Tha faidhlichean lorg, no faidhlichean Prefetch, air a bhith timcheall ann an Windows bho XP. Bhon uairsin, tha iad air forensics didseatach agus eòlaichean freagairt tachartas coimpiutair a chuideachadh gus lorgan bathar-bog a lorg, a’ toirt a-steach malware. Prìomh eòlaiche ann am forensics coimpiutair Group-IB Oleg Skulkin ag innse dhut dè a lorgas tu a’ cleachdadh faidhlichean Prefetch agus mar a nì thu e.
Tha faidhlichean prefetch air an stòradh san eòlaire %SystemRoot% Prefetch agus gus am pròiseas airson prògraman a chuir air bhog a luathachadh. Ma choimheadas sinn air gin de na faidhlichean sin, chì sinn gu bheil an t-ainm air a dhèanamh suas de dhà phàirt: ainm an fhaidhle so-ghnìomhaichte agus seic ochd-caractaran bhon t-slighe thuige.
Ann am faidhlichean ro-làimh tha tòrr fiosrachaidh a tha feumail bho shealladh forensic: ainm an fhaidhle so-ghnìomhaichte, an àireamh de thursan a chaidh a chur gu bàs, liostaichean de fhaidhlichean agus chlàran leis an robh am faidhle so-ghnìomhaichte ag eadar-obrachadh, agus, gu dearbh, clàran-ama. Mar as trice, bidh luchd-saidheans forensic a’ cleachdadh ceann-latha cruthachaidh faidhle Prefetch sònraichte gus faighinn a-mach an ceann-latha a chaidh am prògram a chuir air bhog an toiseach. A bharrachd air an sin, bidh na faidhlichean sin a’ stòradh a’ chinn-latha a chaidh an cur air bhog mu dheireadh, agus a’ tòiseachadh bho dhreach 26 (Windows 8.1) - clàran-ama nan seachd ruith as ùire.
Gabhamaid aon de na faidhlichean Prefetch, tarraing dàta bhuaithe a’ cleachdadh PECmd Eric Zimmerman agus thoir sùil air gach pàirt dheth. Gus sealltainn, tarraingidh mi dàta à faidhle CCLEANER64.EXE-DE05DBE1.pf.
Mar sin tòisichidh sinn bhon mhullach. Gu dearbh, tha cruthachadh fhaidhlichean againn, atharrachadh, agus clàran-ama ruigsinneachd:
Tha iad air an leantainn le ainm an fhaidhle so-ghnìomhaichte, seiceam na slighe thuige, meud an fhaidhle so-ghnìomhaichte, agus dreach an fhaidhle Prefetch:
Leis gu bheil sinn a’ dèiligeadh ris Windows 10, an ath rud chì sinn an àireamh de thòiseachadh, ceann-latha agus àm an tòiseachaidh mu dheireadh, agus seachd clàran-ama eile a’ comharrachadh cinn-latha cur air bhog roimhe:
Tha iad sin air an leantainn le fiosrachadh mun tomhas-lìonaidh, a’ toirt a-steach an àireamh sreathach agus an ceann-latha cruthachaidh:
Mu dheireadh ach chan e as ìsle tha liosta de chlàran agus fhaidhlichean leis an robh an gnìomh ag eadar-obrachadh:
Mar sin, is e na clàran agus na faidhlichean leis an robh an gnìomh ag eadar-obrachadh dìreach mar a tha mi airson fòcas a chuir air an-diugh. Is e an dàta seo a leigeas le eòlaichean ann an forensics didseatach, freagairt tachartas coimpiutair, no sealg bagairt for-ghnìomhach a bhith a’ stèidheachadh chan e a-mhàin fìrinn cur an gnìomh faidhle sònraichte, ach cuideachd, ann an cuid de chùisean, innleachdan agus dòighean sònraichte luchd-ionnsaigh ath-chruthachadh. An-diugh, bidh luchd-ionnsaigh gu math tric a’ cleachdadh innealan airson dàta a dhubhadh às gu maireannach, mar eisimpleir, SDelete, agus mar sin tha an comas air co-dhiù comharran de chleachdadh innleachdan agus dòighean-obrach sònraichte a thoirt air ais dìreach riatanach airson neach-dìon ùr-nodha sam bith - eòlaiche forensics coimpiutair, eòlaiche freagairt tachartas, ThreatHunter eòlaiche.
Feuch an tòisich sinn leis an innleachd tòiseachaidh tòiseachaidh (TA0001) agus an dòigh as mòr-chòrdte, Spearphishing Attachment (T1193). Tha cuid de bhuidhnean cybercriminal gu math cruthachail nan taghadh de thasgaidhean. Mar eisimpleir, chleachd a’ bhuidheann Silence faidhlichean san fhòrmat CHM (Microsoft Compiled HTML Help) airson seo. Mar sin, tha dòigh eile againn romhainn - Faidhle HTML air a chur ri chèile (T1223). Tha faidhlichean mar seo air an cur air bhog a’ cleachdadh hh.exe, mar sin, ma bheir sinn a-mach dàta bhon fhaidhle Prefetch aige, gheibh sinn a-mach dè am faidhle a chaidh fhosgladh leis an neach-fulang:
Leanaidh sinn oirnn ag obair le eisimpleirean bho fhìor chùisean agus gluaisidh sinn air adhart chun ath innleachd Cur gu bàs (TA0002) agus innleachd CSMTP (T1191). Faodar stàlaichear Pròifil Manaidsear Ceangal Microsoft (CMSTP.exe) a chleachdadh le luchd-ionnsaigh gus sgriobtaichean droch-rùnach a ruith. Is e deagh eisimpleir am buidheann Cobalt. Ma bheir sinn a-mach dàta bhon fhaidhle Prefetch cmstp.exe, an uairsin gheibh sinn a-mach a-rithist dè dìreach a chaidh a chuir air bhog:
Is e innleachd mòr-chòrdte eile Regsvr32 (T1117). Regsvr32.exe air a chleachdadh gu tric le luchd-ionnsaigh airson a chuir air bhog. Seo eisimpleir eile bhon bhuidheann Cobalt: ma tharraing sinn dàta à faidhle Prefetch regsvr32.exe, an uairsin a-rithist chì sinn na chaidh a chuir air bhog:
Is e na h-ath innleachdan Seasmhachd (TA0003) agus Àrdachadh Sochairean (TA0004), le Iarrtas Shimming (T1138) mar dhòigh-obrach. Chaidh an dòigh seo a chleachdadh le Carbanak/FIN7 gus an siostam a dhaingneachadh. Mar as trice air a chleachdadh airson obrachadh le stòran-dàta co-chòrdalachd phrògraman (.sdb). sdbinst.exe. Mar sin, faodaidh am faidhle Prefetch den so-ghnìomh seo ar cuideachadh gus faighinn a-mach ainmean nan stòran-dàta sin agus na h-àiteachan aca:
Mar a chì thu san dealbh, chan e a-mhàin gu bheil ainm an fhaidhle a chaidh a chleachdadh airson an stàladh, ach cuideachd ainm an stòr-dàta stàlaichte.
Bheir sinn sùil air aon de na h-eisimpleirean as cumanta de iomadachadh lìonra (TA0008), PsExec, a’ cleachdadh earrannan rianachd (T1077). Seirbheis ainmichte PSEXECSVC (gu dearbh, faodar ainm sam bith eile a chleachdadh ma chleachd luchd-ionnsaigh am paramadair -r) a chruthachadh air an t-siostam targaid, mar sin, ma bheir sinn a-mach an dàta bhon fhaidhle Prefetch, chì sinn na chaidh a chuir air bhog:
Is dòcha gun tig mi gu crìch far an do thòisich mi - cuir às do fhaidhlichean (T1107). Mar a thuirt mi mu thràth, bidh mòran de luchd-ionnsaigh a’ cleachdadh SDelete gus faidhlichean a dhubhadh às gu maireannach aig diofar ìrean de chuairt-beatha an ionnsaigh. Ma choimheadas sinn air an dàta bhon fhaidhle Prefetch sdlete.exe, an uairsin chì sinn dè dìreach a chaidh a dhubhadh às:
Gu dearbh, chan e liosta iomlan de dhòighean-obrach a tha seo a dh'fhaodar a lorg aig àm mion-sgrùdadh air faidhlichean Prefetch, ach bu chòir seo a bhith gu leòr airson tuigsinn gum faod na faidhlichean sin cuideachadh chan ann a-mhàin a bhith a 'lorg lorgan cur air bhog, ach cuideachd ag ath-chruthachadh innleachdan agus dòighean ionnsaigh sònraichte .
Source: www.habr.com