Tệp theo dõi hoặc tệp Tìm nạp trước đã có mặt trong Windows kể từ XP. Kể từ đó, họ đã giúp các chuyên gia điều tra kỹ thuật số và ứng phó sự cố máy tính tìm ra dấu vết của phần mềm, bao gồm cả phần mềm độc hại. Chuyên gia hàng đầu về pháp y máy tính Group-IB Oleg Skulkin cho bạn biết những gì bạn có thể tìm thấy bằng cách sử dụng tệp Tìm nạp trước và cách thực hiện.
Các tập tin tìm nạp trước được lưu trữ trong thư mục %SystemRoot%Tìm nạp trước và phục vụ để tăng tốc quá trình khởi chạy chương trình. Nếu xem xét bất kỳ tệp nào trong số này, chúng ta sẽ thấy tên của nó bao gồm hai phần: tên của tệp thực thi và tổng kiểm tra gồm tám ký tự từ đường dẫn đến tệp đó.
Các tệp tìm nạp trước chứa nhiều thông tin hữu ích theo quan điểm pháp y: tên của tệp thực thi, số lần nó được thực thi, danh sách các tệp và thư mục mà tệp thực thi đã tương tác và tất nhiên là cả dấu thời gian. Thông thường, các nhà khoa học pháp y sử dụng ngày tạo của một tệp Tìm nạp trước cụ thể để xác định ngày khởi chạy chương trình lần đầu tiên. Ngoài ra, các tệp này lưu trữ ngày khởi chạy gần đây nhất và bắt đầu từ phiên bản 26 (Windows 8.1) - dấu thời gian của bảy lần chạy gần đây nhất.
Hãy lấy một trong các tệp Tìm nạp trước, trích xuất dữ liệu từ nó bằng PECmd của Eric Zimmerman và xem xét từng phần của nó. Để chứng minh, tôi sẽ trích xuất dữ liệu từ một file CCLEANER64.EXE-DE05DBE1.pf.
Vì vậy, hãy bắt đầu từ đầu. Tất nhiên, chúng tôi có dấu thời gian tạo, sửa đổi và truy cập tệp:
Theo sau chúng là tên của tệp thực thi, tổng kiểm tra đường dẫn đến tệp đó, kích thước của tệp thực thi và phiên bản của tệp Tìm nạp trước:
Vì chúng ta đang xử lý Windows 10, nên tiếp theo chúng ta sẽ thấy số lần khởi động, ngày và giờ của lần bắt đầu cuối cùng và bảy dấu thời gian khác cho biết ngày ra mắt trước đó:
Tiếp theo là thông tin về tập đĩa, bao gồm số sê-ri và ngày tạo:
Cuối cùng nhưng không kém phần quan trọng là danh sách các thư mục và tệp mà tệp thực thi đã tương tác với:
Vì vậy, các thư mục và tệp mà tệp thực thi tương tác chính xác là những gì tôi muốn tập trung vào hôm nay. Chính dữ liệu này cho phép các chuyên gia về pháp y kỹ thuật số, ứng phó sự cố máy tính hoặc chủ động tìm kiếm mối đe dọa không chỉ thiết lập thực tế thực thi một tệp cụ thể mà còn, trong một số trường hợp, tái tạo lại các chiến thuật và kỹ thuật cụ thể của những kẻ tấn công. Ngày nay, những kẻ tấn công thường sử dụng các công cụ để xóa vĩnh viễn dữ liệu, chẳng hạn như SDelete, vì vậy khả năng khôi phục ít nhất dấu vết sử dụng các chiến thuật và kỹ thuật nhất định là cần thiết đối với bất kỳ người bảo vệ hiện đại nào - chuyên gia pháp y máy tính, chuyên gia ứng phó sự cố, ThreatHunter chuyên gia.
