Spårningsfiler, eller Prefetch-filer, har funnits i Windows sedan XP. Sedan dess har de hjälpt specialister inom digital forensics och datorincidenthantering att hitta spår av programvara, inklusive skadlig programvara. Ledande specialist inom dator forensics Group-IB Oleg Skulkin berättar vad du kan hitta med Prefetch-filer och hur du gör det.
Förhämtningsfiler lagras i katalogen %SystemRoot%Prefetch och tjänar till att påskynda processen med att lansera program. Om vi tittar på någon av dessa filer kommer vi att se att dess namn består av två delar: namnet på den körbara filen och en kontrollsumma på åtta tecken från sökvägen till den.
Förhämtningsfiler innehåller mycket information som är användbar ur en rättsmedicinsk synvinkel: namnet på den körbara filen, antalet gånger den kördes, listor över filer och kataloger som den körbara filen interagerade med och, naturligtvis, tidsstämplar. Normalt använder kriminaltekniska forskare skapandedatumet för en viss Prefetch-fil för att bestämma datumet då programmet först lanserades. Dessutom lagrar dessa filer datumet för den senaste lanseringen, och från och med version 26 (Windows 8.1) - tidsstämplarna för de sju senaste körningarna.
Låt oss ta en av Prefetch-filerna, extrahera data från den med Eric Zimmermans PECmd och titta på varje del av den. För att demonstrera kommer jag att extrahera data från en fil CCLEANER64.EXE-DE05DBE1.pf.
Så låt oss börja från toppen. Naturligtvis har vi filskapande, modifiering och åtkomsttidsstämplar:
De följs av namnet på den körbara filen, kontrollsumman för sökvägen till den, storleken på den körbara filen och versionen av Prefetch-filen:
Eftersom vi har att göra med Windows 10 kommer vi härnäst att se antalet starter, datum och tid för den senaste starten och ytterligare sju tidsstämplar som indikerar tidigare lanseringsdatum:
Dessa följs av information om volymen, inklusive dess serienummer och skapelsedatum:
Sist men inte minst är en lista över kataloger och filer som den körbara filen interagerade med:
Så katalogerna och filerna som den körbara filen interagerade med är precis vad jag vill fokusera på idag. Det är dessa data som gör det möjligt för specialister inom digital kriminalteknik, svar på datorincidenter eller proaktiv hotjakt att fastställa inte bara det faktum att en viss fil körs, utan också, i vissa fall, att rekonstruera specifika taktiker och tekniker för angripare. Idag använder angripare ganska ofta verktyg för att permanent radera data, till exempel SDelete, så möjligheten att återställa åtminstone spår av användningen av vissa taktiker och tekniker är helt enkelt nödvändig för alla moderna försvarare - en datorkriminaltekniker, en incidentresponsspecialist , en ThreatHunter-expert.
Låt oss börja med Initial Access-taktiken (TA0001) och den mest populära tekniken, Spearphishing Attachment (T1193). Vissa cyberkriminella grupper är ganska kreativa i sina val av investeringar. Till exempel använde gruppen Silence filer i formatet CHM (Microsoft Compiled HTML Help) för detta. Därför har vi en annan teknik framför oss - Compiled HTML File (T1223). Sådana filer startas med hh.exe, därför, om vi extraherar data från dess Prefetch-fil, kommer vi att ta reda på vilken fil som öppnades av offret:
Låt oss fortsätta att arbeta med exempel från verkliga fall och gå vidare till nästa Execution-taktik (TA0002) och CSMTP-teknik (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) kan användas av angripare för att köra skadliga skript. Ett bra exempel är Cobalt-gruppen. Om vi extraherar data från Prefetch-filen cmstp.exe, då kan vi återigen ta reda på exakt vad som lanserades:
En annan populär teknik är Regsvr32 (T1117). Regsvr32.exe används också ofta av angripare för att starta. Här är ett annat exempel från Cobalt-gruppen: om vi extraherar data från en Prefetch-fil regsvr32.exe, då kommer vi igen att se vad som lanserades:
Nästa taktik är Persistence (TA0003) och Privilege Escalation (TA0004), med Application Shimming (T1138) som teknik. Denna teknik användes av Carbanak/FIN7 för att förankra systemet. Används vanligtvis för att arbeta med programkompatibilitetsdatabaser (.sdb) sdbinst.exe. Därför kan Prefetch-filen för den här körbara filen hjälpa oss att ta reda på namnen på sådana databaser och deras platser:
Som du kan se i illustrationen har vi inte bara namnet på filen som används för installationen, utan även namnet på den installerade databasen.
Låt oss ta en titt på ett av de vanligaste exemplen på nätverksutbredning (TA0008), PsExec, med hjälp av administrativa resurser (T1077). Tjänst med namnet PSEXECSVC (naturligtvis kan vilket annat namn som helst användas om angripare använde parametern -r) kommer att skapas på målsystemet, därför, om vi extraherar data från Prefetch-filen, kommer vi att se vad som lanserades:
Jag kommer förmodligen att sluta där jag började – radera filer (T1107). Som jag redan har noterat använder många angripare SDelete för att permanent ta bort filer i olika skeden av attackens livscykel. Om vi tittar på data från Prefetch-filen sdelete.exe, så ser vi exakt vad som raderades:
Naturligtvis är detta inte en uttömmande lista över tekniker som kan upptäckas under analysen av Prefetch-filer, men detta borde räcka för att förstå att sådana filer inte bara kan hjälpa till att hitta spår av lanseringen, utan också rekonstruera specifika angripartaktik och tekniker .
Källa: will.com