ලුහුබැඳීම් ගොනු, හෝ Prefetch ගොනු, XP සිට Windows තුළ පවතී. එතැන් සිට, ඔවුන් ඩිජිටල් අධිකරණ වෛද්ය විද්යාවට සහ පරිගණක සිද්ධි ප්රතිචාර විශේෂඥයින්ට අනිෂ්ට මෘදුකාංග ඇතුළු මෘදුකාංගවල හෝඩුවාවන් සොයා ගැනීමට උදව් කර ඇත. පරිගණක අධිකරණ වෛද්ය කණ්ඩායම්-IB හි ප්රමුඛ විශේෂඥයා ඔලෙග් ස්කල්කින් Prefetch ගොනු භාවිතයෙන් ඔබට සොයා ගත හැකි දේ සහ එය කරන්නේ කෙසේද යන්න ඔබට කියයි.
Prefetch ගොනු නාමාවලියෙහි ගබඩා කර ඇත %SystemRoot%Prefetch සහ වැඩසටහන් දියත් කිරීමේ ක්රියාවලිය වේගවත් කිරීමට සේවය කරයි. අපි මෙම ඕනෑම ගොනුවක් දෙස බැලුවහොත්, එහි නම කොටස් දෙකකින් සමන්විත වන බව අපට පෙනෙනු ඇත: ක්රියාත්මක කළ හැකි ගොනුවේ නම සහ එයට යන මාර්ගයෙන් අක්ෂර අටකින් යුත් චෙක්සම් එකක්.
Prefetch ගොනුවල අධිකරණ වෛද්ය දෘෂ්ටි කෝණයකින් ප්රයෝජනවත් තොරතුරු රාශියක් අඩංගු වේ: ක්රියාත්මක කළ හැකි ගොනුවේ නම, එය ක්රියාත්මක කළ වාර ගණන, ක්රියාත්මක කළ හැකි ගොනුව අන්තර්ක්රියා කළ ගොනු සහ නාමාවලි ලැයිස්තුව සහ, ඇත්ත වශයෙන්ම, වේලා මුද්රා. සාමාන්යයෙන්, අධිකරණ වෛද්ය විද්යාඥයින් වැඩසටහන ප්රථමයෙන් දියත් කළ දිනය තීරණය කිරීම සඳහා විශේෂිත Prefetch ගොනුවක් නිර්මාණය කරන දිනය භාවිතා කරයි. මීට අමතරව, මෙම ගොනු එහි අවසන් දියත් කිරීමේ දිනය ගබඩා කරයි, සහ 26 (Windows 8.1) අනුවාදයෙන් ආරම්භ වේ - වඩාත්ම මෑත ධාවන හතේ වේලා මුද්රා.
අපි Prefetch ගොනු වලින් එකක් ගෙන, Eric Zimmerman ගේ PECmd භාවිතයෙන් දත්ත උපුටා ගෙන එහි එක් එක් කොටස් බලමු. නිරූපණය කිරීමට, මම ගොනුවකින් දත්ත උපුටා ගන්නෙමි CCLEANER64.EXE-DE05DBE1.pf.
