Remplacement de fichier (méthode de remplacement)

  • Description: Une technique de contournement courante consiste à remplacer un fichier malveillant (le tricheur) par un fichier légitime portant exactement le même nom de fichier. Le but est de tromper le ScreenSharer qui pourrait trouver des traces d’exécution pointant vers un nom de fichier, mais en inspectant le fichier actuellement à cet endroit, il ne trouve qu’une application bénigne.

  • Mécanisme: Cela implique généralement les étapes suivantes :

    1. Le tricheur dispose d’un exécutable de triche, par exemple , à un emplacement spécifique (par exemple, Bureau).MyClient.exe

    2. Le tricheur s’enfuit. Des artefacts d’exécution (prélecture, BAM, chaînes de mémoire de processus) sont créés en pointant vers ce fichier et ce chemin.MyClient.exe

    3. Juste avant que le partage d’écran ne gèle, le tricheur supprime le fichier de triche réel.MyClient.exe

    4. Immédiatement après, ils déplacent ou copient un fichier légitime (par exemple, un renommé , , ou un autre programme inoffensif) au même endroit exact et le renomment avec le même nom que le triche supprimé : .notepad.exe calc.exe MyClient.exe

  • Pourquoi les tricheurs l’utilisent : Pour créer une dénégation plausible. Lorsque le ScreenSharer trouve des preuves d’exécution pour (par exemple, dans Prefetch ou BAM), il navigue vers le chemin et trouve ce qui semble être , mais c’est en réalité le fichier de remplacement bénin. Si le SSer ne vérifie que les propriétés ou le contenu du fichier actuel sans recouper les horodatages ni utiliser une analyse plus approfondie, il pourrait manquer le changement.MyClient.exe MyClient.exe

  • Détection: La détection du remplacement de fichiers repose fortement sur la corrélation des preuves entre plusieurs artefacts, en particulier le USN Journal :

    • Revue USN () : C’est la méthode de détection la plus définitive. Le journal enregistre toute la séquence :$UsnJrnl

      1. Un événement pour le fichier de triche original () à son emplacement.FILE_DELETE MyClient.exe

      2. Suivi de près par et potentiellement des événements pour le fichier légitime déplacé/copié/renommé au même endroit avec le même nom (). Les codes de raison spécifiques peuvent varier selon qu’il s’agisse d’une copie, d’un déplacement ou d’un renommage direct, mais la séquence de suppression suivie de création/renommage du même nom de fichier sur le même chemin en un court laps de temps est le motif clé.FILE_CREATE RENAME_NEW_NAME MyClient.exe

    • Divergences d’horodatage (prélecture/BAM vs. fichier actuel) : Comparez l’horodatage d’exécution trouvé dans Prefetch ou BAM avec les horodatages de création/modification du fichier actuellement présent sur le disque. Si le timestamp d’exécution est nettement plus récent que le moment de création/modification du fichier actuel, cela implique que le fichier exécuté n’est pas celui qui réside actuellement sur ce chemin.MyClient.exe MyClient.exe

    • Décalage entre hachage et signature : Si la triche originale n’était pas signée ou avait un hachage spécifique, et que le fichier de remplacement est légitime (par exemple, signé), comparer le hachage/signature du fichier actuel avec les attentes basées sur les journaux d’exécution peut révéler le remplacement.notepad.exe

    • Heure de compilation DPS : Le Service de politique de diagnostic (DPS) enregistre parfois l’horodatage de compilation intégré dans un exécutable. Si les journaux DPS montrent une trace d’exécution avec l’horodatage de compilation A, mais que le disque actuellement sur le disque a l’horodatage de compilation B (vérifiable via les détails de VirusTotal ou les outils d’analyse PE), cela prouve qu’un remplacement a eu lieu.MyClient.exe MyClient.exe

    • (Avancé) : Si le journal USN fournit le numéro de référence de fichier (FRN) pour le fichier de triche supprimé, cette commande (si elle est exécutée rapidement avant que l’enregistrement MFT ne soit réutilisé) pourrait potentiellement résoudre le nom de fichier original associé à ce FRN, confirmant ainsi la suppression. (La fiabilité varie).fsutil file queryFileNameByIdfsutil

La détection réussie du remplacement de fichiers nécessite une comparaison méticuleuse des horodatages et des journaux d’événements du système de fichiers avec les artefacts d’exécution.

PrécédentNettoyage des bacs de recyclageSuivantModification de l’autorisation et de l’héritage

Mis à jour