Su'e faila, po'o faila Prefetch, sa i totonu o Windows talu mai le XP. Talu mai lena taimi, ua latou fesoasoani i faʻamatalaga faʻatekonolosi faʻapitoa ma faʻalavelave faʻalavelave faʻapitoa e tali atu i komepiuta e suʻe faʻailoga o polokalama, e aofia ai malware. Ta'ita'i fa'apitoa ile komipiuta fa'afoma'i fa'afoma'i Vaega-IB Oleg Skulkin ta'u atu ia te oe mea e mafai ona e mauaina i le faaaogaina o faila Prefetch ma pe faapefea ona fai.
O faila muamua e teu i totonu o le lisi %SystemRoot%Prefetch ma tautua e faatelevaveina le faagasologa o le tatalaina o polokalame. Afai tatou te vaʻavaʻai i soʻo se tasi o nei faila, o le a tatou iloa o lona igoa e aofia ai vaega e lua: o le igoa o le faila faila ma se siaki e valu-tala mai le ala i ai.
Prefetch faila o loʻo i ai le tele o faʻamatalaga aoga mai le suʻesuʻega faʻapitoa: le igoa o le faila faila, numera o taimi na faʻataunuʻuina, lisi o faila ma faʻatonuga na fegalegaleai ai le faila faila, ma, ioe, taimi faʻailoga. E masani lava, e fa'aaoga e saienitisi fa'afoma'i le aso na faia ai se faila fa'apitoa e Prefetch e fa'ailoa ai le aso na fa'alauiloa muamua ai le polokalame. E le gata i lea, o nei faila e teu ai le aso o lona faʻalauiloaina mulimuli, ma amata mai le version 26 (Windows 8.1) - faʻailoga taimi o taʻaloga lata mai e fitu.
Se'i o tatou ave se tasi o faila Prefetch, aveese mai fa'amaumauga e fa'aaoga ai le PECmd a Eric Zimmerman ma va'ai i vaega ta'itasi. Ina ia faʻaalia, o le a ou aumaia faʻamatalaga mai se faila CCLEANER64.EXE-DE05DBE1.pf.
Ia tatou amata mai le pito i luga. Ioe, o lo'o i ai a matou faila faila, suiga, ma fa'ailoga taimi avanoa:
O loʻo mulimuli mai le igoa o le faila faila, le siaki o le ala i ai, le tele o le faila faila, ma le faʻasologa o le faila Prefetch:
Talu ai o loʻo tatou feagai ma Windows 10, o le a sosoo ai o le a tatou vaʻai i le numera o amataga, le aso ma le taimi o le amataga mulimuli, ma isi faʻailoga e fitu e faʻaalia ai aso faʻalauiloa muamua:
O lo'o soso'o ai ma fa'amatalaga e uiga i le voluma, e aofia ai lona numera fa'asologa ma le aso na faia ai:
Mulimuli ae le itiiti o se lisi o lisi ma faila na fegalegaleai ma le faʻatinoina:
O lea la, o faʻatonuga ma faila na fegalegaleai ai le faʻatinoina o mea tonu ia ou te manaʻo e taulaʻi i ai i le asō. O faʻamatalaga nei e mafai ai e tagata tomai faapitoa i suʻesuʻega faʻatekonolosi, faʻalavelave faʻafuaseʻi i komepiuta, poʻo le tulituliloaina faʻamataʻu faʻamataʻu e faʻavae e le gata o le faʻatinoina o se faila patino, ae faʻapea foʻi, i nisi tulaga, e toe faʻaleleia auala faʻapitoa ma metotia a tagata osofaʻi. I aso nei, e masani ona faʻaaogaina e le au osofaʻi meafaigaluega e tape ai faʻamaumauga tumau, mo se faʻataʻitaʻiga, SDelete, o lea o le mafai ona toe faʻafoʻisia faʻailoga o le faʻaogaina o nisi o togafiti ma metotia e manaʻomia mo soʻo se tagata tetee faʻaonaponei - o se tagata poto faapitoa i mea tau komepiuta, o se tagata faʻapitoa tali atu. , o se tagata tomai faapitoa ThreatHunter.
