Ang mga trace file, o Prefetch file, ay nasa Windows mula noong XP. Simula noon, tinulungan nila ang mga digital forensics at mga espesyalista sa pagtugon sa insidente ng computer na makahanap ng mga bakas ng software, kabilang ang malware. Nangungunang espesyalista sa computer forensics Group-IB Oleg Skulkin Sinasabi sa iyo kung ano ang makikita mo gamit ang mga Prefetch na file at kung paano ito gagawin.
Ang mga prefetch na file ay nakaimbak sa direktoryo %SystemRoot%Prefetch at nagsisilbing pabilisin ang proseso ng paglulunsad ng mga programa. Kung titingnan natin ang alinman sa mga file na ito, makikita natin na ang pangalan nito ay binubuo ng dalawang bahagi: ang pangalan ng executable file at isang walong character na checksum mula sa landas patungo dito.
Ang mga prefetch na file ay naglalaman ng maraming impormasyon na kapaki-pakinabang mula sa forensic point of view: ang pangalan ng executable file, ang bilang ng beses na ito ay naisakatuparan, mga listahan ng mga file at direktoryo kung saan nakipag-ugnayan ang executable file, at, siyempre, mga timestamp. Karaniwan, ginagamit ng mga forensic scientist ang petsa ng paglikha ng isang partikular na Prefetch file upang matukoy ang petsa kung kailan unang inilunsad ang program. Bilang karagdagan, iniimbak ng mga file na ito ang petsa ng huling paglulunsad nito, at simula sa bersyon 26 (Windows 8.1) - ang mga timestamp ng pitong pinakahuling pagtakbo.
Kunin natin ang isa sa mga Prefetch file, kunin ang data mula dito gamit ang PECmd ni Eric Zimmerman at tingnan ang bawat bahagi nito. Upang ipakita, kukuha ako ng data mula sa isang file CCLEANER64.EXE-DE05DBE1.pf.
Kaya magsimula tayo mula sa itaas. Siyempre, mayroon kaming paggawa, pagbabago, at pag-access ng mga timestamp ng file:
Sinusundan sila ng pangalan ng executable file, ang checksum ng path papunta dito, ang laki ng executable file, at ang bersyon ng Prefetch file:
Dahil nakikitungo tayo sa Windows 10, sa susunod ay makikita natin ang bilang ng mga pagsisimula, ang petsa at oras ng huling pagsisimula, at pito pang timestamp na nagsasaad ng mga nakaraang petsa ng paglulunsad:
Sinusundan ito ng impormasyon tungkol sa volume, kasama ang serial number at petsa ng paggawa nito:
Panghuli ngunit hindi bababa sa isang listahan ng mga direktoryo at mga file na nakipag-ugnayan ang executable:
Kaya, ang mga direktoryo at file kung saan nakipag-ugnayan ang executable ay kung ano mismo ang gusto kong pagtuunan ng pansin ngayon. Ang data na ito ang nagbibigay-daan sa mga espesyalista sa digital forensics, pagtugon sa insidente ng computer, o proactive threat hunting na itatag hindi lamang ang katotohanan ng pagpapatupad ng isang partikular na file, kundi pati na rin, sa ilang mga kaso, na muling buuin ang mga partikular na taktika at diskarte ng mga umaatake. Ngayon, ang mga umaatake ay madalas na gumagamit ng mga tool upang permanenteng tanggalin ang data, halimbawa, SDelete, kaya ang kakayahang ibalik ang hindi bababa sa mga bakas ng paggamit ng ilang mga taktika at diskarte ay kailangan lang para sa anumang modernong tagapagtanggol - isang computer forensics specialist, isang incident response specialist. , isang ThreatHunter expert.
Magsimula tayo sa taktika ng Initial Access (TA0001) at ang pinakasikat na pamamaraan, Spearphishing Attachment (T1193). Ang ilang mga cybercriminal group ay medyo malikhain sa kanilang pagpili ng mga pamumuhunan. Halimbawa, ang pangkat ng Silence ay gumamit ng mga file sa CHM (Microsoft Compiled HTML Help) na format para dito. Kaya, mayroon kaming bago sa amin ng isa pang pamamaraan - Compiled HTML File (T1223). Ang mga naturang file ay inilunsad gamit ang hh.exe, samakatuwid, kung kukuha kami ng data mula sa Prefetch file nito, malalaman namin kung aling file ang binuksan ng biktima:
Patuloy tayong magtrabaho kasama ang mga halimbawa mula sa mga totoong kaso at magpatuloy sa susunod na taktika ng Pagpapatupad (TA0002) at pamamaraan ng CSMTP (T1191). Ang Microsoft Connection Manager Profile Installer (CMSTP.exe) ay maaaring gamitin ng mga umaatake upang magpatakbo ng mga nakakahamak na script. Ang isang magandang halimbawa ay ang pangkat ng Cobalt. Kung kukuha kami ng data mula sa Prefetch file cmstp.exe, pagkatapos ay muli nating malalaman kung ano ang eksaktong inilunsad:
Ang isa pang tanyag na pamamaraan ay ang Regsvr32 (T1117). Regsvr32.exe ay madalas ding ginagamit ng mga umaatake upang ilunsad. Narito ang isa pang halimbawa mula sa pangkat ng Cobalt: kung kukuha kami ng data mula sa isang Prefetch file regsvr32.exe, pagkatapos ay makikita natin kung ano ang inilunsad:
Ang mga susunod na taktika ay Persistence (TA0003) at Privilege Escalation (TA0004), na may Application Shimming (T1138) bilang isang technique. Ang pamamaraan na ito ay ginamit ng Carbanak/FIN7 upang maiangkla ang sistema. Karaniwang ginagamit upang gumana sa mga database ng compatibility ng program (.sdb) sdbinst.exe. Samakatuwid, ang Prefetch file ng executable na ito ay makakatulong sa amin na malaman ang mga pangalan ng naturang database at ang kanilang mga lokasyon:
Tulad ng makikita mo sa ilustrasyon, mayroon kaming hindi lamang ang pangalan ng file na ginamit para sa pag-install, kundi pati na rin ang pangalan ng naka-install na database.
Tingnan natin ang isa sa mga pinakakaraniwang halimbawa ng pagpapalaganap ng network (TA0008), PsExec, gamit ang administrative shares (T1077). Serbisyong pinangalanang PSEXECSVC (siyempre, anumang iba pang pangalan ay maaaring gamitin kung ginamit ng mga umaatake ang parameter -r) ay gagawin sa target na sistema, samakatuwid, kung i-extract natin ang data mula sa Prefetch file, makikita natin kung ano ang inilunsad:
Malamang na magtatapos ako kung saan ako nagsimula - pagtanggal ng mga file (T1107). Gaya ng nabanggit ko na, maraming umaatake ang gumagamit ng SDelete para permanenteng magtanggal ng mga file sa iba't ibang yugto ng lifecycle ng pag-atake. Kung titingnan natin ang data mula sa Prefetch file sdelete.exe, pagkatapos ay makikita natin kung ano ang eksaktong tinanggal:
Siyempre, hindi ito isang kumpletong listahan ng mga diskarte na maaaring matuklasan sa panahon ng pagsusuri ng mga Prefetch file, ngunit sapat na ito upang maunawaan na ang mga naturang file ay makakatulong hindi lamang sa paghahanap ng mga bakas ng paglulunsad, kundi pati na rin sa muling pagbuo ng mga partikular na taktika at diskarte sa pag-atake. .
Pinagmulan: www.habr.com