Prefetch फाइलहरू प्रयोग गरेर आक्रमण गर्ने प्रविधिहरू र रणनीतिहरूको लागि शिकार

ट्रेस फाइलहरू, वा प्रिफेच फाइलहरू, मा प्रस्तुत गरिएको थियो Windows XP को समयदेखि, तिनीहरूले डिजिटल फोरेन्सिक र कम्प्युटर घटना प्रतिक्रिया विशेषज्ञहरूलाई मालवेयर सहित प्रोग्राम कार्यान्वयनको निशान फेला पार्न मद्दत गर्दै आएका छन्। ग्रुप-आईबीमा अग्रणी डिजिटल फोरेन्सिक विशेषज्ञ ओलेग स्कुल्किन प्रिफेच फाइलहरू प्रयोग गरेर के फेला पार्न सकिन्छ र यो कसरी गर्ने भनेर व्याख्या गर्दछ।

प्रिफेच फाइलहरू डाइरेक्टरीमा भण्डारण गरिन्छन्। % सिस्टमरूट% प्रिफेच र कार्यक्रमहरू सुरु गर्ने प्रक्रियालाई गति दिन सेवा गर्छन्। यदि हामीले यी मध्ये कुनै पनि फाइललाई हेर्‍यौं भने, हामी देख्नेछौं कि यसको नाममा दुई भागहरू छन्: कार्यान्वयनयोग्य फाइलको नाम र यसमा जाने बाटोको चेकसम, जसमा आठ वर्णहरू छन्।

प्रिफेच फाइलहरूमा फोरेन्सिकली उपयोगी जानकारीको भण्डार हुन्छ: कार्यान्वयनयोग्यको नाम, यो कति पटक कार्यान्वयन गरिएको थियो, कार्यान्वयनयोग्यले अन्तरक्रिया गरेको फाइलहरू र निर्देशिकाहरूको सूची, र, अवश्य पनि, टाइमस्ट्याम्पहरू। फोरेन्सिक विश्लेषकहरूले सामान्यतया कार्यक्रम पहिलो पटक कार्यान्वयन गरिएको मिति निर्धारण गर्न विशेष प्रिफेच फाइलको सिर्जना मिति प्रयोग गर्छन्। यी फाइलहरूले यसको अन्तिम कार्यान्वयनको मिति पनि भण्डारण गर्छन्, र संस्करण २६ बाट सुरु हुन्छ (Windows ८.१) - पछिल्ला सात प्रक्षेपणहरूको टाइमस्ट्याम्पहरू।

एउटा Prefetch फाइल लिऔं, Eric Zimmerman को PECmd प्रयोग गरेर त्यसबाट डेटा निकालौं, र प्रत्येक भाग हेरौं। प्रदर्शनको लागि, म फाइलबाट डेटा निकाल्नेछु। CCLEANER64.EXE-DE05DBE1.pf को सम्बन्धित उत्पादनहरू.

त्यसो भए, माथिबाट सुरु गरौं। अवश्य पनि, हामीसँग फाइल सिर्जना, परिमार्जन, र पहुँच टाइमस्ट्याम्पहरू छन्:

यी कार्यान्वयनयोग्य फाइलको नाम, त्यसमा जाने बाटोको चेकसम, कार्यान्वयनयोग्य फाइलको आकार, र प्रिफेच फाइलको संस्करण पछि आउँछन्:

हामीसँग व्यवहार गरिरहेको हुनाले Windows 10, त्यसपछि हामी प्रक्षेपणहरूको संख्या, अन्तिम प्रक्षेपणको मिति र समय, र अघिल्लो प्रक्षेपण मितिहरू संकेत गर्ने सात थप टाइमस्ट्याम्पहरू देख्नेछौं:

यसपछि खण्डको बारेमा जानकारी दिइन्छ, जसमा यसको सिरियल नम्बर र सिर्जना मिति समावेश छ:

अन्त्यमा, कार्यान्वयनयोग्यले अन्तरक्रिया गरेका निर्देशिका र फाइलहरूको सूची:

त्यसोभए, कार्यान्वयनयोग्य फाइलले अन्तर्क्रिया गरेका निर्देशिकाहरू र फाइलहरू आज म ध्यान केन्द्रित गर्न चाहन्छु। यो डेटाले डिजिटल फोरेन्सिक, कम्प्युटर घटना प्रतिक्रिया, वा सक्रिय खतरा शिकार विशेषज्ञहरूलाई विशेष फाइलको कार्यान्वयनको तथ्य मात्र स्थापित गर्न अनुमति दिँदैन, तर केही अवस्थामा, आक्रमणकारीहरूको विशिष्ट रणनीति र प्रविधिहरू पुनर्निर्माण गर्न पनि अनुमति दिन्छ। आज, आक्रमणकारीहरूले प्रायः SDelete जस्ता डेटा स्थायी रूपमा मेटाउन उपकरणहरू प्रयोग गर्छन्, त्यसैले निश्चित रणनीति र प्रविधिहरूको प्रयोगको कम्तिमा निशानहरू पुनर्स्थापित गर्ने क्षमता कुनै पनि आधुनिक डिफेन्डरको लागि आवश्यक छ - एक कम्प्युटर फोरेन्सिक विशेषज्ञ, एक घटना प्रतिक्रिया विशेषज्ञ, एक खतरा विश्लेषक।

