Teknik berburu dan taktik penyerang menggunakan file Prefetch

Trace file, atau Prefetch file, telah muncul di Windows sejak XP. Sejak itu, mereka telah membantu para ahli forensik digital dan spesialis respons insiden komputer menemukan jejak peluncuran perangkat lunak, termasuk malware. Oleg Skulkin , seorang spesialis terkemuka dalam forensik komputer di Group-IB, berbicara tentang apa yang dapat Anda temukan dengan file Prefetch dan bagaimana melakukannya.

File prefetch disimpan di direktori % SystemRoot% \ Prefetch dan digunakan untuk mempercepat proses peluncuran program. Jika kita melihat salah satu dari file-file ini, kita akan melihat bahwa namanya terdiri dari dua bagian: nama file yang dapat dieksekusi dan checksum dari path ke sana, yang terdiri dari delapan karakter.

File yang diambil sebelumnya berisi banyak informasi yang berguna dari sudut pandang forensik: nama file yang dapat dieksekusi, jumlah awal, daftar file dan direktori yang digunakan file yang dapat dieksekusi berinteraksi, dan, tentu saja, cap waktu. Biasanya, forensik menggunakan tanggal pembuatan file Prefetch tertentu untuk menentukan tanggal program pertama kali dimulai. Selain itu, file-file ini menyimpan tanggal peluncuran terakhirnya, dan mulai dengan versi 26 (Windows 8.1), cap waktu dari tujuh peluncuran terakhir.

Mari kita ambil salah satu file Prefetch, ekstrak datanya menggunakan PECmd Eric Zimmerman dan lihat setiap bagian. Untuk demonstrasi, saya akan mengekstrak data dari file CCLEANER64.EXE-DE05DBE1.pf .

Jadi, mari kita mulai dari atas. Tentu saja, kami memiliki stempel waktu untuk membuat, memodifikasi, dan mengakses file:

Mereka diikuti oleh nama file yang dapat dieksekusi, checksum dari path ke sana, ukuran file yang dapat dieksekusi, serta versi file Prefetch:

Karena kita berhadapan dengan Windows 10, maka kita akan melihat jumlah peluncuran, tanggal dan waktu peluncuran terakhir, dan tujuh cap waktu lagi yang menunjukkan tanggal peluncuran sebelumnya:

Mereka diikuti oleh informasi tentang volume, termasuk nomor seri dan tanggal pembuatannya:

Dan yang tak kalah pentingnya, daftar direktori dan file yang dapat dieksekusi berinteraksi dengan:

Jadi, direktori dan file yang berinteraksi dengan executable adalah apa yang ingin saya fokuskan hari ini. Data inilah yang memungkinkan spesialis dalam forensik digital, menanggapi insiden komputer atau pencarian ancaman proaktif untuk menetapkan tidak hanya fakta pelaksanaan file, tetapi, dalam beberapa kasus, merekonstruksi taktik dan teknik penyerang tertentu. Saat ini, penyerang cukup sering menggunakan alat untuk menghapus data secara permanen, misalnya, SDelete, sehingga kemampuan untuk memulihkan setidaknya jejak penggunaan taktik dan teknik tertentu hanya diperlukan untuk bek modern - spesialis forensik komputer, spesialis respons insiden, pakar ThreatHunter.

Mari kita mulai dengan taktik Akses Awal (TA0001) dan teknik paling populer - Spearphishing Attachment (T1193). Beberapa kelompok penjahat dunia maya sangat kreatif dalam memilih lampiran semacam itu. Misalnya, grup Diam menggunakan file CHM (Microsoft Compiled HTML Help) untuk ini. Jadi, kami memiliki teknik lain - File HTML Terkompilasi (T1223). File-file tersebut diluncurkan menggunakan hh.exe , oleh karena itu, jika kami mengekstrak data dari file Prefetch-nya, kami akan mencari tahu file mana yang dibuka oleh korban:

Kami akan terus bekerja dengan contoh nyata dan beralih ke taktik Eksekusi berikutnya (TA0002) dan teknik CSMTP (T1191). Pemasang Profil Manajer Koneksi Microsoft (CMSTP.exe) dapat digunakan oleh penyerang untuk menjalankan skrip berbahaya. Contoh yang bagus adalah band Cobalt. Jika kami mengekstrak data dari file prefetch cmstp.exe , kami dapat mengetahui lagi apa yang sebenarnya dimulai:

Teknik populer lainnya adalah Regsvr32 (T1117). Regsvr32.exe juga sering digunakan oleh penyerang untuk meluncurkan. Berikut adalah contoh lain dari grup Cobalt: jika kita mengekstrak data dari file Prefetch regsvr32.exe , maka sekali lagi kita akan melihat apa yang diluncurkan:

Taktik berikut adalah Persistence (TA0003) dan Privilege Escalation (TA0004), serta Application Shimming (T1138) sebagai teknik. Teknik ini digunakan oleh Carbanak / FIN7 untuk mengamankan sistem. Biasanya bekerja dengan basis data dengan informasi tentang kompatibilitas program ( .sdb ) menggunakan sdbinst.exe . Oleh karena itu, file prefetch dari file yang dapat dieksekusi ini dapat membantu kami mengetahui nama-nama database tersebut dan lokasinya:

Seperti yang dapat Anda lihat dalam ilustrasi, kami tidak hanya memiliki nama file yang digunakan untuk instalasi, tetapi juga nama database yang diinstal.

Mari kita lihat salah satu contoh paling umum dari peningkatan jaringan (TA0008) - PsExec menggunakan sumber daya bersama administratif (T1077). Layanan bernama PSEXECSVC (tentu saja, nama lain dapat digunakan jika penyerang menggunakan opsi -r ) akan dibuat pada sistem target, oleh karena itu, jika kita mengekstrak data dari file Prefetch, kita akan melihat bahwa itu diluncurkan:

Saya akan menyelesaikan, mungkin, dengan apa yang saya mulai dengan - menghapus file (T1107). Seperti yang saya perhatikan, banyak penyerang menggunakan SDelete untuk menghapus file secara permanen pada berbagai tahap siklus hidup serangan. Jika kita melihat data dari file Prefetch sdelete.exe , kita akan melihat apa yang sebenarnya dihapus:

Tentu saja, ini bukan daftar lengkap teknik yang dapat ditemukan selama analisis file Prefetch, tetapi ini harus cukup untuk memahami bahwa file tersebut tidak hanya dapat menemukan jejak peluncuran, tetapi juga merekonstruksi taktik dan teknik spesifik penyerang.

Source: https://habr.com/ru/post/undefined/