Get best of the week

Pintasan Windows Beracun: artefak lama yang tidak dilupakan oleh peretas, tetapi sebagian dilupakan oleh forensik


Dalam artikel sebelumnya, kita berbicara tentang artefak forensik seperti Windows 10 Timeline, utilitas untuk menganalisisnya dan informasi apa yang dapat diekstraksi darinya ketika menyelidiki insiden. Hari ini kita akan berbicara tentang cara pintas Windows. Igor Mikhailov, seorang spesialis di Laboratorium Computer Forensics Group-IB , memberi tahu di mana serangan mereka digunakan dan bagaimana mendeteksi file tersebut.

File LNK (cara pintas windows, file jalan pintas) adalah file layanan yang biasanya secara otomatis dibuat oleh sistem operasi Windows ketika pengguna membuka file. Windows menggunakannya untuk akses cepat ke file tertentu. Selain itu, bagian dari file LNK dapat dibuat secara manual oleh pengguna, misalnya, untuk kenyamanan.

Pintasan desktop:


Lokasi file LNK


Secara tradisional, sebagian besar file LNK terletak dengan cara berikut:
Untuk
Windows 7 - Sistem Operasi Windows 10		C: \ Users \% Profil pengguna% \ AppData \ Roaming \ Microsoft \ Windows \ Recent
Untuk sistem operasi
Windows XP		C: \ Documents and Settings \% Profil pengguna% \ Recent

Namun, ada banyak tempat lain di mana peneliti dapat menemukan file LNK:

  • pada desktop (biasanya pintasan ini dibuat oleh pengguna untuk akses cepat ke dokumen dan aplikasi);
  • untuk dokumen yang dibuka di Microsoft Office, file LNK berada di jalur: C: \ Users \% Profil pengguna% \ AppData \ Roaming \ Microsoft \ Office \ Recent \ (untuk sistem operasi Windows 7 - Windows 10);
  • terkadang alih-alih dokumen, pengguna mengirim label melalui email, dan, oleh karena itu, penerima mengunduhnya. Oleh karena itu, tempat ketiga tempat pintasan ditemukan adalah direktori C: \ Users \% User profile% \ Downloads (untuk sistem operasi Windows 7 - Windows 10);
  • di direktori Startup
  • dll.

Pintasan di direktori Terbaru :


Konten pintasan


Sebelum Microsoft menerbitkan informasi tentang format file LNK [1], para peneliti melakukan upaya untuk menggambarkan format ini secara mandiri [2, 3]. Kompleksitas penelitian adalah label yang berbeda mengandung informasi yang berbeda. Dan ketika beralih dari pintasan ke pintasan, jumlah informasi yang terkandung di dalamnya tentang file tertentu dapat berubah. Selain itu, di Windows 10, bidang baru muncul di file LNK, yang tidak ada dalam versi sistem operasi sebelumnya.

Jadi, informasi apa yang terkandung dalam file LNK? Belkasoft Evidence Center menampilkan tiga bagian dengan informasi tentang file LNK: Metadata , Asal dan File .

Bagian Metadata :


Informasi paling penting yang disajikan di bagian Metadata :

  • jalur file sumber dan cap waktu (jalur penuh, waktu akses ke file target (UTC), waktu untuk membuat file target (UTC), waktu untuk memodifikasi file target (UTC)).
  • jenis drive;
  • nomor seri volume (nomor seri drive);
  • label volume
  • Nama perangkat NetBIOS;
  • ukuran file target (byte) - ukuran file yang terkait dengan label.

Pada tangkapan layar di atas, ada bidang file Droid dan file Droid Asli . DROID (Digital Record Object Identification) - profil file individual. Struktur ini (file droid) dapat digunakan oleh Layanan Pelacakan Tautan untuk menentukan apakah file tersebut telah disalin atau dipindahkan.

Bagian asal :


Bagian File :


Di bagian File , alamat MAC perangkat tempat pintasan dibuat diberikan. Informasi ini dapat membantu mengidentifikasi perangkat tempat file itu dibuat.

Perlu dicatat bahwa alamat MAC perangkat yang direkam dalam file LNK mungkin berbeda dari yang asli. Karena itu, parameter ini terkadang tidak dapat diandalkan.

Saat melakukan penelitian, Anda harus memperhatikan stempel waktu dari file LNK, karena waktu pembuatannya, sebagai aturan, sesuai dengan waktu pengguna membuat file ini atau waktu akses pertama ke file yang terkait dengan pintasan ini. Waktu modifikasi file biasanya sesuai dengan waktu akses terakhir ke file yang terkait dengan jalan pintas.

Pemulihan file LNK


Direktori terkini , yang dijelaskan di atas, berisi hingga 149 file LNK. Apa yang harus dilakukan ketika pintasan yang kita butuhkan dihapus? Tentu saja, Anda perlu mencoba mengembalikannya! File LNK dapat dipulihkan dengan menggunakan hex signature file header : 4C 00 00 00 .

Untuk mengatur judul file, Anda harus pergi ke menu program: Tools - Settings , pergi ke tab Carving , klik tombol Add dan buat tanda tangan baru. Anda dapat membaca lebih lanjut tentang metode ukiran menggunakan Belkasoft Evidence Center di artikel โ€œUkiran dan Implementasinya dalam Forensik Digitalโ€ [4].

Menambahkan tanda tangan khusus (tajuk):


Penggunaan file LNK oleh penyerang dalam insiden keamanan informasi


Setiap komputer Windows dapat memiliki ratusan dan ribuan pintasan. Oleh karena itu, menemukan jalan pintas yang digunakan oleh penyerang untuk kompromi komputer sering kali tidak lebih mudah daripada jarum di tumpukan jerami.

Kompromi dari sistem yang diserang


Lebih dari 90% malware menyebar melalui email. Sebagai aturan, email jahat mengandung tautan ke sumber daya jaringan atau dokumen yang disiapkan khusus, ketika dibuka, program jahat diunduh ke komputer pengguna. Juga, serangan hacker sering menggunakan file LNK.

Bagian metadata file LNK berbahaya:


Sebagai aturan, file LNK tersebut berisi kode PowerShell yang dieksekusi ketika pengguna mencoba membuka pintasan yang dikirimkan kepadanya. Seperti yang Anda lihat pada tangkapan layar di atas, pintasan seperti itu dapat dengan mudah dideteksi menggunakan Belkasoft Evidence Center: metadata berisi lintasan ke powershell.exe yang dapat dieksekusi . Bidang Argumen menunjukkan argumen ke perintah PowerShell dan payload yang disandikan.

Mengamankan sistem yang dikompromikan


Salah satu metode menggunakan file LNK dalam serangan hacker adalah memperbaiki dalam sistem yang dikompromikan. Agar "malware" diluncurkan setiap kali sistem operasi dijalankan, Anda dapat membuat file LNK dengan tautan ke file yang dapat dieksekusi dari program jahat (atau, misalnya, file yang berisi kode bootloader) dan menempatkan pintasan di C: \ Users \% Profil pengguna% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Kemudian, pada awal sistem operasi, "malware" akan mulai. Cara pintas seperti itu dapat ditemukan di tab Sistem File di Belkasoft Evidence Center.

Shortcut PhonerLite.lnk saat startup:


Menjelajahi File LNK


File LNK adalah artefak forensik yang telah dianalisis oleh para ilmuwan forensik sambil menjelajahi versi kuno sistem operasi Windows. Oleh karena itu, dengan satu atau lain cara, analisis file-file ini didukung oleh hampir semua program analisis forensik. Namun, ketika Windows berevolusi, file pintas juga berevolusi. Sekarang ada bidang di dalamnya, tampilan yang sebelumnya dianggap tidak pantas, dan, karenanya, beberapa program forensik tidak menampilkan bidang ini. Selain itu, analisis isi bidang ini relevan dalam penyelidikan insiden keamanan informasi dan serangan hacker.

Untuk mempelajari file LNK, sebaiknya gunakan Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (alat Eric Zimmerman). Program-program ini memungkinkan Anda untuk dengan cepat menganalisis semua file pintasan yang terletak di komputer yang sedang dipelajari, dan mengisolasi mereka yang perlu dianalisis secara lebih menyeluruh.

Menjelajahi File LNK dengan Belkasoft Evidence Center


Karena hampir semua contoh yang diberikan di atas disiapkan menggunakan Belkasoft Evidence Center, tidak ada gunanya menggambarkannya lebih lanjut.

Menjelajahi File LNK dengan AXIOM


AXIOM saat ini adalah salah satu alat forensik teratas untuk forensik komputer. Informasi yang dikumpulkan oleh program tentang file pintasan yang terletak di sistem Windows yang sedang diselidiki dikelompokkan dalam bagian Sistem operasi :


Nilai bidang ditampilkan untuk label tertentu:


Seperti yang dapat dilihat dari tangkapan layar di atas, perintah untuk meluncurkan PowerShell dan serangkaian instruksi yang akan dieksekusi ketika pengguna mengklik pintasan diintegrasikan ke dalam pintasan yang terdeteksi oleh program. Label semacam itu membutuhkan analisis tambahan dari peneliti.

Menjelajahi File LNK dengan LECmd


Perangkat utilitas Eric Zimmerman telah membuktikan dirinya dalam menyelidiki insiden. Kit ini termasuk utilitas baris perintah LECmd, yang dirancang untuk mem-parsing file LNK.

Jumlah data tentang file LNK yang dianalisis yang ditampilkan utilitas ini sungguh menakjubkan.

Informasi yang diekstrak dari file LNK yang dianalisis oleh utilitas LECmd:




temuan


File LNK adalah salah satu artefak Windows tertua yang dikenal sebagai forensik komputer. Namun, ini digunakan dalam serangan hacker, dan investigasinya tidak boleh dilupakan ketika menyelidiki insiden keamanan informasi.

Sejumlah besar program forensik komputer mendukung, hingga taraf tertentu, analisis artefak Windows ini. Namun, tidak semua dari mereka menampilkan isi dari bidang label, analisis yang diperlukan selama penyelidikan. Oleh karena itu, Anda harus secara hati-hati mendekati pilihan alat perangkat lunak yang akan jatuh ke dalam rekrutmen insiden investigasi spesialis.

PS Pergi ke saluran Telegram Group-IB yang penuh aksi (https://t.me/Group_IB/) tentang keamanan informasi, peretas dan serangan cyber, perompak internet, peretasan akun bintang dan kebocoran. Serta foto dan video eksklusif dengan penahanan penjahat dunia maya, menyelidiki kejahatan sensasional langkah demi langkah, kasus-kasus praktis menggunakan teknologi Group-IB dan, tentu saja, rekomendasi tentang bagaimana menghindari menjadi korban di Internet.

Sumber
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), ยซ ยป, , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles