Tá rianchomhaid, nó comhaid Prefetch, thart i Windows ó XP. Ó shin i leith, chabhraigh siad le fóiréinsic dhigiteach agus le speisialtóirí freagartha ar theagmhais ríomhaire rianta bogearraí a aimsiú, bogearraí mailíseacha san áireamh. Speisialtóir tosaigh i bhfóiréinsic ríomhaireachta Group-IB Oleg Skulkin insíonn sé duit cad is féidir leat a fháil ag baint úsáide as comhaid Prefetch agus conas é a dhéanamh.
Stóráiltear comhaid réamhghabhála san eolaire %SystemRoot%Prefetch agus chun dlús a chur le próiseas seolta na gclár. Má bhreathnaíonn muid ar aon cheann de na comhaid seo, feicfimid go bhfuil a ainm comhdhéanta de dhá chuid: ainm an chomhaid inrite agus seiceadóir ocht gcarachtar ón gcosán chuige.
Tá go leor faisnéise úsáideach ó thaobh fóiréinseach de i gcomhaid réamhghabhála: ainm an chomhaid inrite, líon na n-amanna a cuireadh chun báis é, liostaí de chomhaid agus d’eolairí lena raibh an comhad inrite ag idirghníomhú, agus, ar ndóigh, stampaí ama. De ghnáth, úsáideann eolaithe fóiréinseacha dáta cruthaithe comhad Prefetch ar leith chun an dáta a seoladh an clár den chéad uair a chinneadh. Ina theannta sin, stórálann na comhaid seo dáta a seolta deiridh, agus ag tosú ó leagan 26 (Windows 8.1) - stampaí ama na seacht rith is déanaí.
Glacaimis ceann de na comhaid Prefetch, bainfimid sonraí as ag baint úsáide as PECmd Eric Zimmerman agus féach ar gach cuid de. Chun a léiriú, bainfidh mé sonraí as comhad CCLEANER64.EXE-DE05DBE1.pf.
Mar sin, déanaimis tosú ón mbarr. Ar ndóigh, tá cruthú comhad, modhnuithe, agus stampaí ama rochtana againn:
Ina dhiaidh sin tá ainm an chomhaid inrite, seiceálaí an chosáin chuige, méid an chomhaid inrite, agus leagan an chomhaid Prefetch:
Ós rud é go bhfuilimid ag déileáil le Windows 10, an chéad uair eile feicfimid líon na dtosaithe, dáta agus am na tosaithe deiridh, agus seacht stampa ama eile a léiríonn dátaí seolta roimhe seo:
Ina dhiaidh sin tá faisnéis faoin toirt, lena n-áirítear a shraithuimhir agus dáta cruthaithe:
Ar deireadh ach ní ar a laghad tá liosta de na heolairí agus de na comhaid a raibh an inrite ag idirghníomhú leo:
Mar sin, is iad na heolairí agus na comhaid a ndearna an inrite idirghníomhú leo go díreach cad ba mhaith liom díriú orthu inniu. Is iad na sonraí seo a ligeann do speisialtóirí i bhfóiréinsic dhigiteach, freagairt ar theagmhais ríomhaire, nó i bhfiach bagairt réamhghníomhach a bhunú ní hamháin go ndéantar comhad áirithe a fhorghníomhú, ach freisin, i gcásanna áirithe, chun tactics agus teicnící sonracha ionsaitheoirí a athchruthú. Sa lá atá inniu ann, is minic go n-úsáideann ionsaitheoirí uirlisí chun sonraí a scriosadh go buan, mar shampla, SDelete, agus mar sin tá an cumas a chur ar ais ar a laghad rianta d’úsáid tactics agus teicnící áirithe riachtanach go simplí d’aon chosantóir nua-aimseartha - speisialtóir fóiréinseach ríomhaire, speisialtóir freagartha teagmhais, ThreatHunter saineolaí.
Cuirimis tús leis an tactic Rochtana Tosaigh (TA0001) agus an teicníocht is coitianta, Spearphishing Attachment (T1193). Tá roinnt grúpaí cibearchoireachta cruthaitheach go leor ina rogha infheistíochtaí. Mar shampla, d’úsáid an grúpa Silence comhaid san fhormáid CHM (Microsoft Compiled HTML Help) chuige seo. Mar sin, tá teicníc eile os ár gcomhair - Comhad HTML Tiomsaithe (T1223). Seoltar comhaid den sórt sin ag baint úsáide as hh.exe, mar sin, má bhainimid sonraí as a chomhad Prefetch, gheobhaidh muid amach cén comhad a d’oscail an t-íospartach:
Leanfaimid orainn ag obair le samplaí ó chásanna fíor agus bogadh ar aghaidh go dtí an chéad tactic Forghníomhaithe eile (TA0002) agus teicníc CSMTP (T1191). Is féidir le hionsaitheoirí Suiteáil Próifíl Bainisteoir Ceangal Microsoft (CMSTP.exe) a úsáid chun scripteanna mailíseacha a rith. Sampla maith is ea an grúpa Cóbalt. Má bhainimid sonraí as an gcomhad Prefetch cmstp.exe, ansin is féidir linn a fháil amach arís cad é go díreach a seoladh:
Teicníc eile a bhfuil tóir uirthi ná Regsvr32 (T1117). Regsvr32.exe freisin a úsáidtear go minic ag ionsaitheoirí a sheoladh. Seo sampla eile ón ngrúpa Cóbalt: má bhainimid sonraí as comhad Prefetch regsvr32.exe, ansin arís feicfimid cad a seoladh:
Is iad na chéad tactics eile ná Seasmhacht (TA0003) agus Ardú Pribhléid (TA0004), le Feidhmchlár Shimming (T1138) mar theicníc. Bhain Carbanak/FIN7 úsáid as an teicníc seo chun an córas a dhaingniú. Úsáidtear go hiondúil chun oibriú le bunachair shonraí comhoiriúnachta clár (.sdb) sdbinst.exe. Mar sin, is féidir le comhad Prefetch an inrite seo cabhrú linn ainmneacha na mbunachair sonraí sin agus a láithreacha a fháil amach:
Mar a fheiceann tú sa léaráid, ní hamháin go bhfuil ainm an chomhaid a úsáidtear le haghaidh suiteáil againn, ach freisin ainm an bhunachair shonraí suiteáilte.
Breathnaímid ar cheann de na samplaí is coitianta de iomadú líonra (TA0008), PsExec, ag baint úsáide as scaireanna riaracháin (T1077). Seirbhís darb ainm PSEXECSVC (ar ndóigh, is féidir aon ainm eile a úsáid má d’úsáid ionsaitheoirí an paraiméadar -r) a chruthú ar an spriocchóras, mar sin, má bhainimid na sonraí as an gcomhad Prefetch, feicfimid cad a seoladh:
Is dócha go dtiocfaidh deireadh liom san áit ar thosaigh mé - comhaid a scriosadh (T1107). Mar a thug mé faoi deara cheana féin, úsáideann go leor ionsaitheoirí SDelete chun comhaid a scriosadh go buan ag céimeanna éagsúla den saolré ionsaithe. Má fhéachaimid ar na sonraí ón gcomhad Prefetch sdelete.exe, ansin feicfimid cad go díreach a scriosadh:
Ar ndóigh, ní liosta uileghabhálach é seo de theicnící is féidir a fháil amach le linn na hanailíse ar chomhaid Prefetch, ach ba cheart go mbeadh sé seo go leor chun a thuiscint gur féidir le comhaid den sórt sin cabhrú ní hamháin rianta seolta a aimsiú, ach freisin tactics agus teicnící ionsaitheoir ar leith a athchruthú. .
Foinse: will.com