Ang pagsubay sa mga file, o Prefetch nga mga file, anaa na sa Windows sukad sa XP. Sukad niadto, gitabangan nila ang digital forensics ug mga espesyalista sa pagtubag sa insidente sa kompyuter nga makit-an ang mga bakas sa software, lakip ang malware. Nanguna nga espesyalista sa computer forensics Group-IB Oleg Skulkin nagsulti kanimo kung unsa ang imong makit-an gamit ang Prefetch nga mga file ug kung giunsa kini buhaton.
Ang prefetch nga mga file gitipigan sa direktoryo %SystemRoot%Prefetch ug nagsilbi aron mapadali ang proseso sa paglansad sa mga programa. Kung atong tan-awon ang bisan hain niini nga mga file, atong makita nga ang ngalan niini naglangkob sa duha ka bahin: ang ngalan sa executable file ug usa ka walo ka karakter nga checksum gikan sa dalan paingon niini.
Ang prefetch nga mga file adunay daghang impormasyon nga mapuslanon gikan sa forensic nga punto sa panglantaw: ang ngalan sa executable file, ang gidaghanon sa mga higayon nga kini gipatuman, mga lista sa mga file ug mga direktoryo diin ang executable file nakig-interact, ug, siyempre, mga timestamp. Kasagaran, gigamit sa mga forensic scientist ang petsa sa paghimo sa usa ka partikular nga Prefetch file aron mahibal-an ang petsa nga una nga gilunsad ang programa. Dugang pa, kini nga mga file nagtipig sa petsa sa katapusan nga paglansad niini, ug sugod sa bersyon 26 (Windows 8.1) - ang mga timestamp sa pito ka labing bag-o nga pagdagan.
Atong kuhaon ang usa sa mga Prefetch nga mga file, pagkuha sa datos gikan niini gamit ang PECmd ni Eric Zimmerman ug tan-awon ang matag bahin niini. Aron ipakita, kuhaon nako ang datos gikan sa usa ka file CCLEANER64.EXE-DE05DBE1.pf.
Busa magsugod kita gikan sa ibabaw. Siyempre, kami adunay paghimo sa file, pagbag-o, ug pag-access sa mga timestamp:
Gisundan kini sa ngalan sa executable file, checksum sa agianan paingon niini, ang gidak-on sa executable file, ug ang bersyon sa Prefetch file:
Tungod kay nag-atubang kita sa Windows 10, sunod atong makita ang gidaghanon sa mga pagsugod, ang petsa ug oras sa katapusang pagsugod, ug pito pa ka mga timestamp nga nagpakita sa nangaging mga petsa sa paglusad:
Gisundan kini sa impormasyon bahin sa gidaghanon, lakip ang serial number ug petsa sa paghimo niini:
Katapusan apan dili labing gamay usa ka lista sa mga direktoryo ug mga file nga gi-interact sa executable:
Mao nga, ang mga direktoryo ug mga file nga nakig-uban sa mga executable mao gyud ang gusto nakong ipunting karon. Kini nga datos nga nagtugot sa mga espesyalista sa digital forensics, pagtubag sa insidente sa kompyuter, o proactive nga pagpangayam sa hulga sa pag-establisar dili lamang sa kamatuoran sa pagpatuman sa usa ka partikular nga file, apan usab, sa pipila ka mga kaso, sa pagtukod pag-usab sa piho nga mga taktika ug mga teknik sa mga tig-atake. Karon, ang mga tig-atake kanunay nga naggamit mga himan aron permanente nga mapapas ang datos, pananglitan, SDelete, mao nga ang abilidad sa pagpasig-uli sa labing menos nga mga pagsubay sa paggamit sa pipila nga mga taktika ug mga pamaagi gikinahanglan lamang alang sa bisan unsang modernong tigdepensa - usa ka espesyalista sa computer forensics, usa ka espesyalista sa pagtubag sa insidente. , usa ka eksperto sa ThreatHunter.
