Get best of the week

Atajos tóxicos de Windows: un viejo artefacto no olvidado por los piratas informáticos, pero parcialmente olvidado por los forenses


En uno de nuestros artículos anteriores, hablamos sobre un artefacto forense como la línea de tiempo de Windows 10, las utilidades para analizarlo y qué información se puede extraer de él al investigar incidentes. Hoy hablaremos sobre los atajos de Windows. Igor Mikhailov, especialista en el Laboratorio de Informática Forense Group-IB , explica en qué ataques se utilizan y cómo detectar dichos archivos.

Los archivos LNK (accesos directos de Windows, archivos de acceso directo) son archivos de servicio que generalmente son creados automáticamente por el sistema operativo Windows cuando un usuario abre archivos. Windows los usa para acceder rápidamente a un archivo específico. Además, parte de los archivos LNK pueden ser creados manualmente por el usuario, por ejemplo, por conveniencia.

Accesos directos del escritorio:


Ubicación de los archivos LNK


Tradicionalmente, la mayoría de los archivos LNK se encuentran de las siguientes maneras:
Para
Windows 7: sistemas operativos Windows 10		C: \ Usuarios \% Perfil de usuario% \ AppData \ Roaming \ Microsoft \ Windows \ Recent
Para el sistema operativo
Windows XP		C: \ Documentos y configuraciones \% Perfil de usuario% \ Reciente

Sin embargo, hay muchos otros lugares donde un investigador puede encontrar archivos LNK:

  • en el escritorio (por lo general, estos accesos directos los crean los usuarios para acceder rápidamente a documentos y aplicaciones);
  • para los documentos abiertos en Microsoft Office, los archivos LNK se encuentran en la ruta: C: \ Users \% User profile% \ AppData \ Roaming \ Microsoft \ Office \ Recent \ (para Windows 7 - sistemas operativos Windows 10);
  • a veces, en lugar de documentos, los usuarios envían etiquetas por correo electrónico y, en consecuencia, los destinatarios las descargan. Por lo tanto, el tercer lugar donde se encuentran los accesos directos es el directorio C: \ Users \% User profile% \ Downloads (para Windows 7 - sistemas operativos Windows 10);
  • en el directorio de inicio
  • etc.

Atajos en el directorio Reciente :


Contenido de acceso directo


Antes de que Microsoft publicara información sobre el formato de los archivos LNK [1], los investigadores intentaron describir de forma independiente este formato [2, 3]. La complejidad de la investigación fue que diferentes etiquetas contienen información diferente. Y cuando se cambia de acceso directo a acceso directo, la cantidad de información que contiene sobre un archivo en particular puede cambiar. Además, en Windows 10, aparecieron nuevos campos en los archivos LNK, que no estaban en versiones anteriores del sistema operativo.

Entonces, ¿qué información contiene el archivo LNK? Belkasoft Evidence Center muestra tres secciones con información sobre el archivo LNK: Metadatos , Origen y Archivo .

Sección de Metadatos :


La información más importante presentada en la sección Metadatos :

  • la ruta del archivo de origen y sus marcas de tiempo (ruta completa, tiempo de acceso al archivo de destino (UTC), hora de crear el archivo de destino (UTC), hora de modificar el archivo de destino (UTC)).
  • tipo de unidad;
  • número de serie del volumen (número de serie de la unidad);
  • etiqueta de volumen
  • Nombre del dispositivo NetBIOS;
  • tamaño del archivo de destino (bytes): el tamaño del archivo con el que está asociada la etiqueta.

En la captura de pantalla anterior, están los campos del archivo Droid y el archivo Droid original . DROID (Identificación de objeto de registro digital): un perfil de archivo individual. El Servicio de seguimiento de enlaces puede utilizar esta estructura (archivo droid) para determinar si el archivo se ha copiado o movido. Origen de la

sección :


Sección de archivo :


En la sección Archivo , se proporciona la dirección MAC del dispositivo en el que se creó el acceso directo. Esta información puede ayudar a identificar el dispositivo en el que se creó el archivo.

Cabe señalar que la dirección MAC del dispositivo grabado en el archivo LNK puede diferir de la real. Por lo tanto, este parámetro a veces no es confiable.

Al realizar una investigación, debe prestar atención a las marcas de tiempo del archivo LNK, ya que el momento de su creación, como regla, corresponde al tiempo en que el usuario creó este archivo o al momento del primer acceso al archivo asociado con este acceso directo. El tiempo de modificación del archivo generalmente corresponde al tiempo del último acceso al archivo al que está asociado el acceso directo.

Recuperación de archivos LNK


El directorio Reciente , que se describe arriba, contiene hasta 149 archivos LNK. ¿Qué hacer cuando se elimina el acceso directo que necesitamos? Por supuesto, ¡debes intentar restaurarlo! Los archivos LNK se pueden restaurar utilizando el encabezado de archivo hexadecimal de firma : 4C 00 00 00 .

Para configurar el título del archivo, debe ir al menú del programa: Herramientas - Configuración , ir a la pestaña Tallado , hacer clic en el botón Agregar y crear una nueva firma. Puede leer más sobre los métodos de tallado utilizando el Centro de Evidencia de Belkasoft en el artículo "Tallado y sus implementaciones en forense digital" [4].

Agregar una firma personalizada (encabezado):


El uso de archivos LNK por atacantes en incidentes de seguridad de la información


Cada computadora con Windows puede tener cientos y miles de accesos directos. Por lo tanto, encontrar un atajo utilizado por los atacantes para comprometer una computadora a menudo no es más fácil que una aguja en un pajar.

Compromiso del sistema atacado


Más del 90% del malware se propaga por correo electrónico. Como regla general, los correos electrónicos maliciosos contienen un enlace a un recurso de red o un documento especialmente preparado, cuando se abren, los programas maliciosos se descargan en la computadora del usuario. Además, los ataques de piratas informáticos a menudo usan archivos LNK.

Sección de metadatos del archivo LNK malicioso:


Como regla general, dicho archivo LNK contiene un código de PowerShell que se ejecuta cuando un usuario intenta abrir un acceso directo que se le envía. Como puede ver en la captura de pantalla anterior, estos accesos directos se pueden detectar fácilmente con el Centro de pruebas de Belkasoft: los metadatos contienen la ruta al archivo ejecutable powershell.exe . El campo Argumentos muestra los argumentos del comando de PowerShell y la carga útil codificada.

Asegurar un sistema comprometido


Uno de los métodos para usar archivos LNK en ataques de hackers es arreglarlo en un sistema comprometido. Para que se inicie "malware" cada vez que se inicia el sistema operativo, puede crear un archivo LNK con un enlace al archivo ejecutable del programa malicioso (o, por ejemplo, un archivo que contenga el código del gestor de arranque) y colocar un acceso directo en C: \ Users \% User profile% \ AppData \ Roaming \ Microsoft \ Windows \ Menú Inicio \ Programas \ Inicio. Luego, al inicio del sistema operativo, se iniciará el "malware". Estos accesos directos se pueden encontrar en la pestaña Sistema de archivos del Centro de pruebas de Belkasoft.

Atajo PhonerLite.lnk al inicio:


Explorando archivos LNK


Los archivos LNK son un artefacto forense que ha sido analizado por científicos forenses al explorar versiones antiguas del sistema operativo Windows. Por lo tanto, de una forma u otra, el análisis de estos archivos es compatible con casi todos los programas de análisis forense. Sin embargo, a medida que Windows evolucionó, los archivos de acceso directo también evolucionaron. Ahora hay campos en ellos, cuya visualización se consideraba inapropiada anteriormente y, en consecuencia, algunos programas forenses no muestran estos campos. Además, el análisis del contenido de estos campos es relevante en la investigación de incidentes de seguridad de la información y ataques de piratas informáticos.

Para investigar archivos LNK, recomendamos usar Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (herramientas de Eric Zimmerman). Estos programas le permiten analizar rápidamente todos los archivos de acceso directo ubicados en la computadora en estudio y aislar aquellos que deben analizarse más a fondo.

Explorando archivos LNK con Belkasoft Evidence Center


Dado que prácticamente todos los ejemplos anteriores se prepararon utilizando el Centro de Evidencia Belkasoft, no tiene sentido describirlo más a fondo.

Explorando archivos LNK con AXIOM


AXIOM es actualmente una de las principales herramientas forenses para informática forense. La información recopilada por el programa sobre los archivos de acceso directo ubicados en el sistema Windows bajo investigación se agrupa en la sección Sistema operativo :


Valor de campo que se muestra para una etiqueta específica:


Como se puede ver en la captura de pantalla anterior, un comando para iniciar PowerShell y un conjunto de instrucciones que se ejecutarán cuando el usuario haga clic en el acceso directo se integran en el acceso directo detectado por el programa. Dicha etiqueta requiere un análisis adicional del investigador.

Explorando archivos LNK con LECmd


El conjunto de herramientas de herramientas de Eric Zimmerman ha demostrado su eficacia en la investigación de incidentes. Este kit incluye la utilidad de línea de comandos LECmd, que está diseñada para analizar archivos LNK.

La cantidad de datos sobre el archivo LNK analizado que muestra esta utilidad es simplemente sorprendente.

Información extraída del archivo LNK analizado por la utilidad LECmd:




recomendaciones


Los archivos LNK son uno de los artefactos de Windows más antiguos conocidos por la informática forense. Sin embargo, se utiliza en ataques de piratas informáticos, y su investigación no debe olvidarse al investigar incidentes de seguridad de la información.

Una gran cantidad de programas informáticos forenses admiten, en un grado u otro, el análisis de este artefacto de Windows. Sin embargo, no todos muestran el contenido de los campos de la etiqueta, cuyo análisis es necesario durante la investigación. Por lo tanto, debe abordar cuidadosamente la elección de herramientas de software que recaerán en la contratación de un especialista que investigue incidentes.

PD Vaya al canal de Telegram lleno de acción del Grupo IB (https://t.me/Group_IB/) sobre seguridad de la información, piratas informáticos y ataques cibernéticos, piratas de Internet, piratería de cuentas de estrellas y filtraciones. Además de fotos y videos exclusivos con la detención de ciberdelincuentes, investigando crímenes sensacionalistas paso a paso, casos prácticos utilizando tecnologías del Grupo IB y, por supuesto, recomendaciones sobre cómo evitar convertirse en una víctima en Internet.

Fuentes
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), « », , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles