Faịlụ trace, ma ọ bụ faịlụ Prefetch, dị na Windows kemgbe XP. Kemgbe ahụ, ha enyerela ndị na-ahụ maka nyocha dijitalụ aka na ndị ọkachamara nzaghachi ihe omume kọmputa chọta traktị nke ngwanrọ, gụnyere malware. Ọkachamara onye isi na kọmpụta forensics Group-IB Oleg Skulkin na-agwa gị ihe ị nwere ike ịhụ site na iji faịlụ Prefetch yana otu esi eme ya.
A na-echekwa faịlụ prefetch n'ime ndekọ aha %SystemRoot% Prefetch ma jee ozi iji mee ka usoro mmalite nke mmemme dị ngwa. Ọ bụrụ na anyị eleba anya na nke ọ bụla n'ime faịlụ ndị a, anyị ga-ahụ na aha ya nwere akụkụ abụọ: aha faịlụ nke executable na checksum nke mkpụrụedemede asatọ site na ụzọ ya.
Faịlụ Prefetch nwere ọtụtụ ozi bara uru site na echiche nyocha: aha faịlụ enwere ike ime, ugboro ole e gburu ya, ndepụta faịlụ na akwụkwọ ndekọ aha nke faịlụ nwere ike imekọrịta, yana, n'ezie, timestamps. Na-emekarị, ndị ọkà mmụta sayensị na-ahụ maka nyocha na-eji ụbọchị okike nke otu faịlụ Prefetch iji chọpụta ụbọchị ewepụtara mmemme ahụ. Na mgbakwunye, faịlụ ndị a na-echekwa ụbọchị mmalite ikpeazụ ya, yana malite na ụdị 26 (Windows 8.1) - akara oge nke ọsọ asaa kacha ọhụrụ.
Ka anyị were otu faịlụ Prefetch, wepụ data na ya site na iji Eric Zimmerman's PECmd wee lelee akụkụ ya nke ọ bụla. Iji gosi, m ga-ewepụ data na faịlụ CCLEANER64.EXE-DE05DBE1.pf.
Ya mere, ka anyị malite n'elu. N'ezie, anyị nwere mmepụta faịlụ, mgbanwe, na ohere timestamps:
Aha faịlụ a na-arụ ọrụ na-esote ha, akara nlele nke ụzọ ya, nha faịlụ executable, na ụdị nke faịlụ Prefetch:
Ebe ọ bụ na anyị na-emeso Windows 10, na-esote anyị ga-ahụ ọnụọgụ mmalite, ụbọchị na oge mmalite ikpeazụ, yana akara ugboro asaa ọzọ na-egosi ụbọchị mmalite gara aga:
Ndị a na-esote ozi gbasara olu ahụ, gụnyere nọmba serial ya na ụbọchị okike:
Nke ikpeazu ma opekata mpe bụ ndepụta akwụkwọ ndekọ aha na faịlụ ndị arụrụ arụ ọrụ nwere mmekọrịta:
Ya mere, akwụkwọ ndekọ aha na faịlụ ndị executable na-emekọrịta ihe bụ kpọmkwem ihe m chọrọ ilekwasị anya na taa. Ọ bụ data a na-enye ndị ọkachamara n'ịchọpụta nyocha dijitalụ, nzaghachi ihe omume kọmputa, ma ọ bụ ịchụ nta egwu egwu iji gosipụta ọ bụghị naanị eziokwu nke igbu otu faịlụ, kamakwa, n'ọnọdụ ụfọdụ, iwughachi usoro na usoro nke ndị mwakpo. Taa, ndị na-awakpo ahụ na-ejikarị ngwaọrụ ihichapụ data kpamkpam, dịka ọmụmaatụ, SDelete, yabụ ikike iweghachi ma ọ dịkarịa ala usoro ojiji nke ụfọdụ ụzọ na usoro dị mkpa maka onye na-agbachitere ọgbara ọhụrụ ọ bụla - ọkachamara na-ahụ maka kọmpụta, ọkachamara n'ịzaghachi ihe merenụ. , ọkachamara ThreatHunter.
Ka anyị bido na tactic Initial Access (TA0001) na usoro kacha ewu ewu, Spearphishing Attachment (T1193). Ụfọdụ otu ndị omempụ cyber bụ ihe okike na nhọrọ itinye ego ha. Dịka ọmụmaatụ, otu Silence na-eji faịlụ na usoro CHM (Microsoft Compiled HTML Help) maka nke a. Ya mere, anyị nwere n'ihu anyị usoro ọzọ - Compiled HTML File (T1223). A na-eji faịlụ ndị dị otú ahụ malite hh.exeYa mere, ọ bụrụ na anyị wepụ data na faịlụ Prefetch ya, anyị ga-achọpụta faịlụ nke onye ahụ meghere:
Ka anyị gaa n'ihu na-arụ ọrụ na ihe atụ sitere na ezigbo ikpe wee gaa n'ihu na usoro mmezu nke ọzọ (TA0002) na usoro CSMTP (T1191). Ndị na-awakpo nwere ike iji Profaịlụ Installer Connection Manager (CMSTP.exe) mee scripts ọjọọ. Ezigbo ihe atụ bụ otu Cobalt. Ọ bụrụ na anyị wepụ data na faịlụ Prefetch cmstp.exe, mgbe ahụ, anyị nwere ike ọzọ chọpụta ihe kpọmkwem ewepụtara:
Usoro ọzọ a ma ama bụ Regsvr32 (T1117). Regsvr32.exe a na-ejikarị ndị na-awakpo eme ihe iji malite. Nke a bụ ihe atụ ọzọ sitere na otu Cobalt: ọ bụrụ na anyị wepụ data na faịlụ Prefetch regsvr32.exe, ọzọ anyị ga-ahụ ihe ewepụtara:
Usoro na-esote bụ Nkwụsi ike (TA0003) na Privilege Escalation (TA0004), yana Ngwa Shimming (T1138) dịka usoro. Ndị Carbanak/FIN7 jiri usoro a mee ihe iji kwado sistemu ahụ. A na-ejikarị na-arụ ọrụ na ọdụ data ndakọrịta mmemme (.sdb) sdbinst.exe. Ya mere, faịlụ Prefetch nke a na-arụ ọrụ nwere ike inyere anyị aka ịchọta aha ọdụ data dị otú ahụ na ebe ha:
Dị ka ị nwere ike ịhụ na ihe atụ a, anyị nwere ọ bụghị naanị aha faịlụ ejiri maka nrụnye, kamakwa aha nke nchekwa data arụnyere.
Ka anyị leba anya n'otu n'ime ihe atụ nke mgbasa ozi netwọkụ (TA0008), PsExec, na-eji mbak nchịkwa (T1077). Ọrụ aha ya bụ PSEXECSVC (n'ezie, enwere ike iji aha ọ bụla ọzọ ma ọ bụrụ na ndị mwakpo ejiri oke -r) a ga-emepụta na sistemụ ebumnuche, yabụ, ọ bụrụ na anyị wepụta data na faịlụ Prefetch, anyị ga-ahụ ihe ewepụtara:
Enwere m ike ịkwụsị ebe m malitere - ihichapụ faịlụ (T1107). Dịka m kwuburu, ọtụtụ ndị na-awakpo na-eji SDelete ihichapụ faịlụ na-adịgide adịgide na ọkwa dị iche iche nke usoro ndụ ọgụ. Ọ bụrụ na anyị lelee data sitere na faịlụ Prefetch sdelete.exe, mgbe ahụ anyị ga-ahụ ihe kpọmkwem ehichapụrụ:
N'ezie, nke a abụghị ndepụta nke usoro na-agwụ agwụ nke enwere ike ịchọta n'oge nyocha nke faịlụ Prefetch, mana nke a ga-ezuru iji ghọta na faịlụ ndị dị otú ahụ nwere ike inye aka ọ bụghị nanị ịchọta akara mmalite nke mmalite, kamakwa ịmaliteghachi usoro na usoro ndị na-awakpo kpọmkwem. .
isi: www.habr.com