सुरु गरौं प्रारम्भिक पहुँच (TA0001) रणनीति र सबैभन्दा लोकप्रिय प्रविधि - स्पियरफिसिङ संलग्नता (T1193) बाट। केही साइबर अपराध समूहहरू यस्ता संलग्नकहरू छनौट गर्न धेरै रचनात्मक हुन्छन्। उदाहरणका लागि, साइलेन्स समूहले यसको लागि CHM (Microsoft कम्पाइल्ड HTML मद्दत) फाइलहरू प्रयोग गर्‍यो। त्यसैले, हामीसँग अर्को प्रविधि छ - कम्पाइल्ड HTML फाइल (T1223)। त्यस्ता फाइलहरू प्रयोग गरेर सुरु गरिन्छ। hh.exe प्रयोग गर्न सकिन्छत्यसकारण, यदि हामीले यसको प्रिफेच फाइलबाट डेटा निकाल्यौं भने, हामी पीडितले कुन फाइल खोलेको थियो भनेर पत्ता लगाउनेछौं:

वास्तविक संसारका उदाहरणहरूसँगै अगाडि बढौं र अर्को कार्यान्वयन रणनीति (TA0002) र CSMTP प्रविधि (T1191) मा जाऔं। माइक्रोसफ्ट जडान प्रबन्धक प्रोफाइल स्थापनाकर्ता (CMSTP.exe) आक्रमणकारीहरूले दुर्भावनापूर्ण स्क्रिप्टहरू सुरु गर्न प्रयोग गर्न सक्छन्। एउटा राम्रो उदाहरण कोबाल्ट समूह हो। यदि हामीले प्रिफेच फाइलबाट डेटा निकाल्छौं भने cmstp.exe फाइल, त्यसपछि हामी फेरि पत्ता लगाउन सक्छौं कि वास्तवमा के सुरु गरिएको थियो:

अर्को लोकप्रिय प्रविधि Regsvr32 (T1117) हो। Regsvr32.exe प्रयोग गर्न सजिलो आक्रमणकारीहरूले पनि प्रायः सुरुवात गर्न प्रयोग गर्छन्। यहाँ कोबाल्ट समूहबाट अर्को उदाहरण छ: यदि हामीले प्रिफेच फाइलबाट डेटा निकाल्छौं भने regsvr32.exe, त्यसपछि हामी फेरि के सुरु गरिएको थियो हेर्नेछौं:

अर्को रणनीतिहरू पर्सिस्टेन्स (TA0003) र प्रिभिलेज एस्केलेसन (TA0004) हुन्, जसमा एप्लिकेसन शिमिङ (T1138) एक प्रविधिको रूपमा प्रयोग गरिन्छ। यो प्रविधि Carbanak/FIN7 द्वारा प्रणालीमा पाइला राख्न प्रयोग गरिएको थियो। सामान्यतया, कार्यक्रम अनुकूलता डाटाबेस (.sdb) सँग काम गर्न प्रयोग गरिन्छ। sdbinst.exe फाइलत्यसकारण, यस कार्यान्वयनयोग्यको प्रिफेच फाइलले हामीलाई त्यस्ता डाटाबेसहरूको नाम र तिनीहरूको स्थानहरू पत्ता लगाउन मद्दत गर्न सक्छ:

तपाईंले चित्रमा देख्न सक्नुहुन्छ, हामीसँग स्थापनाको लागि प्रयोग गरिएको फाइलको नाम मात्र होइन, स्थापित डाटाबेसको नाम पनि छ।

नेटवर्क आन्दोलनको सबैभन्दा विशिष्ट उदाहरणहरू मध्ये एक हेरौं (TA0008) - PsExec, प्रशासनिक शेयरहरू प्रयोग गर्दै (T1077)। PSEXECSVC नामको सेवा (अवश्य पनि, आक्रमणकारीहरूले प्यारामिटर प्रयोग गरेमा अन्य कुनै पनि नाम प्रयोग गर्न सकिन्छ)। -r) लक्षित प्रणालीमा सिर्जना गरिनेछ, त्यसैले यदि हामीले Prefetch फाइलबाट डेटा निकाल्यौं भने, हामी यो सुरु भएको देख्नेछौं:

म सम्भवतः जहाँबाट सुरु गरेको थिएँ त्यहीँबाट अन्त्य गर्नेछु - फाइलहरू मेटाउने (T1107)। मैले पहिले नै उल्लेख गरिसकें, धेरै आक्रमणकारीहरूले आक्रमण जीवन चक्रको विभिन्न चरणहरूमा फाइलहरूलाई स्थायी रूपमा मेटाउन SDelete प्रयोग गर्छन्। यदि हामीले Prefetch फाइलबाट डेटा हेर्छौं भने sdelete.exe फाइल, त्यसपछि हामी हेर्नेछौं कि वास्तवमा के मेटाइएको थियो:

अवश्य पनि, यो प्रिफेच फाइलहरूको विश्लेषणको क्रममा फेला पार्न सकिने प्रविधिहरूको पूर्ण सूची होइन, तर त्यस्ता फाइलहरूले सुरुवातको निशान फेला पार्न मात्र नभई आक्रमणकारीहरूको विशिष्ट रणनीति र प्रविधिहरू पुनर्निर्माण गर्न पनि मद्दत गर्न सक्छन् भन्ने कुरा बुझ्न पर्याप्त हुनुपर्छ।

स्रोत: www.habr.com