Криминалистическое исследование LNK-файлов

Криминалистическое исследование LNK-файлов
Не секрет, что в цифровой криминалистике бесконечно большое число объектов исследования. Артефакты располагаются в информационной среде различных электронно-вычислительных устройств, а для их анализа необходимо разрабатывать эффективные научно-обоснованные методы и средства исследования. Сегодня мы рассмотрим такие широко известные объекты в данной сфере, как LNK-файлы. О том, что они из себя представляют, насколько криминалистически значимы и как их можно анализировать в материале настоящей статьи.

Чем являются данные объекты?

LNK-файлы — файлы ярлыков, которые ссылаются на приложения или файлы в системе. Обычно находятся на рабочем столе. Являются достаточно ценными для специалиста при проведении криминалистического исследования, поскольку позволяют установить активность злоумышленника в системе. Такие файлы могут быть созданы как пользователем, например, при открытии документа, так и автоматически самой операционной системой Windows. Каждый ярлык содержит в себе сведения, позволяющие получить важную информацию о ПО даже после удаления программы с компьютера. То есть, если оригинальные файлы программ были удалены, по LNK-файлам допускается установление факта их ранней инсталляции.

В LNK содержатся данные о файлах, на которые указывают ярлыки, такие как:

  • путь к каталогу, в котором находится указываемый файл;

  • временные отметки как на ярлык, так и на оригинальный файл;

  • размер основного файла;

  • атрибуты файла (например, только для чтения, спрятано, архивный и т.д.);

  • системное наименование, название тома, серийный номер тома, MAC-адреса.

С помощью упомянутых сведений эксперт может проанализировать действия, происходящие на исследуемой системе, включая:

  • изучение следов подключения USB-устройств для идентификации файлов, открытых с них, и не сохраненных на жестком диске самого компьютера;

  • исследование файлов, что были сохранены в локальной системе или в сетевом хранилище;

  • обнаружение файлов, уже не находящихся в системе, представленной на экспертизу.

Где располагаются?

В зависимости от версии операционной системы Windows расположение LNK-файлов различается.

В Windows XP:

  • Локальный диск Documents and Settings <Имя пользователя> Recent;

  • Локальный диск Documents and Settings <Имя пользователя> Application Data Microsoft Office Recent.

В Windows Vista, Windows 7-11:

  • Локальный диск Users <Имя пользователя> AppData Roaming Microsoft Windows Recent.

Киберпреступления с помощью ярлыков?

LNK-файлы являются довольно специфическими объектами. Злоумышленники могут использовать их для атак на жертв: в ярлык внедряют вредоносный код, который активируется при запуске файла и заражает компьютер. Это позволяет получать доступ к данным на жестком диске, удаленно запускать другие программы или код. Рассматриваемые угрозы могут быть созданы с помощью обычных скриптов. Например, используя командную строку PowerShell в Windows, которая, к тому же, представляет собой язык данных скриптов. Поскольку PowerShell работает незаметно в фоновом режиме, злоумышленникам предоставляется прекрасная возможность для вставки вредоносного кода. Как это работает: преступник использует PowerShell, внедряет вирус в LNK, а далее осуществляет рассылку по электронной почте. Ничего не подозревающая жертва открывает письмо, видит в нём файл, запускает его, и буквально через секунду система уже заражена. Сценарий активно практиковался в начале пандемии , однако и сейчас LNK-файлы продолжают использовать в противоправных действиях.

Следствие вели...

Если необходимо исследовать LNK-файлы, нужно специализированное средство, например «Мобильный Криминалист Enterprise». Воспользуемся им для изучения образа с LNK-файлами с названием Forensic_image_LNK в формате .zip.

Откроем его в «Мобильном Криминалисте» для проведения анализа.

Как показано выше, мы обнаружили множество данных LNK-файлов в образе. Всего — 243. Проанализируем получившийся результат на примере первого файла в списке — Dropbox.

Два самых важных атрибута, содержащих сведения для размышления — путь к ярлыку и путь к исходному файлу.

Благодаря первому с помощью «МК» получены сведения о находящемся в системе конкретном ярлыке, а второму — об оригинальном файле, на который он указывает, а именно Dropbox.

Среди атрибутов выделяются относительный путь, а также временные отметки. Анализируя относительный путь, важно знать, что он не включает одно или несколько имен родительских папок, начиная с корня диска, а заменяет их либо обозначением (двумя точками), либо ссылаясь на файлы внутри текущего каталога.

Временные отметки же позволяют провести диагностический анализ: установить время создания файла, время последнего изменения файла, время последнего доступа к файлу.

Установление времени — одно из важнейших составляющих в криминалистическом исследовании, однако не всегда оно поддается верной интерпретации, поскольку злоумышленник мог изменить системное время. Поэтому необходимо тщательно анализировать временные отметки, имеющиеся в файле. Так, нельзя однозначно утверждать, что указанное время создания файла это именно «то самое время», в которое он был создан. То же касается и времени последнего доступа к файлу, когда он непосредственно был открыт без внесения изменений, и времени последнего изменения файла. Криминалистическое исследование времени, так называемое «Timeline Analysis» — сложная область цифровой криминалистики, где специалисту необходимо проводить глубокое изучение множества данных системы преступника или потерпевшего для дачи категорического утвердительного ответа.

Помимо этого, возможно извлечь из LNK-файлов серийный номер тома, размер файла, исходный ID тома и текущий ID тома.

Серийный номер тома — раздел локального диска, на котором находится файл. Размер ярлыка в основном указывается в килобайтах. Исходный ID тома — локальный диск, на котором был создан исследуемый файл, а текущий ID тома — место его нахождения сейчас. ID могут как совпадать (если файл не был перенесен между локальными дисками), так и различаться (если файл был перенесен).

Также можно получить из исследуемого образа такие атрибуты LNK-файла, как:

  • исходный ID файла.

  • текущий ID файла.

Под исходным ID файла понимается его изначальный идентификатор, а под текущим — текущий. Идентификатор — некое уникальное значение, которое однозначно позволяет отождествить объект в целях сравнительного или иного исследования.

Файлы могут быть зашифрованы, повреждены, изменены, удалены и т.д., из-за чего их будет просто не открыть стандартными средствами. При изменении, например, возможно переделать заголовок файла, и тогда его текущий ID будет отличаться от исходного. В цифровой криминалистике важно знать всё, чтобы установить истину по конкретному делу.

И последние атрибуты, доступные для анализа в «МК»:

  • MAC-адрес;

  • поставщик MAC-адреса;

  • имя протокола NetBIOS;

  • служебная папка;

  • атрибуты файла;

  • тип хранилища.

MAC-адрес (Media Access Control Address) представляет собой уникальный идентификатор сетевого адаптера. Известен также как физический адрес. «МК Enterprise» определяет не только сам MAC-адрес, но и его поставщика, как указано выше. Сведения о MAC-адресе позволяют идентифицировать сетевое устройство, ранее использованное в системе.

NetBIOS (Network Basic Input / Output System) — протокол, позволяющий работать в локальных сетях. В настоящее время также используется поверх разных протоколов: NetBEUI, IPX, TCP/IP. Упоминая данный атрибут, важно отметить, что имя компьютера, которое назначается ОС Windows во время ее установки в действительности является именем NetBIOS так же, как и имена доменов и рабочих групп. То есть, анализируя NetBIOS, сведения о котором содержатся в LNK-файле, можно получить дополнительные сведения о компьютере пользователя. Помимо этого, с помощью него можно определить являлась ли рабочая станция виртуальной (виртуальная машина), либо же физической (реальной).

Служебная папка — системный каталог. На скриншоте выше — «This PC». В ОС Windows 10 она является служебным каталогом, в котором находятся другие каталоги: Рабочий стол (Desktop), Загрузки (Downloads), Музыка (Music) и др.

В «MK Enterprise» отображаются атрибуты файла, являющиеся значениями метаданных, хранящихся в файловой системе на диске и использующихся системой. Атрибут файла может принимать любое значение: сжатый (compressed), архивный (archive), зашифрованный (encrypted), спрятанный (hidden) и др. В данном случае атрибут LNK-файла, Directory, определяет каталог.

Тип хранилища — соответственно, то, где находится LNK-файл. В приведенном примере это жесткий диск.

Как видно, LNK-файлы содержат внушительное количество сведений, по которым можно проанализировать информационную среду, в которой они находились до/при совершении противоправного деяния. Вследствие существенного наличия криминалистически важных данных, LNK-файлы и являются настолько ценными при расследовании инцидентов, связанных с ними. С помощью специализированного программного решения возможно проводить их детальный и эффективный анализ. Поскольку Windows самая используемая в мире ОС, разработка методов и средств получения информации из таких объектов — приоритетная задача, которой нельзя пренебрегать. В противном случае, преступления в сфере ИТ могут оставаться нераскрытыми.

Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!
article-title

МКО Системы

«МКО Системы» — российский разработчик программного обеспечения класса DFIR. Флагманский продукт компании, «MK Enterprise», —это ПО для проведения расследований и аудита в сфере информационной безопасности путем извлечения и анализа данных из рабочих станций, облачных сервисов и мобильных устройств.