Jagdtechniken und -taktiken von Angreifern, die Prefetch-Dateien verwenden

Trace-Dateien oder Prefetch-Dateien werden seit XP unter Windows angezeigt. Seitdem haben sie Spezialisten für digitale Forensik und Reaktion auf Computervorfälle dabei geholfen, Spuren von Softwarestarts, einschließlich Malware, zu finden. Oleg Skulkin , führender Spezialist für Computerforensik bei Group-IB, spricht darüber, was Sie mit Prefetch-Dateien finden und wie Sie dies tun können.

Prefetch-Dateien werden im Verzeichnis % SystemRoot% \ Prefetch gespeichert und dienen dazu, das Starten von Programmen zu beschleunigen. Wenn wir uns eine dieser Dateien ansehen, werden wir sehen, dass ihr Name aus zwei Teilen besteht: dem Namen der ausführbaren Datei und der Prüfsumme vom Pfad zu ihr, bestehend aus acht Zeichen.

Prefetch-Dateien enthalten viele Informationen, die aus forensischer Sicht nützlich sind: den Namen der ausführbaren Datei, die Anzahl der Starts, Listen der Dateien und Verzeichnisse, mit denen die ausführbare Datei interagiert hat, und natürlich Zeitstempel. In der Regel verwendet die Forensik das Erstellungsdatum einer bestimmten Prefetch-Datei, um das Datum zu bestimmen, an dem das Programm zum ersten Mal gestartet wird. Darüber hinaus speichern diese Dateien das Datum des letzten Starts und ab Version 26 (Windows 8.1) die Zeitstempel der letzten sieben Starts.

Nehmen wir eine der Prefetch-Dateien, extrahieren die Daten mit Eric Zimmermans PECmd daraus und schauen uns die einzelnen Teile an. Zur Demonstration werde ich die Daten aus der Datei CCLEANER64.EXE-DE05DBE1.pf extrahieren .

Fangen wir also von oben an. Natürlich haben wir Zeitstempel zum Erstellen, Ändern und Zugreifen auf die Datei:

Ihnen folgen der Name der ausführbaren Datei, die Prüfsumme des Pfads dazu, die Größe der ausführbaren Datei sowie die Version der Prefetch-Datei:

Da es sich um Windows 10 handelt, werden die Anzahl der Starts, das Datum und die Uhrzeit des letzten Starts sowie sieben weitere Zeitstempel mit den vorherigen Startdaten angezeigt:

Darauf folgen Informationen zum Volume, einschließlich Seriennummer und Erstellungsdatum:

Und zu guter Letzt eine Liste der Verzeichnisse und Dateien, mit denen die ausführbare Datei interagiert hat:

Die Verzeichnisse und Dateien, mit denen die ausführbare Datei interagiert hat, sind genau das, worauf ich mich heute konzentrieren möchte. Mit diesen Daten können Spezialisten für digitale Forensik, die auf Computervorfälle oder proaktive Bedrohungssuchen reagieren, nicht nur die Tatsache der Ausführung einer Datei feststellen, sondern in einigen Fällen auch bestimmte Taktiken und Techniken von Angreifern rekonstruieren. Heutzutage verwenden Angreifer häufig Tools zum dauerhaften Löschen von Daten, z. B. SDelete. Daher ist die Fähigkeit, zumindest Spuren des Einsatzes bestimmter Taktiken und Techniken wiederherzustellen, für jeden modernen Verteidiger einfach erforderlich - ein Computerforensiker, ein Spezialist für die Reaktion auf Vorfälle oder ein Experte von ThreatHunter.

Beginnen wir mit der Initial Access-Taktik (TA0001) und der beliebtesten Technik - Spearphishing Attachment (T1193). Einige Cyberkriminelle sind sehr kreativ bei der Auswahl solcher Anhänge. Beispielsweise verwendete die Silence-Gruppe hierfür CHM-Dateien (Microsoft Compiled HTML Help). Somit haben wir noch eine andere Technik - Kompilierte HTML-Datei (T1223). Solche Dateien werden mit hh.exe gestartet. Wenn wir also die Daten aus der Prefetch-Datei extrahieren, finden wir heraus, welche Datei das Opfer geöffnet hat:

Wir arbeiten weiterhin mit Beispielen aus der Praxis und fahren mit der nächsten Ausführungstaktik (TA0002) und der CSMTP-Technik (T1191) fort. Das Microsoft Connection Manager-Profilinstallationsprogramm (CMSTP.exe) kann von Angreifern zum Ausführen schädlicher Skripts verwendet werden. Ein gutes Beispiel ist die Cobalt Band. Wenn wir die Daten aus der Prefetch- Datei cmstp.exe extrahieren , können wir erneut herausfinden, was genau gestartet wurde:

Eine andere beliebte Technik ist Regsvr32 (T1117). Regsvr32.exe wird auch häufig von Angreifern zum Starten verwendet. Hier ist ein weiteres Beispiel aus der Cobalt-Gruppe: Wenn wir Daten aus der Prefetch-Datei regsvr32.exe extrahieren , sehen wir erneut, was gestartet wurde:

Die folgenden Taktiken sind Persistenz (TA0003) und Privilegieneskalation (TA0004) sowie Application Shimming (T1138) als Technik. Diese Technik wurde von Carbanak / FIN7 verwendet, um das System zu sichern. Normalerweise wird bei der Arbeit mit Datenbanken mit Informationen zur Programmkompatibilität (.sdb) die Datei sdbinst.exe verwendet . Daher kann uns die Prefetch-Datei dieser ausführbaren Datei helfen, die Namen solcher Datenbanken und ihren Speicherort herauszufinden:

Wie Sie in der Abbildung sehen können, haben wir nicht nur den Namen der für die Installation verwendeten Datei, sondern auch den Namen der installierten Datenbank.

Schauen wir uns eines der häufigsten Beispiele für Netzwerkreisen (TA0008) an, PsExec, das gemeinsam genutzte Verwaltungsressourcen verwendet (T1077). Auf dem Zielsystem wird ein Dienst mit dem Namen PSEXECSVC erstellt (natürlich kann jeder andere Name verwendet werden, wenn die Angreifer die Option -r verwendet haben ). Wenn wir also die Daten aus der Prefetch-Datei extrahieren, sehen wir, dass er gestartet wurde:

Ich werde vielleicht mit dem fertig werden, womit ich angefangen habe - Dateien löschen (T1107). Wie bereits erwähnt, verwenden viele Angreifer SDelete, um Dateien in verschiedenen Phasen des Angriffslebenszyklus dauerhaft zu löschen. Wenn wir uns die Daten aus der Prefetch-Datei sdelete.exe ansehen , werden wir sehen, was genau gelöscht wurde:

Natürlich ist dies keine erschöpfende Liste von Techniken, die während der Analyse von Prefetch-Dateien gefunden werden können, aber dies sollte ausreichen, um zu verstehen, dass solche Dateien nicht nur Spuren des Starts finden, sondern auch spezifische Taktiken und Techniken der Angreifer rekonstruieren können.

Source: https://habr.com/ru/post/undefined/