自 XP 以来,跟踪文件或预取文件就已存在于 Windows 中。 从那时起,他们帮助数字取证和计算机事件响应专家寻找软件痕迹,包括恶意软件。 计算机取证领先专家组-IB 奥列格·斯库尔金 告诉您使用预取文件可以找到什么以及如何操作。
预取文件存放在目录中 %SystemRoot%预取 并有助于加快启动计划的进程。 如果我们查看这些文件中的任何一个,我们都会看到它的名称由两部分组成:可执行文件的名称和路径中的八个字符的校验和。
从取证的角度来看,预取文件包含许多有用的信息:可执行文件的名称、执行的次数、与可执行文件交互的文件和目录列表,当然还有时间戳。 通常,法医科学家使用特定预取文件的创建日期来确定程序首次启动的日期。 此外,这些文件还存储上次启动的日期,并从版本 26 (Windows 8.1) 开始 - 最近七次运行的时间戳。
让我们选取一个 Prefetch 文件,使用 Eric Zimmerman 的 PECmd 从中提取数据,并查看它的每个部分。 为了演示,我将从文件中提取数据 CCLEANER64.EXE-DE05DBE1.pf.
那么让我们从顶部开始。 当然,我们有文件创建、修改和访问时间戳:
接下来是可执行文件的名称、路径的校验和、可执行文件的大小以及预取文件的版本:
由于我们处理的是 Windows 10,接下来我们将看到启动次数、上次启动的日期和时间,以及另外七个指示先前启动日期的时间戳:
接下来是有关卷的信息,包括其序列号和创建日期:
最后但并非最不重要的是可执行文件与之交互的目录和文件的列表:
因此,可执行文件与之交互的目录和文件正是我今天要关注的重点。 正是这些数据使数字取证、计算机事件响应或主动威胁搜寻方面的专家不仅可以确定特定文件的执行事实,而且在某些情况下还可以重建攻击者的特定策略和技术。 如今,攻击者经常使用工具来永久删除数据,例如 SDelete,因此对于任何现代防御者(计算机取证专家、事件响应专家)来说,至少恢复使用某些策略和技术的痕迹的能力是必需的,ThreatHunter 专家。
让我们从初始访问策略 (TA0001) 和最流行的技术鱼叉式网络钓鱼附件 (T1193) 开始。 一些网络犯罪团伙在投资选择上颇具创意。 例如,Silence 组织为此使用了 CHM(Microsoft 编译的 HTML 帮助)格式的文件。 因此,我们面前有另一种技术 - 编译 HTML 文件(T1223)。 此类文件是使用启动的 hh.exe因此,如果我们从其预取文件中提取数据,我们将找出受害者打开了哪个文件:
让我们继续使用真实案例中的示例,并继续讨论下一个执行策略 (TA0002) 和 CSMTP 技术 (T1191)。 攻击者可利用 Microsoft 连接管理器配置文件安装程序 (CMSTP.exe) 来运行恶意脚本。 钴族就是一个很好的例子。 如果我们从 Prefetch 文件中提取数据 命令行工具,然后我们可以再次找出到底启动了什么:
另一种流行的技术是 Regsvr32 (T1117)。 regsvr32.exe 也经常被攻击者用来发动。 这是 Cobalt 组的另一个示例:如果我们从预取文件中提取数据 regsvr32.exe,然后我们再次看到启动了什么:
接下来的策略是持久性 (TA0003) 和权限升级 (TA0004),以及应用程序填充 (T1138) 作为技术。 Carbanak/FIN7 使用该技术来锚定系统。 通常用于处理程序兼容性数据库 (.sdb) sdbinst.exe。 因此,该可执行文件的 Prefetch 文件可以帮助我们找到此类数据库的名称及其位置:
如图所示,我们不仅有用于安装的文件的名称,还有已安装数据库的名称。
让我们看一下使用管理共享 (T0008) 的网络传播 (TA1077)、PsExec 最常见的示例之一。 名为 PSEXECSVC 的服务(当然,如果攻击者使用参数,则可以使用任何其他名称) -r)将在目标系统上创建,因此,如果我们从预取文件中提取数据,我们将看到启动了什么:
我可能会从开始的地方结束——删除文件(T1107)。 正如我已经指出的,许多攻击者使用 SDelete 在攻击生命周期的各个阶段永久删除文件。 如果我们查看 Prefetch 文件中的数据 删除程序,然后我们将看到到底删除了什么:
当然,这并不是在分析 Prefetch 文件时可以发现的技术的详尽列表,但这应该足以理解此类文件不仅可以帮助找到启动的痕迹,还可以重建特定的攻击者策略和技术。
来源: habr.com