ட்ரேஸ் கோப்புகள் அல்லது ப்ரீஃபெட்ச் கோப்புகள் XP இல் இருந்து Windows இல் உள்ளன. அப்போதிருந்து, அவர்கள் டிஜிட்டல் தடயவியல் மற்றும் கணினி சம்பவ மறுமொழி நிபுணர்களுக்கு தீம்பொருள் உட்பட மென்பொருளின் தடயங்களைக் கண்டறிய உதவியுள்ளனர். கணினி தடயவியல் குழு-IB இல் முன்னணி நிபுணர் ஓலெக் ஸ்கல்கின் ப்ரீஃபெட்ச் கோப்புகளைப் பயன்படுத்தி நீங்கள் எதைக் காணலாம் மற்றும் அதை எப்படி செய்வது என்று உங்களுக்குச் சொல்கிறது.
முன்கூட்டியே கோப்புகள் கோப்பகத்தில் சேமிக்கப்படும் %SystemRoot%Prefetch மற்றும் நிரல்களைத் தொடங்குவதற்கான செயல்முறையை விரைவுபடுத்த உதவுகிறது. இந்த கோப்புகளில் ஏதேனும் ஒன்றை நாம் பார்த்தால், அதன் பெயர் இரண்டு பகுதிகளைக் கொண்டிருப்பதைக் காண்போம்: இயங்கக்கூடிய கோப்பின் பெயர் மற்றும் அதற்கு செல்லும் பாதையில் இருந்து எட்டு எழுத்துகள் கொண்ட செக்சம்.
ப்ரீஃபெட்ச் கோப்புகளில் தடயவியல் பார்வையில் பயனுள்ள பல தகவல்கள் உள்ளன: இயங்கக்கூடிய கோப்பின் பெயர், அது எத்தனை முறை செயல்படுத்தப்பட்டது, இயங்கக்கூடிய கோப்பு தொடர்பு கொண்ட கோப்புகள் மற்றும் கோப்பகங்களின் பட்டியல்கள் மற்றும் நேரமுத்திரைகள். பொதுவாக, தடயவியல் விஞ்ஞானிகள் நிரல் முதலில் தொடங்கப்பட்ட தேதியைத் தீர்மானிக்க ஒரு குறிப்பிட்ட Prefetch கோப்பை உருவாக்கிய தேதியைப் பயன்படுத்துகின்றனர். கூடுதலாக, இந்த கோப்புகள் அதன் கடைசி வெளியீட்டின் தேதியை சேமிக்கின்றன, மேலும் பதிப்பு 26 (விண்டோஸ் 8.1) இலிருந்து தொடங்கி - ஏழு மிக சமீபத்திய ரன்களின் நேர முத்திரைகள்.
Prefetch கோப்புகளில் ஒன்றை எடுத்து, எரிக் சிம்மர்மேனின் PECmd ஐப் பயன்படுத்தி அதிலிருந்து தரவைப் பிரித்தெடுத்து அதன் ஒவ்வொரு பகுதியையும் பார்க்கலாம். நிரூபிக்க, ஒரு கோப்பிலிருந்து தரவைப் பிரித்தெடுப்பேன் CCLEANER64.EXE-DE05DBE1.pf.
