İzleme dosyaları veya Ön Getirme dosyaları, XP'den bu yana Windows'ta mevcuttur. O zamandan bu yana, dijital adli tıp ve bilgisayar olay müdahale uzmanlarının, kötü amaçlı yazılımlar da dahil olmak üzere yazılım izlerini bulmalarına yardımcı oldular. Adli bilişim alanında lider uzman Group-IB Oleg Skulkin Prefetch dosyalarını kullanarak neler bulabileceğinizi ve bunu nasıl yapacağınızı anlatır.
Ön getirme dosyaları dizinde saklanır %SystemRoot%Ön Getirme ve programların başlatılması sürecini hızlandırmaya hizmet eder. Bu dosyalardan herhangi birine bakarsak, adının iki bölümden oluştuğunu görürüz: yürütülebilir dosyanın adı ve ona giden yolun sekiz karakterlik sağlama toplamı.
Önceden getirme dosyaları, adli bakış açısından pek çok yararlı bilgi içerir: yürütülebilir dosyanın adı, yürütülme sayısı, yürütülebilir dosyanın etkileşimde bulunduğu dosya ve dizin listeleri ve elbette zaman damgaları. Tipik olarak adli bilimciler, programın ilk başlatıldığı tarihi belirlemek için belirli bir Prefetch dosyasının oluşturulma tarihini kullanır. Ek olarak, bu dosyalar son başlatma tarihini ve sürüm 26'dan (Windows 8.1) başlayarak en son yedi çalıştırmanın zaman damgalarını saklar.
Prefetch dosyalarından birini alalım, Eric Zimmerman'ın PECmd'sini kullanarak ondan veri çıkaralım ve her bir parçasına bakalım. Göstermek için bir dosyadan veri çıkaracağım CCLEANER64.EXE-DE05DBE1.pf.
O halde en baştan başlayalım. Elbette dosya oluşturma, değiştirme ve erişim zaman damgalarımız var:
Bunları yürütülebilir dosyanın adı, dosya yolunun sağlama toplamı, yürütülebilir dosyanın boyutu ve Prefetch dosyasının sürümü takip eder:
Windows 10 ile ilgilendiğimiz için, bundan sonra başlangıç sayısını, son başlangıç tarihini ve saatini ve önceki lansman tarihlerini gösteren yedi zaman damgasını daha göreceğiz:
Bunları seri numarası ve oluşturulma tarihi de dahil olmak üzere ciltle ilgili bilgiler takip eder:
Son olarak, yürütülebilir dosyanın etkileşime girdiği dizinlerin ve dosyaların listesi:
Yani, yürütülebilir dosyanın etkileşime girdiği dizinler ve dosyalar, bugün tam olarak odaklanmak istediğim şeylerdir. Dijital adli tıp, bilgisayar olaylarına müdahale veya proaktif tehdit avcılığı alanındaki uzmanların yalnızca belirli bir dosyanın yürütüldüğü gerçeğini belirlemekle kalmayıp, aynı zamanda bazı durumlarda saldırganların belirli taktiklerini ve tekniklerini yeniden yapılandırmasına da olanak tanıyan bu verilerdir. Bugün, saldırganlar verileri kalıcı olarak silmek için sıklıkla SDelete gibi araçlar kullanıyor; bu nedenle, belirli taktik ve tekniklerin kullanımının en azından izlerini geri yükleme yeteneği, herhangi bir modern savunmacı - bilgisayar adli tıp uzmanı, olay müdahale uzmanı, ThreatHunter - için gereklidir. uzman.
İlk Erişim taktiği (TA0001) ve en popüler teknik olan Hedefli Kimlik Avı Eklentisi (T1193) ile başlayalım. Bazı siber suç grupları yatırım seçimlerinde oldukça yaratıcıdır. Örneğin Silence grubu bunun için CHM (Microsoft Derlenmiş HTML Yardımı) formatındaki dosyaları kullandı. Böylece önümüzde başka bir teknik var - Derlenmiş HTML Dosyası (T1223). Bu tür dosyalar kullanılarak başlatılır HH.exebu nedenle Prefetch dosyasından veri çıkarırsak kurban tarafından hangi dosyanın açıldığını öğreneceğiz:
Gerçek vakalardan örneklerle çalışmaya devam edelim ve bir sonraki Yürütme taktiğine (TA0002) ve CSMTP tekniğine (T1191) geçelim. Microsoft Bağlantı Yöneticisi Profil Yükleyicisi (CMSTP.exe), saldırganlar tarafından kötü amaçlı komut dosyalarını çalıştırmak için kullanılabilir. Bunun iyi bir örneği Kobalt grubudur. Prefetch dosyasından veri çıkarırsak cmstp.exe, o zaman tam olarak neyin başlatıldığını tekrar öğrenebiliriz:
Bir diğer popüler teknik Regsvr32'dir (T1117). Regsvr32.exe Ayrıca saldırganlar tarafından fırlatma amacıyla da sıklıkla kullanılır. İşte Cobalt grubundan başka bir örnek: bir Prefetch dosyasından veri çıkarırsak regsvr32.exe, sonra tekrar neyin başlatıldığını göreceğiz:
Sonraki taktikler, bir teknik olarak Uygulama Kaydırma (T0003) ile Kalıcılık (TA0004) ve Ayrıcalık Artışıdır (TA1138). Bu teknik Carbanak/FIN7 tarafından sistemi sabitlemek için kullanıldı. Genellikle program uyumluluğu veritabanlarıyla (.sdb) çalışmak için kullanılır sdbinst.exe. Bu nedenle, bu yürütülebilir dosyanın Prefetch dosyası, bu tür veritabanlarının adlarını ve konumlarını bulmamıza yardımcı olabilir:
Resimde de görebileceğiniz gibi elimizde sadece kurulum için kullanılan dosyanın adı değil, aynı zamanda kurulu veritabanının adı da var.
Yönetimsel paylaşımları (T0008) kullanarak ağ yayılımının en yaygın örneklerinden biri olan PsExec'e (TA1077) bir göz atalım. PSEXECSVC adlı hizmet (tabii ki saldırganlar parametreyi kullandıysa başka herhangi bir ad da kullanılabilir) -r) hedef sistemde oluşturulacaktır, bu nedenle verileri Prefetch dosyasından çıkarırsak neyin başlatıldığını göreceğiz:
Muhtemelen başladığım yerde bitireceğim; dosyaları silmek (T1107). Daha önce de belirttiğim gibi birçok saldırgan, saldırı yaşam döngüsünün çeşitli aşamalarında dosyaları kalıcı olarak silmek için SDelete'i kullanıyor. Prefetch dosyasındaki verilere bakarsak sdelete.exe, sonra tam olarak neyin silindiğini göreceğiz:
Elbette bu, Prefetch dosyalarının analizi sırasında keşfedilebilecek tekniklerin kapsamlı bir listesi değildir, ancak bu tür dosyaların yalnızca başlatma izlerini bulmakla kalmayıp aynı zamanda belirli saldırgan taktiklerini ve tekniklerini yeniden yapılandırmaya yardımcı olabileceğini anlamak için yeterli olmalıdır. .
Kaynak: habr.com