Датотеке праћења, или датотеке унапред преузимања, постоје у Виндовс-у од КСП-а. Од тада су помогли дигиталној форензици и стручњацима за реаговање на рачунарске инциденте да пронађу трагове софтвера, укључујући малвер. Водећи специјалиста компјутерске форензике Група-ИБ Олег Скулкин говори вам шта можете да пронађете помоћу датотека унапред преузимања и како то да урадите.
Датотеке претходног преузимања се чувају у директоријуму %СистемРоот%Префетцх и служе за убрзавање процеса покретања програма. Ако погледамо било коју од ових датотека, видећемо да се њено име састоји од два дела: имена извршне датотеке и контролне суме од осам знакова из путање до ње.
Датотеке за унапред преузимање садрже много информација корисних са форензичке тачке гледишта: име извршне датотеке, број пута када је извршена, листе датотека и директоријума са којима је извршна датотека била у интеракцији и, наравно, временске ознаке. Обично форензичари користе датум креирања одређене Префетцх датотеке да би одредили датум када је програм први пут покренут. Поред тога, ове датотеке чувају датум његовог последњег покретања, а почевши од верзије 26 (Виндовс 8.1) - временске ознаке за седам најновијих покретања.
Узмимо једну од датотека унапред, извучемо податке из ње користећи ПЕЦмд Ерица Зиммермана и погледамо сваки њен део. Да бих демонстрирао, издвојићу податке из датотеке ЦЦЛЕАНЕР64.ЕКСЕ-ДЕ05ДБЕ1.пф.
Дакле, почнимо од врха. Наравно, имамо временске ознаке за креирање, измену и приступ фајлу:
Након њих следи име извршне датотеке, контролни збир путање до ње, величина извршне датотеке и верзија датотеке за преузимање:
Пошто имамо посла са Виндовс 10, следеће ћемо видети број покретања, датум и време последњег покретања и још седам временских ознака које указују на претходне датуме покретања:
Након њих следе информације о том, укључујући његов серијски број и датум креирања:
Последње, али не и најмање важно, је листа директоријума и датотека са којима је извршни програм био у интеракцији:
Дакле, директоријуми и датотеке са којима је извршна датотека била у интеракцији су управо оно на шта данас желим да се фокусирам. Управо ови подаци омогућавају стручњацима за дигиталну форензику, реаговање на рачунарске инциденте или проактивни лов на претње да утврде не само чињеницу извршења одређене датотеке, већ и, у неким случајевима, да реконструишу специфичне тактике и технике нападача. Данас нападачи прилично често користе алате за трајно брисање података, на пример, СДелете, тако да је могућност враћања барем трагова употребе одређених тактика и техника једноставно неопходна сваком модерном браниоцу - стручњаку за компјутерску форензику, специјалисту за одговор на инциденте, ТхреатХунтер стручни.
Почнимо са тактиком почетног приступа (ТА0001) и најпопуларнијом техником, Спеарпхисхинг Аттацхмент (Т1193). Неке групе за сајбер криминал су прилично креативне у избору улагања. На пример, група Силенце је за ово користила датотеке у формату ЦХМ (Мицрософт Цомпилед ХТМЛ Хелп). Дакле, пред нама је још једна техника - компајлирани ХТМЛ фајл (Т1223). Такве датотеке се покрећу помоћу хх.еке, дакле, ако издвојимо податке из његове датотеке префетцх, сазнаћемо коју је датотеку отворила жртва:
Наставимо да радимо са примерима из стварних случајева и пређимо на следећу тактику извршења (ТА0002) и ЦСМТП технику (Т1191). Нападачи могу да користе Мицрософт Цоннецтион Манагер Профиле Инсталлер (ЦМСТП.еке) за покретање злонамерних скрипти. Добар пример је група Кобалт. Ако извучемо податке из датотеке Префетцх цмстп.еке, онда поново можемо да сазнамо шта је тачно покренуто:
Још једна популарна техника је Регсвр32 (Т1117). Регсвр32.еке такође га нападачи често користе за покретање. Ево још једног примера из групе Кобалт: ако извучемо податке из датотеке унапред регсвр32.еке, па ћемо опет видети шта је покренуто:
Следеће тактике су упорност (ТА0003) и ескалација привилегија (ТА0004), са подешавањем апликације (Т1138) као техником. Ову технику је користио Царбанак/ФИН7 за сидрење система. Обично се користи за рад са базама података о компатибилности програма (.сдб) сдбинст.еке. Стога, Префетцх датотека овог извршног фајла може нам помоћи да сазнамо имена таквих база података и њихове локације:
Као што можете видети на илустрацији, имамо не само име датотеке која се користи за инсталацију, већ и назив инсталиране базе података.
Хајде да погледамо један од најчешћих примера ширења мреже (ТА0008), ПсЕкец, коришћењем административних дељења (Т1077). Услуга под називом ПСЕКСЕЦСВЦ (наравно, може се користити било које друго име ако су нападачи користили параметар -r) ће бити креиран на циљном систему, стога, ако издвојимо податке из датотеке унапред, видећемо шта је покренуто:
Вероватно ћу завршити тамо где сам почео – брисањем датотека (Т1107). Као што сам већ приметио, многи нападачи користе СДелете за трајно брисање датотека у различитим фазама животног циклуса напада. Ако погледамо податке из датотеке Префетцх сделете.еке, онда ћемо видети шта је тачно обрисано:
Наравно, ово није потпуна листа техника које се могу открити током анализе Префетцх фајлова, али ово би требало да буде сасвим довољно да схватимо да такве датотеке могу помоћи не само у проналажењу трагова лансирања, већ и реконструисати специфичне тактике нападача и технике.
Извор: ввв.хабр.цом