Prefetch फाइलहरू प्रयोग गरेर आक्रमण गर्ने प्रविधिहरू र रणनीतिहरूको लागि शिकार

ट्रेस फाइलहरू, वा प्रिफेच फाइलहरू, XP देखि विन्डोजमा छन्। त्यसबेलादेखि, तिनीहरूले डिजिटल फोरेन्सिक र कम्प्युटर घटना प्रतिक्रिया विशेषज्ञहरूलाई मालवेयर सहित सफ्टवेयरको ट्रेसहरू फेला पार्न मद्दत गरेका छन्। कम्प्यूटर फोरेंसिक समूह-आईबी मा अग्रणी विशेषज्ञ ओलेग स्कुलकिन तपाइँले Prefetch फाइलहरू प्रयोग गरेर के फेला पार्न सक्नुहुन्छ र यसलाई कसरी गर्ने भनेर बताउँछ।

प्रिफेच फाइलहरू डाइरेक्टरीमा भण्डारण गरिएका छन् %SystemRoot% Prefetch र कार्यक्रमहरू सुरु गर्ने प्रक्रियालाई गति दिन सेवा गर्नुहोस्। यदि हामीले यी फाईलहरू मध्ये कुनै पनि हेर्छौं भने, हामी देख्नेछौं कि यसको नाममा दुई भागहरू छन्: कार्यान्वयनयोग्य फाइलको नाम र यसमा जाने बाटोबाट आठ-क्यारेक्टर चेकसम।

प्रिफेच फाइलहरूले फोरेन्सिक दृष्टिकोणबाट उपयोगी धेरै जानकारी समावेश गर्दछ: कार्यान्वयनयोग्य फाइलको नाम, यसलाई कार्यान्वयन गरिएको समयको संख्या, कार्यान्वयनयोग्य फाइलले अन्तरक्रिया गरेको फाइलहरू र डाइरेक्टरीहरूको सूची, र निस्सन्देह, टाइमस्ट्याम्पहरू। सामान्यतया, फोरेन्सिक वैज्ञानिकहरूले कार्यक्रम पहिलो पटक सुरु भएको मिति निर्धारण गर्न विशेष प्रिफेच फाइलको सिर्जना मिति प्रयोग गर्छन्। थप रूपमा, यी फाइलहरूले यसको अन्तिम प्रक्षेपणको मिति भण्डारण गर्दछ, र संस्करण 26 (Windows 8.1) बाट सुरु हुँदै - हालैका सात रनको टाइमस्ट्याम्पहरू।

Prefetch फाइलहरू मध्ये एउटा लिनुहोस्, एरिक Zimmerman को PECmd प्रयोग गरेर यसबाट डाटा निकाल्नुहोस् र यसको प्रत्येक भाग हेर्नुहोस्। देखाउनको लागि, म फाइलबाट डाटा निकाल्नेछु CCEANER64.EXE-DE05DBE1.pf.

त्यसैले माथिबाट सुरु गरौं। अवश्य पनि, हामीसँग फाइल सिर्जना, परिमार्जन, र पहुँच टाइमस्ट्याम्पहरू छन्:

तिनीहरू कार्यान्वयनयोग्य फाइलको नाम, यसको मार्गको चेकसम, कार्यान्वयनयोग्य फाइलको साइज, र प्रिफेच फाइलको संस्करण पछि छन्:

हामीले Windows 10 सँग काम गरिरहेको हुनाले, अर्को हामीले सुरुको संख्या, अन्तिम सुरुवातको मिति र समय, र अघिल्लो लन्च मितिहरू देखाउने सात थप टाइमस्ट्याम्पहरू देख्नेछौं:

यी भोल्युमको बारेमा जानकारी पछि, यसको क्रम संख्या र सिर्जना मिति सहित:

अन्तिम तर कम से कम डाइरेक्टरी र फाईलहरूको सूची हो जुन कार्यान्वयन योग्यले अन्तरक्रिया गर्यो:

त्यसोभए, निष्पादन योग्यले अन्तरक्रिया गरेको डाइरेक्टरीहरू र फाइलहरू वास्तवमा म आज फोकस गर्न चाहन्छु। यो डाटा हो जसले डिजिटल फोरेन्सिक, कम्प्युटर घटना प्रतिक्रिया, वा सक्रिय खतरा शिकारमा विशेषज्ञहरूलाई विशेष फाइलको कार्यान्वयनको तथ्य मात्र स्थापित गर्न अनुमति दिन्छ, तर केही अवस्थामा, आक्रमणकारीहरूको विशिष्ट रणनीति र प्रविधिहरू पुन: निर्माण गर्न। आज, आक्रमणकारीहरूले प्रायः डाटा स्थायी रूपमा मेटाउन उपकरणहरू प्रयोग गर्छन्, उदाहरणका लागि, SDelete, त्यसैले कुनै पनि आधुनिक डिफेन्डर - कम्प्युटर फोरेन्सिक विशेषज्ञ, घटना प्रतिक्रिया विशेषज्ञ, ThreatHunter को लागि निश्चित रणनीति र प्रविधिहरूको प्रयोगको कम्तीमा ट्रेसहरू पुनर्स्थापित गर्ने क्षमता आवश्यक छ। विशेषज्ञ।

