ٹریس فائلز، یا پریفچ فائلیں، XP کے بعد سے ونڈوز میں موجود ہیں۔ اس کے بعد سے، انہوں نے ڈیجیٹل فرانزک اور کمپیوٹر کے واقعات کے ردعمل کے ماہرین کو سافٹ ویئر کے نشانات تلاش کرنے میں مدد کی ہے، بشمول میلویئر۔ کمپیوٹر فرانزک گروپ-آئی بی میں سرکردہ ماہر اولیگ سکلکن آپ کو بتاتا ہے کہ آپ Prefetch فائلوں کا استعمال کرتے ہوئے کیا تلاش کر سکتے ہیں اور اسے کیسے کرنا ہے۔
Prefetch فائلیں ڈائریکٹری میں محفوظ ہیں۔ %SystemRoot%Prefetch اور پروگرام شروع کرنے کے عمل کو تیز کرنے کے لیے کام کریں۔ اگر ہم ان فائلوں میں سے کسی کو دیکھیں تو ہم دیکھیں گے کہ اس کا نام دو حصوں پر مشتمل ہے: ایگزیکیوٹیبل فائل کا نام اور اس کے راستے سے آٹھ کریکٹر چیکسم۔
Prefetch فائلوں میں فرانزک نقطہ نظر سے کارآمد بہت سی معلومات ہوتی ہیں: قابل عمل فائل کا نام، اس پر عمل درآمد کی تعداد، فائلوں اور ڈائریکٹریوں کی فہرستیں جن کے ساتھ ایگزیکیوٹیبل فائل نے تعامل کیا، اور یقیناً ٹائم اسٹیمپ۔ عام طور پر، فرانزک سائنسدان ایک مخصوص Prefetch فائل کی تخلیق کی تاریخ کا استعمال کرتے ہوئے اس تاریخ کا تعین کرتے ہیں جب پروگرام پہلی بار شروع کیا گیا تھا۔ اس کے علاوہ، یہ فائلیں اس کے آخری لانچ کی تاریخ، اور ورژن 26 (Windows 8.1) سے شروع ہونے والی تاریخ کو محفوظ کرتی ہیں - سات حالیہ رنز کے ٹائم اسٹیمپ۔
آئیے Prefetch فائلوں میں سے ایک لیں، ایرک زیمرمین کے پی ای سی ایم ڈی کا استعمال کرتے ہوئے اس سے ڈیٹا نکالیں اور اس کے ہر حصے کو دیکھیں۔ ظاہر کرنے کے لیے، میں ایک فائل سے ڈیٹا نکالوں گا۔ CCEANER64.EXE-DE05DBE1.pf.
تو آئیے اوپر سے شروع کرتے ہیں۔ یقینا، ہمارے پاس فائل کی تخلیق، ترمیم، اور رسائی کے ٹائم سٹیمپ ہیں:
ان کے بعد ایگزیکیوٹیبل فائل کا نام، اس کے راستے کا چیکسم، ایگزیکیوٹیبل فائل کا سائز، اور پریفچ فائل کا ورژن آتا ہے:
چونکہ ہم ونڈوز 10 کے ساتھ کام کر رہے ہیں، اس کے بعد ہم شروع کی تعداد، آخری آغاز کی تاریخ اور وقت، اور سات مزید ٹائم سٹیمپ دیکھیں گے جو پچھلی لانچ کی تاریخوں کی نشاندہی کرتے ہیں:
اس کے بعد حجم کے بارے میں معلومات ہیں، بشمول اس کا سیریل نمبر اور تخلیق کی تاریخ:
آخری لیکن کم از کم ڈائریکٹریز اور فائلوں کی فہرست ہے جن کے ساتھ ایگزیکیوٹیبل نے بات چیت کی:
لہذا، ڈائرکٹریز اور فائلیں جن کے ساتھ ایگزیکیوٹیبل نے بات چیت کی وہ بالکل وہی ہیں جن پر میں آج توجہ مرکوز کرنا چاہتا ہوں۔ یہ وہ ڈیٹا ہے جو ڈیجیٹل فرانزک، کمپیوٹر کے واقعے کے ردعمل، یا خطرے کی کارروائی کے شکار کے ماہرین کو نہ صرف کسی خاص فائل پر عمل درآمد کی حقیقت کو قائم کرنے کی اجازت دیتا ہے، بلکہ بعض صورتوں میں، حملہ آوروں کے مخصوص ہتھکنڈوں اور تکنیکوں کی تشکیل نو بھی کرتا ہے۔ آج، حملہ آور اکثر ڈیٹا کو مستقل طور پر حذف کرنے کے لیے ٹولز کا استعمال کرتے ہیں، مثال کے طور پر، SDelete، لہٰذا کسی بھی جدید محافظ کے لیے مخصوص حربوں اور تکنیکوں کے استعمال کے کم از کم نشانات کو بحال کرنے کی صلاحیت صرف ضروری ہے - کمپیوٹر فرانزک ماہر، واقعے کے ردعمل کے ماہر، ThreatHunter ماہر
آئیے ابتدائی رسائی کی حکمت عملی (TA0001) اور سب سے مشہور تکنیک، Spearphishing Attachment (T1193) سے شروع کریں۔ کچھ سائبر کرائمین گروپ اپنی سرمایہ کاری کے انتخاب میں کافی تخلیقی ہوتے ہیں۔ مثال کے طور پر، سائلنس گروپ نے اس کے لیے CHM (Microsoft Compiled HTML Help) فارمیٹ میں فائلیں استعمال کیں۔ اس طرح، ہمارے سامنے ایک اور تکنیک ہے - مرتب شدہ HTML فائل (T1223)۔ اس طرح کی فائلوں کا استعمال کرتے ہوئے شروع کیا جاتا ہے hh.exeلہذا، اگر ہم اس کی Prefetch فائل سے ڈیٹا نکالتے ہیں، تو ہمیں پتہ چل جائے گا کہ متاثرہ نے کون سی فائل کھولی تھی:
آئیے حقیقی کیسوں کی مثالوں کے ساتھ کام جاری رکھیں اور اگلی ایگزیکیوشن ٹیکٹ (TA0002) اور CSMTP تکنیک (T1191) کی طرف بڑھیں۔ مائیکروسافٹ کنکشن مینیجر پروفائل انسٹالر (CMSTP.exe) کو حملہ آور نقصان دہ اسکرپٹ چلانے کے لیے استعمال کر سکتے ہیں۔ ایک اچھی مثال کوبالٹ گروپ ہے۔ اگر ہم Prefetch فائل سے ڈیٹا نکالتے ہیں۔ cmstp.exe، پھر ہم دوبارہ جان سکتے ہیں کہ اصل میں کیا لانچ کیا گیا تھا:
ایک اور مشہور تکنیک Regsvr32 (T1117) ہے۔ Regsvr32.exe حملہ آوروں کی طرف سے اکثر لانچ کرنے کے لیے بھی استعمال کیا جاتا ہے۔ کوبالٹ گروپ کی ایک اور مثال یہ ہے: اگر ہم پریفچ فائل سے ڈیٹا نکالتے ہیں۔ regsvr32.exe، پھر ہم دیکھیں گے کہ کیا شروع کیا گیا تھا:
اگلی حکمت عملی پرسسٹینس (TA0003) اور استحقاق ایسکیلیشن (TA0004) ہیں، جس میں ایک تکنیک کے طور پر ایپلی کیشن شیمنگ (T1138) ہے۔ اس تکنیک کو کاربناک/FIN7 نے سسٹم کو اینکر کرنے کے لیے استعمال کیا۔ عام طور پر پروگرام مطابقت والے ڈیٹا بیس (.sdb) کے ساتھ کام کرنے کے لیے استعمال کیا جاتا ہے sdbinst.exe. لہذا، اس ایگزیکیوٹیبل کی Prefetch فائل ہمیں ایسے ڈیٹا بیس کے نام اور ان کے مقامات کا پتہ لگانے میں مدد کر سکتی ہے:
جیسا کہ آپ مثال میں دیکھ سکتے ہیں، ہمارے پاس نہ صرف انسٹالیشن کے لیے استعمال ہونے والی فائل کا نام ہے بلکہ انسٹال کردہ ڈیٹا بیس کا نام بھی ہے۔
آئیے انتظامی حصص (T0008) کا استعمال کرتے ہوئے نیٹ ورک پروپیگیشن (TA1077) PsExec کی سب سے عام مثالوں میں سے ایک پر ایک نظر ڈالیں۔ PSEXECSVC نامی سروس (یقیناً، اگر حملہ آوروں نے پیرامیٹر استعمال کیا ہے تو کوئی دوسرا نام استعمال کیا جا سکتا ہے۔ -r) ٹارگٹ سسٹم پر بنایا جائے گا، لہذا، اگر ہم Prefetch فائل سے ڈیٹا نکالتے ہیں، تو ہم دیکھیں گے کہ کیا لانچ کیا گیا تھا:
میں شاید وہیں ختم کروں گا جہاں میں نے شروع کیا تھا - فائلوں کو حذف کرنا (T1107)۔ جیسا کہ میں پہلے ہی نوٹ کر چکا ہوں، بہت سے حملہ آور اٹیک لائف سائیکل کے مختلف مراحل پر فائلوں کو مستقل طور پر حذف کرنے کے لیے SDelete کا استعمال کرتے ہیں۔ اگر ہم Prefetch فائل کے ڈیٹا کو دیکھیں sdelete.exe، پھر ہم دیکھیں گے کہ اصل میں کیا حذف کیا گیا تھا:
بلاشبہ، یہ تکنیکوں کی مکمل فہرست نہیں ہے جو پریفیٹچ فائلوں کے تجزیہ کے دوران دریافت کی جا سکتی ہیں، لیکن یہ سمجھنے کے لیے کافی ہونا چاہیے کہ ایسی فائلیں نہ صرف لانچ کے نشانات تلاش کرنے میں مدد کر سکتی ہیں، بلکہ حملہ آور کی مخصوص حکمت عملیوں اور تکنیکوں کو دوبارہ تشکیل دینے میں بھی مدد کر سکتی ہیں۔ .
ماخذ: www.habr.com