ไฟล์ติดตามหรือไฟล์ Prefetch มีอยู่ใน Windows มาตั้งแต่ XP ตั้งแต่นั้นมา พวกเขาได้ช่วยนิติวิทยาศาสตร์ดิจิทัลและผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์ทางคอมพิวเตอร์ในการค้นหาร่องรอยของซอฟต์แวร์ รวมถึงมัลแวร์ ผู้เชี่ยวชาญชั้นนำด้านนิติคอมพิวเตอร์ Group-IB โอเล็ก สกัลกิ้น บอกคุณว่าคุณสามารถค้นหาอะไรได้บ้างโดยใช้ไฟล์ Prefetch และวิธีดำเนินการ
ไฟล์พรีเฟชช์จะถูกจัดเก็บไว้ในไดเร็กทอรี %SystemRoot%ดึงข้อมูลล่วงหน้า และให้บริการเร่งกระบวนการเปิดตัวโปรแกรม หากเราดูไฟล์ใด ๆ เหล่านี้เราจะเห็นว่าชื่อของมันประกอบด้วยสองส่วน: ชื่อของไฟล์ปฏิบัติการและเช็คซัมแปดอักขระจากเส้นทางไปยังไฟล์นั้น
ไฟล์ที่ดึงออกมาล่วงหน้ามีข้อมูลจำนวนมากที่เป็นประโยชน์จากมุมมองทางนิติเวช ได้แก่ ชื่อของไฟล์ปฏิบัติการ จำนวนครั้งที่ถูกเรียกใช้งาน รายการไฟล์และไดเร็กทอรีที่ไฟล์ปฏิบัติการโต้ตอบ และแน่นอนว่ามีการประทับเวลา โดยทั่วไปแล้ว นักนิติวิทยาศาสตร์จะใช้วันที่สร้างไฟล์ Prefetch เพื่อกำหนดวันที่เปิดตัวโปรแกรมครั้งแรก นอกจากนี้ ไฟล์เหล่านี้ยังเก็บวันที่เปิดตัวครั้งล่าสุด และเริ่มจากเวอร์ชัน 26 (Windows 8.1) ซึ่งเป็นการประทับเวลาของการเรียกใช้เจ็ดครั้งล่าสุด
ลองใช้ไฟล์ Prefetch สักไฟล์หนึ่ง จากนั้นดึงข้อมูลออกมาโดยใช้ PECmd ของ Eric Zimmerman แล้วดูแต่ละส่วนของไฟล์ เพื่อสาธิต ผมจะแยกข้อมูลจากไฟล์ CCLEANER64.EXE-DE05DBE1.pf.
เริ่มจากด้านบนกันก่อน แน่นอนว่า เรามีการสร้าง แก้ไข และประทับเวลาการเข้าถึงไฟล์:
ตามด้วยชื่อของไฟล์ปฏิบัติการ การตรวจสอบพาธของไฟล์นั้น ขนาดของไฟล์ปฏิบัติการ และเวอร์ชันของไฟล์ Prefetch:
เนื่องจากเรากำลังจัดการกับ Windows 10 ต่อไปเราจะเห็นจำนวนการเริ่มต้น วันที่และเวลาของการเริ่มต้นครั้งล่าสุด และการประทับเวลาอีกเจ็ดรายการที่ระบุวันที่เปิดตัวก่อนหน้า:
ตามด้วยข้อมูลเกี่ยวกับวอลุ่ม รวมถึงหมายเลขซีเรียลและวันที่สร้าง:
สุดท้ายแต่ไม่ท้ายสุดคือรายการไดเร็กทอรีและไฟล์ที่ปฏิบัติการโต้ตอบด้วย:
ดังนั้นไดเร็กทอรีและไฟล์ที่โปรแกรมปฏิบัติการโต้ตอบด้วยคือสิ่งที่ฉันต้องการเน้นในวันนี้ ข้อมูลนี้ช่วยให้ผู้เชี่ยวชาญด้านนิติเวชดิจิทัล การตอบสนองต่อเหตุการณ์ทางคอมพิวเตอร์ หรือการตามล่าหาภัยคุกคามเชิงรุก ไม่เพียงแต่สร้างข้อเท็จจริงของการดำเนินการกับไฟล์บางไฟล์เท่านั้น แต่ในบางกรณี ยังสามารถสร้างกลยุทธ์และเทคนิคเฉพาะของผู้โจมตีขึ้นมาใหม่ได้ด้วย ทุกวันนี้ ผู้โจมตีมักจะใช้เครื่องมือเพื่อลบข้อมูลอย่างถาวร เช่น SDelete ดังนั้นความสามารถในการกู้คืนอย่างน้อยร่องรอยของการใช้กลยุทธ์และเทคนิคบางอย่างจึงเป็นสิ่งจำเป็นสำหรับผู้พิทักษ์ยุคใหม่ - ผู้เชี่ยวชาญด้านนิติคอมพิวเตอร์ ผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์ ThreatHunter ผู้เชี่ยวชาญ.