ඉතින් අපි ඉහළ සිට ආරම්භ කරමු. ඇත්ත වශයෙන්ම, අපට ගොනු සෑදීම, වෙනස් කිරීම සහ ප්රවේශ වේලා මුද්රා ඇත:
ඒවා ක්රියාත්මක කළ හැකි ගොනුවේ නම, එයට යන මාර්ගයේ චෙක්සම්, ක්රියාත්මක කළ හැකි ගොනුවේ ප්රමාණය සහ Prefetch ගොනුවේ අනුවාදය අනුගමනය කරයි:
අපි Windows 10 සමඟ කටයුතු කරන බැවින්, ඊළඟට අපි ආරම්භ කිරීම් ගණන, අවසාන ආරම්භයේ දිනය සහ වේලාව සහ පෙර දියත් කිරීමේ දිනයන් දැක්වෙන තවත් වේලා මුද්රා හතක් දකිමු:
මේවායින් පසුව එහි අනුක්රමික අංකය සහ නිර්මාණය කළ දිනය ඇතුළුව පරිමාව පිළිබඳ තොරතුරු:
අවසාන වශයෙන් නොව අවම වශයෙන් ක්රියාත්මක කළ හැකි ඒවා සමඟ අන්තර්ක්රියා කළ නාමාවලි සහ ගොනු ලැයිස්තුවකි:
එබැවින්, ක්රියාත්මක කළ හැකි අන්තර්ක්රියා කළ නාමාවලි සහ ගොනු හරියටම අද මට අවධානය යොමු කිරීමට අවශ්ය වේ. ඩිජිටල් අධිකරණ වෛද්ය විද්යාව, පරිගණක සිදුවීම් ප්රතිචාරය හෝ ක්රියාකාරී තර්ජන දඩයම් කිරීම පිළිබඳ විශේෂඥයින්ට කිසියම් ගොනුවක් ක්රියාත්මක කිරීමේ කාරණය පමණක් නොව, සමහර අවස්ථාවල දී ප්රහාරකයන්ගේ නිශ්චිත උපක්රම සහ ශිල්පීය ක්රම ප්රතිනිර්මාණය කිරීමට ද ඉඩ ලබා දෙන්නේ මෙම දත්ත ය. අද, ප්රහාරකයන් බොහෝ විට දත්ත ස්ථිරවම මකා දැමීමට මෙවලම් භාවිතා කරයි, උදාහරණයක් ලෙස, SDelete, එබැවින් ඕනෑම නවීන ආරක්ෂකයෙකුට අවම වශයෙන් ඇතැම් උපක්රම සහ ශිල්පීය ක්රම භාවිතා කිරීමේ අංශු මාත්රයක්වත් ප්රතිස්ථාපනය කිරීමේ හැකියාව අවශ්ය වේ - පරිගණක අධිකරණ වෛද්ය විශේෂඥ, සිද්ධි ප්රතිචාර විශේෂඥ, ThreatHunter. විශේෂඥ.
මූලික ප්රවේශ උපක්රමය (TA0001) සහ වඩාත් ජනප්රිය තාක්ෂණය වන Spearphishing Attachment (T1193) සමඟ ආරම්භ කරමු. සමහර සයිබර් අපරාධ කණ්ඩායම් ඔවුන්ගේ ආයෝජන තෝරාගැනීමේදී තරමක් නිර්මාණශීලී වේ. උදාහරණයක් ලෙස, Silence කණ්ඩායම මේ සඳහා CHM (Microsoft Compiled HTML Help) ආකෘතියේ ගොනු භාවිතා කළේය. මේ අනුව, අපට තවත් තාක්ෂණයක් තිබේ - සම්පාදනය කරන ලද HTML ගොනුව (T1223). භාවිතා කරමින් එවැනි ගොනු දියත් කරනු ලැබේ hh.exe, එබැවින්, අපි එහි Prefetch ගොනුවෙන් දත්ත උපුටා ගන්නේ නම්, වින්දිතයා විසින් විවෘත කරන ලද ගොනුව කුමක්දැයි අපි සොයා ගනිමු:
