تقنيات الصيد وتكتيكات المهاجمين باستخدام ملفات الجلب المسبق

ظهرت ملفات التتبع أو ملفات الجلب المسبق على نظام Windows منذ XP. ومنذ ذلك الحين ، ساعدوا خبراء الطب الشرعي الرقمي والمتخصصين في الاستجابة لحوادث الكمبيوتر في العثور على آثار لإطلاق البرامج ، بما في ذلك البرامج الضارة. يتحدث Oleg Skulkin ، المتخصص الأول في الطب الشرعي للكمبيوتر في Group-IB ، حول ما يمكنك العثور عليه في ملفات الجلب المسبق وكيفية القيام بذلك.

يتم تخزين ملفات الجلب المسبق في دليل ٪ SystemRoot٪ \ Prefetch وتعمل على تسريع عملية بدء البرامج. إذا نظرنا إلى أي من هذه الملفات ، فسوف نرى أن اسمه يتكون من جزأين: اسم الملف القابل للتنفيذ والمجموع الاختباري من المسار إليه ، الذي يتكون من ثمانية أحرف.

تحتوي ملفات الجلب المسبق على الكثير من المعلومات المفيدة من وجهة نظر الطب الشرعي: اسم الملف القابل للتنفيذ ، وعدد مرات البدء ، وقوائم الملفات والأدلة التي تفاعل معها الملف القابل للتنفيذ ، وبالطبع ، الطوابع الزمنية. عادةً ، تستخدم الطب الشرعي تاريخ إنشاء ملف Prefetch معين لتحديد تاريخ بدء البرنامج لأول مرة. بالإضافة إلى ذلك ، تقوم هذه الملفات بتخزين تاريخ آخر إطلاق لها ، وبدءًا من الإصدار 26 (Windows 8.1) ، الطوابع الزمنية لآخر سبع عمليات إطلاق.

لنأخذ أحد ملفات الجلب المسبق ، ونستخرج البيانات منه باستخدام PECmd الخاص بـ Eric Zimmerman ونلقي نظرة على كل جزء. للتوضيح ، سوف أستخرج البيانات من ملف CCLEANER64.EXE-DE05DBE1.pf .

لذا ، لنبدأ من فوق. بالطبع ، لدينا طوابع زمنية لإنشاء الملف وتعديله والوصول إليه:

ويتبعهم اسم الملف القابل للتنفيذ ، والمجموع الاختباري للمسار إليه ، وحجم الملف القابل للتنفيذ ، وكذلك إصدار ملف الجلب المسبق:

نظرًا لأننا نتعامل مع نظام التشغيل Windows 10 ، فسوف نرى عدد عمليات الإطلاق وتاريخ ووقت الإطلاق الأخير وسبعة طوابع زمنية أخرى تشير إلى تواريخ الإطلاق السابقة:

ويتبعها معلومات حول المجلد ، بما في ذلك الرقم التسلسلي وتاريخ الإنشاء:

وأخيرًا وليس آخرًا ، قائمة بالأدلة والملفات التي تفاعل معها الملف التنفيذي:

لذا ، فإن الدلائل والملفات التي تفاعل معها الملف التنفيذي هي ما أريد التركيز عليه اليوم. هذه البيانات هي التي تسمح للمتخصصين في الطب الشرعي الرقمي ، والاستجابة لحوادث الكمبيوتر أو البحث الاستباقي عن التهديدات ، ليس فقط لإثبات حقيقة تنفيذ الملف ، ولكن ، في بعض الحالات ، لإعادة بناء تكتيكات وتقنيات محددة للمهاجمين. اليوم ، غالبًا ما يستخدم المهاجمون أدوات لحذف البيانات بشكل دائم ، على سبيل المثال ، SDelete ، لذا فإن القدرة على استعادة آثار استخدام تكتيكات وتقنيات معينة على الأقل ضرورية ببساطة لأي مدافع حديث - متخصص في الطب الشرعي بالكمبيوتر ، متخصص في الاستجابة للحوادث ، خبير ThreatHunter.

لنبدأ بتكتيكات الوصول الأولي (TA0001) والتقنية الأكثر شيوعًا - مرفق Spearphishing (T1193). بعض الجماعات الإجرامية السيبرانية مبدعة للغاية في اختيار مثل هذه المرفقات. على سبيل المثال ، استخدمت مجموعة Silence ملفات CHM (تعليمات Microsoft Compiled HTML) لهذا الغرض. وبالتالي ، لدينا تقنية أخرى - ملف HTML مترجم (T1223). يتم تشغيل هذه الملفات باستخدام hh.exe ، لذلك ، إذا استخرجنا البيانات من ملف الجلب المسبق ، فسوف نكتشف الملف الذي فتحه الضحية:

نواصل العمل مع أمثلة واقعية وننتقل إلى أساليب التنفيذ التالية (TA0002) وتقنية CSMTP (T1191). يمكن للمهاجمين استخدام مثبت ملف تعريف إدارة اتصال Microsoft (CMSTP.exe) لتشغيل البرامج النصية الضارة. مثال جيد هو فرقة الكوبالت. إذا استخرجنا البيانات من ملف الجلب المسبق cmstp.exe ، يمكننا مرة أخرى معرفة ما بدأ بالضبط:

تقنية شائعة أخرى هي Regsvr32 (T1117). غالبًا ما يستخدم المهاجمون Regsvr32.exe أيضًا للإطلاق. فيما يلي مثال آخر من مجموعة Cobalt: إذا استخرجنا البيانات من ملف Prefetch regsvr32.exe ، فسنرى مرة أخرى ما تم إطلاقه:

التكتيكات التالية هي المثابرة (TA0003) وتصعيد الامتياز (TA0004) ، بالإضافة إلى تطبيق Shimming (T1138) كتقنية. تم استخدام هذه التقنية من قبل Carbanak / FIN7 لتأمين النظام. عادة ما يتم استخدام قواعد البيانات مع معلومات حول توافق البرنامج (.sdb) المستخدمة sdbinst.exe . لذلك ، يمكن أن يساعدنا ملف الجلب المسبق لهذا الملف القابل للتنفيذ في معرفة أسماء قواعد البيانات هذه وموقعها:

كما ترى في الرسم التوضيحي ، ليس لدينا فقط اسم الملف المستخدم للتثبيت ، ولكن أيضًا اسم قاعدة البيانات المثبتة.

دعونا نلقي نظرة على أحد الأمثلة الأكثر شيوعًا للسفر عبر الشبكة (TA0008) ، PsExec ، والذي يستخدم الموارد الإدارية المشتركة (T1077). سيتم إنشاء خدمة باسم PSEXECSVC (بالطبع ، يمكن استخدام أي اسم آخر إذا استخدم المهاجمون الخيار -r ) على النظام المستهدف ، لذلك ، إذا استخرجنا البيانات من ملف الجلب المسبق ، فسوف نرى أنه تم إطلاقها:

سأنتهي ، ربما ، بما بدأت به - حذف الملفات (T1107). كما أشرت ، يستخدم العديد من المهاجمين SDelete لحذف الملفات نهائيًا في مراحل مختلفة من دورة حياة الهجوم. إذا ألقينا نظرة على البيانات من ملف sdelete.exe Prefetch ، فسنرى ما تم حذفه بالضبط:

بالطبع ، هذه ليست قائمة شاملة من التقنيات التي يمكن العثور عليها أثناء تحليل ملفات الجلب المسبق ، ولكن يجب أن يكون هذا كافيًا لفهم أن هذه الملفات لا يمكنها فقط العثور على آثار الإطلاق ، ولكن أيضًا إعادة بناء تكتيكات وتقنيات محددة للمهاجمين.

Source: https://habr.com/ru/post/undefined/