ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಆಕ್ರಮಣಕಾರಿ ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳಿಗಾಗಿ ಬೇಟೆಯಾಡುವುದು

XP ಯಿಂದ ವಿಂಡೋಸ್‌ನಲ್ಲಿ ಟ್ರೇಸ್ ಫೈಲ್‌ಗಳು ಅಥವಾ ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳು ಇವೆ. ಅಂದಿನಿಂದ, ಅವರು ಡಿಜಿಟಲ್ ಫೊರೆನ್ಸಿಕ್ಸ್ ಮತ್ತು ಕಂಪ್ಯೂಟರ್ ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ತಜ್ಞರಿಗೆ ಮಾಲ್ವೇರ್ ಸೇರಿದಂತೆ ಸಾಫ್ಟ್‌ವೇರ್ ಕುರುಹುಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಸಹಾಯ ಮಾಡಿದ್ದಾರೆ. ಕಂಪ್ಯೂಟರ್ ಫೊರೆನ್ಸಿಕ್ಸ್ ಗ್ರೂಪ್-ಐಬಿಯಲ್ಲಿ ಪ್ರಮುಖ ತಜ್ಞ ಒಲೆಗ್ ಸ್ಕಲ್ಕಿನ್ ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಏನನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು ಮತ್ತು ಅದನ್ನು ಹೇಗೆ ಮಾಡಬೇಕೆಂದು ನಿಮಗೆ ತಿಳಿಸುತ್ತದೆ.

ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳನ್ನು ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ %SystemRoot%Prefetch ಮತ್ತು ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ವೇಗಗೊಳಿಸಲು ಸೇವೆ ಸಲ್ಲಿಸುತ್ತದೆ. ನಾವು ಈ ಯಾವುದೇ ಫೈಲ್‌ಗಳನ್ನು ನೋಡಿದರೆ, ಅದರ ಹೆಸರು ಎರಡು ಭಾಗಗಳನ್ನು ಒಳಗೊಂಡಿದೆ ಎಂದು ನಾವು ನೋಡುತ್ತೇವೆ: ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನ ಹೆಸರು ಮತ್ತು ಅದರ ಮಾರ್ಗದಿಂದ ಎಂಟು ಅಕ್ಷರಗಳ ಚೆಕ್‌ಸಮ್.

ಪೂರ್ವಪಡೆಯುವ ಫೈಲ್‌ಗಳು ಫೋರೆನ್ಸಿಕ್ ದೃಷ್ಟಿಕೋನದಿಂದ ಉಪಯುಕ್ತವಾದ ಬಹಳಷ್ಟು ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ: ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನ ಹೆಸರು, ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಸಂಖ್ಯೆ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಸಂವಹಿಸಿದ ಫೈಲ್‌ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳ ಪಟ್ಟಿಗಳು ಮತ್ತು ಸಮಯಸ್ಟ್ಯಾಂಪ್‌ಗಳು. ವಿಶಿಷ್ಟವಾಗಿ, ಫೊರೆನ್ಸಿಕ್ ವಿಜ್ಞಾನಿಗಳು ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಮೊದಲು ಪ್ರಾರಂಭಿಸಲಾದ ದಿನಾಂಕವನ್ನು ನಿರ್ಧರಿಸಲು ನಿರ್ದಿಷ್ಟ ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನ ರಚನೆ ದಿನಾಂಕವನ್ನು ಬಳಸುತ್ತಾರೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ಫೈಲ್‌ಗಳು ಅದರ ಕೊನೆಯ ಉಡಾವಣೆಯ ದಿನಾಂಕವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ ಮತ್ತು ಆವೃತ್ತಿ 26 (ವಿಂಡೋಸ್ 8.1) ರಿಂದ ಪ್ರಾರಂಭವಾಗುತ್ತವೆ - ಇತ್ತೀಚಿನ ಏಳು ರನ್‌ಗಳ ಸಮಯಸ್ಟ್ಯಾಂಪ್‌ಗಳು.

ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳಲ್ಲಿ ಒಂದನ್ನು ತೆಗೆದುಕೊಳ್ಳೋಣ, ಎರಿಕ್ ಝಿಮ್ಮರ್‌ಮ್ಯಾನ್‌ನ PECmd ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅದರಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯೋಣ ಮತ್ತು ಅದರ ಪ್ರತಿಯೊಂದು ಭಾಗವನ್ನು ನೋಡೋಣ. ಪ್ರದರ್ಶಿಸಲು, ನಾನು ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯುತ್ತೇನೆ CCLEANER64.EXE-DE05DBE1.pf.

ಆದ್ದರಿಂದ ಮೇಲಿನಿಂದ ಪ್ರಾರಂಭಿಸೋಣ. ಸಹಜವಾಗಿ, ನಾವು ಫೈಲ್ ರಚನೆ, ಮಾರ್ಪಾಡು ಮತ್ತು ಪ್ರವೇಶ ಸಮಯಸ್ಟ್ಯಾಂಪ್‌ಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ:

ಅವುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನ ಹೆಸರು, ಅದರ ಮಾರ್ಗದ ಚೆಕ್‌ಸಮ್, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ನ ಗಾತ್ರ ಮತ್ತು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನ ಆವೃತ್ತಿಯಿಂದ ಅನುಸರಿಸಲಾಗುತ್ತದೆ:

ನಾವು Windows 10 ನೊಂದಿಗೆ ವ್ಯವಹರಿಸುತ್ತಿರುವುದರಿಂದ, ಮುಂದೆ ನಾವು ಪ್ರಾರಂಭಗಳ ಸಂಖ್ಯೆ, ಕೊನೆಯ ಪ್ರಾರಂಭದ ದಿನಾಂಕ ಮತ್ತು ಸಮಯ ಮತ್ತು ಹಿಂದಿನ ಉಡಾವಣಾ ದಿನಾಂಕಗಳನ್ನು ಸೂಚಿಸುವ ಏಳು ಸಮಯಸ್ಟ್ಯಾಂಪ್‌ಗಳನ್ನು ನೋಡುತ್ತೇವೆ:

ಇವುಗಳನ್ನು ಅದರ ಸರಣಿ ಸಂಖ್ಯೆ ಮತ್ತು ರಚನೆಯ ದಿನಾಂಕ ಸೇರಿದಂತೆ ಪರಿಮಾಣದ ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಅನುಸರಿಸಲಾಗುತ್ತದೆ:

ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಸಂವಾದ ನಡೆಸಿದ ಡೈರೆಕ್ಟರಿಗಳು ಮತ್ತು ಫೈಲ್‌ಗಳ ಪಟ್ಟಿಯು ಕೊನೆಯದು ಆದರೆ ಕಡಿಮೆ ಅಲ್ಲ:

ಆದ್ದರಿಂದ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಡೈರೆಕ್ಟರಿಗಳು ಮತ್ತು ಫೈಲ್‌ಗಳೊಂದಿಗೆ ನಾನು ಇಂದು ಗಮನಹರಿಸಲು ಬಯಸುತ್ತೇನೆ. ಈ ಡೇಟಾವು ಡಿಜಿಟಲ್ ಫೊರೆನ್ಸಿಕ್ಸ್, ಕಂಪ್ಯೂಟರ್ ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ಅಥವಾ ಪೂರ್ವಭಾವಿ ಬೆದರಿಕೆ ಬೇಟೆಯಲ್ಲಿ ಪರಿಣಿತರಿಗೆ ನಿರ್ದಿಷ್ಟ ಫೈಲ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ವಾಸ್ತವವನ್ನು ಮಾತ್ರ ಸ್ಥಾಪಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ, ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ನಿರ್ದಿಷ್ಟ ತಂತ್ರಗಳು ಮತ್ತು ಆಕ್ರಮಣಕಾರರ ತಂತ್ರಗಳನ್ನು ಪುನರ್ನಿರ್ಮಿಸಲು. ಇಂದು, ಆಕ್ರಮಣಕಾರರು ಡೇಟಾವನ್ನು ಶಾಶ್ವತವಾಗಿ ಅಳಿಸಲು ಸಾಧನಗಳನ್ನು ಬಳಸುತ್ತಾರೆ, ಉದಾಹರಣೆಗೆ, SDelete, ಆದ್ದರಿಂದ ಕೆಲವು ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳ ಬಳಕೆಯ ಕನಿಷ್ಠ ಕುರುಹುಗಳನ್ನು ಪುನಃಸ್ಥಾಪಿಸುವ ಸಾಮರ್ಥ್ಯವು ಯಾವುದೇ ಆಧುನಿಕ ರಕ್ಷಕನಿಗೆ ಸರಳವಾಗಿ ಅಗತ್ಯವಾಗಿರುತ್ತದೆ - ಕಂಪ್ಯೂಟರ್ ಫೋರೆನ್ಸಿಕ್ಸ್ ತಜ್ಞ, ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆ ತಜ್ಞ, ಥ್ರೆಟ್ಹಂಟರ್ ತಜ್ಞ.

ಆರಂಭಿಕ ಪ್ರವೇಶ ತಂತ್ರ (TA0001) ಮತ್ತು ಅತ್ಯಂತ ಜನಪ್ರಿಯ ತಂತ್ರವಾದ ಸ್ಪಿಯರ್‌ಫಿಶಿಂಗ್ ಅಟ್ಯಾಚ್‌ಮೆಂಟ್ (T1193) ನೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸೋಣ. ಕೆಲವು ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ ಗುಂಪುಗಳು ತಮ್ಮ ಹೂಡಿಕೆಯ ಆಯ್ಕೆಯಲ್ಲಿ ಸಾಕಷ್ಟು ಸೃಜನಶೀಲವಾಗಿವೆ. ಉದಾಹರಣೆಗೆ, ಸೈಲೆನ್ಸ್ ಗುಂಪು ಇದಕ್ಕಾಗಿ CHM (ಮೈಕ್ರೋಸಾಫ್ಟ್ ಕಂಪೈಲ್ಡ್ HTML ಸಹಾಯ) ಸ್ವರೂಪದಲ್ಲಿ ಫೈಲ್‌ಗಳನ್ನು ಬಳಸಿದೆ. ಹೀಗಾಗಿ, ನಮ್ಮ ಮುಂದೆ ಮತ್ತೊಂದು ತಂತ್ರವಿದೆ - ಕಂಪೈಲ್ಡ್ HTML ಫೈಲ್ (T1223). ಅಂತಹ ಫೈಲ್ಗಳನ್ನು ಬಳಸಿ ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ hh.exe, ಆದ್ದರಿಂದ, ನಾವು ಅದರ ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆದರೆ, ಬಲಿಪಶುದಿಂದ ಯಾವ ಫೈಲ್ ಅನ್ನು ತೆರೆಯಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ಕಂಡುಕೊಳ್ಳುತ್ತೇವೆ:

ನೈಜ ಪ್ರಕರಣಗಳಿಂದ ಉದಾಹರಣೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದನ್ನು ಮುಂದುವರಿಸೋಣ ಮತ್ತು ಮುಂದಿನ ಎಕ್ಸಿಕ್ಯೂಶನ್ ತಂತ್ರ (TA0002) ಮತ್ತು CSMTP ತಂತ್ರ (T1191) ಗೆ ಹೋಗೋಣ. ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಚಲಾಯಿಸಲು ಆಕ್ರಮಣಕಾರರು Microsoft ಸಂಪರ್ಕ ನಿರ್ವಾಹಕ ಪ್ರೊಫೈಲ್ ಅನುಸ್ಥಾಪಕವನ್ನು (CMSTP.exe) ಬಳಸಬಹುದು. ಉತ್ತಮ ಉದಾಹರಣೆಯೆಂದರೆ ಕೋಬಾಲ್ಟ್ ಗುಂಪು. ನಾವು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆದರೆ cmstp.exe, ನಂತರ ನಿಖರವಾಗಿ ಏನನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ಮತ್ತೆ ಕಂಡುಹಿಡಿಯಬಹುದು:

ಮತ್ತೊಂದು ಜನಪ್ರಿಯ ತಂತ್ರವೆಂದರೆ Regsvr32 (T1117). Regsvr32.exe ದಾಳಿಕೋರರು ಉಡಾವಣೆ ಮಾಡಲು ಸಹ ಬಳಸುತ್ತಾರೆ. ಕೋಬಾಲ್ಟ್ ಗುಂಪಿನಿಂದ ಮತ್ತೊಂದು ಉದಾಹರಣೆ ಇಲ್ಲಿದೆ: ನಾವು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆದರೆ regsvr32.exe, ನಂತರ ಮತ್ತೆ ನಾವು ಏನನ್ನು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ ಎಂದು ನೋಡುತ್ತೇವೆ:

ಮುಂದಿನ ತಂತ್ರಗಳೆಂದರೆ ಪರ್ಸಿಸ್ಟೆನ್ಸ್ (TA0003) ಮತ್ತು ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಶನ್ (TA0004), ಒಂದು ತಂತ್ರವಾಗಿ ಅಪ್ಲಿಕೇಶನ್ ಶಿಮ್ಮಿಂಗ್ (T1138). ಈ ತಂತ್ರವನ್ನು ಕಾರ್ಬನಾಕ್/ಎಫ್ಐಎನ್7 ಸಿಸ್ಟಂ ಅನ್ನು ಆಂಕರ್ ಮಾಡಲು ಬಳಸಿದೆ. ಪ್ರೋಗ್ರಾಂ ಹೊಂದಾಣಿಕೆಯ ಡೇಟಾಬೇಸ್‌ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ (.sdb) sdbinst.exe. ಆದ್ದರಿಂದ, ಈ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಪ್ರಿಫೆಚ್ ಫೈಲ್ ಅಂತಹ ಡೇಟಾಬೇಸ್‌ಗಳ ಹೆಸರುಗಳು ಮತ್ತು ಅವುಗಳ ಸ್ಥಳಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ:

ವಿವರಣೆಯಲ್ಲಿ ನೀವು ನೋಡುವಂತೆ, ನಾವು ಅನುಸ್ಥಾಪನೆಗೆ ಬಳಸಲಾದ ಫೈಲ್‌ನ ಹೆಸರನ್ನು ಮಾತ್ರವಲ್ಲ, ಸ್ಥಾಪಿಸಲಾದ ಡೇಟಾಬೇಸ್‌ನ ಹೆಸರನ್ನೂ ಸಹ ಹೊಂದಿದ್ದೇವೆ.

ನೆಟ್‌ವರ್ಕ್ ಪ್ರಸರಣದ (TA0008), PsExec, ಆಡಳಿತಾತ್ಮಕ ಷೇರುಗಳನ್ನು (T1077) ಬಳಸುವ ಸಾಮಾನ್ಯ ಉದಾಹರಣೆಗಳಲ್ಲಿ ಒಂದನ್ನು ನೋಡೋಣ. PSEXECSVC ಹೆಸರಿನ ಸೇವೆ (ಸಹಜವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಬಳಸಿದರೆ ಬೇರೆ ಯಾವುದೇ ಹೆಸರನ್ನು ಬಳಸಬಹುದು -r) ಗುರಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ರಚಿಸಲಾಗುವುದು, ಆದ್ದರಿಂದ, ನಾವು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆದರೆ, ಏನನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ:

ನಾನು ಪ್ರಾರಂಭಿಸಿದ ಸ್ಥಳದಲ್ಲಿ ನಾನು ಬಹುಶಃ ಕೊನೆಗೊಳ್ಳುತ್ತೇನೆ - ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸುವುದು (T1107). ನಾನು ಈಗಾಗಲೇ ಗಮನಿಸಿದಂತೆ, ದಾಳಿಯ ಜೀವನಚಕ್ರದ ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಫೈಲ್‌ಗಳನ್ನು ಶಾಶ್ವತವಾಗಿ ಅಳಿಸಲು ಅನೇಕ ದಾಳಿಕೋರರು SDelete ಅನ್ನು ಬಳಸುತ್ತಾರೆ. ನಾವು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ನಿಂದ ಡೇಟಾವನ್ನು ನೋಡಿದರೆ sdelete.exe, ನಂತರ ನಿಖರವಾಗಿ ಏನು ಅಳಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ನೋಡುತ್ತೇವೆ:

ಸಹಜವಾಗಿ, ಇದು ಪ್ರಿಫೆಚ್ ಫೈಲ್‌ಗಳ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಕಂಡುಹಿಡಿಯಬಹುದಾದ ತಂತ್ರಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಅಲ್ಲ, ಆದರೆ ಅಂತಹ ಫೈಲ್‌ಗಳು ಉಡಾವಣೆಯ ಕುರುಹುಗಳನ್ನು ಹುಡುಕಲು ಮಾತ್ರವಲ್ಲದೆ ನಿರ್ದಿಷ್ಟ ಆಕ್ರಮಣಕಾರರ ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳನ್ನು ಪುನರ್ನಿರ್ಮಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಇದು ಸಾಕಷ್ಟು ಇರಬೇಕು. .

ಮೂಲ: www.habr.com