Magsugod ta sa taktika sa Initial Access (TA0001) ug ang pinakapopular nga teknik, Spearphishing Attachment (T1193). Ang pipila ka mga cybercriminal nga grupo labi ka mamugnaon sa ilang pagpili sa mga pamuhunan. Pananglitan, ang grupo sa Silence migamit ug mga file sa CHM (Microsoft Compiled HTML Help) nga format para niini. Sa ingon, aduna kitay laing teknik sa atong atubangan - Compiled HTML File (T1223). Ang ingon nga mga file gilunsad gamit ang hh.exe, busa, kung makuha namon ang datos gikan sa Prefetch file niini, mahibal-an namon kung unsang file ang giablihan sa biktima:
Magpadayon kita sa pagtrabaho uban ang mga pananglitan gikan sa tinuod nga mga kaso ug magpadayon sa sunod nga taktika sa Pagpatuman (TA0002) ug teknik sa CSMTP (T1191). Ang Microsoft Connection Manager Profile Installer (CMSTP.exe) mahimong gamiton sa mga tig-atake sa pagpadagan sa mga malisyosong script. Usa ka maayong pananglitan mao ang grupo sa Cobalt. Kung gikuha namon ang datos gikan sa Prefetch file cmstp.exe, unya atong mahibal-an pag-usab kung unsa gyud ang gilunsad:
Ang laing popular nga teknik mao ang Regsvr32 (T1117). Regsvr32.exe kasagarang gigamit usab sa mga tig-atake sa paglansad. Ania ang lain nga pananglitan gikan sa grupo sa Cobalt: kung magkuha kami mga datos gikan sa usa ka Prefetch file regsvr32.exe, unya atong makita pag-usab kung unsa ang gilunsad:
Ang sunod nga taktika mao ang Persistence (TA0003) ug Privilege Escalation (TA0004), uban ang Application Shimming (T1138) isip usa ka teknik. Kini nga teknik gigamit sa Carbanak/FIN7 aron maangkla ang sistema. Kasagaran gigamit sa pagtrabaho uban sa mga database compatibility sa programa (.sdb) sdbinst.exe. Busa, ang Prefetch file niini nga executable makatabang kanato sa pagpangita sa mga ngalan sa maong mga database ug sa ilang mga lokasyon:
Sama sa imong makita sa ilustrasyon, kami adunay dili lamang ang ngalan sa file nga gigamit alang sa pag-instalar, apan usab ang ngalan sa na-install nga database.
Atong tan-awon ang usa sa labing kasagaran nga mga pananglitan sa pagpalapad sa network (TA0008), PsExec, gamit ang mga bahin sa administratibo (T1077). Ang serbisyo nga ginganlag PSEXECSVC (siyempre, ang bisan unsang ubang ngalan mahimong magamit kung gigamit sa mga tig-atake ang parameter -r) pagahimoon sa target nga sistema, busa, kung makuha nato ang datos gikan sa Prefetch file, atong makita kung unsa ang gilunsad:
Tingali matapos nako kung diin ako nagsugod - pagtangtang sa mga file (T1107). Sama sa akong namatikdan, daghang mga tig-atake ang naggamit sa SDelete aron permanenteng matangtang ang mga file sa lainlaing mga yugto sa siklo sa kinabuhi sa pag-atake. Kung atong tan-awon ang datos gikan sa Prefetch file sdelete.exe, unya atong tan-awon kon unsa gayud ang natangtang:
Siyempre, dili kini usa ka kompleto nga lista sa mga teknik nga madiskobrehan sa panahon sa pag-analisar sa mga file sa Prefetch, apan kini igo na aron masabtan nga ang ingon nga mga file makatabang dili lamang sa pagpangita sa mga timailhan sa paglansad, apan usab pagtukod pag-usab sa piho nga mga taktika ug mga teknik sa pag-atake. .
Source: www.habr.com