内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

Windows プリフェッチの分析

Prefetchとは

Windowsで、アプリケーションの起動時間を短縮するためのデータキャッシュ。
アプリケーションが起動してから10秒間の情報を記録している。

ファイルの実行痕跡だけでなく、
・実行ファイルの場所
・過去に何回実行されたか
などなど…記載されるため、マルウェアの挙動解析として活用できる。

配置場所

プリフェッチファイルは下記のパスに拡張子[.pf]として作成される。

%Systemroot%\prefetch

f:id:gokaxtukei:20180203184037p:plain

最大128個のプリフェッチファイルが作成される
https://blogs.msdn.microsoft.com/ryanmy/2005/05/25/misinformation-and-the-the-prefetch-flag/

記述フォーマット

内部は専用のフォーマットで記載されており、容易に読み取れない。
f:id:gokaxtukei:20180203184116p:plain
http://forensicswiki.org/wiki/Windows_Prefetch_File_Format

分析時にはツールを使用し、情報を確認する。

プリフェッチの設定

regeditでロギング対象を設定できる。

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

EnablePrefetcherに以下を設定する。

value* ロギング対象*
0 停止
1 アプリケーション起動
2 システム起動
3 すべての起動

f:id:gokaxtukei:20180203184150p:plain

※3に設定しても、最大128ファイルまでしか作成されない

命名規則

プリフェッチファイルの名前は実行ファイル名と、ハッシュ値で決定する。

[アプリケーション名]-[ファイルパスをベースにしたハッシュ値].pf

e.g.
WIRESHARK.EXE-76B1D076.pf

異なるパスから実行された同一名の実行ファイルは、別々のプリフェッチファイル名となる。
そのため、ファイル名だけ正規を模した不審なファイルは、これで判別がつけられる。

Prefetch hash
http://forensicswiki.org/wiki/Prefetch

解析

プリフェッチファイルにはフォレンジックに欠かせない情報がいろいろはいっている。

  • 「どこのパスから実行されたか(Process Path)
  • 「初めての実行はいつか(Created Time)」
  • 「最新の実行はいつか(Last Run Time)」
  • 「何回実行されたか(Run Counter)」
  • 「何のファイルをロードしたか」

マルウェアであり、大量に実行されている場合はタスクスケジュールなどに登録されているかもしれない。
→(追加でjobファイル等も参照する)
プロキシで大量通信イベントが発生しているタイミングでの実行ログであれば、目的実行のマルウェアとも推測できるかも。

ファイルが消されていても推測可能で、解析の足がかりになる。

強力なツール化を活用することで、情報整理しながら解析を行うのがよい。

CLI(Windows-Prefetch-Parser)

使ったこと無いが…CLIツールも複数あり。
https://github.com/PoorBillionaire/Windows-Prefetch-Parser

f:id:gokaxtukei:20180203184246p:plain

おわりに

プリフェッチはWindowsフォレンジックにおいて、解析の足がかりになる。
闇雲に不審ファイルを探すのは楽しいが、時間がかかり、イケてないので
強力なツールと残された痕跡で効率よく追跡する。

forensicswiki.org はなんでも載ってる、偉大。