Файли трасування, або Prefetch-файли, з'явилися у Windows ще з часів XP. З того часу вони допомагали фахівцям із цифрової криміналістики та реагування на комп'ютерні інциденти знаходити сліди запуску програм, у тому числі шкідливих. Провідний спеціаліст з комп'ютерної криміналістики Group-IB Олег Скулькін розповідає, що можна знайти за допомогою файлів Prefetch і як це зробити.
Prefetch-файли зберігаються у каталозі %SystemRoot%Prefetch та служать для прискорення процесу запуску програм. Якщо ми подивимося на будь-який з цих файлів, то побачимо, що його ім'я складається з двох частин: імені файлу, що виконується, і контрольної суми від шляху до нього, що складається з восьми символів.
Prefetch-файли містять масу корисної з криміналістичної точки зору інформації: ім'я файлу, кількість його запусків, списки файлів і каталогів, з якими взаємодіяв виконуваний файл, і, зрозуміло, тимчасові мітки. Зазвичай криміналісти використовують дату створення того чи іншого файлу Prefetch для визначення дати першого запуску програми. Крім того, дані файли зберігають дату її останнього запуску, а починаючи з версії 26 (Windows 8.1) - тимчасові позначки семи останніх запусків.
Давайте візьмемо один із Prefetch-файлів, витягнемо з нього дані засобами PECmd Еріка Циммермана і подивимося на кожну їх частину. Для демонстрації я отримаю дані з файлу CCLEANER64.EXE-DE05DBE1.pf.
Отже, почнемо згори. Зрозуміло, у нас є тимчасові позначки створення, модифікації та доступу до файлу:
За ними слідують ім'я виконуваного файлу, контрольна сума шляху до нього, розмір файлу, що виконується, а також версія Prefetch-файлу:
Так як ми маємо справу з Windows 10, далі ми побачимо кількість запусків, дату та час останнього запуску та ще сім тимчасових міток, що вказують на попередні дати запуску:
За ними слідує інформація про том, включаючи його серійний номер та дату створення:
І останнє, але не менш важливе — список каталогів і файлів, з якими взаємодіяв файл, що виконується:
Отже, каталоги і файли, з якими взаємодіяв файл, що виконується, — це саме те, на чому я хочу сьогодні зосередитися. Саме ці дані дозволяють фахівцям з цифрової криміналістики, реагування на комп'ютерні інциденти чи проактивному пошуку загроз встановити не лише факт виконання того чи іншого файлу, а й у деяких випадках реконструювати конкретні тактики та техніки атакуючих. Сьогодні зловмисники досить часто використовують інструменти для безповоротного видалення даних, наприклад, SDelete, тому здатність відновлювати хоча б сліди використання тих чи інших тактик і технік просто необхідна будь-якому сучасному захиснику — комп'ютерному криміналісту, фахівцю з реагування на інциденти, ThreatNunter-експерту.
Почнемо з тактики Initial Access (TA0001) та найпопулярнішої техніки - Spearphishing Attachment (T1193). Деякі кіберзлочинні групи належать до вибору таких вкладень досить творчо. Наприклад, група Silence використовувала для цього файли у форматі CHM (Microsoft Compiled HTML Help). Таким чином, перед нами ще одна техніка – Compiled HTML File (T1223). Такі файли запускаються за допомогою hh.exeОтже, якщо ми вилучимо дані з його Prefetch-файлу, то дізнаємося, який саме файл був відкритий жертвою:
Продовжимо працювати з прикладами з реальних справ і перейдемо до наступної тактики Execution (TA0002) та техніки CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) може використовуватися атакуючими для запуску шкідливих сценаріїв. Хороший приклад – група Cobalt. Якщо ми отримаємо дані з Prefetch-файлу cmstp.exe, то знову зможемо дізнатися, що саме було запущено:
Ще одна популярна техніка – Regsvr32 (T1117). Regsvr32.exe також часто використовується атакуючими для запуску. Ось і ще один приклад від групи Cobalt: якщо ми отримаємо дані з Prefetch-файлу regsvr32.exe, то знову побачимо, що було запущено:
Наступні тактики - Persistence (TA0003) та Privilege Escalation (TA0004), а також Application Shimming (T1138) як техніка. Ця техніка використовувалася Carbanak/FIN7 для закріплення у системі. Зазвичай для роботи з базами даних з сумісністю програм (.sdb) використовується sdbinst.exe. Отже, Prefetch-файл даного виконуваного файлу може допомогти нам дізнатися імена таких баз даних та їх розташування:
Як бачимо на ілюстрації, ми маємо як ім'я файлу, використаного для інсталяції, а й ім'я інстальованої бази даних.
Погляньмо на один з найбільш типових прикладів просування по мережі (TA0008) - PsExec, який використовує адміністративні загальні ресурси (T1077). Служба з ім'ям PSEXECSVC (зрозуміло, може використовуватися будь-яке інше ім'я, якщо атакуючі використовували параметр -r) буде створена на цільовій системі, отже, якщо ми вилучимо дані з Prefetch-файлу, то побачимо, що було запущено:
Закінчу я, мабуть, на тому, з чого починав видалення файлів (T1107). Як я вже зазначав, багато атакуючих використовують SDelete для безповоротного видалення файлів на різних стадіях життєвого циклу атаки. Якщо ми поглянемо на дані з файлу Prefetch sdelete.exe, то побачимо, що саме було видалено:
Зрозуміло, це не вичерпний список технік, які можна виявити в ході аналізу Prefetch-файлів, але цього має бути цілком достатньо, щоб зрозуміти, що такі файли можуть допомогти не тільки знайти сліди запуску, а й реконструювати конкретні тактики та техніки атакуючих.
Джерело: habr.com