自 XP 以來,追蹤檔案或預取檔案就已存在於 Windows 中。 從那時起,他們幫助數位鑑識和電腦事件回應專家尋找軟體痕跡,包括惡意軟體。 電腦取證領先專家組-IB 奧列格·斯庫爾金 告訴您使用預取文件可以找到什麼以及如何操作。
預取文件存放在目錄中 %SystemRoot%預取 並有助於加快啟動計劃的進程。 如果我們查看這些檔案中的任何一個,我們都會看到它的名稱由兩部分組成:可執行檔案的名稱和路徑中的八個字元的校驗和。
從取證的角度來看,預取檔案包含許多有用的信息:可執行檔的名稱、執行的次數、與執行檔互動的檔案和目錄列表,當然還有時間戳記。 通常,法醫科學家使用特定預取文件的建立日期來確定程式首次啟動的日期。 此外,這些檔案還儲存上次啟動的日期,並從版本 26 (Windows 8.1) 開始 - 最近七次運行的時間戳記。
讓我們選取一個 Prefetch 文件,使用 Eric Zimmerman 的 PECmd 從中提取數據,並查看它的每個部分。 為了演示,我將從文件中提取數據 CCLEANER64.EXE-DE05DBE1.pf.
那麼讓我們從頂部開始。 當然,我們有文件創建、修改和訪問時間戳:
接下來是可執行檔的名稱、路徑的校驗和、可執行檔的大小、預取檔案的版本:
由於我們處理的是 Windows 10,接下來我們將看到啟動次數、上次啟動的日期和時間,以及另外七個指示先前啟動日期的時間戳記:
接下來是有關卷的信息,包括其序號和創建日期:
最後但並非最不重要的是可執行檔與之互動的目錄和檔案的清單:
因此,可執行檔與之互動的目錄和檔案正是我今天要關注的重點。 正是這些資料使數位鑑識、電腦事件回應或主動威脅搜尋的專家不僅可以確定特定文件的執行事實,而且在某些情況下還可以重建攻擊者的特定策略和技術。 如今,攻擊者經常使用工具來永久刪除數據,例如SDelete,因此對於任何現代防御者(計算機取證專家、事件響應專家、ThreatHunter)來說,至少恢復使用某些策略和技術的痕蹟的能力是必要的。專家。
讓我們從初始存取策略 (TA0001) 和最受歡迎的技術魚叉式網路釣魚配件 (T1193) 開始。 一些網路犯罪集團在投資選擇上頗具創意。 例如,Silence 組織為此使用了 CHM(Microsoft 編譯的 HTML 說明)格式的檔案。 因此,我們面前有另一種技術 - 編譯 HTML 檔案(T1223)。 此類文件是使用啟動的 hh.exe因此,如果我們從其預取文件中提取數據,我們將找出受害者打開了哪個文件:
讓我們繼續使用真實案例中的範例,並繼續討論下一個執行策略 (TA0002) 和 CSMTP 技術 (T1191)。 攻擊者可利用 Microsoft 連線管理器設定檔安裝程式 (CMSTP.exe) 來執行惡意腳本。 鈷族就是一個很好的例子。 如果我們從 Prefetch 檔案中提取數據 執行程序,然後我們可以再次找出到底啟動了什麼:
另一種流行的技術是 Regsvr32 (T1117)。 Regsvr32.exe 也常被攻擊者用來發動。 這是 Cobalt 群組的另一個範例:如果我們從預取檔案中提取數據 regsvr32.exe,然後我們再次看到啟動了什麼:
接下來的策略是持久性 (TA0003) 和權限升級 (TA0004),以及應用程式填充 (T1138) 作為技術。 Carbanak/FIN7 使用此技術來錨定係統。 通常用於處理程序相容性資料庫 (.sdb) sdbinst.exe。 因此,該可執行檔的 Prefetch 檔案可以幫助我們找到此類資料庫的名稱及其位置:
如圖所示,我們不僅有用於安裝的檔案的名稱,還有已安裝資料庫的名稱。
讓我們來看看使用管理共享 (T0008) 的網路傳播 (TA1077)、PsExec 最常見的範例之一。 名為 PSEXECSVC 的服務(當然,如果攻擊者使用參數,則可以使用任何其他名稱) -r)將在目標系統上創建,因此,如果我們從預取文件中提取數據,我們將看到啟動了什麼:
我可能會從開始的地方結束——刪除檔案(T1107)。 正如我已經指出的,許多攻擊者使用 SDelete 在攻擊生命週期的各個階段永久刪除檔案。 如果我們查看 Prefetch 檔案中的數據 刪除程序,然後我們將看到到底刪除了什麼:
當然,這並不是在分析 Prefetch 文件時可以發現的技術的詳盡列表,但這應該足以理解此類文件不僅可以幫助找到啟動的痕跡,還可以重建特定的攻擊者策略和技術。
來源: www.habr.com