LNK-Dateien: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
Zeile 70: Zeile 70:
*'''Phishing-Kampagnen durch Emails:''' Verbreitung durch Email-Anhänge
*'''Phishing-Kampagnen durch Emails:''' Verbreitung durch Email-Anhänge
*'''Zero-Day-Schwachstelle Follina (CVE-2022-30190) :''' Durch eine Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) wurde es ermöglicht beliebigen Code auszuführen um Malware auf Zielcomputern zu installieren (Lücke durch Windows geschlossen)
*'''Zero-Day-Schwachstelle Follina (CVE-2022-30190) :''' Durch eine Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) wurde es ermöglicht beliebigen Code auszuführen um Malware auf Zielcomputern zu installieren (Lücke durch Windows geschlossen)
*'''Shellcode in Dokumenten :''' Verbeitung durch Shellcode über Office-Dokumente  
*'''Shellcode in Dokumenten :''' Verbreitung durch Shellcode über Office-Dokumente
 
== Quellenangabe ==
== Quellenangabe ==
Microsoft. (2021). Shell Link (.LNK) Binary File Format. Abgerufen am 30. Juni 2023, von https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink
Microsoft. (2021). Shell Link (.LNK) Binary File Format. Abgerufen am 30. Juni 2023, von https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink

Version vom 8. Juli 2023, 09:29 Uhr

Eine LNK-Datei, auch bekannt als Windows Shortcut File, ist eine Dateiendung, die in Windows-Betriebssystemen für Verknüpfungen verwendet wird. Sie wurde erstmals von Microsoft eingeführt und wird seitdem in verschiedenen Versionen von Windows unterstützt.

Generelle Informationen

LNK-Dateien sind Verknüpfungsdateien in Windows-Betriebssystemen. Sie werden verwendet, um den Zugriff auf Programme, Dateien, Ordner oder Websites zu erleichtern, indem sie als Verknüpfungen auf dem Desktop, in der Taskleiste, im Startmenü oder in anderen Speicherorten platziert werden. Eine LNK-Datei enthält Informationen über das Ziel der Verknüpfung sowie zusätzliche Einstellungen und Attribute. Wenn du eine LNK-Datei doppelklickst, wird das zugehörige Zielobjekt geöffnet oder ausgeführt. Dies kann ein Programm, eine Datei, ein Ordner oder eine Webseite sein.

LNK-Dateien sind praktisch, da sie es ermöglichen, häufig verwendete Programme oder Dateien schnell zu öffnen, ohne den gesamten Dateipfad eingeben zu müssen. Sie können auch dazu verwendet werden, auf bestimmte Funktionen oder Optionen eines Programms zuzugreifen, indem spezielle Argumente oder Befehle in der Verknüpfung angegeben werden.

Es ist wichtig zu beachten, dass LNK-Dateien nur Verknüpfungen sind und nicht die tatsächlichen Zieldateien enthalten. Wenn das Zielobjekt einer LNK-Datei verschoben oder gelöscht wird, funktioniert die Verknüpfung nicht mehr ordnungsgemäß und zeigt möglicherweise einen Fehler an.

Aufbau einer LNK-Datei

In Windows können LNK-Dateien erstellt, bearbeitet und gelöscht werden, indem du mit der rechten Maustaste auf eine Verknüpfung klickst und die entsprechenden Optionen im Kontextmenü auswählst.

Die Informationen in einer LNK-Datei umfassen normalerweise den Dateipfad zum Zielobjekt, den Dateinamen, die Zielargumente (falls vorhanden) und andere Eigenschaften wie das Startverzeichnis, das Ausführungsverzeichnis und das Symbol, das für die Verknüpfung verwendet werden soll. Technisch gesehen ist eine LNK-Datei eine Binärdatei, die spezifische Informationen über das Zielobjekt enthält, auf das die Verknüpfung verweist, sowie zusätzliche Einstellungen und Attribute. Die Informationen in der LNK-Datei werden in einem speziellen Format gespeichert, das von Windows interpretiert wird, um das Zielobjekt zu identifizieren und zu öffnen.

