Ngalacak file, atanapi file Prefetch, parantos aya dina Windows saprak XP. Saprak harita, aranjeunna geus mantuan forensik digital sarta spesialis réspon kajadian komputer manggihan ngambah software, kaasup malware. Anjog spesialis dina komputer forensik Grup-IB Oleg Skulkin ngabejaan Anjeun naon anjeun tiasa manggihan maké file Prefetch jeung kumaha ngalakukeun eta.
File prefetch disimpen dina diréktori %SystemRoot%Prefetch sarta ngawula ka nyepetkeun prosés launching program. Upami urang ningali salah sahiji file ieu, urang bakal ningali yén namina diwangun ku dua bagian: nami file anu tiasa dieksekusi sareng checksum dalapan karakter tina jalur ka dinya.
File prefetch ngandung seueur inpormasi anu mangpaat tina sudut pandang forensik: nami file anu tiasa dieksekusi, sabaraha kali éta dieksekusi, daptar file sareng diréktori anu berinteraksi sareng file anu tiasa dieksekusi, sareng, tangtosna, cap waktu. Ilaharna, élmuwan forensik ngagunakeun tanggal kreasi file Prefetch tinangtu pikeun nangtukeun tanggal program munggaran diluncurkeun. Salaku tambahan, file ieu nyimpen tanggal peluncuran anu terakhir, sareng mimitian ti vérsi 26 (Windows 8.1) - cap waktu tina tujuh jalan anu pang anyarna.
Hayu urang nyandak salah sahiji file Prefetch, nimba data ti dinya ngagunakeun PECmd Eric Zimmerman sarta kasampak di unggal bagian tina eta. Pikeun nunjukkeun, kuring bakal nimba data tina file CCLEANER64.EXE-DE05DBE1.pf.
Ku kituna hayu urang mimitian ti luhur. Tangtosna, urang gaduh file nyiptakeun, modifikasi, sareng cap waktos aksés:
Éta dituturkeun ku nami file executable, checksum jalur ka dinya, ukuran file executable, sareng versi file Prefetch:
Kusabab urang nuju urusan Windows 10, salajengna urang bakal ningali jumlah ngamimitian, tanggal sareng waktos ngamimitian anu terakhir, sareng tujuh cap waktos anu nunjukkeun tanggal peluncuran sateuacana:
Ieu dituturkeun ku inpormasi ngeunaan volume, kalebet nomer séri sareng tanggal nyiptakeun:
Panungtungan tapi teu saeutik nyaéta daptar diréktori sareng file anu tiasa dieksekusi berinteraksi sareng:
Janten, diréktori sareng file anu dieksekusi berinteraksi sareng persis anu kuring hoyong difokuskeun ayeuna. Data ieu ngamungkinkeun para spesialis dina forensik digital, réspon kajadian komputer, atanapi moro ancaman proaktif pikeun netepkeun henteu ngan ukur kanyataan palaksanaan file tinangtu, tapi ogé, dina sababaraha kasus, pikeun ngarekonstruksikeun taktik sareng téknik panyerang. Kiwari, panyerang rada sering ngagunakeun alat pikeun mupus data permanén, contona, SDelete, ku kituna kamampuan pikeun malikkeun sahenteuna ngambah pamakean taktik sareng téknik anu tangtu ngan saukur dipikabutuh pikeun bek modéren - spesialis komputer forensik, spesialis réspon kajadian. , ahli ThreatHunter.
Hayu urang mimitian ku taktik Aksés Awal (TA0001) jeung téhnik nu pang populerna, Spearphishing Attachment (T1193). Sababaraha grup cybercriminal cukup kreatif dina pilihan investasi maranéhanana. Contona, grup Silence ngagunakeun file dina format CHM (Microsoft Compiled HTML Help) pikeun ieu. Ku kituna, urang boga saméméh urang téhnik sejen - Compiled HTML File (T1223). File sapertos diluncurkeun nganggo hh.exe, janten, upami urang nimba data tina file Prefetch na, urang bakal terang file mana anu dibuka ku korban:
Hayu urang teraskeun damel sareng conto tina kasus nyata sareng teraskeun kana taktik Palaksanaan salajengna (TA0002) sareng téknik CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) tiasa dianggo ku panyerang pikeun ngajalankeun skrip jahat. Hiji conto alus nyaeta grup Kobalt. Upami urang nimba data tina file Prefetch cmstp.exe, teras urang tiasa terang deui naon anu diluncurkeun:
Téhnik populér séjén nyaéta Regsvr32 (T1117). Regsvr32.exe ogé sering dianggo ku panyerang pikeun ngaluncurkeun. Ieu conto sanés tina grup Cobalt: upami urang nimba data tina file Prefetch regsvr32.exe, teras deui urang bakal ningali naon anu diluncurkeun:
Taktik salajengna nyaéta Persistence (TA0003) sareng Privilege Escalation (TA0004), sareng Application Shimming (T1138) salaku téknik. Téhnik ieu dipaké ku Carbanak/FIN7 pikeun jangkar sistem. Biasana dianggo pikeun ngagarap database kasaluyuan program (.sdb) sdbinst.exe. Ku alatan éta, file Prefetch of executable ieu bisa mantuan urang manggihan ngaran database misalna jeung lokasi maranéhanana:
Sakumaha anjeun tiasa tingali dina ilustrasi, urang boga teu ngan nami file dipaké pikeun instalasi, tapi ogé nami database dipasang.
Hayu urang tingali salah sahiji conto paling umum tina rambatan jaringan (TA0008), PsExec, ngagunakeun biasa administrasi (T1077). Service ngaranna PSEXECSVC (tangtu, sagala ngaran séjén bisa dipaké lamun panyerang ngagunakeun parameter -r) bakal didamel dina sistem target, janten, upami urang nimba data tina file Prefetch, urang bakal ningali naon anu diluncurkeun:
Kuring sigana bakal mungkas dimana kuring ngamimitian - ngahapus file (T1107). Sakumaha anu kuring parantos dicatet, seueur panyerang nganggo SDelete pikeun ngahapus file permanén dina sababaraha tahapan siklus hirup serangan. Upami urang ningali data tina file Prefetch sdelete.exe, teras urang bakal ningali naon anu leres-leres dihapus:
Tangtosna, ieu sanés daptar téknik anu lengkep anu tiasa dipendakan nalika analisa file Prefetch, tapi ieu kedah cekap ngartos yén file sapertos kitu tiasa ngabantosan henteu ngan ukur ngalacak peluncuran, tapi ogé ngarekonstruksikeun taktik sareng téknik panyerang khusus. .
sumber: www.habr.com