Pelên şopandinê, an pelên Prefetch, ji XP-ê vir ve di Windows-ê de hene. Ji hingê ve, wan alîkariya dadwerên dîjîtal û pisporên bersivdana bûyera komputerê kir ku şopên nermalavê, tevî malware, bibînin. Pisporê sereke di warê dadweriya komputerê de Group-IB Oleg Skulkin ji we re vedibêje ka hûn dikarin bi karanîna pelên Prefetch çi bibînin û çawa bikin.
Pelên pêşdibistanê di pelrêçê de têne hilanîn % SystemRoot% Prefetch û xizmeta bilezkirina pêvajoya destpêkirina bernameyan dike. Ger em li yek ji van pelan binerin, em ê bibînin ku navê wê ji du beşan pêk tê: Navê pelê îcrakar û kontrolek ji heşt tîpan ji riya wê.
Pelên pêşdibistanê ji hêla dadrêsî ve gelek agahdariya kêrhatî dihewîne: Navê pelê bikêrhatî, çend carên ku ew hatî darve kirin, navnîşên pelan û peldankên ku pelê îcrakar pê re têkilî daniye, û, bê guman, mohra dem. Bi gelemperî, zanyarên dadrêsî dîroka afirandina pelek taybetî ya Prefetch bikar tînin da ku roja ku bername yekem car hatî destpêkirin destnîşan bikin. Digel vê yekê, van pelan dîroka destpêkirina wê ya paşîn vedişêrin, û ji guhertoya 26 (Windows 8.1) dest pê dikin - îşaretên demê yên heft gerîdeyên herî dawî.
Ka em yek ji pelên Prefetch bistînin, bi karanîna PECmd-a Eric Zimmerman jê re daneyan derxînin û li her perçeyek wê binihêrin. Ji bo nîşan bide, ez ê daneyan ji pelek derxînim CCLEANER64.EXE-DE05DBE1.pf.
Ji ber vê yekê em ji jor dest pê bikin. Bê guman, me çêkirina pelan, guheztin, û îşaretên demê hene:
Li dû wan navê pelê darvekirî, kontrolkirina rêça wê, mezinahiya pelê darvekirinê, û guhertoya pelê Prefetch têne peyda kirin:
Ji ber ku em bi Windows 10 re mijûl dibin, paşê em ê hejmara destpêk, tarîx û dema destpêka paşîn, û heft demjimêrên din ên ku tarîxên destpêkirina berê destnîşan dikin bibînin:
Li pey wan agahdariya di derbarê hejmûnê de, tevî jimareya rêzefîlmê û dîroka afirandinê:
Ya paşîn lê ne hindik navnîşek pelrêç û pelên ku lêker bi wan re têkilî danî ye:
Ji ber vê yekê, peldank û pelên ku îcrakar bi wan re têkilî daniye, tam ya ku ez dixwazim îro li ser bisekinim in. Ev dane ye ku destûrê dide pisporên di dadweriya dîjîtal de, bersiva bûyera komputerê, an nêçîra tehdîdê ya proaktîf de ku ne tenê rastiya darvekirina pelek taybetî saz bikin, lê di hin rewşan de jî, di hin rewşan de, taktîk û teknîkên taybetî yên êrîşkaran jî ji nû ve ava bikin. Îro, êrîşkar pir caran amûran bikar tînin da ku daneyan bi domdarî jêbirin, mînakî SDelete, ji ber vê yekê şiyana vegerandina bi kêmî ve şopên karanîna hin taktîk û teknîkan ji bo her berevanek nûjen tenê hewce ye - pisporê dadweriya komputerê, pisporê bersivdayîna bûyerê, ThreatHunter pispor.
Ka em bi taktîka Gihîştina Destpêkê (TA0001) û teknîka herî populer, Pêvekirina Spearphishing (T1193) dest pê bikin. Hin komên sûcdarên sîber di hilbijartina veberhênanên xwe de pir afirîner in. Mînakî, koma Bêdeng ji bo vê yekê pelên di forma CHM (Alîkariya HTML-a Berhevkirî ya Microsoft-ê) de bikar anî. Bi vî rengî, li pêşiya me teknîkek din heye - Pelê HTML-a Berhevkirî (T1223). Pelên weha bi karanîna têne destpêkirin hh.exe, ji ber vê yekê, heke em daneyan ji pelê wê Prefetch derxînin, em ê fêr bibin ka kîjan pel ji hêla mexdûr ve hatî vekirin:
Ka em bi mînakên ji dozên rastîn re xebata xwe bidomînin û biçin taktîka Darvekirinê ya paşîn (TA0002) û teknîka CSMTP (T1191). Sazkerê Profîla Rêvebirê Têkiliya Microsoft (CMSTP.exe) dikare ji hêla êrîşkaran ve were bikar anîn da ku nivîsarên xirab bimeşîne. Mînaka baş koma Kobalt e. Ger em daneyan ji pelê Prefetch derxînin cmstp.exe, wê hingê em dikarin dîsa fêr bibin ka bi rastî çi hate destpêkirin:
Teknîkî din a populer Regsvr32 (T1117) ye. Regsvr32.exe ji bo destpêkirinê jî gelek caran ji hêla êrîşkaran ve tê bikar anîn. Li vir mînakek din ji koma Cobalt heye: heke em daneyan ji pelek Prefetch derxînin regsvr32.exe, paşê dîsa em ê bibînin ku çi hate destpêkirin:
Taktîkên paşîn Persistence (TA0003) û Zêdekirina Taybetmendiyê (TA0004) ne, bi Application Shimming (T1138) wekî teknîkek. Ev teknîkî ji hêla Carbanak/FIN7 ve hatî bikar anîn da ku pergalê lenger bike. Bi gelemperî ji bo xebitandina databasên lihevhatina bernameyê (.sdb) tê bikar anîn sdbinst.exe. Ji ber vê yekê, pelê Prefetch ya vê darvekirinê dikare ji me re bibe alîkar ku navên databasên weha û cîhên wan bibînin:
Wekî ku hûn di nîgarê de dibînin, ne tenê navê pelê ku ji bo sazkirinê tê bikar anîn, lê di heman demê de navê databasa sazkirî jî heye.
Ka em li yek ji nimûneyên herî gelemperî yên belavkirina torê (TA0008), PsExec, bi karanîna parvekirinên îdarî (T1077) mêze bikin. Xizmeta bi navê PSEXECSVC (bê guman, her navek din dikare were bikar anîn heke êrîşkaran parametre bikar bînin -r) dê li ser pergala armancê were afirandin, ji ber vê yekê, heke em daneya ji pelê Prefetch derxînin, em ê bibînin ka çi hate destpêkirin:
Ez ê belkî li cihê ku min dest pê kir bi dawî bibe - jêbirina pelan (T1107). Wekî ku min berê jî behs kir, gelek êrîşkar SDelete bikar tînin da ku di qonaxên cihêreng ên çerxa jiyanê de pelan bi domdarî jêbirin. Ger em li daneyên pelê Prefetch binêrin sdelete.exe, wê hingê em ê bibînin ka çi bi rastî jêbirin:
Bê guman, ev ne navnîşek bêkêmasî ya teknîkên ku di dema analîzkirina pelên Prefetch de têne kifş kirin e, lê divê ev bes be ku hûn fêm bikin ku pelên weha ne tenê dikarin bibin alîkar ku şopên destpêkirinê bibînin, lê di heman demê de taktîk û teknîkên taybetî yên êrîşkar jî ji nû ve ava bikin. .
Source: www.habr.com