Eine LNK-Datei besteht aus einer Headerstruktur, gefolgt von verschiedenen Datenblöcken, die unterschiedliche Informationen enthalten. Hier sind einige wichtige Elemente, die in einer LNK-Datei enthalten sein können:


  • Header: Der Header enthält grundlegende Informationen über die LNK-Datei, wie die Dateisignatur und die Version des LNK- Formats.
  • Linkzielinformationen: Diese Informationen geben an, wo sich das Zielobjekt befindet. Dies kann ein Dateipfad, ein UNC-Pfad (Universal Naming Convention) für Netzwerkressourcen oder eine URL für eine Webseite sein.
  • Arbeitsverzeichnis: Das Arbeitsverzeichnis ist das Verzeichnis, in dem das Zielobjekt ausgeführt wird. Es wird verwendet, um das aktuelle Arbeitsverzeichnis für das Zielobjekt festzulegen.
  • Befehlszeilenargumente: Dieser Block enthält zusätzliche Argumente, die an das Zielobjekt übergeben werden, wenn es geöffnet oder ausgeführt wird. Diese Argumente können spezifische Optionen oder Parameter sein, die das Verhalten des Zielobjekts beeinflussen.
  • Icon-Pfad: Hier wird der Pfad zur Datei angegeben, die das Symbol für die Verknüpfung enthält. Das Symbol wird normalerweise auf dem Desktop oder in anderen Anzeigeumgebungen angezeigt.

LNK-Dateien enthalten auch andere optionale Datenblöcke, die verschiedene Attribute und Eigenschaften der Verknüpfung definieren können, wie z.B. die Hotkey-Zuweisung, die Startposition und -größe des Fensters, die Arbeitsverzeichnis-ID, die ShowCmd-Eigenschaft usw.

Beispiele für LNK-Dateien

  • Programmverknüpfungen: Du kannst eine LNK-Datei erstellen, um den schnellen Zugriff auf ein häufig verwendetes Programm zu ermöglichen. Durch das Platzieren der Verknüpfung auf dem Desktop oder in der Taskleiste kannst du das Programm direkt starten, ohne den gesamten Installationspfad eingeben zu müssen.
  • Dateiverknüpfungen: Wenn du regelmäßig auf bestimmte Dateien zugreifst, kannst du LNK-Dateien erstellen, um einen schnellen Zugriff darauf zu haben. Zum Beispiel könntest du eine Verknüpfung zu einer wichtigen Präsentationsdatei erstellen und sie auf dem Desktop ablegen, um schnell darauf zugreifen zu können.
  • Ordnerverknüpfungen: LNK-Dateien können auch verwendet werden, um den Zugriff auf bestimmte Ordner zu erleichtern. Wenn du einen Ordner hast, den du häufig öffnen musst, kannst du eine Verknüpfung erstellen und sie an einem leicht zugänglichen Ort platzieren, um Zeit zu sparen.
  • Website-Verknüpfungen: LNK-Dateien können auch URLs enthalten, sodass du eine Verknüpfung zu einer bestimmten Webseite erstellen kannst. Diese Verknüpfung ermöglicht es dir, den bevorzugten Webbrowser zu öffnen und die gewünschte Webseite automatisch zu laden.
  • Spezialfunktionen: Einige Programme akzeptieren spezielle Befehlszeilenargumente in LNK-Dateien, um bestimmte Funktionen oder Optionen zu aktivieren. Du könntest eine LNK-Datei erstellen, die ein Bildbearbeitungsprogramm öffnet und automatisch ein bestimmtes Bild lädt, um Zeit beim täglichen Workflow zu sparen.

Einsatz in der IT Forensik

In der IT-Forensik spielen LNK-Dateien eine wichtige Rolle bei der Untersuchung von Computer- oder Netzwerkangriffen, Datenverlusten oder anderen verdächtigen Aktivitäten. Hier sind einige Aspekte der LNK-Dateien in der IT-Forensik:

  • Nachweis von Aktivitäten: LNK-Dateien können verwendet werden, um den Nachweis von Aktivitäten auf einem Computersystem zu unterstützen. Durch die Analyse von LNK-Dateien kann festgestellt werden, welche Programme oder Dateien geöffnet wurden, welche Websites besucht wurden oder welche Aktionen ein Benutzer durchgeführt hat.
  • Verknüpfung mit verdächtigen Dateien: LNK-Dateien können als Verknüpfung zu bösartigen oder schädlichen Dateien dienen. Durch die Analyse der LNK-Dateien können Forensiker Informationen über die Quelle oder den Pfad der verdächtigen Dateien erhalten und die Auswirkungen auf das System bewerten.
  • Identifikation von ausgeführten Befehlen: In einigen Fällen können LNK-Dateien Befehle enthalten, die beim Öffnen oder Ausführen der Verknüpfung automatisch ausgeführt werden. Forensiker können diese Befehle analysieren, um potenziell schädliche Aktivitäten zu identifizieren, wie z. B. das Herunterladen von Malware oder das Ausführen von Exploits.
  • Zeitstempel- und Aktivitätsanalyse: LNK-Dateien enthalten Zeitstempel, die Informationen über das Erstellungsdatum, das Änderungsdatum oder das letzte Zugriffsdatum der Verknüpfung liefern. Diese Zeitstempel können verwendet werden, um die Chronologie von Ereignissen zu rekonstruieren und Aktivitäten auf einem System zu analysieren.
  • Analyse von Verknüpfungsattributen: LNK-Dateien enthalten verschiedene Attribute und Eigenschaften wie das Arbeitsverzeichnis, das Ausführungsverzeichnis oder das Symbol. Durch die Analyse dieser Attribute können Forensiker Einblicke in die Art der Aktivitäten, die durchgeführt wurden, oder die Einstellungen des Angreifers erhalten.

Bei der Analyse von LNK-Dateien in der IT-Forensik ist es wichtig, forensische Methoden und Werkzeuge zu verwenden, um die Integrität der Beweise zu gewährleisten und genaue Schlussfolgerungen zu ziehen. Es können spezialisierte forensische Tools und Techniken eingesetzt werden, um die Informationen in den LNK-Dateien zu extrahieren und zu analysieren.

Beispiel für eine forensische Analyse:

https://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdf

Cyber Kriminalität und LNK Dateien

LNK-Dateien werden vermehr dazu eingesetzt, Schadsoftware zu verteilen. Der größte Einsatz ist im Malwarebereich zu vermerken, im besonderen bei Unternehmensnetzwerken.

Laut dem HP Wolf Security Threat Insights Report Q3 (siehe Quellen), werden die als Makros getarnten Einfallstore von Microsoft Office bereits geblockt und daher werden anderen Formen (LNK-Dateien) als harmlose Email ZIP Anhänge verteilt. Durch das Ausnutzen der Office Policy und das Aushebeln des Anhangs Scanners bei Emails, können Malware oder Sonstiges in Clients verschiedener Unternehmen oder Privatpersonen eingeschleust werden.

LNK Dateien Einsatzgebiete Cyberkriminalität:

  • Phishing-Kampagnen durch Emails: Verbreitung durch Email-Anhänge
  • Zero-Day-Schwachstelle Follina (CVE-2022-30190) : Durch eine Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) wurde es ermöglicht beliebigen Code auszuführen um Malware auf Zielcomputern zu installieren (Lücke durch Windows geschlossen)
  • Shellcode in Dokumenten : Verbreitung durch Shellcode über Office-Dokumente

Quellenangabe

Microsoft. (2021). Shell Link (.LNK) Binary File Format. Abgerufen am 30. Juni 2023, von https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink

Magnetforensics Forensische-Analyse-von-LNK-Dateien. Abgerufen am 30. Juni 2023, von https://www.magnetforensics.com/de/blog/forensische-analyse-von-lnk-dateien/

https://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdf Abgerufen am 30. Juni 2023