pjesë të tij. Për të demonstruar, unë do të nxjerr të dhëna nga një skedar CCLEANER64.EXE-DE05DBE1.pf.
Pra, le të fillojmë nga lart. Sigurisht, ne kemi krijimin, modifikimin dhe vulat kohore të skedarëve:
Ato ndiqen nga emri i skedarit të ekzekutueshëm, shuma e kontrollit të shtegut drejt tij, madhësia e skedarit të ekzekutueshëm dhe versioni i skedarit Prefetch:
Meqenëse kemi të bëjmë me Windows 10, në vijim do të shohim numrin e fillimeve, datën dhe orën e fillimit të fundit dhe shtatë stampa të tjera kohore që tregojnë datat e mëparshme të nisjes:
Këto pasohen nga informacione rreth vëllimit, duke përfshirë numrin e tij serial dhe datën e krijimit:
E fundit por jo më pak e rëndësishme është një listë e drejtorive dhe skedarëve me të cilët ekzekutuesi ndërveproi:
Pra, drejtoritë dhe skedarët me të cilët ka ndërvepruar ekzekutuesi janë pikërisht ato që dua të fokusohem sot. Janë këto të dhëna që u mundësojnë specialistëve në forenzikën dixhitale, reagimin ndaj incidenteve kompjuterike ose gjuetinë proaktive të kërcënimeve të vërtetojnë jo vetëm faktin e ekzekutimit të një skedari të caktuar, por gjithashtu, në disa raste, të rindërtojnë taktika dhe teknika specifike të sulmuesve. Sot, sulmuesit shpesh përdorin mjete për të fshirë përgjithmonë të dhënat, për shembull, SDelete, kështu që aftësia për të rivendosur të paktën gjurmët e përdorimit të taktikave dhe teknikave të caktuara është thjesht e nevojshme për çdo mbrojtës modern - specialist i mjekësisë ligjore kompjuterike, specialist i reagimit ndaj incidenteve, ThreatHunter ekspert.
Le të fillojmë me taktikën Initial Access (TA0001) dhe teknikën më të njohur, Spearphishing Attachment (T1193). Disa grupe kriminale kibernetike janë mjaft kreative në zgjedhjen e investimeve. Për shembull, grupi Silence përdori skedarë në formatin CHM (Microsoft Compiled HTML Help) për këtë. Kështu, ne kemi para nesh një teknikë tjetër - Skedari HTML i përpiluar (T1223). Skedarë të tillë lëshohen duke përdorur hh.exe, prandaj, nëse nxjerrim të dhëna nga skedari i tij Prefetch, do të zbulojmë se cili skedar u hap nga viktima:
Le të vazhdojmë të punojmë me shembuj nga rastet reale dhe të kalojmë në taktikën tjetër të Ekzekutimit (TA0002) dhe teknikën CSMTP (T1191). Instaluesi i Profilit të Menaxherit të Microsoft Connection (CMSTP.exe) mund të përdoret nga sulmuesit për të ekzekutuar skriptet me qëllim të keq. Një shembull i mirë është grupi Cobalt. Nëse nxjerrim të dhëna nga skedari Prefetch cmstp.exe, atëherë mund të zbulojmë përsëri se çfarë saktësisht u lançua:
Një teknikë tjetër popullore është Regsvr32 (T1117). Regsvr32.exe përdoret gjithashtu shpesh nga sulmuesit për të nisur. Ja një shembull tjetër nga grupi Cobalt: nëse nxjerrim të dhëna nga një skedar Prefetch regsvr32.exe, pastaj përsëri do të shohim se çfarë u lansua:
Taktikat e radhës janë Qëndrueshmëria (TA0003) dhe Përshkallëzimi i Privilegjisë (TA0004), me Application Shimming (T1138) si teknikë. Kjo teknikë u përdor nga Carbanak/FIN7 për të ankoruar sistemin. Zakonisht përdoret për të punuar me bazat e të dhënave të përputhshmërisë së programit (.sdb) sdbinst.exe. Prandaj, skedari Prefetch i këtij ekzekutuesi mund të na ndihmojë të gjejmë emrat e bazave të të dhënave të tilla dhe vendndodhjet e tyre:
Siç mund ta shihni në ilustrim, ne kemi jo vetëm emrin e skedarit të përdorur për instalim, por edhe emrin e bazës së të dhënave të instaluar.
Le të hedhim një vështrim në një nga shembujt më të zakonshëm të përhapjes së rrjetit (TA0008), PsExec, duke përdorur aksione administrative (T1077). Shërbimi me emrin PSEXECSVC (natyrisht, çdo emër tjetër mund të përdoret nëse sulmuesit kanë përdorur parametrin -r) do të krijohet në sistemin e synuar, prandaj, nëse nxjerrim të dhënat nga skedari Prefetch, do të shohim se çfarë u nis:
Ndoshta do të përfundoj aty ku fillova - fshirja e skedarëve (T1107). Siç e kam vërejtur tashmë, shumë sulmues përdorin SDelete për të fshirë përgjithmonë skedarët në faza të ndryshme të ciklit jetësor të sulmit. Nëse shikojmë të dhënat nga skedari Prefetch sdelete.exe, atëherë do të shohim se çfarë saktësisht është fshirë:
Sigurisht, kjo nuk është një listë shteruese e teknikave që mund të zbulohen gjatë analizës së skedarëve Prefetch, por kjo duhet të jetë e mjaftueshme për të kuptuar se skedarë të tillë mund të ndihmojnë jo vetëm në gjetjen e gjurmëve të nisjes, por edhe në rindërtimin e taktikave dhe teknikave specifike të sulmuesit. .
Burimi: www.habr.com