Ny fisie trace, na ny rakitra Prefetch, dia efa nisy tao amin'ny Windows hatramin'ny XP. Nanomboka teo dia nanampy ireo manam-pahaizana momba ny fikarohana siantifika nomerika sy ireo manam-pahaizana momba ny famaliana trangan-javatra amin'ny solosaina izy ireo hahita soritra rindrambaiko, anisan'izany ny malware. Manampahaizana manokana momba ny informatika forensics Group-IB Oleg Skulkin milaza aminao ny zavatra hitanao amin'ny fampiasana rakitra Prefetch sy ny fomba hanaovana izany.
Ny rakitra prefetch dia voatahiry ao amin'ny lahatahiry %SystemRoot%Prefetch ary manafaingana ny fizotran'ny fandefasana programa. Raha jerena ny iray amin'ireo rakitra ireo dia ho hitantsika fa misy ampahany roa ny anarany: ny anaran'ny rakitra azo tanterahana ary ny checksum misy tarehintsoratra valo avy amin'ny lalana mankany aminy.
Ny rakitra prefetch dia misy fampahalalana be dia be mahasoa amin'ny fomba fijery forensika: ny anaran'ny rakitra azo tanterahana, ny isan'ny famonoana azy, ny lisitry ny rakitra sy ny lahatahiry nifaneraseran'ny rakitra azo tanterahana, ary mazava ho azy, ny mari-pamantarana. Amin'ny ankapobeny, ny mpahay siansa forensika dia mampiasa ny datin'ny famoronana rakitra Prefetch manokana hamaritana ny daty nanombohana ny programa. Ankoatr'izay, ireo rakitra ireo dia mitahiry ny datin'ny fandefasana azy farany, ary manomboka amin'ny version 26 (Windows 8.1) - ny mari-pamantarana an'ireo hazakazaka fito farany.
Andao haka ny iray amin'ireo rakitra Prefetch, alaivo ny angona avy aminy amin'ny fampiasana ny PECmd an'i Eric Zimmerman ary jereo ny ampahany tsirairay amin'izany. Mba hampisehoana dia haka angona avy amin'ny rakitra iray aho CCLEANER64.EXE-DE05DBE1.pf.
Andeha Γ ry isika hanomboka aminβny ambony. Mazava ho azy fa manana fisie famoronana, fanovana ary fidirana amin'ny mari-potoana izahay:
Arahin'izy ireo ny anaran'ny rakitra azo tanterahana, ny checksum ny lalana mankany aminy, ny haben'ny rakitra azo tanterahana, ary ny dikan'ny rakitra Prefetch:
Satria isika no miatrika Windows 10, manaraka dia ho hitantsika ny isan'ny fanombohana, ny daty sy ny ora fanombohana farany, ary fito hafa famantarana famantarana ny daty fandefasana teo aloha:
Ireto manaraka ireto ny fampahalalana momba ny volume, ao anatin'izany ny laharan-tariby sy ny daty namoronana azy:
Ny farany fa tsy ny kely indrindra dia lisitry ny lahatahiry sy rakitra nifaneraseran'ny executable:
Noho izany, ny lahatahiry sy ny rakitra nifaneraseran'ny executable no tena tiako hifantoka androany. Io angon-drakitra io no ahafahan'ny manam-pahaizana manokana amin'ny forensika nomerika, valin'ny trangan-javatra amin'ny solosaina, na fihazana fandrahonana mavitrika, tsy vitan'ny hoe mametraka ny zava-misy amin'ny famonoana rakitra manokana, fa koa, amin'ny toe-javatra sasany, hanangana indray tetika sy teknikan'ny mpanafika. Amin'izao fotoana izao, ny mpanafika dia matetika mampiasa fitaovana hamafa ny angon-drakitra, ohatra, SDelete, ka ny fahafahana mamerina farafaharatsiny ny fampiasana tetika sy teknika sasany dia ilaina fotsiny ho an'ny mpiaro maoderina rehetra - manam-pahaizana manokana momba ny informatika, manam-pahaizana manokana momba ny tranga, ThreatHunter manam-pahaizana.
