Prefetch ဖိုင်များကို အသုံးပြု၍ နည်းစနစ်များနှင့် နည်းဗျူဟာများကို တိုက်ခိုက်ရန်အတွက် အမဲလိုက်ခြင်း။

ခြေရာခံဖိုင်များ သို့မဟုတ် Prefetch ဖိုင်များသည် XP ကတည်းက Windows တွင် ရှိနေပါသည်။ ထိုအချိန်မှစ၍၊ ၎င်းတို့သည် ဒစ်ဂျစ်တယ်မှုခင်းဆေးပညာနှင့် ကွန်ပျူတာ အဖြစ်အပျက် တုံ့ပြန်ရေး ကျွမ်းကျင်သူများကို Malware အပါအဝင် ဆော့ဖ်ဝဲလ်ခြေရာများကို ရှာဖွေရန် ကူညီပေးခဲ့သည်။ Computer Forensics Group-IB မှ ဦးဆောင် ပါရဂူ Oleg Skulkin Prefetch ဖိုင်များကို အသုံးပြု၍ သင်ရှာဖွေနိုင်သည်နှင့် ၎င်းကို ပြုလုပ်နည်းကို ပြောပြသည်။

Prefetch ဖိုင်များကို directory တွင်သိမ်းဆည်းထားသည်။ %SystemRoot%Prefetch ပရိုဂရမ်များ စတင်ခြင်း လုပ်ငန်းစဉ်ကို အရှိန်မြှင့်ရန် ဆောင်ရွက်သည်။ ဤဖိုင်များထဲမှ တစ်ခုခုကိုကြည့်လျှင် ၎င်း၏အမည်တွင် အပိုင်းနှစ်ပိုင်းပါဝင်သည်- အကောင်အထည်ဖော်နိုင်သောဖိုင်၏အမည်နှင့် ၎င်းသို့သွားရာလမ်းကြောင်းမှ စာလုံးရှစ်လုံးပါ ချက်စမ်တစ်ခုပါ၀င်သည်ကို တွေ့ရပါမည်။

Prefetch ဖိုင်များတွင် မှုခင်းဆိုင်ရာ ရှုထောင့်မှ အသုံးဝင်သော အချက်အလက်များစွာ ပါ၀င်သည်- executable file ၏ အမည်၊ ၎င်းကို လုပ်ဆောင်ခဲ့သည့် အကြိမ်အရေအတွက်၊ executable file နှင့် အပြန်အလှန် ဆက်သွယ်နိုင်သည့် ဖိုင်စာရင်းများနှင့် အချိန်တံဆိပ်တုံးများ စာရင်းများ။ ပုံမှန်အားဖြင့်၊ မှုခင်းဆေးပညာ သိပ္ပံပညာရှင်များသည် ပရိုဂရမ်ကို စတင်သည့်နေ့စွဲကို ဆုံးဖြတ်ရန် သီးခြား Prefetch ဖိုင်တစ်ခု၏ ဖန်တီးရက်စွဲကို အသုံးပြုသည်။ ထို့အပြင်၊ ဤဖိုင်များသည် ၎င်း၏နောက်ဆုံးထွက်ရှိမည့်ရက်စွဲကို သိမ်းဆည်းထားပြီး ဗားရှင်း 26 (Windows 8.1) မှစတင်သည် - နောက်ဆုံးထွက်ပြေးခြင်းခုနစ်ခု၏အချိန်တံဆိပ်များ။

Eric Zimmerman's PECmd ကို အသုံးပြု၍ Prefetch ဖိုင်များထဲမှ ဒေတာကို ထုတ်ယူပြီး အစိတ်အပိုင်းတစ်ခုစီကို ကြည့်ကြပါစို့။ သရုပ်ပြရန်၊ ဖိုင်တစ်ခုမှ ဒေတာကို ထုတ်ယူပါမည်။ CCLEANER64.EXE-DE05DBE1.pf.

ဒီတော့ အပေါ်ကနေ စကြည့်ရအောင်။ ဟုတ်ပါတယ်၊ ကျွန်ုပ်တို့တွင် ဖိုင်ဖန်တီးခြင်း၊ ပြုပြင်မွမ်းမံခြင်းနှင့် အသုံးပြုခွင့်အချိန်တံဆိပ်များ ရှိသည်-

၎င်းတို့နောက်တွင် စီစဥ်နိုင်သောဖိုင်အမည်၊ ၎င်းသို့သွားသည့်လမ်းကြောင်း၏ checksum၊ executable file ၏အရွယ်အစားနှင့် Prefetch ဖိုင်၏ဗားရှင်းတို့နောက်တွင်-

ကျွန်ုပ်တို့သည် Windows 10 နှင့် ဆက်ဆံနေသောကြောင့်၊ နောက်တွင် စတင်သည့်အရေအတွက်၊ နောက်ဆုံးစတင်သည့်ရက်စွဲနှင့် အချိန်နှင့် ယခင်စတင်သည့်ရက်စွဲများကို ညွှန်ပြသည့် နောက်ထပ်အချိန်တံဆိပ် ခုနစ်ခုကို တွေ့ရမည်ဖြစ်သည်။

၎င်းတို့ကို ၎င်း၏ အမှတ်စဉ်နံပါတ်နှင့် ဖန်တီးသည့်ရက်စွဲအပါအဝင် ထုထည်အကြောင်း အချက်အလက်များဖြင့် နောက်တွင်ဖော်ပြထားသည်-

နောက်ဆုံးအချက်မှာ executable နှင့် အပြန်အလှန်အကျိုးသက်ရောက်သည့် လမ်းကြောင်းများနှင့် ဖိုင်များစာရင်းဖြစ်သည်-

ထို့ကြောင့်၊ အကောင်အထည်ဖော်နိုင်သော လမ်းကြောင်းများနှင့် ဖိုင်များသည် ယနေ့ကျွန်ုပ်အာရုံစိုက်လိုသည့် အတိအကျဖြစ်သည်။ ဤဒေတာသည် ဒစ်ဂျစ်တယ်မှုခင်းဆေးပညာ၊ ကွန်ပြူတာဖြစ်ရပ်တုံ့ပြန်မှု သို့မဟုတ် ခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းဆိုင်ရာ ကျွမ်းကျင်သူများအား သီးခြားဖိုင်တစ်ခု၏လုပ်ဆောင်ခြင်း၏အမှန်တရားသာမက၊ အချို့ကိစ္စများတွင် တိုက်ခိုက်သူများ၏ သီးခြားနည်းဗျူဟာများနှင့် နည်းပညာများကို ပြန်လည်တည်ဆောက်ရန် ဤဒေတာကို ခွင့်ပြုထားသည်။ ယနေ့ခေတ်တွင် တိုက်ခိုက်သူများသည် ဒေတာများကို အပြီးတိုင်ဖျက်ပစ်ရန် ကိရိယာများဖြစ်သော ဥပမာ SDelete ကို အသုံးပြုလေ့ရှိသောကြောင့် အချို့သော နည်းပရိယာယ်များနှင့် နည်းပညာအသုံးပြုမှု၏ အနည်းဆုံးခြေရာများကို ပြန်လည်ရယူနိုင်စွမ်းသည် ခေတ်မီသော ခုခံကာကွယ်သူတိုင်းအတွက် လိုအပ်သည် - ကွန်ပျူတာမှုခင်းပညာကျွမ်းကျင်သူ၊ အဖြစ်အပျက်တုံ့ပြန်ရေးကျွမ်းကျင်သူ၊ ThreatHunter၊ ကျွမ်းကျင်သူ။

Initial Access tactic (TA0001) နှင့် လူကြိုက်အများဆုံး နည်းပညာ Spearphishing Attachment (T1193) ဖြင့် စတင်ကြပါစို့။ အချို့သော ဆိုက်ဘာရာဇ၀တ်ဂိုဏ်းများသည် ၎င်းတို့၏ ရင်းနှီးမြှုပ်နှံမှုများကို ရွေးချယ်ရာတွင် အတော်လေး တီထွင်ဖန်တီးနိုင်ကြသည်။ ဥပမာအားဖြင့်၊ Silence အဖွဲ့သည် ဤအတွက် CHM (Microsoft Compiled HTML Help) ဖော်မတ်တွင် ဖိုင်များကို အသုံးပြုခဲ့သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့ရှေ့တွင် အခြားနည်းလမ်းတစ်ခု - Compiled HTML File (T1223)။ ထိုသို့သောဖိုင်များကို အသုံးပြု၍ စတင်သည်။ hh.exeထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ၎င်း၏ Prefetch ဖိုင်မှ ဒေတာကို ထုတ်ယူပါက၊ သားကောင်က မည်သည့်ဖိုင်ကို ဖွင့်ထားသည်ကို သိရှိနိုင်ပါမည်-

ဖြစ်ရပ်မှန်များမှ နမူနာများဖြင့် ဆက်လက်လုပ်ဆောင်ကြပါစို့၊ လာမည့် အကောင်အထည်ဖော်မှုနည်းဗျူဟာ (TA0002) နှင့် CSMTP နည်းပညာ (T1191) သို့ ဆက်သွားကြပါစို့။ Microsoft Connection Manager Profile Installer (CMSTP.exe) ကို တိုက်ခိုက်သူများသည် အန္တရာယ်ရှိသော script များကို လုပ်ဆောင်ရန် အသုံးပြုနိုင်သည်။ ဥပမာကောင်းတစ်ခုကတော့ Cobalt အုပ်စုပါ။ အကယ်၍ ကျွန်ုပ်တို့သည် ဒေတာကို ထုတ်ယူပါက ဖိုင်ကို ထုတ်ယူပါ။ cmstp.exeထို့နောက် မည်သည့်အရာကို စတင်ခဲ့သည်ကို ကျွန်ုပ်တို့ ထပ်မံရှာဖွေနိုင်သည်-

နောက်ထပ်ရေပန်းစားသောနည်းပညာမှာ Regsvr32 (T1117) ဖြစ်သည်။ Regsvr32.exe စတင်ရန် တိုက်ခိုက်သူများသည်လည်း မကြာခဏ အသုံးပြုလေ့ရှိသည်။ ဤသည်မှာ Cobalt အုပ်စုမှ ဒေတာကို ထုတ်ယူပါက၊ ကျွန်ုပ်တို့သည် Prefetch ဖိုင်မှ ထုတ်ယူပါက၊ regsvr32.exeထို့နောက်တွင် မည်သည့်အရာ စတင်ခဲ့သည်ကို ကျွန်ုပ်တို့ ထပ်မံမြင်ရပါမည်-

နောက်နည်းပရိယာယ်များမှာ Application Shimming (T0003) ဖြင့် Persistence (TA0004) နှင့် Privilege Escalation (TA1138) တို့ဖြစ်သည်။ ဤနည်းစနစ်ကို Carbanak/FIN7 မှ အသုံးပြု၍ စနစ်ကို ခိုင်မာစေပါသည်။ ပရိုဂရမ် လိုက်ဖက်ညီသော ဒေတာဘေ့စ်များ (.sdb) နှင့် အလုပ်လုပ်ရန် ပုံမှန်အားဖြင့် အသုံးပြုသည်။ sdbinst.exe. ထို့ကြောင့်၊ ဤ executable ၏ Prefetch ဖိုင်သည် ထိုကဲ့သို့သော ဒေတာဘေ့စ်များ၏ အမည်များနှင့် ၎င်းတို့၏ တည်နေရာများကို ရှာဖွေရန် ကူညီပေးနိုင်ပါသည်။

ပုံတွင် သင်တွေ့မြင်ရသည့်အတိုင်း၊ ကျွန်ုပ်တို့တွင် ထည့်သွင်းအသုံးပြုသည့် ဖိုင်အမည်သာမက ထည့်သွင်းထားသည့် ဒေတာဘေ့စ်အမည်လည်း ရှိသည်။

စီမံခန့်ခွဲရေးရှယ်ယာများ (T0008) ကို အသုံးပြု၍ ကွန်ရက်ဖြန့်ကျက်ခြင်း (TA1077)၊ PsExec ၏ အသုံးအများဆုံး ဥပမာများထဲမှ တစ်ခုကို ကြည့်ကြပါစို့။ PSEXECSVC အမည်ရှိ ဝန်ဆောင်မှု (ဟုတ်ပါတယ်၊ တိုက်ခိုက်သူများသည် ကန့်သတ်ဘောင်ကို အသုံးပြုပါက အခြားမည်သည့်အမည်ကိုမဆို အသုံးပြုနိုင်ပါသည်။ -r) ပစ်မှတ်စနစ်တွင် ဖန်တီးမည်ဖြစ်သောကြောင့်၊ ကျွန်ုပ်တို့သည် Prefetch ဖိုင်မှ ဒေတာကို ထုတ်ယူပါက၊ စတင်ခဲ့သည်ကို ကျွန်ုပ်တို့ မြင်တွေ့ရပါမည်-

ဖိုင်များကိုဖျက်ခြင်း (T1107) ကို စတင်သည့်နေရာတွင် အဆုံးသတ်နိုင်မည်ဖြစ်သည်။ ကျွန်ုပ်မှတ်သားထားပြီးဖြစ်သည့်အတိုင်း၊ တိုက်ခိုက်သူအများအပြားသည် တိုက်ခိုက်မှုဘဝသံသရာ၏ အဆင့်အမျိုးမျိုးတွင် ဖိုင်များကို အပြီးတိုင်ဖျက်ရန် SDelete ကို အသုံးပြုကြသည်။ Prefetch file မှ data ကိုကြည့်လျှင် sdelete.exeထို့နောက် မည်သည့်အရာကို အတိအကျ ဖျက်ထားသည်ကို ကျွန်ုပ်တို့ မြင်တွေ့ရပါမည်-

သေချာပါသည်၊ ဤသည်မှာ Prefetch ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာရာတွင် ရှာဖွေတွေ့ရှိနိုင်သည့် နည်းစနစ်အပြည့်အစုံစာရင်းမဟုတ်ပါ၊ သို့သော် ယင်းဖိုင်များသည် ပစ်လွှတ်ခြင်း၏ခြေရာများကို ရှာဖွေရုံသာမက သီးခြားတိုက်ခိုက်သူနည်းဗျူဟာများနှင့် နည်းစနစ်များကိုလည်း ပြန်လည်တည်ဆောက်နိုင်ကြောင်း နားလည်ရန် လုံလောက်ပါသည်။ .

source: www.habr.com