සත්ය සිද්ධිවලින් උදාහරණ සමඟින් අපි දිගටම වැඩ කර ඊළඟ ක්රියාත්මක කිරීමේ උපක්රමය (TA0002) සහ CSMTP තාක්ෂණය (T1191) වෙත යමු. Microsoft Connection Manager Profile Installer (CMSTP.exe) ප්රහාරකයන්ට අනිෂ්ට ස්ක්රිප්ට් ධාවනය කිරීමට භාවිතා කළ හැක. හොඳ උදාහරණයක් වන්නේ කොබෝල්ට් කණ්ඩායමයි. අපි Prefetch ගොනුවෙන් දත්ත උපුටා ගත්තොත් cmstp.exe, එවිට අපට නැවත හරියටම දියත් කළ දේ සොයාගත හැකිය:
තවත් ජනප්රිය තාක්ෂණයක් වන්නේ Regsvr32 (T1117) ය. Regsvr32.exe ප්රහාරකයන් විසින් දියත් කිරීමට ද බොහෝ විට භාවිතා කරයි. මෙන්න තවත් උදාහරණයක් Cobalt කණ්ඩායමෙන්: අපි Prefetch ගොනුවකින් දත්ත උපුටා ගත්තොත් regsvr32.exe, පසුව නැවතත් අපි දියත් කළ දේ බලමු:
ඊළඟ උපක්රම වන්නේ තාක්ෂණයක් ලෙස යෙදුම් ෂිමිං (T0003) සමඟින් Persistence (TA0004) සහ Privilege Escalation (TA1138) වේ. මෙම තාක්ෂණය Carbanak/FIN7 විසින් පද්ධතිය නැංගුරම් ලෑමට භාවිතා කරන ලදී. වැඩසටහන් අනුකූලතා දත්ත සමුදායන් (.sdb) සමඟ වැඩ කිරීමට සාමාන්යයෙන් භාවිතා වේ sdbinst.exe. එමනිසා, මෙම ක්රියාත්මක කළ හැකි Prefetch ගොනුව එවැනි දත්ත සමුදායන් සහ ඒවායේ ස්ථාන වල නම් සොයා ගැනීමට අපට උපකාර කළ හැක:
ඔබට නිදර්ශනයේ දැකිය හැකි පරිදි, අපි ස්ථාපනය සඳහා භාවිතා කරන ගොනුවේ නම පමණක් නොව, ස්ථාපිත දත්ත ගබඩාවේ නම ද ඇත.
ජාල ප්රචාරණය (TA0008), PsExec, පරිපාලන කොටස් (T1077) භාවිතා කිරීමේ වඩාත් පොදු උදාහරණ වලින් එකක් දෙස බලමු. PSEXECSVC නම් සේවාව (ඇත්ත වශයෙන්ම, පහර දෙන්නන් පරාමිතිය භාවිතා කළේ නම් වෙනත් ඕනෑම නමක් භාවිතා කළ හැක -r) ඉලක්ක පද්ධතිය මත නිර්මාණය වනු ඇත, එබැවින්, අපි Prefetch ගොනුවෙන් දත්ත උපුටා ගන්නේ නම්, දියත් කළ දේ අපි දකිමු:
මම බොහෝ විට ආරම්භ කළ තැනින් අවසන් කරන්නම් - ගොනු මකා දැමීම (T1107). මා දැනටමත් සටහන් කර ඇති පරිදි, බොහෝ ප්රහාරකයින් ප්රහාරක ජීවන චක්රයේ විවිධ අවස්ථා වලදී ගොනු ස්ථිරවම මකා දැමීමට SDelete භාවිතා කරයි. අපි Prefetch ගොනුවෙන් දත්ත දෙස බැලුවහොත් sdelete.exe, එවිට අපි හරියටම මකා දැමූ දේ බලමු:
ඇත්ත වශයෙන්ම, මෙය Prefetch ගොනු විශ්ලේෂණය කිරීමේදී සොයාගත හැකි තාක්ෂණික ක්රම පිළිබඳ සම්පූර්ණ ලැයිස්තුවක් නොවේ, නමුත් එවැනි ලිපිගොනු දියත් කිරීමේ හෝඩුවාවන් සොයා ගැනීමට පමණක් නොව, විශේෂිත ප්රහාරක උපක්රම සහ ශිල්පීය ක්රම ප්රතිනිර්මාණය කිරීමටද උපකාරී වන බව තේරුම් ගැනීමට මෙය ප්රමාණවත් විය යුතුය. .
මූලාශ්රය: www.habr.com