எனவே மேலே இருந்து ஆரம்பிக்கலாம். நிச்சயமாக, எங்களிடம் கோப்பு உருவாக்கம், மாற்றம் மற்றும் அணுகல் நேர முத்திரைகள் உள்ளன:
அவற்றைத் தொடர்ந்து இயங்கக்கூடிய கோப்பின் பெயர், அதற்கான பாதையின் செக்சம், இயங்கக்கூடிய கோப்பின் அளவு மற்றும் ப்ரீஃபெட்ச் கோப்பின் பதிப்பு:
நாம் Windows 10ஐக் கையாள்வதால், தொடக்கங்களின் எண்ணிக்கை, கடைசி தொடக்கத்தின் தேதி மற்றும் நேரம் மற்றும் முந்தைய வெளியீட்டுத் தேதிகளைக் குறிக்கும் மேலும் ஏழு நேர முத்திரைகளைக் காண்போம்:
இதன் வரிசை எண் மற்றும் உருவாக்கப்பட்ட தேதி உட்பட, ஒலியளவைப் பற்றிய தகவல்கள் பின்தொடர்கின்றன:
கடைசியாக ஆனால் குறைந்தது அல்ல, இயங்கக்கூடியது தொடர்பு கொண்ட கோப்பகங்கள் மற்றும் கோப்புகளின் பட்டியல்:
எனவே, இயங்கக்கூடியது தொடர்பு கொண்ட கோப்பகங்கள் மற்றும் கோப்புகள் தான் இன்று நான் கவனம் செலுத்த விரும்புகிறேன். இந்த தரவுதான் டிஜிட்டல் தடயவியல், கணினி நிகழ்வு பதில் அல்லது செயலில் உள்ள அச்சுறுத்தல் வேட்டை ஆகியவற்றில் நிபுணர்களை ஒரு குறிப்பிட்ட கோப்பை செயல்படுத்தும் உண்மையை மட்டும் நிறுவ அனுமதிக்கிறது, ஆனால் சில சந்தர்ப்பங்களில், குறிப்பிட்ட தந்திரோபாயங்கள் மற்றும் தாக்குபவர்களின் நுட்பங்களை மறுகட்டமைக்கவும். இன்று, தாக்குபவர்கள் தரவை நிரந்தரமாக நீக்குவதற்கான கருவிகளைப் பயன்படுத்துகின்றனர், எடுத்துக்காட்டாக, SDelete, எனவே சில தந்திரோபாயங்கள் மற்றும் நுட்பங்களைப் பயன்படுத்துவதற்கான குறைந்தபட்ச தடயங்களை மீட்டெடுக்கும் திறன் எந்தவொரு நவீன பாதுகாப்பாளருக்கும் அவசியம் - கணினி தடயவியல் நிபுணர், சம்பவ மறுமொழி நிபுணர், ThreatHunter நிபுணர்.
ஆரம்ப அணுகல் தந்திரம் (TA0001) மற்றும் மிகவும் பிரபலமான நுட்பமான Spearphishing Attachment (T1193) உடன் தொடங்குவோம். சில சைபர் கிரைமினல் குழுக்கள் முதலீடுகளைத் தேர்ந்தெடுப்பதில் மிகவும் ஆக்கப்பூர்வமானவை. எடுத்துக்காட்டாக, சைலன்ஸ் குழு CHM (மைக்ரோசாப்ட் தொகுக்கப்பட்ட HTML உதவி) வடிவத்தில் கோப்புகளைப் பயன்படுத்தியது. எனவே, நமக்கு முன் மற்றொரு நுட்பம் உள்ளது - தொகுக்கப்பட்ட HTML கோப்பு (T1223). அத்தகைய கோப்புகள் பயன்படுத்தி தொடங்கப்படுகின்றன hh.exe, எனவே, அதன் Prefetch கோப்பிலிருந்து தரவைப் பிரித்தெடுத்தால், பாதிக்கப்பட்டவர் எந்தக் கோப்பைத் திறந்தார் என்பதைக் கண்டுபிடிப்போம்:
உண்மையான நிகழ்வுகளிலிருந்து எடுத்துக்காட்டுகளுடன் தொடர்ந்து பணியாற்றுவோம் மற்றும் அடுத்த செயல்படுத்தல் தந்திரம் (TA0002) மற்றும் CSMTP நுட்பத்திற்கு (T1191) செல்லலாம். Microsoft Connection Manager Profile Installer (CMSTP.exe) தீங்கிழைக்கும் ஸ்கிரிப்ட்களை இயக்க தாக்குபவர்களால் பயன்படுத்தப்படலாம். ஒரு நல்ல உதாரணம் கோபால்ட் குழு. Prefetch கோப்பிலிருந்து தரவைப் பிரித்தெடுத்தால் cmstp.exe, சரியாக என்ன தொடங்கப்பட்டது என்பதை நாம் மீண்டும் கண்டுபிடிக்கலாம்:
மற்றொரு பிரபலமான நுட்பம் Regsvr32 (T1117). Regsvr32.exe தாக்குபவர்களால் ஏவுவதற்கும் அடிக்கடி பயன்படுத்தப்படுகிறது. கோபால்ட் குழுவிலிருந்து மற்றொரு உதாரணம் இங்கே: நாம் ஒரு Prefetch கோப்பிலிருந்து தரவைப் பிரித்தெடுத்தால் regsvr32.exe, பின்னர் மீண்டும் என்ன தொடங்கப்பட்டது என்று பார்ப்போம்:
அடுத்த தந்திரோபாயங்கள் பெர்சிஸ்டன்ஸ் (TA0003) மற்றும் பிரிவிலேஜ் எஸ்கலேஷன் (TA0004), அப்ளிகேஷன் ஷிம்மிங் (T1138) ஒரு நுட்பமாகும். இந்த நுட்பத்தை கார்பனாக்/எஃப்ஐஎன்7 சிஸ்டத்தை ஆங்கர் செய்ய பயன்படுத்தியது. நிரல் இணக்கத்தன்மை தரவுத்தளங்களுடன் (.sdb) வேலை செய்ய பொதுவாகப் பயன்படுத்தப்படுகிறது sdbinst.exe. எனவே, இந்த இயங்குதளத்தின் Prefetch கோப்பு, அத்தகைய தரவுத்தளங்களின் பெயர்கள் மற்றும் அவற்றின் இருப்பிடங்களைக் கண்டறிய உதவும்:
விளக்கப்படத்தில் நீங்கள் காணக்கூடியது போல, நிறுவலுக்குப் பயன்படுத்தப்படும் கோப்பின் பெயர் மட்டுமல்ல, நிறுவப்பட்ட தரவுத்தளத்தின் பெயரும் எங்களிடம் உள்ளது.
நிர்வாகப் பங்குகளைப் (T0008) பயன்படுத்தி நெட்வொர்க் பரவல் (TA1077), PsExec ஆகியவற்றின் பொதுவான எடுத்துக்காட்டுகளில் ஒன்றைப் பார்ப்போம். PSEXECSVC என பெயரிடப்பட்ட சேவை (நிச்சயமாக, தாக்குபவர்கள் அளவுருவைப் பயன்படுத்தினால் வேறு எந்தப் பெயரையும் பயன்படுத்தலாம் -r) இலக்கு அமைப்பில் உருவாக்கப்படும், எனவே, ப்ரீஃபெட்ச் கோப்பிலிருந்து தரவைப் பிரித்தெடுத்தால், என்ன தொடங்கப்பட்டது என்பதைப் பார்ப்போம்:
நான் தொடங்கிய இடத்திலேயே முடிப்பேன் - கோப்புகளை நீக்குதல் (T1107). நான் ஏற்கனவே குறிப்பிட்டுள்ளபடி, பல தாக்குபவர்கள் SDelete ஐப் பயன்படுத்தி, தாக்குதல் வாழ்க்கைச் சுழற்சியின் பல்வேறு நிலைகளில் கோப்புகளை நிரந்தரமாக நீக்குகின்றனர். Prefetch கோப்பிலிருந்து தரவைப் பார்த்தால் sdelete.exe, சரியாக என்ன நீக்கப்பட்டது என்று பார்ப்போம்:
நிச்சயமாக, இது ப்ரீஃபெட்ச் கோப்புகளின் பகுப்பாய்வின் போது கண்டறியக்கூடிய நுட்பங்களின் முழுமையான பட்டியல் அல்ல, ஆனால் இதுபோன்ற கோப்புகள் வெளியீட்டின் தடயங்களைக் கண்டறிய உதவுவது மட்டுமல்லாமல், குறிப்பிட்ட தாக்குபவர் தந்திரோபாயங்கள் மற்றும் நுட்பங்களை மறுகட்டமைக்கவும் உதவும் என்பதை புரிந்து கொள்ள இது போதுமானதாக இருக்க வேண்டும். .
ஆதாரம்: www.habr.com