事件背景
LNK文件,以快捷方式为人们所熟知,此类文件的初衷是提供快捷、方便的索引和查找,与之相似用途的还有软连接等文件形式,同时该文件支持自定义参数、自定义图标等操作。正因为有以上属性,LNK文件被很多黑客精心构造图标、参数之后,成为了欺骗受害者执行恶意程序的利器,带来的危害不可忽视,因此MITRE ATT&CK标识此类攻击战术为Shortcut Modification(T1023)。
基本知识
1
LNK基本格式
“LNK”文件格式最早于2010年7月被微软公开(1.0),此后经过持续不断的更新,到2018年9月止,已经更新到了5.0版本。
“LNK”文件格式全称是“The Shell Link Binary File Format”,该文件遵循“ABNF”(一种通用互联网规范[RFC5234])规范,主要由五个部分组成,即:
之所以被称为“伪装大师”,主要是因为首先“.lnk”后缀即使勾选显示已知后缀名也会自动隐藏,并且LNK文件可以使用本地所有的程序图标进行伪装,对于没有安装任何终端防护程序的用户来说极其危险。
作为一个分析人员,我们关注的点是执行的功能和追溯,因此重点解析上面五个结构中的三个,LINKTARGET_IDLIST、STRING_DATA和EXTRA_DATA。下面使用010Editor对指定结构的数据进行简要说明。
LINKTARGET_IDLIST
LINKTARGET_IDLIST,用于指定link的目标是谁,一般来说包含了目标的绝对地址,下图是一个标准的例子,我们可以很清晰的看到目标程序是“windbg.exe”:
STRING_DATA
STRING_DATA是一个可选数据,根据LNK文件头flag的不同,包含不同的内容,其中最重要的是COMMAND_LINE_ARGUMENTS类型,很多恶意LNK都需要在这里做文章才能触发执行,下图是一个正常的命令行参数:
EXTRA_DATA
EXTRA_DATA包含了一些额外的数据,常见的数据类型如提供额外环境变量的EnvironmentVariableDataBlock数据块等,我们比较关心生成者PC的相关数据,这一部分存储在TrackerDataBlock数据块中,并且默认附加在常规LNK中。
LNK的滥用
2
下载执行型
下载执行类型滥用,最常见的是一些使用系统自带命令远程获取后续载荷,下载后进行本地执行操作,如msi下载并执行载荷:
也有使用cmd启动powershell执行下载后续载荷的用法:
Darkhotel组织使用过下载执行类的LNK进行样本投递,很多商业木马甚至勒索病毒也会大量滥用此方法进行传播和感染,是LNK类型滥用中最常见的一种手法,并且在安恒情报中心上捕获数量也是最多。
额外数据追加型
利用LNK执行之后将尾部追加数据进行释放和解析执行,明显能感知到LNK大小异常:
Mustang Panda常用的一种手法就是使用内置hta文件执行js脚本:
使用此类型LNK进行投递的组织还有APT29,APT32等。
漏洞利用型
比较常见的漏洞利用有CVE-2010-2568,CVE-2015-0096,CVE-2017-8464等,但是由于漏洞的触发有版本要求,不具备通用新,且大多数为蠕虫使用,所以在这里不进行展开描述。
LNK与取证分析
3
首先,针对恶意的LNK类型文件,可以给我们提供如LNK滥用方式,创建LNK的主机信息(如MAC,磁盘串号,主机名)等信息,这些信息对于追溯样本投递者来源和追踪同源样本来说十分有益,一个具体的例子是我们曾使用相同生成者名称关联到同源的“海莲花”LNK样本,从而实现了对一定时间内该组织样本演化进行描述:
其次,对于分析取证来说,我们可能在最近使用的项目中发现一些端倪。假设用户点击了某钓鱼邮件附件,那么我们可以根据大致的时间点对Recent中的LNK文件进行调查,该LNK文件保存了点击时恶意文件的一些基本信息,如创建时间、文件大小、文件名等,配合Everything等工具,我们可以实现即使样本自身移动也能进行快速定位,当客户只能给出大致感染时间点但是不知道做了什么操作的情况下十分有效。
如何防御
4
安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或LNK类型威胁,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
安恒威胁情报检测平台( TIDP — Threat Intelligence Detection Platform ),一款由威胁情报数据驱动,对网络流量进行实时分析和检测,对可疑网络行为进行告警,旨在全方位发现失陷主机、从海量攻击事件中识别针对性攻击的网络流量检测产品。
参考链接
LNK解析脚本:
https://www.sweetscape.com/010editor/repository/templates/file_info.phpfile=LNK.bt&type=0&sort=
微软官网LNK格式文档:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/747629b3-b5be-452a-8101-b9a2ec49978c
往期精选
围观
摘取工业安全之冠,安恒信息斩获首个全球工业互联网大奖“湛卢奖”
热文
朝鲜黑客组织Kimsuky——“智囊团”
热文
国内某知名数字货币交易机构相关人员被定向攻击