Vestigium imagini, seu fasciculi Prefetch, circum in Fenestra cum XP fuerunt. Cum igitur forensics digitales et computatrum incidentes responsionem adiuverunt, adhibentur speciales vestigia programmatum, inclusa malware. Specialitas ducens in computatrum forensics Group-IB Oleg Skulkin narrat tibi quid inveneris lima utens Prefetch et quomodo id facias.
Prefetch lima reponuntur in indicem % SystemRoot% Prefetch ac processus accelerare programmata deducendi. Si quid horum imaginum inspicimus, nomen eius duabus partibus constare videbimus: nomen fasciculi exsecutabilis et octonarium characterum qui a via ad eam sistit.
Tabulae praefetae multum informationes utiles ex parte forensi continent: nomen documenti exsecutabile, pluries factum est, tabulae documentorum et directoriorum cum quibus fasciculus exsecutabilis interact, et, utique, indicationes. Typice, phisici forenses adhibent diem creationis cuiusdam fasciculi Prefetch ad determinandum tempus programma primum deducendum. Praeterea hae fasciculi reponunt diem suae ultimi launch, et incipiens a versione 26 (Fenestra 8.1) - temporis notae septem recentium currit.
Sumamus unum e praefectivis imaginum, ex eo datam extraho utendo Erici Zimmerman PECmd et singulas eius partes aspicias. Ut demonstrabo, ex lima notitia eliciam CCLEANER64.EXE-DE05DBE1.pf.
A summo igitur committitur. Utique habemus file creationem, modificationem et accessum in indicationibus;
Sequuntur nomen fasciculi exsecutabilis, pressione semitae ad eam, magnitudinem fasciculi exsecutabilis et versio fasciculi Prefetch.
Cum de Fenestra X tractamus, deinde numerum astrorum, tempus et tempus ultimi initii videbimus, et septem tempora notae plusquam priores dies launches indicantes:
Hae sequuntur informationes circa volumen, inter numerum et diem creationis serialem:
Novissime sed non minimum est index directoriorum et fasciculorum qui cum exsecutabili interacted:
Itaque directoria et fasciculi qui cum exsecutabili interacted sunt, prorsus id quod hodie inspicere volo. Haec notitia est quae permittit specialitas in forensicis digitalibus, responsionem incidentes computatrales, vel venationem proactive comminationem ad constituendum non solum rem exsecutionis alicuius fasciculi, sed etiam in quibusdam casibus, ut certas artes et artes oppugnantium reficiat. Hodie, oppugnatores satis saepe instrumenta utimur ad notitias perpetuo delendas, exempli gratia, SDelete, sic facultas restituendi saltem vestigia usuum quarundam artium et technicarum simpliciter necessaria est cuilibet defensori hodierno - artifex forensics computatrum, responsio specialist incidentes, ThreatHunter. peritum.
Incipiamus cum accessu initiali artis (TA0001) et ars popularis, adscriptionis Spearphishing (T1193). Quidam coetus cybercriminales satis creant in fenore eligendo. Exempli gratia, globus Silentii usus lima in CHM (Microsoft Compiled HTML Help) format pro hoc. Sic ante nos habemus aliam artem - Tabularium HTML Compilatum (T1223). Tales lima utens launched hh.exeergo, si ex eius tabulario Prefetch notitias extraxerimus, inspiciemus quis fasciculus per victimam apertus sit;
Cum exemplis ex casibus realibus operamus et pergamus ad proximam exsecutionem artis (TA0002) et ars CSMTP (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) ab oppugnatoribus uti possunt ad scripta maligna currere. Exemplum bonum est coetus Cobalt. Si elicimus notitia ex file Prefetch cmstp.exetunc denuo explorare quidnam deductum sit;
Alia ars vulgaris est Regsvr32 (T1117). Regsvr32.exe saepe etiam ab oppugnatoribus deducendis adhibetur. En aliud exemplum e grege Cobaltensi: si notitias ex tabula Prefetch elicimus regsvr32.exetum quid inde pateat videbimus;
Proxima ratio perseverantia (TA0003) et Privilegium Escalation (TA0004) cum Application Shimming (T1138) ut ars. Haec ars a Carbanak/FIN7 ad systema ancora adhibita est. De more laborare ad convenientiam databases progressio (.sdb) sdbinst.exe. Propterea fasciculi huius exsecutabilis Praefectura adiuvare nos possunt nomina talium databases earumque locorum invenire:
Ut videre potes in illustratione, non solum nomen tabulae ad institutionem adhibitae, sed etiam nomen datorum inauguratus est.
Inspice exempla communissima propagationis retiacula (TA0008), PsExec utens participatio administrativa (T1077). Servitium nomine PSEXECSVC (utique nomen aliud adhiberi potest si oppugnatores modulo utantur -r) in scopum systematis creabitur, ergo si notitias e file Prefetch elicimus, ea quae deductae sunt videbimus;
Probabiliter finiam ubi incepi β lima delendo (T1107). Ut iam notavi, multi oppugnatores SDelete utuntur ad limas in perpetuum delere variis gradibus oppugnationis lifecycli. Si notitia ex file Prefetch spectemus sdelete.exequidnam postea deletum videbimus;
Utique, hoc in analysi Prefetch imaginum non est index technicorum, qui in analysi imaginum praefectis reperiri possunt, sed hoc satis intellegendum est eiusmodi imaginum iuvare non solum vestigia launchendi, sed etiam certae artis et technicae oppugnatoris instaurare. .
Source: www.habr.com