Andeha isika hanomboka amin'ny tetika fidirana voalohany (TA0001) sy ny teknika malaza indrindra, Spearphishing Attachment (T1193). Ny vondrona mpanao heloka bevava an-tserasera sasany dia tena mamorona amin'ny safidiny ny fampiasam-bola. Ohatra, ny vondrona Silence dia nampiasa rakitra amin'ny endrika CHM (Microsoft Compiled HTML Help) ho an'izany. Noho izany, manana teknika iray hafa isika - Compiled HTML File (T1223). Ny rakitra toy izany dia manomboka mampiasa hh.exe, noho izany, raha maka angona avy amin'ny rakitra Prefetch isika, dia ho hitantsika hoe iza no rakitra nosokafan'ilay niharam-boina:
Andeha isika hanohy hiasa amin'ny ohatra avy amin'ny tranga tena izy ary hiroso amin'ny tetika famonoana manaraka (TA0002) sy teknika CSMTP (T1191). Ny Microsoft Connection Manager Profile Installer (CMSTP.exe) dia azo ampiasain'ny mpanafika mba hampandehanana script ratsy. Ohatra tsara dia ny vondrona Cobalt. Raha maka angona avy amin'ny rakitra Prefetch isika cmstp.exe, dia ho hitantsika indray hoe inona marina no natomboka:
Teknika malaza iray hafa dia Regsvr32 (T1117). Regsvr32.exe dia matetika ampiasain'ny mpanafika ihany koa hanombohana. Ity misy ohatra iray hafa avy amin'ny vondrona Cobalt: raha maka angona avy amin'ny rakitra Prefetch isika regsvr32.exe, dia ho hitantsika indray izay natomboka:
Ny tetika manaraka dia ny Persistence (TA0003) sy ny Privilege Escalation (TA0004), miaraka amin'ny Application Shimming (T1138) ho teknika. Ity teknika ity dia nampiasain'ny Carbanak/FIN7 mba hametrahana ny rafitra. Ampiasaina matetika mba hiasa miaraka amin'ny angon-drakitra mifanentana amin'ny programa (.sdb) sdbinst.exe. Noho izany, ny rakitra Prefetch an'ity executable ity dia afaka manampy antsika hamantatra ny anaran'ny angon-drakitra toy izany sy ny toerana misy azy:
Araka ny hitanao amin'ny fanoharana, tsy ny anaran'ny rakitra ampiasaina amin'ny fametrahana ihany no ananantsika, fa ny anaran'ny angon-drakitra napetraka.
Andeha hojerentsika ny iray amin'ireo ohatra mahazatra indrindra amin'ny fampielezana ny tambajotra (TA0008), PsExec, amin'ny fampiasana fizaram-pitantanana (T1077). Serivisy antsoina hoe PSEXECSVC (mazava ho azy, azo ampiasaina ny anarana hafa raha toa ka nampiasa ny parameter ny mpanafika -r) dia ho noforonina amin'ny rafitra kendrena, noho izany, raha maka ny angona avy amin'ny rakitra Prefetch isika dia ho hitantsika izay natomboka:
Mety hamarana ny toerana nanombohako aho - famafana rakitra (T1107). Araka ny efa nomarihiko dia maro ny mpanafika mampiasa SDelete hamafa ireo rakitra amin'ny dingana isan-karazany amin'ny tsingerin'ny fiainana fanafihana. Raha mijery ny angona avy amin'ny rakitra Prefetch isika sdelete.exe, dia ho hitantsika hoe inona marina no voafafa:
Mazava ho azy fa tsy lisitra feno ny teknika azo jerena mandritra ny famakafakana ny rakitra Prefetch izany, fa tokony ho ampy hahatakarana fa ny rakitra toy izany dia afaka manampy tsy amin'ny fitadiavana ny dian'ny fanombohana, fa amin'ny fananganana indray ny tetika sy teknika mpanafika manokana. .
Source: www.habr.com