构造关联用户搜索的LNK文件研究

在此之前，Forensic的研究人员曾使用LNK快捷方式文件来恢复关于目标用户近期访问文件的元数据，其中包括那些访问过之后就删除的文件。在近期的一次研究过程中，FireEye Mandiant的研究人员遇到了一种能够验证攻击者是否访问目标文件的LNK文件，其中就包括Windows资源管理器中的搜索结果。根据我们的经验，结合上述这两种技术将能够设计出一种全新的取证方式。在这篇文章中，我们将跟大家分享这一个能够更好地映射出攻击者活动的技术。
Windows LNK格式
.lnk后缀是Windows中的一种文件格式，这种代码格式文件包含的信息可以用来访问Windows Shell中的其他数据对象。
LNK快捷方式文件时一种Shell Item类型，当用户通过一个支持的应用程序访问文件时，Windows操作系统将会自动创建LNK文件，不过用户也可以手动创建。LNK快捷方式文件一般会包含关于访问文件的元数据，其中包括文件名、文件大小、原始路径、时间戳、卷宗、系统信息和网络信息等。幸运的是，现在已经有工具可以解析这些文件了。在这篇文章中，我们将会使用Eric Zimmerman的LECmd来演示，下图显示的就是LECmd.exe的命令行选项：

用户搜索LNK文件
近期，Mandiant遇到了一种我们此前没研究过的LNK文件格式，这种文件来自于Windows Server 2012 R2系统，文件路径类似如下所示：
C:/Users//AppData/Roaming/Microsoft/Windows/Recent/passw.lnk
    C:/Users//AppData/Roaming/Microsoft/Windows/Recent/gov.lnk
取证分析人员可以使用LNK快捷方式文件名来了解用户曾打开过一个名为passw或gov的文件。接下来，他们就可以使用类似LECmd之类的工具来恢复出额外的元数据。这样就可以获取到被访问文件的完整文件路径、被访问时间的时间戳以及其他类型的取证数据。
但是，之前的LNK文件并没有暴露额外的元数据，下面显示的是LECmd针对passw.lnk文件的分析输出：
LECmd version 1.3.2.1
    Author: Eric Zimmerman (saericzimmerman@gmail.com)
    https://github.com/EricZimmerman/LECmd
    — Header —
      Target created:
      Target modified:
      Target accessed:
      File size: 0
      Flags: HasTargetIdList, IsUnicode, DisableKnownFolderTracking
      File attributes: 0
      Icon index: 0
      Show window: SwNormal (Activates and displays the window. The window is restored to its original size and position if the window is minimized or maximized.)
    — Target ID information (Format: Type ==> Value) —
      Absolute path: Search Folder/passw
      -Users property view ==> Search Folder
      >> Property store (Format: GUID/ID Description ==> Value)
         d5cdd505-2e9c-101b-9397-08002b2cf9ae/AutoList  ==> VT_STREAM not implemented (yet) See extension block section for contents for now
         d5cdd505-2e9c-101b-9397-08002b2cf9ae/AutolistCacheTime  ==> 1849138729510
         d5cdd505-2e9c-101b-9397-08002b2cf9ae/AutolistCacheKey  ==> Search Results in Local Disk (C:)0
      -Variable: Users property view ==> passw
      >> Property store (Format: GUID/ID Description ==> Value)
         1e3ee840-bc2b-476c-8237-2acd1a839b22/2      (Description not available)         ==> VT_STREAM not implemented
         1e3ee840-bc2b-476c-8237-2acd1a839b22/8      (Description not available)         ==> passw
         28636aa6-953d-11d2-b5d6-00c04fd918d0/11     Item Type                           ==> Stack
         28636aa6-953d-11d2-b5d6-00c04fd918d0/25     SFGAO Flags                         ==> 805306372
         b725f130-47ef-101a-a5f1-02608c9eebac/10     Item Name Display                   ==> passw
    — End Target ID information —
    — Extra blocks information —
    >> Property store data block (Format: GUID/ID Description ==> Value)

[1] [2] [3] [4] [5]  下一页