Get best of the week

Atalhos tóxicos do Windows: um artefato antigo não esquecido pelos hackers, mas parcialmente esquecido pelos forenses


Em um de nossos artigos anteriores, falamos sobre um artefato forense como o Windows 10 Timeline, utilitários para analisá-lo e quais informações podem ser extraídas dele ao investigar incidentes. Hoje falaremos sobre atalhos do Windows. Igor Mikhailov, especialista no Laboratório de Computação Forense do Grupo-IB , conta em quais ataques são usados ​​e como detectar esses arquivos.

Arquivos LNK (atalhos do Windows, arquivos de atalho) são arquivos de serviço que geralmente são criados automaticamente pelo sistema operacional Windows quando um usuário abre arquivos. O Windows os utiliza para acesso rápido a um arquivo específico. Além disso, parte dos arquivos LNK pode ser criada manualmente pelo usuário, por exemplo, por conveniência.

Atalhos da área de trabalho:


Localização dos arquivos LNK


Tradicionalmente, a maioria dos arquivos LNK está localizada das seguintes maneiras:
Para
Windows 7 - Sistemas operacionais Windows 10		C: \ Users \% Perfil do usuário% \ AppData \ Roaming \ Microsoft \ Windows \ Recent
Para sistema operacional
Windows XP		C: \ Documents and Settings \% Perfil do usuário% \ Recente

No entanto, existem muitos outros lugares onde um pesquisador pode encontrar arquivos LNK:

  • na área de trabalho (geralmente esses atalhos são criados pelos usuários para acesso rápido a documentos e aplicativos);
  • para documentos abertos no Microsoft Office, os arquivos LNK estão localizados no caminho: C: \ Usuários \% Perfil do usuário% \ AppData \ Roaming \ Microsoft \ Office \ Recent \ (para sistemas operacionais Windows 7 - Windows 10);
  • às vezes, em vez de documentos, os usuários enviam etiquetas por email e, consequentemente, os destinatários fazem o download delas. Portanto, o terceiro local onde os atalhos são encontrados é o diretório C: \ Users \% User profile% \ Downloads (para sistemas operacionais Windows 7 - Windows 10);
  • no diretório Inicialização
  • etc.

Atalhos no diretório Recente :


Conteúdo de atalho


Antes da Microsoft publicar informações sobre o formato dos arquivos LNK [1], os pesquisadores tentaram descrever independentemente esse formato [2, 3]. A complexidade da pesquisa foi que rótulos diferentes contêm informações diferentes. E ao alternar de atalho para atalho, a quantidade de informações contidas nele sobre um arquivo específico pode ser alterada. Além disso, no Windows 10, novos campos apareceram nos arquivos LNK, que não estavam nas versões anteriores do sistema operacional.

Então, quais informações o arquivo LNK contém? O Belkasoft Evidence Center exibe três seções com informações sobre o arquivo LNK: Metadados , Origem e Arquivo .

Seção de Metadados :


As informações mais importantes apresentadas na seção Metadados :

  • o caminho de origem do arquivo e seus carimbos de data / hora (caminho completo, tempo de acesso ao arquivo de destino (UTC), tempo para criar o arquivo de destino (UTC), tempo para modificar o arquivo de destino (UTC)).
  • tipo de unidade;
  • número de série do volume (número de série da unidade);
  • rótulo de volume
  • Nome do dispositivo NetBIOS;
  • tamanho do arquivo de destino (bytes) - o tamanho do arquivo ao qual o rótulo está associado.

Na captura de tela acima, existem os campos do arquivo Droid e do arquivo Droid Original . DROID (Identificação de objeto de registro digital) - um perfil de arquivo individual. Essa estrutura (arquivo droid) pode ser usada pelo Link Tracking Service para determinar se o arquivo foi copiado ou movido. Origem da

seção :


Seção do arquivo :


Na seção Arquivo , é fornecido o endereço MAC do dispositivo no qual o atalho foi criado. Essas informações podem ajudar a identificar o dispositivo no qual o arquivo foi criado.

Deve-se notar que o endereço MAC do dispositivo gravado no arquivo LNK pode ser diferente do endereço real. Portanto, esse parâmetro às vezes não é confiável.

Ao realizar pesquisas, você deve prestar atenção aos carimbos de data e hora do arquivo LNK, pois o horário de sua criação corresponde, geralmente, ao horário em que o usuário criou esse arquivo ou ao horário do primeiro acesso ao arquivo associado a este atalho. A hora da modificação do arquivo geralmente corresponde à hora do último acesso ao arquivo ao qual o atalho está associado.

Recuperação de arquivos LNK


O diretório Recente , descrito acima, contém até 149 arquivos LNK. O que fazer quando o atalho necessário é removido? Claro, você precisa tentar restaurá-lo! Os arquivos LNK podem ser restaurados usando a assinatura do cabeçalho do arquivo hex: 4C 00 00 00 .

Para definir o título do arquivo, vá para o menu do programa: Ferramentas - Configurações , vá para a guia Escultura , clique no botão Adicionar e crie uma nova assinatura. Você pode ler mais sobre métodos de escultura usando o Belkasoft Evidence Center no artigo “Escultura e suas implementações no Digital Forensics” [4].

Adicionando uma assinatura personalizada (cabeçalho):


O uso de arquivos LNK por invasores em incidentes de segurança da informação


Todo computador Windows pode ter centenas e milhares de atalhos. Portanto, encontrar um atalho usado pelos atacantes para comprometer um computador geralmente não é mais fácil do que uma agulha no palheiro.

Compromisso do sistema atacado


Mais de 90% do malware é espalhado por email. Como regra, os emails maliciosos contêm um link para um recurso de rede ou um documento especialmente preparado. Quando abertos, os programas maliciosos são baixados no computador do usuário. Além disso, ataques de hackers costumam usar arquivos LNK.

Seção de metadados de arquivos LNK maliciosos:


Como regra, esse arquivo LNK contém um código do PowerShell que é executado quando um usuário tenta abrir um atalho enviado a ele. Como você pode ver na captura de tela acima, esses atalhos podem ser facilmente detectados usando o Belkasoft Evidence Center: os metadados contêm o caminho para o powershell.exe executável . O campo Arguments mostra os argumentos para o comando PowerShell e a carga útil codificada.

Protegendo um sistema comprometido


Um dos métodos de usar arquivos LNK em ataques de hackers é a correção em um sistema comprometido. Para que o "malware" seja iniciado toda vez que o sistema operacional for iniciado, você pode criar um arquivo LNK com um link para o arquivo executável do programa malicioso (ou, por exemplo, um arquivo que contém o código do carregador de inicialização) e colocar um atalho em C: \ Users \% User profile% \ AppData \ Roaming \ Microsoft \ Windows \ Menu Iniciar \ Programas \ Inicialização. Então, no início do sistema operacional, o "malware" será iniciado. Esses atalhos podem ser encontrados na guia Sistema de arquivos do Belkasoft Evidence Center.

Atalho PhonerLite.lnk na inicialização:


Explorando arquivos LNK


Os arquivos LNK são um artefato forense que foi analisado por cientistas forenses ao explorar versões antigas do sistema operacional Windows. Portanto, de uma maneira ou de outra, a análise desses arquivos é suportada por quase todos os programas de análise forense. No entanto, conforme o Windows evoluiu, os arquivos de atalho também evoluíram. Agora, existem campos neles, cuja exibição foi considerada inadequada anteriormente e, portanto, alguns programas forenses não exibem esses campos. Além disso, a análise do conteúdo desses campos é relevante na investigação de incidentes de segurança da informação e ataques de hackers.

Para estudar os arquivos LNK, recomendamos o uso do Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (ferramentas de Eric Zimmerman). Esses programas permitem analisar rapidamente todos os arquivos de atalho localizados no computador em estudo e isolar aqueles que precisam ser analisados ​​mais detalhadamente.

Explorando arquivos LNK com o Belkasoft Evidence Center


Como praticamente todos os exemplos dados acima foram preparados usando o Belkasoft Evidence Center, não há sentido em descrevê-lo mais.

Explorando arquivos LNK com o AXIOM


Atualmente, o AXIOM é uma das principais ferramentas forenses para computação forense. As informações coletadas pelo programa sobre arquivos de atalho localizados no sistema Windows sob investigação estão agrupadas na seção Sistema operacional :


Valor do campo exibido para um rótulo específico:


Como pode ser visto na captura de tela acima, um comando para iniciar o PowerShell e um conjunto de instruções que serão executadas quando o usuário clicar no atalho são integrados ao atalho detectado pelo programa. Esse rótulo requer análise adicional do pesquisador.

Explorando arquivos LNK com LECmd


A suíte de ferramentas de Eric Zimmerman se provou na investigação de incidentes. Este kit inclui o utilitário de linha de comando LECmd, projetado para analisar arquivos LNK.

A quantidade de dados sobre o arquivo LNK analisado que esse utilitário exibe é simplesmente incrível.

Informações extraídas do arquivo LNK analisado pelo utilitário LECmd:




achados


Os arquivos LNK são um dos artefatos mais antigos do Windows conhecidos pelo forense do computador. No entanto, é usado em ataques de hackers e sua investigação não deve ser esquecida ao investigar incidentes de segurança da informação.

Um grande número de programas forenses de computador suporta, em um grau ou outro, a análise desse artefato do Windows. No entanto, nem todos eles exibem o conteúdo dos campos do rótulo, cuja análise é necessária durante a investigação. Portanto, você deve abordar cuidadosamente a escolha de ferramentas de software que serão incluídas no recrutamento de um especialista em investigação de incidentes.

PS Acesse o canal de Telegram do Grupo-IB (https://t.me/Group_IB/) sobre segurança da informação, hackers e ataques cibernéticos, piratas da Internet, contas de hackers e vazamentos. Além de fotos e vídeos exclusivos com a detenção de criminosos cibernéticos, investigando crimes sensacionais passo a passo, casos práticos usando as tecnologias do Grupo-IB e, é claro, recomendações sobre como evitar ser vítima na Internet.

Fontes
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), « », , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles