Get best of the week

Raccourcis Windows toxiques: un ancien artefact non oublié par les pirates, mais partiellement oublié par la criminalistique


Dans l'un de nos articles précédents, nous avons parlé d'un artefact médico-légal tel que la chronologie de Windows 10, des utilitaires pour l'analyser et des informations qui peuvent en être extraites lors de l'enquête sur les incidents. Aujourd'hui, nous allons parler des raccourcis Windows. Igor Mikhailov, spécialiste du Laboratoire de criminalistique informatique Group-IB , explique dans quelles attaques elles sont utilisées et comment détecter de tels fichiers.

Les fichiers LNK (raccourcis Windows, fichiers de raccourcis) sont des fichiers de service qui sont généralement créés automatiquement par le système d'exploitation Windows lorsqu'un utilisateur ouvre des fichiers. Windows les utilise pour un accès rapide à un fichier spécifique. De plus, une partie des fichiers LNK peut être créée manuellement par l'utilisateur, par exemple, pour plus de commodité.

Raccourcis de bureau:


Emplacement des fichiers LNK


Traditionnellement, la majorité des fichiers LNK se trouvent des manières suivantes:
Pour
Windows 7 - Systèmes d'exploitation Windows 10		C: \ Users \% Profil utilisateur% \ AppData \ Roaming \ Microsoft \ Windows \ Recent
Pour le système d'exploitation
Windows XP		C: \ Documents and Settings \% Profil utilisateur% \ Récent

Cependant, il existe de nombreux autres endroits où un chercheur peut trouver des fichiers LNK:

  • sur le bureau (généralement ces raccourcis sont créés par les utilisateurs pour un accès rapide aux documents et applications);
  • pour les documents ouverts dans Microsoft Office, les fichiers LNK se trouvent sur le chemin: C: \ Users \% Profil utilisateur% \ AppData \ Roaming \ Microsoft \ Office \ Recent \ (pour les systèmes d'exploitation Windows 7 - Windows 10);
  • parfois, au lieu de documents, les utilisateurs envoient des étiquettes par e-mail et, en conséquence, les destinataires les téléchargent. Par conséquent, le troisième emplacement où se trouvent les raccourcis est le répertoire C: \ Users \% User profile% \ Downloads (pour les systèmes d'exploitation Windows 7 - Windows 10);
  • dans le répertoire de démarrage
  • etc.

Raccourcis dans le répertoire récent :


Contenu de raccourci


Avant que Microsoft ne publie des informations sur le format des fichiers LNK [1], les chercheurs ont tenté de décrire indépendamment ce format [2, 3]. La complexité de la recherche était que différentes étiquettes contiennent des informations différentes. Et lorsque vous passez d'un raccourci à un raccourci, la quantité d'informations qu'il contient sur un fichier particulier peut changer. De plus, dans Windows 10, de nouveaux champs sont apparus dans les fichiers LNK, qui n'étaient pas dans les versions précédentes du système d'exploitation.

Alors, quelles informations contient le fichier LNK? Belkasoft Evidence Center affiche trois sections avec des informations sur le fichier LNK: métadonnées , origine et fichier .

Section des métadonnées :


Les informations les plus importantes présentées dans la section Métadonnées :

  • le chemin source du fichier et ses horodatages (chemin complet, heure d'accès au fichier cible (UTC), heure de création du fichier cible (UTC), heure de modification du fichier cible (UTC)).
  • type de lecteur;
  • numéro de série du volume (numéro de série du lecteur);
  • étiquette de volume
  • Nom du périphérique NetBIOS;
  • taille de fichier cible (octets) - la taille du fichier auquel l'étiquette est associée.

Dans la capture d'écran ci-dessus, il y a les champs du fichier Droid et du fichier Droid d'origine . DROID (Digital Record Object Identification) - un profil de fichier individuel. Cette structure (fichier droid) peut être utilisée par le service de suivi des liens pour déterminer si le fichier a été copié ou déplacé. Origine de la

section :


Section des fichiers :


Dans la section Fichier , l' adresse MAC de l'appareil sur lequel le raccourci a été créé est indiquée. Ces informations peuvent aider à identifier le périphérique sur lequel le fichier a été créé.

Il convient de noter que l'adresse MAC de l'appareil enregistrée dans le fichier LNK peut différer de la vraie. Par conséquent, ce paramètre n'est parfois pas fiable.

Lors de la recherche, vous devez faire attention aux horodatages du fichier LNK, car l'heure de sa création, en règle générale, correspond soit à l'heure à laquelle l'utilisateur a créé ce fichier, soit à l'heure du premier accès au fichier associé à ce raccourci. L'heure de modification du fichier correspond généralement à l'heure du dernier accès au fichier auquel le raccourci est associé.

Récupération de fichier LNK


Le répertoire récent , décrit ci-dessus, contient jusqu'à 149 fichiers LNK. Que faire lorsque le raccourci dont nous avons besoin est supprimé? Bien sûr, vous devez essayer de le restaurer! Les fichiers LNK peuvent être restaurés à l'aide de l' hex de signature d'en-tête de fichier : 4C 00 00 00 .

Pour définir le titre du fichier, vous devez aller dans le menu du programme: Outils - Paramètres , allez dans l'onglet Sculpture , cliquez sur le bouton Ajouter et créez une nouvelle signature. Vous pouvez en savoir plus sur les méthodes de sculpture à l'aide de Belkasoft Evidence Center dans l' article «Sculpture et ses implémentations en criminalistique numérique» [4].

Ajout d'une signature personnalisée (en-tête):


L'utilisation de fichiers LNK par des attaquants dans des incidents de sécurité de l'information


Chaque ordinateur Windows peut avoir des centaines et des milliers de raccourcis. Par conséquent, trouver un raccourci utilisé par les attaquants pour compromettre un ordinateur n'est souvent pas plus facile qu'une aiguille dans une botte de foin.

Compromis du système attaqué


Plus de 90% des logiciels malveillants se propagent par e-mail. En règle générale, les e-mails malveillants contiennent soit un lien vers une ressource réseau, soit un document spécialement préparé, lorsqu'ils sont ouverts, des programmes malveillants sont téléchargés sur l'ordinateur de l'utilisateur. En outre, les attaques de pirates utilisent souvent des fichiers LNK.

Section des métadonnées du fichier LNK malveillant:


En règle générale, un tel fichier LNK contient un code PowerShell qui est exécuté lorsqu'un utilisateur tente d'ouvrir un raccourci qui lui est envoyé. Comme vous pouvez le voir sur la capture d'écran ci-dessus, ces raccourcis peuvent être facilement détectés à l'aide de Belkasoft Evidence Center: les métadonnées contiennent le chemin d'accès à l'exécutable powershell.exe . Le champ Arguments affiche les arguments de la commande PowerShell et la charge utile codée.

Sécuriser un système compromis


L'une des méthodes d'utilisation des fichiers LNK dans les attaques de pirates consiste à corriger dans un système compromis. Pour qu'un «malware» soit lancé à chaque démarrage du système d'exploitation, vous pouvez créer un fichier LNK avec un lien vers le fichier exécutable du programme malveillant (ou, par exemple, un fichier contenant le code du chargeur de démarrage) et placer un raccourci sur C: \ Users \% User profile% \ AppData \ Roaming \ Microsoft \ Windows \ Menu Démarrer \ Programmes \ Démarrage. Ensuite, au démarrage du système d'exploitation, le «malware» démarre. Ces raccourcis se trouvent dans l'onglet Système de fichiers de Belkasoft Evidence Center.

Raccourci PhonerLite.lnk au démarrage:


Explorer les fichiers LNK


Les fichiers LNK sont un artefact médico-légal qui a été analysé par des scientifiques médico-légaux tout en explorant les anciennes versions du système d'exploitation Windows. Par conséquent, d'une manière ou d'une autre, l'analyse de ces fichiers est prise en charge par presque tous les programmes d'analyse judiciaire. Cependant, à mesure que Windows évoluait, les fichiers de raccourcis évoluaient également. Maintenant, ils contiennent des champs, dont l'affichage était auparavant considéré comme inapproprié, et, par conséquent, certains programmes médico-légaux n'affichent pas ces champs. De plus, l'analyse du contenu de ces champs est pertinente pour enquêter sur les incidents de sécurité de l'information et les attaques de pirates.

Pour étudier les fichiers LNK, nous vous recommandons d'utiliser Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (outils d'Eric Zimmerman). Ces programmes vous permettent d'analyser rapidement tous les fichiers de raccourcis situés sur l'ordinateur étudié et d'isoler ceux qui doivent être analysés de manière plus approfondie.

Explorer les fichiers LNK avec Belkasoft Evidence Center


Étant donné que pratiquement tous les exemples ci-dessus ont été préparés à l'aide du Belkasoft Evidence Center, il est inutile de le décrire davantage.

Explorer les fichiers LNK avec AXIOM


AXIOM est actuellement l'un des meilleurs outils médico-légaux pour la criminalistique informatique. Les informations collectées par le programme sur les fichiers de raccourcis situés dans le système Windows sous enquête sont regroupées dans la section Système d' exploitation :


Valeur de champ affichée pour une étiquette spécifique:


Comme le montre la capture d'écran ci-dessus, une commande pour lancer PowerShell et un ensemble d'instructions qui seront exécutées lorsque l'utilisateur clique sur le raccourci sont intégrés dans le raccourci détecté par le programme. Une telle étiquette nécessite une analyse supplémentaire de la part du chercheur.

Explorer les fichiers LNK avec LECmd


La suite utilitaire d'outils d'Eric Zimmerman a fait ses preuves dans les enquêtes sur les incidents. Ce kit comprend l'utilitaire de ligne de commande LECmd, qui est conçu pour analyser les fichiers LNK.

La quantité de données sur le fichier LNK analysé que cet utilitaire affiche est tout simplement incroyable.

Informations extraites du fichier LNK analysé par l'utilitaire LECmd:




résultats


Les fichiers LNK sont l'un des plus anciens artefacts Windows connus de la criminalistique informatique. Cependant, il est utilisé dans les attaques de pirates, et son enquête ne doit pas être oubliée lors des enquêtes sur les incidents de sécurité des informations.

Un grand nombre de programmes de criminalistique informatique prennent en charge, à un degré ou à un autre, l'analyse de cet artefact Windows. Cependant, tous n'affichent pas le contenu des champs d'étiquette, dont l'analyse est nécessaire pendant l'enquête. Par conséquent, vous devez soigneusement aborder le choix des outils logiciels qui relèveront du recrutement d'un spécialiste enquêtant sur les incidents.

PS Accédez à la chaîne Telegram bourrée d'action du groupe IB (https://t.me/Group_IB/) sur la sécurité des informations, les pirates et les cyberattaques, les pirates Internet, le piratage des comptes étoiles et les fuites. Ainsi que des photos et des vidéos exclusives avec la détention de cybercriminels, enquêter pas à pas sur les crimes sensationnels, des cas pratiques utilisant les technologies du Groupe IB et, bien sûr, des recommandations sur la façon d'éviter de devenir une victime sur Internet.

Sources
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), « », , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles