Trace ֆայլերը կամ Prefetch ֆայլերը Windows-ում եղել են XP-ից սկսած: Այդ ժամանակից ի վեր նրանք օգնել են թվային դատաբժշկական փորձագետներին և համակարգչային միջադեպերի արձագանքման մասնագետներին գտնել ծրագրային ապահովման հետքեր, ներառյալ չարամիտ ծրագրերը: Համակարգչային դատաբժշկական գիտությունների առաջատար մասնագետ Group-IB Օլեգ Սկուլկին պատմում է ձեզ, թե ինչ կարող եք գտնել՝ օգտագործելով Prefetch ֆայլերը և ինչպես դա անել:
Prefetch ֆայլերը պահվում են գրացուցակում %SystemRoot% Prefetch եւ ծառայում են ծրագրերի գործարկման գործընթացի արագացմանը։ Եթե նայենք այս ֆայլերից որևէ մեկին, կտեսնենք, որ դրա անվանումը բաղկացած է երկու մասից՝ գործարկվող ֆայլի անվանումը և ութ նիշից բաղկացած ստուգիչ գումարը դրան տանող ճանապարհից:
Prefetch ֆայլերը պարունակում են դատաբժշկական տեսանկյունից օգտակար շատ տեղեկություններ՝ գործարկվող ֆայլի անվանումը, այն կատարվող դեպքերի քանակը, ֆայլերի և գրացուցակների ցուցակները, որոնց հետ գործարկվող ֆայլը փոխազդում է, և, իհարկե, ժամանակի դրոշմակնիքներ: Որպես կանոն, դատաբժշկական փորձագետները օգտագործում են որոշակի Prefetch ֆայլի ստեղծման ամսաթիվը, որպեսզի որոշեն ծրագրի առաջին գործարկման ամսաթիվը: Բացի այդ, այս ֆայլերը պահում են վերջին գործարկման ամսաթիվը, և սկսած 26 տարբերակից (Windows 8.1)՝ ամենավերջին յոթ գործարկումների ժամանակային դրոշմանիշները:
Վերցնենք Prefetch ֆայլերից մեկը, դրանից տվյալներ հանենք Էրիկ Զիմերմանի PECmd-ի միջոցով և նայենք դրա յուրաքանչյուր հատվածին: Ցույց տալու համար ես տվյալներ կհանեմ ֆայլից CCLEANER64.EXE-DE05DBE1.pf.
Այսպիսով, եկեք սկսենք վերևից: Իհարկե, մենք ունենք ֆայլերի ստեղծման, փոփոխման և մուտքի ժամանակի դրոշմակնիքներ.
Դրանց հաջորդում են գործարկվող ֆայլի անունը, դրան տանող ուղու ստուգման գումարը, գործարկվող ֆայլի չափը և Prefetch ֆայլի տարբերակը.
Քանի որ մենք գործ ունենք Windows 10-ի հետ, հաջորդիվ կտեսնենք մեկնարկների քանակը, վերջին մեկնարկի ամսաթիվը և ժամը և ևս յոթ ժամանակային դրոշմներ, որոնք ցույց են տալիս նախորդ գործարկման ամսաթվերը.
Դրանց հաջորդում են տեղեկությունները ծավալի մասին, ներառյալ դրա սերիական համարը և ստեղծման ամսաթիվը.
Վերջին, բայց ոչ պակաս կարևոր դիրեկտորիաների և ֆայլերի ցանկն է, որոնց հետ գործարկվողը փոխազդում է.
Այսպիսով, դիրեկտորիաներն ու ֆայլերը, որոնց հետ գործարկվողը համագործակցում է, հենց այն են, ինչի վրա ես ուզում եմ կենտրոնանալ այսօր: Այս տվյալներն են, որոնք թույլ են տալիս թվային դատաբժշկական փորձաքննության, համակարգչային միջադեպերի արձագանքման կամ պրոակտիվ սպառնալիքների որսի մասնագետներին հաստատել ոչ միայն որոշակի ֆայլի կատարման փաստը, այլ նաև, որոշ դեպքերում, վերակառուցել հարձակվողների հատուկ մարտավարությունն ու տեխնիկան: Այսօր հարձակվողները հաճախ օգտագործում են գործիքներ՝ տվյալների ընդմիշտ ջնջելու համար, օրինակ՝ SDelete-ը, այնպես որ որոշակի մարտավարության և տեխնիկայի կիրառման գոնե հետքերը վերականգնելու ունակությունը պարզապես անհրաժեշտ է ցանկացած ժամանակակից պաշտպանի համար՝ համակարգչային դատաբժշկական փորձագետ, միջադեպերի արձագանքման մասնագետ, ThreatHunter: փորձագետ.
Սկսենք Initial Access մարտավարությունից (TA0001) և ամենատարածված տեխնիկայից՝ Spearphishing Attachment (T1193): Որոշ կիբերհանցագործ խմբեր բավականին ստեղծագործ են ներդրումների ընտրության հարցում։ Օրինակ, Silence խումբը դրա համար օգտագործել է CHM (Microsoft Compiled HTML Help) ձևաչափով ֆայլեր: Այսպիսով, մենք ունենք մեկ այլ տեխնիկա՝ Compiled HTML File (T1223): Նման ֆայլերը գործարկվում են օգտագործելով hh.exe, հետևաբար, եթե մենք տվյալներ հանենք նրա Prefetch ֆայլից, մենք կիմանանք, թե որ ֆայլն է բացվել տուժողի կողմից.
Եկեք շարունակենք աշխատել իրական դեպքերի օրինակներով և անցնենք հաջորդ Կատարման մարտավարությանը (TA0002) և CSMTP տեխնիկայի (T1191): Microsoft Connection Manager Profile Installer-ը (CMSTP.exe) կարող է օգտագործվել հարձակվողների կողմից՝ վնասակար սկրիպտներ գործարկելու համար: Լավ օրինակ է «Կոբալտ» խումբը: Եթե մենք տվյալները հանենք Prefetch ֆայլից cmstp.exe, ապա մենք կրկին կարող ենք պարզել, թե կոնկրետ ինչ է գործարկվել.
Մեկ այլ հայտնի տեխնիկան Regsvr32 (T1117) է: Regsvr32.exe հաճախ օգտագործվում է նաև հարձակվողների կողմից գործարկելու համար: Ահա ևս մեկ օրինակ Cobalt խմբից. եթե տվյալները հանենք Prefetch ֆայլից regsvr32.exe, ապա նորից կտեսնենք, թե ինչ է գործարկվել.
Հաջորդ մարտավարությունն են Համառությունը (TA0003) և արտոնությունների մեծացումը (TA0004), որպես տեխնիկա՝ Application Shimming (T1138): Այս տեխնիկան օգտագործվել է Carbanak/FIN7-ի կողմից՝ համակարգը խարսխելու համար: Սովորաբար օգտագործվում է ծրագրերի համատեղելիության տվյալների բազաների հետ աշխատելու համար (.sdb) sdbinst.exe. Հետևաբար, այս գործարկվող նյութի Prefetch ֆայլը կարող է օգնել մեզ պարզել նման տվյալների բազաների անունները և դրանց գտնվելու վայրը.
Ինչպես տեսնում եք նկարում, մենք ունենք ոչ միայն տեղադրման համար օգտագործվող ֆայլի, այլև տեղադրված տվյալների բազայի անվանումը:
Եկեք նայենք ցանցի տարածման ամենատարածված օրինակներից մեկին (TA0008)՝ PsExec-ին, օգտագործելով վարչական բաժնետոմսերը (T1077): PSEXECSVC անունով ծառայություն (իհարկե, ցանկացած այլ անուն կարող է օգտագործվել, եթե հարձակվողները օգտագործել են պարամետրը -r) կստեղծվի թիրախային համակարգում, հետևաբար, եթե տվյալները հանենք Prefetch ֆայլից, կտեսնենք, թե ինչ է գործարկվել.
Ես հավանաբար կավարտեմ այնտեղ, որտեղ ես սկսել եմ՝ ջնջելով ֆայլերը (T1107): Ինչպես արդեն նշել եմ, շատ հարձակվողներ օգտագործում են SDelete-ը հարձակման կյանքի ցիկլի տարբեր փուլերում ընդմիշտ ջնջելու ֆայլերը: Եթե նայենք Prefetch ֆայլի տվյալները sdelete.exe, ապա կտեսնենք, թե կոնկրետ ինչ է ջնջվել.
Իհարկե, սա տեխնիկայի սպառիչ ցանկ չէ, որը կարելի է հայտնաբերել Prefetch ֆայլերի վերլուծության ժամանակ, բայց սա պետք է բավարար լինի հասկանալու համար, որ նման ֆայլերը կարող են օգնել ոչ միայն գտնել գործարկման հետքերը, այլև վերականգնել հարձակվողի հատուկ մարտավարությունն ու տեխնիկան: .
Source: www.habr.com