Get best of the week

اختصارات Windows السامة: قطعة أثرية قديمة لم ينسها المتسللون ، ولكنها نسيتها جزئيًا بواسطة الطب الشرعي


في إحدى مقالاتنا السابقة ، تحدثنا عن قطعة أثرية للطب الشرعي مثل Windows 10 Timeline والأدوات المساعدة لتحليلها والمعلومات التي يمكن استخراجها منها عند التحقيق في الحوادث. سنتحدث اليوم عن اختصارات Windows. يخبر إيغور ميخائيلوف ، المتخصص في مختبر مجموعة الطب الشرعي الحاسوبي- IB ، الهجمات التي يتم استخدامها وكيفية اكتشاف مثل هذه الملفات.

ملفات LNK (اختصارات النوافذ وملفات الاختصارات) هي ملفات خدمة يتم إنشاؤها تلقائيًا تلقائيًا بواسطة نظام تشغيل Windows عندما يفتح المستخدم الملفات. يستخدمها Windows للوصول السريع إلى ملف معين. أيضًا ، يمكن للمستخدم إنشاء جزء من ملفات LNK يدويًا ، على سبيل المثال ، للراحة.

اختصارات سطح المكتب:


موقع ملفات LNK


تقليديا ، تقع معظم ملفات LNK بالطرق التالية:

لنظام التشغيل Windows 7 - أنظمة التشغيل Windows 10		C: \ Users \٪ User profile٪ \ AppData \ Roaming \ Microsoft \ Windows \ Recent
لنظام التشغيل
Windows XP		C: \ Documents and Settings \٪ User Profile٪ \ Recent

ومع ذلك ، هناك العديد من الأماكن الأخرى حيث يمكن للباحث العثور على ملفات LNK:

  • على سطح المكتب (عادة ما يتم إنشاء هذه الاختصارات من قبل المستخدمين للوصول السريع إلى المستندات والتطبيقات) ؛
  • بالنسبة للمستندات المفتوحة في Microsoft Office ، توجد ملفات LNK على المسار: C: \ Users \٪ User Profile٪ \ AppData \ Roaming \ Microsoft \ Office \ Recent \ (لأنظمة التشغيل Windows 7 - Windows 10) ؛
  • في بعض الأحيان بدلاً من المستندات ، يرسل المستخدمون بطاقات عن طريق البريد الإلكتروني ، وبالتالي يقوم المستلمون بتنزيلها. لذلك ، فإن المكان الثالث حيث يتم العثور على الاختصارات هو دليل C: \ Users \٪ User Profile٪ \ Downloads (لأنظمة التشغيل Windows 7 - Windows 10) ؛
  • في دليل بدء التشغيل
  • إلخ

الاختصارات في الدليل الأخير :


محتوى الاختصار


قبل أن تنشر Microsoft معلومات حول تنسيق ملفات LNK [1] ، قام الباحثون بمحاولات لوصف هذا التنسيق بشكل مستقل [2 ، 3]. كان تعقيد البحث هو أن العلامات المختلفة تحتوي على معلومات مختلفة. وعند التبديل من الاختصار إلى الاختصار ، قد تتغير كمية المعلومات الواردة فيه عن ملف معين. بالإضافة إلى ذلك ، في Windows 10 ، ظهرت حقول جديدة في ملفات LNK ، والتي لم تكن في الإصدارات السابقة من نظام التشغيل.

لذا ، ما هي المعلومات التي يحتوي عليها ملف LNK؟ يعرض الأدلة مركز Belkasoft ثلاثة أقسام بمعلومات حول ملف LNK: الفوقية ، المنشأ و الملف .

قسم البيانات الوصفية :


أهم المعلومات المقدمة في قسم البيانات الوصفية :

  • مسار الملف المصدر والطوابع الزمنية الخاصة به (المسار الكامل ، وقت الوصول إلى الملف الهدف (UTC) ، الوقت لإنشاء الملف الهدف (UTC) ، الوقت لتعديل الملف الهدف (UTC)).
  • نوع القيادة
  • الرقم التسلسلي لوحدة التخزين (محرك الرقم التسلسلي) ؛
  • تسمية وحدة التخزين
  • اسم جهاز NetBIOS ؛
  • حجم الملف الهدف (بايت) - حجم الملف المرتبط بالتسمية.

