Olá! Esta é a primeira postagem de uma série dedicada a Forense e Resposta a Incidentes que estou preparando. Neste primeiro artigo, decidi abordar os arquivos Prefetch e como eles podem nos auxiliar durante uma investigação em máquinas Windows.
Arquivos Prefetch
Primeiramente, vamos entender o que são os arquivos Prefetch.
Os arquivos Prefetch servem para otimizar o carregamento de aplicativos em sistemas Windows, armazenando em cache os dados dos aplicativos, especialmente daqueles usados com frequência.
No contexto de forense e resposta a incidentes, esses arquivos são essenciais para determinar se um determinado binário foi executado na máquina ou não, especialmente quando os logs não são suficientes.
Esses arquivos contêm informações valiosas como:
O nome do executável
O caminho absoluto do executável
A quantidade de vezes que o executável foi executado no sistema
A última vez que o executável foi executado
A lista de DLLs carregadas pelo executável
Todos os arquivos Prefetch seguem a extensão .pf e por padrão, os arquivos Prefetch são salvos em SystemRoot\Prefetch.
A nomenclatura desses arquivos consiste em adicionar o nome do executável em letras maiúsculas, seguido de um hífen (-) e de um hash de oito caracteres do caminho onde o executável foi iniciado, conforme podemos observar na imagem acima.
Exemplo: CMD.EXE-0BD30981.pf
Entretanto, para ler essas informações, é necessário usar uma ferramenta que saiba interpretar o formato específico desenvolvido pela Microsoft.
Para demonstrar, vou utilizar o WinPrefetchView, que pode ser baixado clicando aqui
Quando o download finalizar, basta descompactar o arquivo zip. Você verá três arquivos, e o que precisamos para visualizar os dados é o WinPrefetchView.exe.
Logo que você abre o executável, ele lê as informações de Prefetch da própria máquina, localizadas em SystemRoot\Prefetch.
Na maioria das vezes, precisaremos configurar para uma pasta diferente, pois frequentemente recebemos os arquivos para serem analisados. Para configurar a leitura para uma pasta diferente, siga estes passos:
Vá em Options.
Selecione Advanced Options.
Configure a pasta onde estão os arquivos Prefetch que serão analisados.
Isso permitirá que o WinPrefetchView leia e interprete corretamente os arquivos Prefetch na pasta especificada.
Dentre as informações, podemos destacar:
Process EXE: Nome do executável
Process Path: Caminho absoluto do executável
Run Counter: Quantidade de vezes que o executável foi executado
Last Run Time: Última vez que o executável foi executado
Informações de DLLs e o caminho de cada uma
Se você já tem experiência com investigações, vai notar que com essas informações conseguimos determinar se um determinado arquivo malicioso ou DLL maliciosa foi executado/carregado na máquina que está sendo investigada, junto com a quantidade de vezes que foi executado e a última vez que foi executado.
Os arquivos Prefetch são ricos em informações e nos proporcionam uma ótima visibilidade, especialmente quando não temos um monitoramento adequado, como o Sysmon ou EDR. Mesmo que um atacante consiga burlar um EDR, ainda temos os arquivos Prefetch para validação.
Treinamentos da SecDay
Na SecDay, estamos empenhados em desenvolver treinamentos para aqueles interessados em aprofundar seus conhecimentos em segurança da informação. Não deixe de conferir nossos treinamentos gratuitos disponíveis no YouTube e explorar os treinamentos enterprise oferecidos em nossa plataforma Academy.
Academy: Academy | Secday
YouTube: SecDay - YouTube
コメント