Бақылау файлдары немесе Prefetch файлдары Windows жүйесінде XP-ден бері бар. Содан бері олар сандық криминалистика және компьютерлік оқиғаға жауап беру мамандарына бағдарламалық жасақтаманың, соның ішінде зиянды бағдарламалардың іздерін табуға көмектесті. Group-IB компьютерлік сот сараптамасының жетекші маманы Олег Скулкин Prefetch файлдарын пайдалану арқылы не табуға болатынын және оны қалай орындау керектігін айтады.
Алдын ала жүктеу файлдары каталогта сақталады %SystemRoot%Алдын ала алу және бағдарламаларды іске қосу процесін жылдамдатуға қызмет етеді. Осы файлдардың кез келгенін қарасақ, оның атауы екі бөліктен тұратынын көреміз: орындалатын файлдың аты және оған баратын жолдан сегіз таңбалы бақылау сомасы.
Prefetch файлдары криминалистикалық тұрғыдан пайдалы көптеген ақпаратты қамтиды: орындалатын файлдың атауы, оның орындалу саны, орындалатын файл өзара әрекеттесетін файлдар мен каталогтардың тізімдері және, әрине, уақыт белгілері. Әдетте, сот сарапшылары бағдарламаның алғаш іске қосылған күнін анықтау үшін белгілі бір Prefetch файлының жасалған күнін пайдаланады. Сонымен қатар, бұл файлдар оның соңғы іске қосылған күнін және 26-нұсқадан (Windows 8.1) бастап – соңғы жеті іске қосудың уақыт белгілерін сақтайды.
Prefetch файлдарының бірін алып, одан Эрик Циммерманның PECmd көмегімен деректерді шығарып, оның әрбір бөлігін қарастырайық. Көрсету үшін мен файлдан деректерді шығарып аламын CCLEANER64.EXE-DE05DBE1.pf.
Ендеше жоғарыдан бастайық. Әрине, бізде файлды жасау, өзгерту және қол жеткізу уақыт белгілері бар:
Олардан кейін орындалатын файлдың аты, оған жолдың бақылау сомасы, орындалатын файлдың өлшемі және Prefetch файлының нұсқасы көрсетіледі:
Біз Windows 10-мен жұмыс істеп жатқандықтан, келесіде біз басталулар санын, соңғы басталу күні мен уақытын және алдыңғы іске қосу күндерін көрсететін тағы жеті уақыт белгісін көреміз:
Олардан кейін оның сериялық нөмірі мен жасалған күнін қоса, том туралы ақпарат беріледі:
Ең соңғысы орындалатын файл әрекеттесетін каталогтар мен файлдардың тізімі:
Сонымен, орындалатын файл өзара әрекеттесетін каталогтар мен файлдар дәл бүгін мен назар аударғым келетін нәрсе. Дәл осы деректер сандық криминалистика, компьютерлік инциденттерге қарсы әрекет ету немесе қауіп-қатерді алдын ала іздеу саласындағы мамандарға белгілі бір файлдың орындалу фактісін анықтауға ғана емес, сонымен қатар кейбір жағдайларда шабуылдаушылардың нақты тактикасы мен әдістерін қайта құруға мүмкіндік береді. Бүгінгі күні шабуылдаушылар деректерді біржола жою үшін құралдарды жиі пайдаланады, мысалы, SDelete, сондықтан белгілі бір тактикалар мен әдістерді қолданудың кем дегенде іздерін қалпына келтіру мүмкіндігі кез-келген заманауи қорғаушыға - компьютерлік криминалист, оқиғаға жауап беру маманы, ThreatHunter үшін қажет. сарапшы.
Бастапқы қол жеткізу тактикасынан (TA0001) және ең танымал техникадан, Spearphishing Attachment (T1193) бастайық. Кейбір киберқылмыстық топтар инвестиция таңдауда креативті. Мысалы, Silence тобы бұл үшін CHM (Microsoft Compiled HTML Help) пішіміндегі файлдарды пайдаланды. Осылайша, біздің алдымызда тағы бір әдіс бар - Compiled HTML File (T1223). Мұндай файлдар көмегімен іске қосылады hh.exe, сондықтан оның Prefetch файлынан деректерді шығарсақ, жәбірленуші қай файлды ашқанын анықтаймыз:
Нақты жағдайлардан мысалдармен жұмысты жалғастырайық және келесі Орындау тактикасына (TA0002) және CSMTP техникасына (T1191) көшейік. Microsoft Connection Manager профилін орнату құралын (CMSTP.exe) зиянкестер зиянды сценарийлерді іске қосу үшін пайдалана алады. Жақсы мысал - Кобальт тобы. Prefetch файлынан деректерді шығаратын болсақ cmstp.exe, содан кейін біз нақты не іске қосылғанын қайтадан біле аламыз:
Тағы бір танымал әдіс Regsvr32 (T1117). Regsvr32.exe шабуылдаушылар да іске қосу үшін жиі пайдаланады. Міне, Cobalt тобынан тағы бір мысал: егер біз Prefetch файлынан деректерді шығарсақ regsvr32.exe, содан кейін біз қайтадан не іске қосылғанын көреміз:
Келесі тактикалар - тұрақтылық (TA0003) және Артықшылықты арттыру (TA0004), әдіс ретінде Қолданбаны жылтырату (T1138). Бұл әдісті Carbanak/FIN7 жүйені бекіту үшін пайдаланған. Әдетте бағдарлама үйлесімділік дерекқорларымен (.sdb) жұмыс істеу үшін пайдаланылады. sdbinst.exe. Сондықтан, осы орындалатын файлдың Prefetch файлы осындай дерекқорлардың атауларын және олардың орналасқан жерін білуге көмектеседі:
Суретте көріп отырғаныңыздай, бізде орнату үшін пайдаланылатын файлдың аты ғана емес, сонымен қатар орнатылған дерекқордың аты да бар.
Әкімшілік үлестерді (T0008) пайдалану арқылы желіні таратудың (TA1077), PsExec кең таралған мысалдарының бірін қарастырайық. PSEXECSVC деп аталатын қызмет (әрине, егер шабуылдаушылар параметрді пайдаланса, кез келген басқа атауды пайдалануға болады -r) мақсатты жүйеде жасалады, сондықтан Prefetch файлынан деректерді шығарсақ, не іске қосылғанын көреміз:
Мен бастаған жерімді аяқтайтын шығармын – файлдарды жою (T1107). Жоғарыда атап өткенімдей, көптеген шабуылдаушылар шабуылдың өмірлік циклінің әртүрлі кезеңдерінде файлдарды біржола жою үшін SDelete пайдаланады. Prefetch файлындағы деректерді қарастырсақ sdelete.exe, содан кейін нақты не жойылғанын көреміз:
Әрине, бұл Prefetch файлдарын талдау кезінде табылуы мүмкін әдістердің толық тізімі емес, бірақ бұл мұндай файлдар іске қосу іздерін табуға ғана емес, сонымен қатар шабуылдаушының нақты тактикасы мен әдістерін қайта құруға көмектесетінін түсіну үшін жеткілікті болуы керек. .
Ақпарат көзі: www.habr.com