Tatou amata i le Initial Access tactic (TA0001) ma le auala sili ona lauiloa, Spearphishing Attachment (T1193). O nisi vaega solitulafono i luga ole laiga e fai lava si fatufatua'i i la latou filifiliga o tupe teufaafaigaluega. Mo se faʻataʻitaʻiga, o le Silence group na faʻaogaina faila i le CHM (Microsoft Compiled HTML Fesoasoani) mo lenei mea. O le mea lea, o loʻo i ai i o tatou luma se isi metotia - Compiled HTML File (T1223). O ia faila e faʻalauiloaina e faʻaaoga ai hh.exe, o le mea lea, afai matou te aumaia faʻamatalaga mai lana Prefetch faila, matou te iloa po o fea faila na tatalaina e le tagata manua:
Se'i o tatou fa'aauau pea ona galulue fa'atasi ma fa'ata'ita'iga mai mataupu moni ma aga'i atu i le isi fa'atinoga Fa'atino (TA0002) ma le CSMTP technique (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) e mafai ona faʻaogaina e tagata osofaʻi e faʻatautaia ai tusitusiga leaga. O se faʻataʻitaʻiga lelei o le vaega Cobalt. Afai matou te aumaia faʻamatalaga mai le faila Prefetch cmstp.exe, ona mafai lea ona tatou toe suʻeina le mea tonu na faʻalauiloaina:
O le isi auala lauiloa o Regsvr32 (T1117). Regsvr32.exe e masani foi ona faʻaaogaina e tagata osofaʻi e faʻalauiloa. O se isi fa'ata'ita'iga mai le vaega Cobalt: pe a matou si'i mai fa'amaumauga mai se faila Prefetch regsvr32.exe, ona tatou toe vaʻai lea i le mea na faʻalauiloaina:
O isi auala o le Persistence (TA0003) ma le Privilege Escalation (TA0004), ma le Application Shimming (T1138) o se metotia. O lenei metotia na faʻaaogaina e Carbanak / FIN7 e taula ai le faiga. E masani ona fa'aoga e galulue ai ma fa'amaumauga o feso'ota'iga polokalame (.sdb) sdbinst.exe. O le mea lea, o le faila Prefetch o lenei faʻatinoina e mafai ona fesoasoani ia i matou e suʻe igoa o ia faʻamaumauga ma o latou nofoaga:
E pei ona mafai ona e vaʻaia i le faʻataʻitaʻiga, e le gata o le igoa o le faila na faʻaaogaina mo le faʻapipiʻiina, ae faʻapea foi le igoa o le faʻamaumauga faʻapipiʻi.
Sei o tatou tilotilo i se tasi o faʻataʻitaʻiga sili ona taatele o fesoʻotaʻiga faʻasalalau (TA0008), PsExec, faʻaaogaina sea pulega (T1077). Au'aunaga e ta'ua PSEXECSVC (ioe, so'o se isi lava igoa e mafai ona fa'aoga pe a fa'aogaina e le au osofa'i le parakalafa -r) o le a faia i luga o le polokalama faʻatulagaina, o le mea lea, afai tatou te aveese faʻamaumauga mai le faila Prefetch, o le a tatou vaʻai i le mea na faʻalauiloaina:
Atonu o le a ou faaiʻu i le mea na ou amata ai - tape faila (T1107). E pei ona ou matauina, o le tele o tagata osofaʻi e faʻaogaina le SDelete e tape tumau faila i laʻasaga eseese o le osofaʻiga o le olaga. Afai tatou te vaʻai i faʻamatalaga mai le faila Prefetch sdelete.exe, ona tatou vaʻai lea i le mea tonu na tapeina:
O le mea moni, e le o se lisi vaivai o metotia e mafai ona maua i le taimi o le suʻesuʻeina o faila Prefetch, ae e tatau ona lava lea e malamalama ai o ia faila e mafai ona fesoasoani e le gata i le sailia o faʻailoga o le faʻalauiloaina, ae faʻapea foi ona toe faʻaleleia auala ma metotia faʻapitoa. .
puna: www.habr.com