ట్రేస్ ఫైల్లు లేదా ప్రీఫెచ్ ఫైల్లు XP నుండి Windowsలో అందుబాటులో ఉన్నాయి. అప్పటి నుండి, వారు డిజిటల్ ఫోరెన్సిక్స్ మరియు కంప్యూటర్ ఇన్సిడెంట్ రెస్పాన్స్ స్పెషలిస్ట్లకు మాల్వేర్తో సహా సాఫ్ట్వేర్ జాడలను కనుగొనడంలో సహాయం చేసారు. కంప్యూటర్ ఫోరెన్సిక్స్ గ్రూప్-IBలో ప్రముఖ నిపుణుడు ఒలేగ్ స్కుల్కిన్ ప్రీఫెచ్ ఫైల్లను ఉపయోగించి మీరు ఏమి కనుగొనవచ్చు మరియు దీన్ని ఎలా చేయాలో మీకు తెలియజేస్తుంది.
ప్రీఫెచ్ ఫైల్లు డైరెక్టరీలో నిల్వ చేయబడతాయి %SystemRoot%Prefetch మరియు ప్రోగ్రామ్లను ప్రారంభించే ప్రక్రియను వేగవంతం చేయడానికి ఉపయోగపడుతుంది. మేము ఈ ఫైల్లలో దేనినైనా చూస్తే, దాని పేరు రెండు భాగాలను కలిగి ఉన్నట్లు చూస్తాము: ఎక్జిక్యూటబుల్ ఫైల్ పేరు మరియు దానికి మార్గం నుండి ఎనిమిది అక్షరాల చెక్సమ్.
ప్రీఫెచ్ ఫైల్లు ఫోరెన్సిక్ దృక్కోణం నుండి చాలా ఉపయోగకరమైన సమాచారాన్ని కలిగి ఉంటాయి: ఎక్జిక్యూటబుల్ ఫైల్ పేరు, అది ఎన్నిసార్లు అమలు చేయబడింది, ఎక్జిక్యూటబుల్ ఫైల్ ఇంటరాక్ట్ అయిన ఫైల్లు మరియు డైరెక్టరీల జాబితాలు మరియు సమయముద్రలు. సాధారణంగా, ఫోరెన్సిక్ శాస్త్రవేత్తలు ప్రోగ్రామ్ మొదట ప్రారంభించబడిన తేదీని నిర్ణయించడానికి నిర్దిష్ట ప్రీఫెచ్ ఫైల్ యొక్క సృష్టి తేదీని ఉపయోగిస్తారు. అదనంగా, ఈ ఫైల్లు దాని చివరి ప్రయోగ తేదీని నిల్వ చేస్తాయి మరియు వెర్షన్ 26 (Windows 8.1) నుండి ప్రారంభమవుతాయి - ఏడు అత్యంత ఇటీవలి పరుగుల టైమ్స్టాంప్లు.
Prefetch ఫైల్లలో ఒకదానిని తీసుకుందాం, ఎరిక్ జిమ్మెర్మాన్ యొక్క PECmdని ఉపయోగించి దాని నుండి డేటాను సంగ్రహించండి మరియు దానిలోని ప్రతి భాగాన్ని చూద్దాం. ప్రదర్శించడానికి, నేను ఫైల్ నుండి డేటాను సంగ్రహిస్తాను CCLEANER64.EXE-DE05DBE1.pf.
కాబట్టి ఎగువ నుండి ప్రారంభిద్దాం. వాస్తవానికి, మాకు ఫైల్ సృష్టి, సవరణ మరియు యాక్సెస్ టైమ్స్టాంప్లు ఉన్నాయి:
అవి ఎక్జిక్యూటబుల్ ఫైల్ పేరు, దానికి వెళ్లే మార్గం యొక్క చెక్సమ్, ఎక్జిక్యూటబుల్ ఫైల్ పరిమాణం మరియు ప్రీఫెచ్ ఫైల్ వెర్షన్తో అనుసరించబడతాయి:
మేము Windows 10తో వ్యవహరిస్తున్నందున, తదుపరి ప్రారంభాల సంఖ్య, చివరి ప్రారంభ తేదీ మరియు సమయం మరియు మునుపటి ప్రారంభ తేదీలను సూచించే మరో ఏడు టైమ్స్టాంప్లను చూస్తాము:
వీటి తర్వాత వాల్యూమ్ గురించిన సమాచారం, దాని క్రమ సంఖ్య మరియు సృష్టి తేదీతో సహా:
ఎక్జిక్యూటబుల్ ఇంటరాక్ట్ చేసిన డైరెక్టరీలు మరియు ఫైల్ల జాబితా చివరిది కానీ కాదు:
కాబట్టి, ఎక్జిక్యూటబుల్ ఇంటరాక్ట్ చేసిన డైరెక్టరీలు మరియు ఫైల్లు ఈ రోజు నేను దృష్టి పెట్టాలనుకుంటున్నాను. డిజిటల్ ఫోరెన్సిక్స్, కంప్యూటర్ ఇన్సిడెంట్ రెస్పాన్స్ లేదా ప్రోయాక్టివ్ థ్రెట్ హంటింగ్లో నిపుణులను నిర్దిష్ట ఫైల్ అమలు చేయడం గురించి మాత్రమే కాకుండా, కొన్ని సందర్భాల్లో, నిర్దిష్ట వ్యూహాలు మరియు దాడి చేసేవారి సాంకేతికతలను పునర్నిర్మించడానికి కూడా ఈ డేటా అనుమతిస్తుంది. నేడు, దాడి చేసేవారు డేటాను శాశ్వతంగా తొలగించడానికి చాలా తరచుగా సాధనాలను ఉపయోగిస్తారు, ఉదాహరణకు, SDelete, కాబట్టి నిర్దిష్ట వ్యూహాలు మరియు సాంకేతికతలను ఉపయోగించడం యొక్క కనీసం జాడలను పునరుద్ధరించగల సామర్థ్యం ఏదైనా ఆధునిక డిఫెండర్కు అవసరం - కంప్యూటర్ ఫోరెన్సిక్స్ స్పెషలిస్ట్, ఇన్సిడెంట్ రెస్పాన్స్ స్పెషలిస్ట్, ThreatHunter నిపుణుడు.
ప్రారంభ యాక్సెస్ వ్యూహం (TA0001) మరియు అత్యంత ప్రజాదరణ పొందిన టెక్నిక్, స్పియర్ఫిషింగ్ అటాచ్మెంట్ (T1193)తో ప్రారంభిద్దాం. కొన్ని సైబర్క్రిమినల్ గ్రూపులు తమ పెట్టుబడుల ఎంపికలో చాలా సృజనాత్మకంగా ఉంటాయి. ఉదాహరణకు, సైలెన్స్ సమూహం దీని కోసం CHM (మైక్రోసాఫ్ట్ కంపైల్డ్ HTML సహాయం) ఫార్మాట్లోని ఫైల్లను ఉపయోగించింది. ఈ విధంగా, మనకు మరొక సాంకేతికత ఉంది - కంపైల్డ్ HTML ఫైల్ (T1223). ఇటువంటి ఫైల్లు ఉపయోగించి ప్రారంభించబడతాయి hh.exe, కాబట్టి, మేము దాని ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే, బాధితుడు ఏ ఫైల్ని తెరిచాడో మేము కనుగొంటాము:
వాస్తవ కేసుల నుండి ఉదాహరణలతో పనిని కొనసాగిద్దాం మరియు తదుపరి అమలు వ్యూహం (TA0002) మరియు CSMTP టెక్నిక్ (T1191)కి వెళ్దాం. హానికరమైన స్క్రిప్ట్లను అమలు చేయడానికి దాడి చేసేవారు Microsoft కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్స్టాలర్ (CMSTP.exe)ని ఉపయోగించవచ్చు. ఒక మంచి ఉదాహరణ కోబాల్ట్ సమూహం. మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే cmstp.exe, సరిగ్గా ఏమి ప్రారంభించబడిందో మనం మళ్లీ తెలుసుకోవచ్చు:
మరొక ప్రసిద్ధ సాంకేతికత Regsvr32 (T1117). Regsvr32.exe దీనిని తరచుగా దాడి చేసేవారు ప్రయోగించడానికి ఉపయోగిస్తారు. కోబాల్ట్ సమూహం నుండి మరొక ఉదాహరణ ఇక్కడ ఉంది: మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే regsvr32.exe, మళ్ళీ మనం ఏమి ప్రారంభించబడిందో చూద్దాం:
తదుపరి వ్యూహాలు పెర్సిస్టెన్స్ (TA0003) మరియు ప్రివిలేజ్ ఎస్కలేషన్ (TA0004), అప్లికేషన్ షిమ్మింగ్ (T1138) ఒక సాంకేతికత. సిస్టమ్ను యాంకర్ చేయడానికి ఈ సాంకేతికతను Carbanak/FIN7 ఉపయోగించింది. ప్రోగ్రామ్ అనుకూలత డేటాబేస్లతో పని చేయడానికి సాధారణంగా ఉపయోగించబడుతుంది (.sdb) sdbinst.exe. కాబట్టి, ఈ ఎక్జిక్యూటబుల్ యొక్క ప్రీఫెచ్ ఫైల్ అటువంటి డేటాబేస్ల పేర్లు మరియు వాటి స్థానాలను కనుగొనడంలో మాకు సహాయపడుతుంది:
మీరు దృష్టాంతంలో చూడగలిగినట్లుగా, మేము ఇన్స్టాలేషన్ కోసం ఉపయోగించిన ఫైల్ పేరు మాత్రమే కాకుండా, ఇన్స్టాల్ చేసిన డేటాబేస్ పేరు కూడా కలిగి ఉన్నాము.
అడ్మినిస్ట్రేటివ్ షేర్లను (T0008) ఉపయోగించి నెట్వర్క్ ప్రచారం (TA1077), PsExec యొక్క అత్యంత సాధారణ ఉదాహరణలలో ఒకదానిని పరిశీలిద్దాం. PSEXECSVC పేరుతో సేవ (వాస్తవానికి, దాడి చేసేవారు పారామీటర్ని ఉపయోగిస్తే ఏదైనా ఇతర పేరు ఉపయోగించవచ్చు -r) టార్గెట్ సిస్టమ్లో సృష్టించబడుతుంది, కాబట్టి, మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను సంగ్రహిస్తే, ఏమి ప్రారంభించబడిందో మనం చూస్తాము:
నేను ప్రారంభించిన చోటనే ముగించవచ్చు - ఫైల్లను తొలగించడం (T1107). నేను ఇప్పటికే గుర్తించినట్లుగా, దాడి జీవితచక్రంలోని వివిధ దశల్లో ఫైల్లను శాశ్వతంగా తొలగించడానికి చాలా మంది దాడి చేసేవారు SDeleteని ఉపయోగిస్తారు. మేము ప్రీఫెచ్ ఫైల్ నుండి డేటాను పరిశీలిస్తే sdelete.exe, అప్పుడు మనం సరిగ్గా ఏమి తొలగించబడిందో చూద్దాం:
వాస్తవానికి, ఇది ప్రీఫెచ్ ఫైల్ల విశ్లేషణ సమయంలో కనుగొనబడే సాంకేతికతల యొక్క సమగ్ర జాబితా కాదు, కానీ అటువంటి ఫైల్లు లాంచ్ యొక్క జాడలను కనుగొనడంలో మాత్రమే కాకుండా, నిర్దిష్ట దాడి చేసే వ్యూహాలు మరియు సాంకేతికతలను పునర్నిర్మించడంలో కూడా సహాయపడతాయని అర్థం చేసుకోవడానికి ఇది సరిపోతుంది. .
మూలం: www.habr.com