เริ่มจากกลยุทธ์การเข้าถึงเบื้องต้น (TA0001) และเทคนิคที่ได้รับความนิยมสูงสุด Spearphishing Attachment (T1193) กลุ่มอาชญากรไซเบอร์บางกลุ่มค่อนข้างมีความคิดสร้างสรรค์ในการเลือกลงทุน ตัวอย่างเช่น กลุ่ม Silence ใช้ไฟล์ในรูปแบบ CHM (Microsoft Compiled HTML Help) สำหรับสิ่งนี้ ดังนั้นเราจึงมีเทคนิคอื่นอยู่ตรงหน้าเรา - ไฟล์ HTML ที่คอมไพล์ (T1223) ไฟล์ดังกล่าวถูกเปิดใช้งานโดยใช้ hh.exeดังนั้นหากเราแยกข้อมูลจากไฟล์ Prefetch เราจะพบว่าไฟล์ใดถูกเปิดโดยเหยื่อ:
เรามาทำงานกับตัวอย่างจากกรณีจริงต่อไป และไปยังกลยุทธ์การดำเนินการ (TA0002) และเทคนิค CSMTP (T1191) ถัดไป ผู้โจมตีสามารถใช้ตัวติดตั้งโปรไฟล์ Microsoft Connection Manager (CMSTP.exe) เพื่อเรียกใช้สคริปต์ที่เป็นอันตราย ตัวอย่างที่ดีคือกลุ่มโคบอลต์ หากเราดึงข้อมูลจากไฟล์ Prefetch cmstp.exeจากนั้นเราจะทราบอีกครั้งว่ามีอะไรเปิดตัวบ้าง:
เทคนิคยอดนิยมอีกประการหนึ่งคือ Regsvr32 (T1117) Regsvr32.exe ผู้โจมตีมักใช้เพื่อเปิดตัว นี่เป็นอีกตัวอย่างหนึ่งจากกลุ่มโคบอลต์: หากเราดึงข้อมูลจากไฟล์ Prefetch regsvr32.exeแล้วเราจะมาดูกันอีกครั้งว่ามีอะไรเปิดตัวบ้าง:
กลยุทธ์ถัดไปคือ Persistence (TA0003) และ Privilege Escalation (TA0004) โดยมี Application Shimming (T1138) เป็นเทคนิค เทคนิคนี้ถูกใช้โดย Carbanak/FIN7 เพื่อยึดระบบ โดยทั่วไปใช้เพื่อทำงานกับฐานข้อมูลความเข้ากันได้ของโปรแกรม (.sdb) sdbinst.exe. ดังนั้นไฟล์ Prefetch ของไฟล์ปฏิบัติการนี้สามารถช่วยให้เราค้นหาชื่อของฐานข้อมูลดังกล่าวและตำแหน่งของฐานข้อมูลได้:
ดังที่คุณเห็นในภาพประกอบ เราไม่เพียงแต่มีชื่อของไฟล์ที่ใช้ในการติดตั้ง แต่ยังรวมถึงชื่อของฐานข้อมูลที่ติดตั้งด้วย
ลองมาดูตัวอย่างที่พบบ่อยที่สุดของการเผยแพร่เครือข่าย (TA0008), PsExec โดยใช้การแชร์การดูแลระบบ (T1077) บริการชื่อ PSEXECSVC (แน่นอนว่าชื่ออื่นสามารถใช้ได้หากผู้โจมตีใช้พารามิเตอร์นี้) -r) จะถูกสร้างขึ้นบนระบบเป้าหมาย ดังนั้น หากเราแยกข้อมูลจากไฟล์ Prefetch เราจะเห็นว่ามีอะไรเปิดตัวบ้าง:
ฉันอาจจะจบจากจุดเริ่มต้น – การลบไฟล์ (T1107) ดังที่ฉันได้กล่าวไปแล้ว ผู้โจมตีจำนวนมากใช้ SDelete เพื่อลบไฟล์อย่างถาวรในขั้นตอนต่างๆ ของวงจรการโจมตี หากเราดูข้อมูลจากไฟล์ Prefetch sdelete.exeจากนั้นเราจะดูว่ามีอะไรถูกลบไปบ้าง:
แน่นอนว่านี่ไม่ใช่รายการเทคนิคทั้งหมดที่สามารถค้นพบได้ในระหว่างการวิเคราะห์ไฟล์ Prefetch แต่ควรจะเพียงพอที่จะเข้าใจว่าไฟล์ดังกล่าวไม่เพียงช่วยค้นหาร่องรอยของการเปิดตัวเท่านั้น แต่ยังสร้างกลยุทธ์และเทคนิคเฉพาะของผู้โจมตีขึ้นมาใหม่อีกด้วย .
ที่มา: will.com