İz faylları və ya Prefetch faylları XP-dən bəri Windows-da mövcuddur. O vaxtdan bəri onlar rəqəmsal məhkəmə ekspertizasına və kompüter insidentlərinə cavab verən mütəxəssislərə proqram təminatının, o cümlədən zərərli proqramların izlərini tapmaqda kömək ediblər. Kompüter məhkəmə ekspertizası üzrə aparıcı mütəxəssis Group-IB Oleq Skulkin Prefetch fayllarından istifadə edərək nə tapa biləcəyinizi və bunu necə edəcəyinizi söyləyir.
Prefetch faylları kataloqda saxlanılır %SystemRoot%Öncədən yükləmə və proqramların işə salınması prosesini sürətləndirməyə xidmət edir. Bu fayllardan hər hansı birinə baxsaq, onun adının iki hissədən ibarət olduğunu görərik: icra olunan faylın adı və ona gedən yoldan səkkiz simvollu yoxlama cəmi.
Prefetch faylları məhkəmə ekspertizası nöqteyi-nəzərindən faydalı olan bir çox məlumatı ehtiva edir: icra olunan faylın adı, icra olunma sayı, icra olunan faylın qarşılıqlı əlaqədə olduğu fayl və qovluqların siyahıları və əlbəttə ki, vaxt ştampları. Tipik olaraq, məhkəmə ekspertləri proqramın ilk işə salındığı tarixi müəyyən etmək üçün xüsusi Prefetch faylının yaradılma tarixindən istifadə edirlər. Bundan əlavə, bu fayllar onun son buraxılış tarixini və 26-cı versiyadan (Windows 8.1) başlayaraq - yeddi ən son buraxılışın vaxt ştamplarını saxlayır.
Gəlin Prefetch fayllarından birini götürək, Erik Zimmermanın PECmd-dən istifadə edərək ondan məlumat çıxaraq və onun hər bir hissəsinə baxaq. Nümayiş etmək üçün mən fayldan məlumat çıxaracağam CCLEANER64.EXE-DE05DBE1.pf.
Beləliklə, yuxarıdan başlayaq. Əlbəttə ki, bizdə fayl yaratma, modifikasiya və giriş vaxt nişanları var:
Onlardan sonra icra olunan faylın adı, ona gedən yolun yoxlama cəmi, icra olunan faylın ölçüsü və Prefetch faylının versiyası gəlir:
Windows 10 ilə məşğul olduğumuz üçün növbəti başlanğıcların sayını, son başlanğıcın tarixini və vaxtını və əvvəlki işə salınma tarixlərini göstərən daha yeddi vaxt damğasını görəcəyik:
Bunlardan sonra seriya nömrəsi və yaradılma tarixi daxil olmaqla həcm haqqında məlumat verilir:
Nəhayət, icra olunanın qarşılıqlı əlaqədə olduğu kataloq və faylların siyahısı:
Beləliklə, icra olunanın qarşılıqlı əlaqədə olduğu kataloqlar və fayllar bu gün diqqət yetirmək istədiyim şeydir. Məhz bu məlumatlar rəqəmsal kriminalistika, kompüter insidentlərinə reaksiya və ya proaktiv təhlükə ovçuluğu üzrə mütəxəssislərə nəinki müəyyən bir faylın icrası faktını müəyyən etməyə, həm də bəzi hallarda təcavüzkarların xüsusi taktika və üsullarını yenidən qurmağa imkan verir. Bu gün təcavüzkarlar tez-tez məlumatları daimi olaraq silmək üçün vasitələrdən istifadə edirlər, məsələn, SDelete, buna görə də ən azı müəyyən taktika və üsulların istifadəsinin izlərini bərpa etmək qabiliyyəti hər hansı bir müasir müdafiəçi üçün sadəcə zəruridir - kompüter ekspertiza mütəxəssisi, insidentlərə cavab verən mütəxəssis, ThreatHunter ekspert.
İlkin Giriş taktikası (TA0001) və ən məşhur texnika olan Spearphishing Attachment (T1193) ilə başlayaq. Bəzi kibercinayətkar qruplar investisiya seçimində kifayət qədər yaradıcıdırlar. Məsələn, Silence qrupu bunun üçün CHM (Microsoft Compiled HTML Help) formatında olan fayllardan istifadə edirdi. Beləliklə, qarşımızda başqa bir texnika var - Tərtib edilmiş HTML Faylı (T1223). Bu cür fayllar istifadə edərək işə salınır hh.exe, buna görə də, onun Prefetch faylından məlumatları çıxarsaq, qurbanın hansı faylı açdığını öyrənəcəyik:
Real hallardan nümunələrlə işləməyə davam edək və növbəti İcra taktikasına (TA0002) və CSMTP texnikasına (T1191) keçək. Microsoft Connection Manager Profile Installer (CMSTP.exe) təcavüzkarlar tərəfindən zərərli skriptləri işə salmaq üçün istifadə edilə bilər. Yaxşı nümunə Kobalt qrupudur. Prefetch faylından məlumatları çıxarsaq cmstp.exe, sonra tam olaraq nəyin işə salındığını yenidən öyrənə bilərik:
Digər məşhur texnika Regsvr32 (T1117). Regsvr32.exe tez-tez hücumçular tərəfindən işə salmaq üçün istifadə olunur. Budur, Cobalt qrupundan başqa bir nümunə: əgər Prefetch faylından məlumat çıxarsaq regsvr32.exe, sonra yenidən nəyin işə salındığını görəcəyik:
Növbəti taktikalar Persistence (TA0003) və Privilege Escalation (TA0004), bir texnika olaraq Application Shimming (T1138) ilə. Bu texnika Carbanak/FIN7 tərəfindən sistemi lövbərləmək üçün istifadə edilmişdir. Adətən proqram uyğunluğu verilənlər bazası (.sdb) ilə işləmək üçün istifadə olunur. sdbinst.exe. Buna görə də, bu icra olunan faylın Prefetch faylı bizə belə verilənlər bazalarının adlarını və onların yerlərini tapmaqda kömək edə bilər:
Şəkildə gördüyünüz kimi, bizdə yalnız quraşdırma üçün istifadə olunan faylın adı deyil, həm də quraşdırılmış verilənlər bazasının adı var.
Şəbəkə yayılmasının (TA0008) ən ümumi nümunələrindən birinə, inzibati paylaşımlardan (T1077) istifadə edən PsExec-ə nəzər salaq. PSEXECSVC adlı xidmət (əlbəttə ki, təcavüzkarlar parametrdən istifadə edərlərsə, hər hansı başqa ad istifadə edilə bilər -r) hədəf sistemdə yaradılacaq, buna görə də Prefetch faylından məlumatları çıxarsaq, nəyin işə salındığını görəcəyik:
Yəqin ki, başladığım yerdə bitirəcəyəm – faylları silməklə (T1107). Artıq qeyd etdiyim kimi, bir çox təcavüzkarlar hücumun həyat dövrünün müxtəlif mərhələlərində faylları daimi olaraq silmək üçün SDelete-dən istifadə edirlər. Prefetch faylından verilənlərə baxsaq sdelete.exe, sonra dəqiq nəyin silindiyini görəcəyik:
Əlbəttə ki, bu, Prefetch fayllarının təhlili zamanı aşkar edilə bilən texnikaların tam siyahısı deyil, lakin bu, belə faylların təkcə işə salınma izlərini tapmağa deyil, həm də hücumçuların xüsusi taktika və üsullarını yenidən qurmağa kömək edə biləcəyini başa düşmək üçün kifayətdir. .
Mənbə: www.habr.com