Fuatilia faili, au faili za Prefetch, zimekuwapo kwenye Windows tangu XP. Tangu wakati huo, wamesaidia wataalamu wa uchunguzi wa kidijitali na wataalam wa kukabiliana na matukio ya kompyuta kupata athari za programu, ikiwa ni pamoja na programu hasidi. Mtaalamu anayeongoza katika uchunguzi wa kompyuta Kundi-IB Oleg Skulkin inakuambia unachoweza kupata kwa kutumia faili za Prefetch na jinsi ya kuifanya.
Faili za kuleta mapema zimehifadhiwa kwenye saraka %SystemRoot%Prefetch na kutumika kuharakisha mchakato wa kuzindua programu. Ikiwa tutaangalia faili yoyote ya haya, tutaona kwamba jina lake lina sehemu mbili: jina la faili inayoweza kutekelezwa na checksum ya wahusika nane kutoka kwa njia ya kwenda.
Faili za kuleta mapema zina habari nyingi muhimu kutoka kwa mtazamo wa kitaalamu: jina la faili inayoweza kutekelezwa, idadi ya mara ambayo ilitekelezwa, orodha za faili na saraka ambazo faili inayoweza kutekelezwa iliingiliana, na, bila shaka, alama za nyakati. Kwa kawaida, wanasayansi wa kitaalamu hutumia tarehe ya kuundwa kwa faili fulani ya Prefetch ili kubainisha tarehe ambayo programu ilizinduliwa kwa mara ya kwanza. Kwa kuongeza, faili hizi huhifadhi tarehe ya uzinduzi wake wa mwisho, na kuanzia toleo la 26 (Windows 8.1) - alama za nyakati za uendeshaji saba wa hivi karibuni.
Wacha tuchukue faili moja ya Prefetch, tutoe data kutoka kwayo kwa kutumia PECmd ya Eric Zimmerman na tuangalie kila sehemu yake. Ili kuonyesha, nitatoa data kutoka kwa faili CCLEANER64.EXE-DE05DBE1.pf.
Basi hebu tuanze kutoka juu. Bila shaka, tunayo uundaji wa faili, urekebishaji, na muhuri wa nyakati wa kufikia:
Zinafuatwa na jina la faili inayoweza kutekelezwa, cheki cha njia kuelekea kwake, saizi ya faili inayoweza kutekelezwa, na toleo la faili ya Prefetch:
Kwa kuwa tunashughulika na Windows 10, ijayo tutaona idadi ya kuanza, tarehe na wakati wa mwanzo wa mwisho, na mihuri saba zaidi inayoonyesha tarehe za awali za uzinduzi:
Haya yanafuatwa na taarifa kuhusu kiasi, ikijumuisha nambari yake ya ufuataji na tarehe ya kuundwa:
Mwisho kabisa ni orodha ya saraka na faili ambazo zinazoweza kutekelezwa ziliingiliana nazo:
Kwa hivyo, saraka na faili ambazo zinazoweza kutekelezwa ziliingiliana nazo ndizo ninazotaka kuzingatia leo. Data hii ndiyo inayowaruhusu wataalamu wa upelelezi wa kidijitali, majibu ya matukio ya kompyuta, au uwindaji wa vitisho kwa makini ili kubaini sio tu ukweli wa utekelezaji wa faili fulani, lakini pia, katika hali nyingine, kuunda upya mbinu na mbinu mahususi za washambuliaji. Leo, washambuliaji mara nyingi hutumia zana kufuta kabisa data, kwa mfano, SDelete, kwa hivyo uwezo wa kurejesha angalau athari za utumiaji wa mbinu na mbinu fulani ni muhimu kwa mlinzi yeyote wa kisasa - mtaalamu wa uchunguzi wa kompyuta, mtaalamu wa majibu ya tukio, ThreatHunter. mtaalam.
Wacha tuanze na mbinu ya Upataji wa Awali (TA0001) na mbinu maarufu zaidi, Kiambatisho cha Spearphishing (T1193). Baadhi ya vikundi vya wahalifu wa mtandao ni wabunifu katika uchaguzi wao wa uwekezaji. Kwa mfano, kikundi cha Kimya kilitumia faili katika umbizo la CHM (Microsoft Compiled HTML Help) kwa hili. Kwa hivyo, tunayo mbinu nyingine mbele yetu - Faili ya HTML Iliyokusanywa (T1223). Faili kama hizo huzinduliwa kwa kutumia hh.exe, kwa hivyo, ikiwa tutatoa data kutoka kwa faili yake ya Prefetch, tutajua ni faili gani iliyofunguliwa na mwathirika:
Hebu tuendelee kufanya kazi na mifano kutoka kwa kesi halisi na tuendelee kwenye mbinu inayofuata ya Utekelezaji (TA0002) na mbinu ya CSMTP (T1191). Kisakinishi cha Wasifu cha Kidhibiti Muunganisho cha Microsoft (CMSTP.exe) kinaweza kutumiwa na washambuliaji kutekeleza hati hasidi. Mfano mzuri ni kundi la Cobalt. Ikiwa tutatoa data kutoka kwa faili ya Prefetch cmstp.exe, basi tunaweza tena kujua ni nini hasa kilizinduliwa:
Mbinu nyingine maarufu ni Regsvr32 (T1117). Regsvr32.exe pia mara nyingi hutumiwa na washambuliaji kuzindua. Hapa kuna mfano mwingine kutoka kwa kikundi cha Cobalt: ikiwa tutatoa data kutoka kwa faili ya Prefetch regsvr32.exe, basi tena tutaona kilichozinduliwa:
Mbinu zinazofuata ni Kudumu (TA0003) na Kukuza Upendeleo (TA0004), huku Application Shimming (T1138) kama mbinu. Mbinu hii ilitumiwa na Carbanak/FIN7 kutia nanga kwenye mfumo. Kwa kawaida hutumika kufanya kazi na hifadhidata za uoanifu za programu (.sdb) sdbinst.exe. Kwa hivyo, faili ya Prefetch ya hii inayoweza kutekelezwa inaweza kutusaidia kujua majina ya hifadhidata kama hizi na maeneo yao:
Kama unaweza kuona kwenye kielelezo, hatuna tu jina la faili iliyotumiwa kwa usakinishaji, lakini pia jina la hifadhidata iliyosanikishwa.
Hebu tuangalie moja ya mifano ya kawaida ya uenezi wa mtandao (TA0008), PsExec, kwa kutumia hisa za utawala (T1077). Huduma inayoitwa PSEXECSVC (bila shaka, jina lingine lolote linaweza kutumika ikiwa washambuliaji walitumia kigezo -r) itaundwa kwenye mfumo unaolengwa, kwa hivyo, ikiwa tutatoa data kutoka kwa faili ya Prefetch, tutaona kilichozinduliwa:
Labda nitamaliza mahali nilipoanza - kufuta faili (T1107). Kama nilivyoona tayari, washambuliaji wengi hutumia SDelete kufuta kabisa faili katika hatua mbalimbali za maisha ya mashambulizi. Ikiwa tutaangalia data kutoka kwa faili ya Prefetch sdelete.exe, basi tutaona ni nini hasa kilifutwa:
Kwa kweli, hii sio orodha kamili ya mbinu ambazo zinaweza kugunduliwa wakati wa uchanganuzi wa faili za Prefetch, lakini hii inapaswa kutosha kuelewa kuwa faili kama hizo zinaweza kusaidia sio tu kupata athari za uzinduzi, lakini pia kuunda tena mbinu na mbinu maalum za washambuliaji. .
Chanzo: mapenzi.com