Get best of the week

有毒的Windows快捷方式:一种旧的工件,未被黑客遗忘,但部分被取证人员遗忘


在之前的一篇文章中,我们讨论了诸如Windows 10时间线之类的取证工具,用于分析它的实用程序以及在调查事件时可以从中提取哪些信息。今天我们将讨论Windows快捷方式。IB计算机取证小组实验室的专家Igor Mikhailov讲述了在哪种攻击中使用了这些攻击以及如何检测此类文件。

LNK文件(Windows快捷方式,快捷方式文件)是服务文件,通常在用户打开文件时由Windows操作系统自动创建。Windows使用它们来快速访问特定文件。同样,例如,为了方便,用户可以手动创建部分LNK文件。

桌面快捷方式:


LNK文件的位置


传统上,大多数LNK文件通过以下方式定位:
对于
Windows 7 — Windows 10 操作系统		C:\ Users \%用户配置文件%\ AppData \漫游\ Microsoft \ Windows \最近
对于
Windows XP操作系统		C:\文档和设置\%用户个人资料%\最近

但是,研究人员在许多其他地方可以找到LNK文件:

  • 在桌面上(通常这些快捷方式是由用户创建的,用于快速访问文档和应用程序);
  • 对于在Microsoft Office中打开的文档,LNK文件位于以下路径:C:\ Users \%Userprofile%\ AppData \ Roaming \ Microsoft \ Office \ Recent \(对于Windows 7-Windows 10操作系统);
  • 有时,用户会通过电子邮件发送标签,而不是文档,然后收件人会下载它们。因此,找到快捷方式的第三位是C:\ Users \%Userprofile%\ Downloads目录(对于Windows 7-Windows 10操作系统);
  • 启动目录中
  • 等等

最近 目录中的快捷方式


快捷内容


在Microsoft发布有关LNK文件格式的信息之前[1],研究人员尝试独立描述这种格式[2,3]。研究的复杂性在于不同的标签包含不同的信息。从快捷方式切换到快捷方式时,其中包含的有关特定文件的信息量可能会发生变化。此外,在Windows 10中,新字段出现在LNK文件中,而在以前的操作系统版本中则没有。

那么,LNK文件包含哪些信息?Belkasoft证据中心显示三个部分,其中包含有关LNK文件的信息:MetadataOriginFile元数据

部分


元数据 部分中显示的最重要信息

  • 文件的源路径及其时间戳(完整路径,对目标文件的访问时间(UTC),创建目标文件的时间(UTC),修改目标文件的时间(UTC))。
  • 驱动器类型;
  • 卷序列号(驱动器序列号);
  • 体积标识
  • NetBIOS设备名称;
  • 目标文件大小(字节)-与标签关联的文件的大小。

在上面的屏幕截图中,有Droid文件Original Droid文件的字段DROID(数字记录对象标识)-单个文件配置文件。链接跟踪服务可以使用此结构(机器人文件)来确定文件是否已被复制或移动。

断面来源


文件 部分


在“ 文件”部分中,给出了在其上创建快捷方式的设备MAC地址。此信息可以帮助识别在其上创建文件的设备。

请注意,LNK文件中记录的设备的MAC地址可能与实际的MAC地址不同。因此,该参数有时不可靠。

在进行研究时,您应注意LNK文件的时间戳,因为通常它的创建时间与用户创建此文件的时间或首次访问与此快捷方式相关联的文件的时间相对应。文件修改时间通常对应于上次访问与快捷方式相关联的文件的时间。

LNK文件恢复


如上所述,最近”目录包含最多149个LNK文件。删除我们需要的快捷方式时该怎么办?当然,您需要尝试将其还原!可以使用文件头签名十六进制4C 00 00 00还原LNK文件

要设置文件标题,您需要转到程序菜单:工具 - 设置,转到“ 雕刻”选项卡,单击“ 添加”按钮并创建一个新签名。你可以阅读更多有关使用中Belkasoft证据中心雕刻方法的文章 “雕刻及其在数字取证实现” [4]。

添加自定义签名(标题):


攻击者在信息安全事件中使用LNK文件


每台Windows计算机都可以有成千上万的快捷方式。因此,找到攻击者用来破坏计算机的捷径通常并不比大海捞针容易。

破坏被攻击系统


超过90%的恶意软件是通过电子邮件传播的。通常,恶意电子邮件包含指向网络资源的链接或专门准备的文档,打开后,恶意程序会下载到用户的计算机上。另外,黑客攻击经常使用LNK文件。恶意LNK文件元数据

部分


通常,此类LNK文件包含一个PowerShell代码,当用户尝试打开发送给他的快捷方式时,将执行该代码。如您在上面的屏幕截图中所见,可以使用Belkasoft证据中心轻松检测到此类快捷方式:元数据包含可执行文件powershell.exe的路径参数”字段显示PowerShell命令的参数和编码的有效负载。

保护受损的系统


在黑客攻击中使用LNK文件的方法之一是在受感染的系统中修复。为了在每次操作系统启动时启动“恶意软件”,您可以创建一个LNK文件,该文件具有指向恶意程序的可执行文件(或例如包含引导加载程序代码的文件)的链接,并将快捷方式放置在C:\ Users \%Userprofile% \ AppData \漫游\ Microsoft \ Windows \开始菜单\程序\启动。然后,在操作系统启动时,“恶意软件”将启动。这些快捷方式可以在Belkasoft证据中心的“ 文件系统”选项卡中找到启动时的

快捷方式PhonerLite.lnk


浏览LNK文件


LNK文件是一种法医工件,在探索Windows操作系统的旧版本时,法医已对其进行了分析。因此,几乎所有的取证分析程序都以某种方式支持对这些文件的分析。但是,随着Windows的发展,快捷方式文件也随之发展。现在它们中有一些字段,以前认为不宜对其进行显示,因此,某些取证程序不会显示这些字段。此外,对这些字段的内容的分析与信息安全事件和黑客攻击的调查有关。

要研究LNK文件,我们建议使用Belkasoft证据中心,AXIOM(电磁取证)和LECmd(Eric Zimmerman的工具)。这些程序使您可以快速分析位于被研究计算机上的所有快捷方式文件,并隔离需要更彻底分析的那些文件。

使用Belkasoft证据中心浏览LNK文件


由于实际上以上给出的所有示例都是使用Belkasoft证据中心编写的,因此对其进行进一步描述是没有意义的。

使用AXIOM探索LNK文件


AXIOM当前是用于计算机取证的顶级取证工具之一。程序收集的有关位于调查中的Windows系统中的快捷方式文件的信息在“ 操作系统”部分中进行了分组


显示特定标签的字段值:


从上面的屏幕截图可以看出,启动PowerShell的命令以及当用户单击快捷方式时将执行的一组指令已集成到程序检测到的快捷方式中。这样的标签需要研究人员的额外分析。

使用LECmd探索LNK文件


Eric Zimmerman的工具实用程序套件在调查事件方面证明了自己。该套件包括LECmd命令行实用程序,该实用程序旨在解析LNK文件。

该实用程序显示的有关已分析LNK文件的数据量简直令人惊讶。

LECmd实用程序从分析的LNK文件中提取的信息:




发现


LNK文件是计算机取证已知的最古老的Windows工件之一。但是,它用于黑客攻击,在调查信息安全事件时不应忘记对其进行调查。

大量的计算机取证程序在某种程度上支持对此Windows工件的分析。但是,并非全部显示标签字段的内容,因此在调查过程中必须进行分析。因此,您应该谨慎地选择软件工具的选择,这将属于征聘专家调查事件的范围。

PS转到Group-IB的动感十足的电报频道(https://t.me/Group_IB/),以了解信息安全,黑客和网络攻击,互联网盗版,黑客之星帐户和漏洞。以及拘留网络犯罪分子的独家照片和视频,逐步调查耸人听闻的犯罪,使用Group-IB技术的实际案例,当然还有关于如何避免成为互联网受害者的建议。

资料来源
  1. [MS-SHLLINK]: Shell Link (.LNK) Binary File Format
  2. Windows Shortcut File format specification
  3. .., .., .., .. - (- ), « », , 2007.
  4. Igor Mikaylov. Carving and its Implementations in Digital Forensics

More articles:


All Articles