Awọn faili itopase, tabi awọn faili Prefetch, ti wa ni ayika ni Windows lati igba XP. Lati igbanna, wọn ti ṣe iranlọwọ fun awọn oniwadi oni-nọmba ati awọn alamọja esi iṣẹlẹ kọnputa lati wa awọn itọpa sọfitiwia, pẹlu malware. Asiwaju pataki ni awọn oniwadi kọnputa Group-IB Oleg Skulkin sọ fun ọ ohun ti o le rii nipa lilo awọn faili Prefetch ati bii o ṣe le ṣe.
Awọn faili Prefetch ti wa ni ipamọ sinu ilana %SystemRoot%Prefetch ati ki o sin lati yara awọn ilana ti awọn ifilọlẹ awọn eto. Ti a ba wo eyikeyi ninu awọn faili wọnyi, a yoo rii pe orukọ rẹ ni awọn ẹya meji: orukọ faili ti o le ṣiṣẹ ati ayẹwo ohun kikọ mẹjọ lati ọna si.
Awọn faili Prefetch ni ọpọlọpọ alaye ti o wulo lati oju wiwo oniwadi: orukọ faili ti o le ṣiṣẹ, nọmba awọn akoko ti o ti ṣiṣẹ, awọn atokọ ti awọn faili ati awọn ilana pẹlu eyiti faili ti o ṣiṣẹ ṣiṣẹ, ati, nitorinaa, awọn iwe akoko. Ni deede, awọn onimọ-jinlẹ oniwadi lo ọjọ ẹda ti faili Prefetch kan pato lati pinnu ọjọ ti eto naa ti kọkọ ṣe ifilọlẹ. Ni afikun, awọn faili wọnyi tọju ọjọ ifilọlẹ ti o kẹhin, ati bẹrẹ lati ẹya 26 (Windows 8.1) - awọn akoko akoko ti awọn ṣiṣe to ṣẹṣẹ julọ meje.
Jẹ ki a mu ọkan ninu awọn faili Prefetch, jade data lati inu rẹ nipa lilo Eric Zimmerman's PECmd ki o wo apakan kọọkan. Lati ṣafihan, Emi yoo yọ data jade lati faili kan CCLEANER64.EXE-DE05DBE1.pf.
Nitorinaa jẹ ki a bẹrẹ lati oke. Nitoribẹẹ, a ni ṣiṣẹda faili, iyipada, ati awọn ami igba wiwọle:
Wọn tẹle pẹlu orukọ faili ti o le ṣiṣẹ, iwe ayẹwo ti ọna si rẹ, iwọn faili ti o ṣiṣẹ, ati ẹya ti faili Prefetch:
Niwọn igba ti a n ṣe pẹlu Windows 10, nigbamii ti a yoo rii nọmba awọn ibẹrẹ, ọjọ ati akoko ti ibẹrẹ ti o kẹhin, ati awọn ami igba meje diẹ sii ti n tọka awọn ọjọ ifilọlẹ iṣaaju:
Iwọnyi ni atẹle nipasẹ alaye nipa iwọn didun, pẹlu nọmba ni tẹlentẹle ati ọjọ ẹda:
Ni ikẹhin ṣugbọn kii kere ju ni atokọ ti awọn ilana ati awọn faili ti o ṣiṣẹ ṣiṣẹ pẹlu:
Nitorinaa, awọn ilana ati awọn faili ti o ṣiṣẹ ṣiṣẹ pẹlu jẹ deede ohun ti Mo fẹ lati dojukọ loni. O jẹ data yii ti o fun laaye awọn alamọja ni awọn oniwadi oni-nọmba, idahun iṣẹlẹ iṣẹlẹ kọnputa, tabi ṣiṣe ọdẹ ijakadi lati fi idi kii ṣe otitọ ti ipaniyan ti faili kan pato, ṣugbọn paapaa, ni awọn igba miiran, lati tun ṣe awọn ilana kan pato ati awọn ilana ti awọn ikọlu. Loni, awọn ikọlu nigbagbogbo lo awọn irinṣẹ lati paarẹ data patapata, fun apẹẹrẹ, SDelete, nitorinaa agbara lati mu pada o kere ju awọn itọpa ti lilo awọn ilana ati awọn ilana kan jẹ pataki fun eyikeyi olugbeja ode oni - alamọja oniwadi kọnputa, alamọja esi iṣẹlẹ iṣẹlẹ. , iwé ThreatHunter.
Jẹ ki a bẹrẹ pẹlu ilana Wiwọle Ibẹrẹ (TA0001) ati ilana ti o gbajumọ julọ, Asomọ Spearphishing (T1193). Diẹ ninu awọn ẹgbẹ cybercriminal jẹ ẹda pupọ ninu yiyan awọn idoko-owo wọn. Fun apẹẹrẹ, ẹgbẹ ipalọlọ lo awọn faili ni ọna kika CHM (Microsoft Compiled HTML Help) fun eyi. Bayi, a ni ṣaaju wa ilana miiran - Compiled HTML File (T1223). Iru awọn faili ti wa ni se igbekale lilo hh.exe, nitorinaa, ti a ba yọ data jade lati faili Prefetch rẹ, a yoo rii iru faili ti o ṣii nipasẹ olufaragba naa:
Jẹ ki a tẹsiwaju ṣiṣẹ pẹlu awọn apẹẹrẹ lati awọn ọran gidi ati gbe siwaju si ilana ipaniyan atẹle (TA0002) ati ilana CSMTP (T1191). Olupilẹṣẹ Profaili Asopọmọra Microsoft (CMSTP.exe) le ṣee lo nipasẹ awọn ikọlu lati ṣiṣẹ awọn iwe afọwọkọ irira. Apẹẹrẹ to dara ni ẹgbẹ Cobalt. Ti a ba jade data lati Prefetch faili cmstp.exe, lẹhinna a tun le rii kini gangan ti ṣe ifilọlẹ:
Ilana olokiki miiran jẹ Regsvr32 (T1117). Regsvr32.exe tun nigbagbogbo lo nipasẹ awọn ikọlu lati ṣe ifilọlẹ. Eyi ni apẹẹrẹ miiran lati ẹgbẹ Cobalt: ti a ba yọ data jade lati faili Prefetch kan regsvr32.exe, lẹhinna lẹẹkansi a yoo rii ohun ti a ṣe ifilọlẹ:
Awọn ilana atẹle jẹ Ifarada (TA0003) ati Escalation Anfani (TA0004), pẹlu Ohun elo Shimming (T1138) gẹgẹbi ilana kan. Ilana yii jẹ lilo nipasẹ Carbanak/FIN7 lati da eto naa duro. Nigbagbogbo a lo lati ṣiṣẹ pẹlu awọn data data ibaramu eto (.sdb) sdbinst.exe. Nitorinaa, faili Prefetch ti imuṣiṣẹ yii le ṣe iranlọwọ fun wa lati wa awọn orukọ iru awọn data data ati awọn ipo wọn:
Gẹgẹbi o ti le rii ninu apejuwe, kii ṣe orukọ faili nikan ti a lo fun fifi sori ẹrọ, ṣugbọn orukọ data data ti a fi sii.
Jẹ ki a wo ọkan ninu awọn apẹẹrẹ ti o wọpọ julọ ti itankale nẹtiwọki (TA0008), PsExec, lilo awọn ipin iṣakoso (T1077). Iṣẹ ti a npè ni PSEXECSVC (dajudaju, eyikeyi orukọ miiran le ṣee lo ti awọn ikọlu ba lo paramita naa -r) yoo ṣẹda lori eto ibi-afẹde, nitorinaa, ti a ba yọkuro data lati faili Prefetch, a yoo rii ohun ti a ṣe ifilọlẹ:
O ṣee ṣe Emi yoo pari ni ibiti Mo ti bẹrẹ - piparẹ awọn faili (T1107). Gẹgẹbi Mo ti ṣe akiyesi tẹlẹ, ọpọlọpọ awọn ikọlu lo SDelete lati pa awọn faili rẹ patapata ni awọn ipele pupọ ti igbesi aye ikọlu. Ti a ba wo data lati Prefetch faili sdelete.exe, lẹhinna a yoo rii kini gangan ti paarẹ:
Nitoribẹẹ, eyi kii ṣe atokọ pipe ti awọn imuposi ti o le ṣe awari lakoko itupalẹ awọn faili Prefetch, ṣugbọn eyi yẹ ki o to lati loye pe iru awọn faili le ṣe iranlọwọ kii ṣe wiwa awọn itọpa ti ifilọlẹ nikan, ṣugbọn tun tun ṣe awọn ilana ikọlu kan pato ati awọn imuposi .
orisun: www.habr.com