Hãy bắt đầu với chiến thuật Truy cập ban đầu (TA0001) và kỹ thuật phổ biến nhất là Spearphishing Attachment (T1193). Một số nhóm tội phạm mạng khá sáng tạo trong việc lựa chọn đầu tư. Ví dụ: nhóm Im lặng đã sử dụng các tệp ở định dạng CHM (Trợ giúp HTML được biên dịch của Microsoft) cho việc này. Vì vậy, chúng ta có trước một kỹ thuật khác - Tệp HTML đã biên dịch (T1223). Những tập tin như vậy được khởi chạy bằng cách sử dụng hh.exe, do đó, nếu chúng ta trích xuất dữ liệu từ tệp Prefetch của nó, chúng ta sẽ tìm ra tệp nào đã được nạn nhân mở:
Hãy tiếp tục làm việc với các ví dụ từ các trường hợp thực tế và chuyển sang chiến thuật Thực thi tiếp theo (TA0002) và kỹ thuật CSMTP (T1191). Trình cài đặt hồ sơ Trình quản lý kết nối Microsoft (CMSTP.exe) có thể bị kẻ tấn công sử dụng để chạy các tập lệnh độc hại. Một ví dụ điển hình là nhóm Cobalt. Nếu chúng tôi trích xuất dữ liệu từ tệp Tìm nạp trước cmstp.exe, thì chúng ta lại có thể tìm hiểu chính xác những gì đã được đưa ra:
Một kỹ thuật phổ biến khác là Regsvr32 (T1117). Regsvr32.exe cũng thường được những kẻ tấn công sử dụng để khởi động. Đây là một ví dụ khác từ nhóm Cobalt: nếu chúng ta trích xuất dữ liệu từ tệp Tìm nạp trước regsvr32.exe, sau đó một lần nữa chúng ta sẽ thấy những gì đã được đưa ra:
Chiến thuật tiếp theo là Kiên trì (TA0003) và Nâng cao đặc quyền (TA0004), với kỹ thuật Làm mờ ứng dụng (T1138). Kỹ thuật này đã được Carbanak/FIN7 sử dụng để neo giữ hệ thống. Thường được sử dụng để làm việc với cơ sở dữ liệu tương thích chương trình (.sdb) sdbinst.exe. Do đó, tệp Tìm nạp trước của tệp thực thi này có thể giúp chúng tôi tìm ra tên của các cơ sở dữ liệu đó và vị trí của chúng:
Như bạn có thể thấy trong hình minh họa, chúng ta không chỉ có tên của tệp được sử dụng để cài đặt mà còn có tên của cơ sở dữ liệu đã cài đặt.
Chúng ta hãy xem một trong những ví dụ phổ biến nhất về lan truyền mạng (TA0008), PsExec, sử dụng cổ phiếu quản trị (T1077). Dịch vụ có tên PSEXECSVC (tất nhiên, bất kỳ tên nào khác cũng có thể được sử dụng nếu kẻ tấn công sử dụng tham số -r) sẽ được tạo trên hệ thống đích, do đó, nếu chúng ta trích xuất dữ liệu từ tệp Tìm nạp trước, chúng ta sẽ thấy những gì đã được khởi chạy:
Có lẽ tôi sẽ kết thúc ở nơi tôi đã bắt đầu – xóa các tập tin (T1107). Như tôi đã lưu ý, nhiều kẻ tấn công sử dụng SDelete để xóa vĩnh viễn các tệp ở các giai đoạn khác nhau của vòng đời tấn công. Nếu chúng ta xem dữ liệu từ tệp Tìm nạp trước sdelete.exe, sau đó chúng ta sẽ biết chính xác những gì đã bị xóa:
Tất nhiên, đây không phải là danh sách đầy đủ các kỹ thuật có thể được phát hiện trong quá trình phân tích tệp Tìm nạp trước, nhưng điều này đủ để hiểu rằng những tệp đó không chỉ có thể giúp tìm ra dấu vết của quá trình khởi chạy mà còn tái tạo lại các chiến thuật và kỹ thuật cụ thể của kẻ tấn công. .
Nguồn: www.habr.com