ప్రీఫెచ్ ఫైల్‌లను ఉపయోగించి దాడి చేసే పద్ధతులు మరియు వ్యూహాల కోసం వేట

ట్రేస్ ఫైల్‌లు లేదా ప్రీఫెచ్ ఫైల్‌లు XP నుండి Windowsలో అందుబాటులో ఉన్నాయి. అప్పటి నుండి, వారు డిజిటల్ ఫోరెన్సిక్స్ మరియు కంప్యూటర్ ఇన్సిడెంట్ రెస్పాన్స్ స్పెషలిస్ట్‌లకు మాల్వేర్‌తో సహా సాఫ్ట్‌వేర్ జాడలను కనుగొనడంలో సహాయం చేసారు. కంప్యూటర్ ఫోరెన్సిక్స్ గ్రూప్-IBలో ప్రముఖ నిపుణుడు ఒలేగ్ స్కుల్కిన్ ప్రీఫెచ్ ఫైల్‌లను ఉపయోగించి మీరు ఏమి కనుగొనవచ్చు మరియు దీన్ని ఎలా చేయాలో మీకు తెలియజేస్తుంది.

ప్రీఫెచ్ ఫైల్‌లు డైరెక్టరీలో నిల్వ చేయబడతాయి %SystemRoot%Prefetch మరియు ప్రోగ్రామ్‌లను ప్రారంభించే ప్రక్రియను వేగవంతం చేయడానికి ఉపయోగపడుతుంది. మేము ఈ ఫైల్‌లలో దేనినైనా చూస్తే, దాని పేరు రెండు భాగాలను కలిగి ఉన్నట్లు చూస్తాము: ఎక్జిక్యూటబుల్ ఫైల్ పేరు మరియు దానికి మార్గం నుండి ఎనిమిది అక్షరాల చెక్‌సమ్.

ప్రీఫెచ్ ఫైల్‌లు ఫోరెన్సిక్ దృక్కోణం నుండి చాలా ఉపయోగకరమైన సమాచారాన్ని కలిగి ఉంటాయి: ఎక్జిక్యూటబుల్ ఫైల్ పేరు, అది ఎన్నిసార్లు అమలు చేయబడింది, ఎక్జిక్యూటబుల్ ఫైల్ ఇంటరాక్ట్ అయిన ఫైల్‌లు మరియు డైరెక్టరీల జాబితాలు మరియు సమయముద్రలు. సాధారణంగా, ఫోరెన్సిక్ శాస్త్రవేత్తలు ప్రోగ్రామ్ మొదట ప్రారంభించబడిన తేదీని నిర్ణయించడానికి నిర్దిష్ట ప్రీఫెచ్ ఫైల్ యొక్క సృష్టి తేదీని ఉపయోగిస్తారు. అదనంగా, ఈ ఫైల్‌లు దాని చివరి ప్రయోగ తేదీని నిల్వ చేస్తాయి మరియు వెర్షన్ 26 (Windows 8.1) నుండి ప్రారంభమవుతాయి - ఏడు అత్యంత ఇటీవలి పరుగుల టైమ్‌స్టాంప్‌లు.

Prefetch ఫైల్‌లలో ఒకదానిని తీసుకుందాం, ఎరిక్ జిమ్మెర్‌మాన్ యొక్క PECmdని ఉపయోగించి దాని నుండి డేటాను సంగ్రహించండి మరియు దానిలోని ప్రతి భాగాన్ని చూద్దాం. ప్రదర్శించడానికి, నేను ఫైల్ నుండి డేటాను సంగ్రహిస్తాను CCLEANER64.EXE-DE05DBE1.pf.

కాబట్టి ఎగువ నుండి ప్రారంభిద్దాం. వాస్తవానికి, మాకు ఫైల్ సృష్టి, సవరణ మరియు యాక్సెస్ టైమ్‌స్టాంప్‌లు ఉన్నాయి:

అవి ఎక్జిక్యూటబుల్ ఫైల్ పేరు, దానికి వెళ్లే మార్గం యొక్క చెక్‌సమ్, ఎక్జిక్యూటబుల్ ఫైల్ పరిమాణం మరియు ప్రీఫెచ్ ఫైల్ వెర్షన్‌తో అనుసరించబడతాయి:

మేము Windows 10తో వ్యవహరిస్తున్నందున, తదుపరి ప్రారంభాల సంఖ్య, చివరి ప్రారంభ తేదీ మరియు సమయం మరియు మునుపటి ప్రారంభ తేదీలను సూచించే మరో ఏడు టైమ్‌స్టాంప్‌లను చూస్తాము:

వీటి తర్వాత వాల్యూమ్ గురించిన సమాచారం, దాని క్రమ సంఖ్య మరియు సృష్టి తేదీతో సహా:

ఎక్జిక్యూటబుల్ ఇంటరాక్ట్ చేసిన డైరెక్టరీలు మరియు ఫైల్‌ల జాబితా చివరిది కానీ కాదు:

కాబట్టి, ఎక్జిక్యూటబుల్ ఇంటరాక్ట్ చేసిన డైరెక్టరీలు మరియు ఫైల్‌లు ఈ రోజు నేను దృష్టి పెట్టాలనుకుంటున్నాను. డిజిటల్ ఫోరెన్సిక్స్, కంప్యూటర్ ఇన్సిడెంట్ రెస్పాన్స్ లేదా ప్రోయాక్టివ్ థ్రెట్ హంటింగ్‌లో నిపుణులను నిర్దిష్ట ఫైల్ అమలు చేయడం గురించి మాత్రమే కాకుండా, కొన్ని సందర్భాల్లో, నిర్దిష్ట వ్యూహాలు మరియు దాడి చేసేవారి సాంకేతికతలను పునర్నిర్మించడానికి కూడా ఈ డేటా అనుమతిస్తుంది. నేడు, దాడి చేసేవారు డేటాను శాశ్వతంగా తొలగించడానికి చాలా తరచుగా సాధనాలను ఉపయోగిస్తారు, ఉదాహరణకు, SDelete, కాబట్టి నిర్దిష్ట వ్యూహాలు మరియు సాంకేతికతలను ఉపయోగించడం యొక్క కనీసం జాడలను పునరుద్ధరించగల సామర్థ్యం ఏదైనా ఆధునిక డిఫెండర్‌కు అవసరం - కంప్యూటర్ ఫోరెన్సిక్స్ స్పెషలిస్ట్, ఇన్సిడెంట్ రెస్పాన్స్ స్పెషలిస్ట్, ThreatHunter నిపుణుడు.

ప్రారంభ యాక్సెస్ వ్యూహం (TA0001) మరియు అత్యంత ప్రజాదరణ పొందిన టెక్నిక్, స్పియర్‌ఫిషింగ్ అటాచ్‌మెంట్ (T1193)తో ప్రారంభిద్దాం. కొన్ని సైబర్‌క్రిమినల్ గ్రూపులు తమ పెట్టుబడుల ఎంపికలో చాలా సృజనాత్మకంగా ఉంటాయి. ఉదాహరణకు, సైలెన్స్ సమూహం దీని కోసం CHM (మైక్రోసాఫ్ట్ కంపైల్డ్ HTML సహాయం) ఫార్మాట్‌లోని ఫైల్‌లను ఉపయోగించింది. ఈ విధంగా, మనకు మరొక సాంకేతికత ఉంది - కంపైల్డ్ HTML ఫైల్ (T1223). ఇటువంటి ఫైల్‌లు ఉపయోగించి ప్రారంభించబడతాయి hh.exe, కాబట్టి, మేము దాని ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే, బాధితుడు ఏ ఫైల్‌ని తెరిచాడో మేము కనుగొంటాము:

వాస్తవ కేసుల నుండి ఉదాహరణలతో పనిని కొనసాగిద్దాం మరియు తదుపరి అమలు వ్యూహం (TA0002) మరియు CSMTP టెక్నిక్ (T1191)కి వెళ్దాం. హానికరమైన స్క్రిప్ట్‌లను అమలు చేయడానికి దాడి చేసేవారు Microsoft కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్‌స్టాలర్ (CMSTP.exe)ని ఉపయోగించవచ్చు. ఒక మంచి ఉదాహరణ కోబాల్ట్ సమూహం. మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే cmstp.exe, సరిగ్గా ఏమి ప్రారంభించబడిందో మనం మళ్లీ తెలుసుకోవచ్చు:

మరొక ప్రసిద్ధ సాంకేతికత Regsvr32 (T1117). Regsvr32.exe దీనిని తరచుగా దాడి చేసేవారు ప్రయోగించడానికి ఉపయోగిస్తారు. కోబాల్ట్ సమూహం నుండి మరొక ఉదాహరణ ఇక్కడ ఉంది: మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే regsvr32.exe, మళ్ళీ మనం ఏమి ప్రారంభించబడిందో చూద్దాం:

తదుపరి వ్యూహాలు పెర్సిస్టెన్స్ (TA0003) మరియు ప్రివిలేజ్ ఎస్కలేషన్ (TA0004), అప్లికేషన్ షిమ్మింగ్ (T1138) ఒక సాంకేతికత. సిస్టమ్‌ను యాంకర్ చేయడానికి ఈ సాంకేతికతను Carbanak/FIN7 ఉపయోగించింది. ప్రోగ్రామ్ అనుకూలత డేటాబేస్‌లతో పని చేయడానికి సాధారణంగా ఉపయోగించబడుతుంది (.sdb) sdbinst.exe. కాబట్టి, ఈ ఎక్జిక్యూటబుల్ యొక్క ప్రీఫెచ్ ఫైల్ అటువంటి డేటాబేస్‌ల పేర్లు మరియు వాటి స్థానాలను కనుగొనడంలో మాకు సహాయపడుతుంది:

మీరు దృష్టాంతంలో చూడగలిగినట్లుగా, మేము ఇన్‌స్టాలేషన్ కోసం ఉపయోగించిన ఫైల్ పేరు మాత్రమే కాకుండా, ఇన్‌స్టాల్ చేసిన డేటాబేస్ పేరు కూడా కలిగి ఉన్నాము.

అడ్మినిస్ట్రేటివ్ షేర్‌లను (T0008) ఉపయోగించి నెట్‌వర్క్ ప్రచారం (TA1077), PsExec యొక్క అత్యంత సాధారణ ఉదాహరణలలో ఒకదానిని పరిశీలిద్దాం. PSEXECSVC పేరుతో సేవ (వాస్తవానికి, దాడి చేసేవారు పారామీటర్‌ని ఉపయోగిస్తే ఏదైనా ఇతర పేరు ఉపయోగించవచ్చు -r) టార్గెట్ సిస్టమ్‌లో సృష్టించబడుతుంది, కాబట్టి, మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే, ఏమి ప్రారంభించబడిందో మనం చూస్తాము:

నేను ప్రారంభించిన చోటనే ముగించవచ్చు - ఫైల్‌లను తొలగించడం (T1107). నేను ఇప్పటికే గుర్తించినట్లుగా, దాడి జీవితచక్రంలోని వివిధ దశల్లో ఫైల్‌లను శాశ్వతంగా తొలగించడానికి చాలా మంది దాడి చేసేవారు SDeleteని ఉపయోగిస్తారు. మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను పరిశీలిస్తే sdelete.exe, అప్పుడు మనం సరిగ్గా ఏమి తొలగించబడిందో చూద్దాం:

వాస్తవానికి, ఇది ప్రీఫెచ్ ఫైల్‌ల విశ్లేషణ సమయంలో కనుగొనబడే సాంకేతికతల యొక్క సమగ్ర జాబితా కాదు, కానీ అటువంటి ఫైల్‌లు లాంచ్ యొక్క జాడలను కనుగొనడంలో మాత్రమే కాకుండా, నిర్దిష్ట దాడి చేసే వ్యూహాలు మరియు సాంకేతికతలను పునర్నిర్మించడంలో కూడా సహాయపడతాయని అర్థం చేసుకోవడానికి ఇది సరిపోతుంది. .

మూలం: www.habr.com