प्रारम्भिक पहुँच रणनीति (TA0001) र सबैभन्दा लोकप्रिय प्रविधि, Spearphishing Attachment (T1193) बाट सुरु गरौं। केही साइबर अपराधी समूहहरू लगानीको छनौटमा धेरै रचनात्मक छन्। उदाहरणका लागि, साइलेन्स समूहले यसका लागि CHM (Microsoft Compiled HTML Help) ढाँचामा फाइलहरू प्रयोग गर्‍यो। यसरी, हामीसँग अर्को प्रविधि छ - कम्पाइल गरिएको HTML फाइल (T1223)। त्यस्ता फाइलहरू प्रयोग गरेर सुरू गरिन्छ hh.exeत्यसकारण, यदि हामीले यसको प्रिफेच फाइलबाट डाटा निकाल्छौं भने, हामी पीडितले कुन फाइल खोलेको थियो भनेर पत्ता लगाउनेछौं:

वास्तविक केसहरूबाट उदाहरणहरूको साथ काम जारी राखौं र अर्को कार्यान्वयन रणनीति (TA0002) र CSMTP प्रविधि (T1191) मा जानुहोस्। Microsoft जडान प्रबन्धक प्रोफाइल स्थापनाकर्ता (CMSTP.exe) दुर्भावनापूर्ण स्क्रिप्टहरू चलाउन आक्रमणकारीहरूले प्रयोग गर्न सक्छन्। एउटा राम्रो उदाहरण कोबाल्ट समूह हो। यदि हामीले प्रिफेच फाइलबाट डाटा निकाल्छौं cmstp.exe, त्यसपछि हामी फेरि पत्ता लगाउन सक्छौं कि वास्तवमा के सुरु गरिएको थियो:

अर्को लोकप्रिय प्रविधि Regsvr32 (T1117) हो। Regsvr32.exe आक्रमणकारीहरूले प्राय: प्रक्षेपण गर्न प्रयोग गर्छन्। यहाँ कोबाल्ट समूहबाट अर्को उदाहरण छ: यदि हामीले प्रिफेच फाइलबाट डाटा निकाल्छौं regsvr32.exe, त्यसपछि फेरि हामी के सुरु भयो हेर्नेछौं:

अर्को रणनीतिहरू पर्सिस्टेन्स (TA0003) र प्रिभिलेज एस्केलेसन (TA0004) हुन्, जसमा एप्लिकेसन शिमिङ (T1138) एक प्रविधिको रूपमा छ। यो प्रविधि Carbanak/FIN7 द्वारा प्रणाली लंगर गर्न प्रयोग गरिएको थियो। सामान्यतया कार्यक्रम अनुकूलता डेटाबेस (.sdb) सँग काम गर्न प्रयोग गरिन्छ sdbinst.exe। त्यसकारण, यस कार्यान्वयन योग्यको प्रिफेच फाइलले हामीलाई त्यस्ता डाटाबेसहरूको नाम र तिनीहरूको स्थानहरू पत्ता लगाउन मद्दत गर्न सक्छ:

तपाईंले दृष्टान्तमा देख्न सक्नुहुन्छ, हामीसँग स्थापनाको लागि प्रयोग गरिएको फाइलको नाम मात्र होइन, तर स्थापना गरिएको डाटाबेसको नाम पनि छ।

प्रशासकीय सेयरहरू (T0008) प्रयोग गरेर नेटवर्क प्रोपेगेशन (TA1077), PsExec को सबैभन्दा सामान्य उदाहरणहरू मध्ये एकलाई हेरौं। PSEXECSVC नामको सेवा (निस्सन्देह, आक्रमणकारीहरूले प्यारामिटर प्रयोग गरेमा कुनै अन्य नाम प्रयोग गर्न सकिन्छ -r) लक्षित प्रणालीमा सिर्जना गरिनेछ, त्यसैले, यदि हामीले प्रिफेच फाइलबाट डाटा निकाल्छौं भने, हामी के सुरु गरिएको थियो देख्नेछौं:

म सम्भवतः मैले सुरु गरेको ठाउँबाट अन्त्य गर्नेछु - फाइलहरू मेटाउँदै (T1107)। मैले पहिले नै उल्लेख गरिसकेको छु, धेरै आक्रमणकारीहरूले आक्रमण जीवनचक्रको विभिन्न चरणहरूमा फाइलहरू स्थायी रूपमा मेटाउन SDelete प्रयोग गर्छन्। यदि हामी प्रीफेच फाइलबाट डाटा हेर्छौं sdelete.exe, त्यसपछि हामी वास्तवमा के मेटाइएको थियो देख्नेछौं:

निस्सन्देह, यो प्रिफेच फाइलहरूको विश्लेषणको क्रममा पत्ता लगाउन सकिने प्रविधिहरूको विस्तृत सूची होइन, तर यो बुझ्नको लागि पर्याप्त हुनुपर्छ कि त्यस्ता फाइलहरूले प्रक्षेपणको ट्रेसहरू फेला पार्न मात्र मद्दत गर्न सक्दैन, तर विशिष्ट आक्रमणकारी रणनीतिहरू र प्रविधिहरू पनि पुनर्निर्माण गर्न सक्छन्। ।

स्रोत: www.habr.com