في الصورة أعلاه، هناك حقول ملف الروبوت و ملف الأصل الروبوت . DROID (تعريف كائن التسجيل الرقمي) - ملف تعريف فردي. يمكن استخدام هذا الهيكل (ملف droid) بواسطة خدمة تتبع الارتباط لتحديد ما إذا كان الملف قد تم نسخه أو نقله. أصل

القسم :


قسم الملف :


في قسم الملف ، يتم إعطاء عنوان MAC للجهاز الذي تم إنشاء الاختصار عليه. يمكن أن تساعد هذه المعلومات في تحديد الجهاز الذي تم إنشاء الملف عليه.

وتجدر الإشارة إلى أن عنوان MAC الخاص بالجهاز المسجل في ملف LNK قد يختلف عن العنوان الحقيقي. لذلك ، هذه المعلمة غير موثوق بها في بعض الأحيان.

عند إجراء البحث ، يجب الانتباه إلى الطوابع الزمنية لملف LNK ، نظرًا لأن وقت إنشائه ، كقاعدة عامة ، يتوافق مع الوقت الذي أنشأ فيه المستخدم هذا الملف أو وقت الوصول إلى الملف لأول مرة المرتبط بهذا الاختصار. يتوافق وقت تعديل الملف عادةً مع آخر مرة تم فيها الوصول إلى الملف بالاختصار المرتبط.

استرداد ملف LNK


يحتوي الدليل الأخير ، الموصوف أعلاه ، على ما يصل إلى 149 ملف LNK. ماذا تفعل عندما تتم إزالة الاختصار الذي نحتاجه؟ بالطبع ، تحتاج إلى محاولة استعادته! يمكن استعادة ملفات LNK باستخدام التوقيع العشري لرأس الملف : 4C 00 00 00 .

لتعيين عنوان الملف ، تحتاج إلى الانتقال إلى قائمة البرنامج: أدوات - إعدادات ، انتقل إلى علامة التبويب نحت ، انقر فوق الزر إضافة وإنشاء توقيع جديد. يمكنك قراءة المزيد عن طرق النحت باستخدام مركز أدلة Belkasoft في مقالة "نحت وتنفيذها في الطب الشرعي الرقمي" [4].

إضافة توقيع مخصص (رأس):


استخدام ملفات LNK من قبل المهاجمين في حوادث أمن المعلومات


يمكن أن يحتوي كل كمبيوتر يعمل بنظام Windows على مئات وآلاف من الاختصارات. لذلك ، غالبًا ما يكون العثور على اختصار يستخدمه المهاجمون لاختراق جهاز الكمبيوتر أسهل من إبرة في كومة قش.

تسوية النظام المهاجم


ينتشر أكثر من 90٪ من البرامج الضارة عبر البريد الإلكتروني. كقاعدة ، تحتوي رسائل البريد الإلكتروني الضارة إما على رابط إلى مورد شبكة أو مستند معد خصيصًا ، عند فتحها ، يتم تنزيل البرامج الضارة على جهاز الكمبيوتر الخاص بالمستخدم. أيضا ، غالبا ما تستخدم هجمات القراصنة ملفات LNK.

قسم بيانات تعريف ملف LNK الضار:


كقاعدة ، يحتوي ملف LNK هذا على رمز PowerShell يتم تنفيذه عندما يحاول مستخدم فتح اختصار تم إرساله إليه. كما ترى في لقطة الشاشة أعلاه ، يمكن اكتشاف هذه الاختصارات بسهولة باستخدام مركز أدلة Belkasoft: تحتوي البيانات الوصفية على المسار إلى powershell.exe القابل للتنفيذ . و سيطات الحقل يبين الحجج إلى الأمر بوويرشيل والحمولة المشفرة.

تأمين نظام مخترق


إحدى طرق استخدام ملفات LNK في هجمات القراصنة هي الإصلاح في نظام مخترق. من أجل تشغيل "البرامج الضارة" في كل مرة يتم فيها تشغيل نظام التشغيل ، يمكنك إنشاء ملف LNK مع ارتباط إلى الملف القابل للتنفيذ الخاص بالبرنامج الضار (أو ، على سبيل المثال ، ملف يحتوي على رمز أداة تحميل التشغيل) ووضع اختصار على C: \ Users \٪ User Profile٪ \ AppData \ Roaming \ Microsoft \ Windows \ قائمة ابدأ \ البرامج \ بدء التشغيل. ثم ، في بداية نظام التشغيل ، ستبدأ "البرامج الضارة". يمكن العثور على هذه الاختصارات في علامة التبويب نظام الملفات في مركز أدلة Belkasoft.

اختصار PhonerLite.lnk عند بدء التشغيل:


استكشاف ملفات LNK


ملفات LNK عبارة عن قطعة أثرية شرعية تم تحليلها من قبل علماء الطب الشرعي أثناء استكشاف الإصدارات القديمة لنظام التشغيل Windows. لذلك ، بطريقة أو بأخرى ، يتم دعم تحليل هذه الملفات من قبل جميع برامج تحليل الطب الشرعي تقريبًا. ومع ذلك ، مع تطور Windows ، تطورت ملفات الاختصارات أيضًا. الآن هناك حقول فيها ، والتي كان عرضها سابقًا غير مناسب ، وبالتالي ، لا تعرض بعض برامج الطب الشرعي هذه الحقول. علاوة على ذلك ، فإن تحليل محتوى هذه المجالات مهم في التحقيق في حوادث أمن المعلومات وهجمات القراصنة.

للبحث عن ملفات LNK ، نوصي باستخدام Belkasoft Evidence Center و AXIOM (Magnet Forensics) و LECmd (أدوات Eric Zimmerman). تسمح لك هذه البرامج بتحليل جميع ملفات الاختصارات الموجودة على الكمبيوتر قيد الدراسة بسرعة ، وعزل الملفات التي تحتاج إلى تحليل أكثر دقة.

استكشاف ملفات LNK مع مركز أدلة Belkasoft


نظرًا لأن جميع الأمثلة الواردة أعلاه تم إعدادها تقريبًا باستخدام مركز أدلة Belkasoft ، فليس هناك معنى في وصفها بشكل أكبر.

استكشاف ملفات LNK باستخدام AXIOM


AXIOM هي حاليًا واحدة من أفضل أدوات الطب الشرعي للطب الشرعي للكمبيوتر. يتم تجميع المعلومات التي يجمعها البرنامج حول ملفات الاختصارات الموجودة في نظام Windows قيد التحقيق في قسم نظام التشغيل :


قيمة الحقل المعروضة لتسمية محددة:


كما يتبين من لقطة الشاشة أعلاه ، يتم دمج أمر لتشغيل PowerShell ومجموعة من التعليمات التي سيتم تنفيذها عندما ينقر المستخدم على الاختصار في الاختصار الذي اكتشفه البرنامج. يتطلب مثل هذا التصنيف تحليلًا إضافيًا من الباحث.

استكشاف ملفات LNK باستخدام LECmd


أثبتت مجموعة أدوات أدوات Eric Zimmerman نفسها في التحقيق في الحوادث. تتضمن هذه المجموعة الأداة المساعدة لسطر الأوامر LECmd ، والتي تم تصميمها لتحليل ملفات LNK.

كمية البيانات حول ملف LNK الذي تم تحليله والتي تعرضها هذه الأداة مذهلة ببساطة.

المعلومات المستخرجة من ملف LNK الذي تم تحليله بواسطة أداة LECmd:




الموجودات


ملفات LNK هي واحدة من أقدم القطع الأثرية في Windows المعروفة في الطب الشرعي للكمبيوتر. ومع ذلك ، يتم استخدامه في هجمات القراصنة ، ولا ينبغي نسيان تحقيقه عند التحقيق في حوادث أمن المعلومات.

يدعم عدد كبير من برامج الطب الشرعي للكمبيوتر ، إلى حد ما أو آخر ، تحليل أداة Windows هذه. ومع ذلك ، لا تعرض جميعها محتويات حقول الملصقات ، التي يلزم تحليلها أثناء التحقيق. لذلك ، يجب عليك الاقتراب بعناية من اختيار أدوات البرمجيات التي ستقع في توظيف متخصص في التحقيق في الحوادث.

PS انتقل إلى قناة Telegram المليئة بالإثارة من Group-IB (https://t.me/Group_IB/) حول أمن المعلومات ، والمتسللين والهجمات الإلكترونية ، وقراصنة الإنترنت ، وحسابات النجوم ، والتسريبات. بالإضافة إلى الصور ومقاطع الفيديو الحصرية مع احتجاز المجرمين الإلكترونيين ، والتحقيق في الجرائم المثيرة خطوة بخطوة ، والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، التوصيات حول كيفية تجنب الوقوع ضحية على الإنترنت.

المصادر
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), « », , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles