浏览器痕迹与下载执行链分析

浏览器痕迹与下载执行链分析

0x02电子取证 里,浏览器相关检查更多停留在“去哪里看主页、搜索引擎、TypedURLs 和缓存设置”。但在真实应急场景中,浏览器痕迹的价值远不止于“用户访问过什么网站”,它常常是把钓鱼邮件、恶意下载、脚本投递、落地执行串起来的关键纽带。

尤其是在办公网、终端主机和管理员工作站上,浏览器往往是攻击者完成初始执行的第一跳。只要把浏览器历史、下载记录、缓存、文件落地时间和进程创建日志拼起来,就能还原出一条非常完整的下载执行链。

0x01 浏览器痕迹在应急中的定位

浏览器取证重点不是回答“用户上过哪些网站”,而是回答以下问题:

  1. 受害者是否访问了恶意站点或钓鱼页面?
  2. 是否触发了下载,下载了什么,保存到了哪里?
  3. 下载文件有没有被执行、解压或二次加载?
  4. 后续是否形成了持久化、外联或横向移动?

如果说邮件是“诱饵入口”,那么浏览器通常就是“执行中转站”。

0x02 应重点关注的浏览器证据

不同浏览器证据位置不同,但分析逻辑相似。核心证据通常包括:

  • 访问历史记录
  • 下载记录
  • 缓存文件
  • Cookie / Session
  • 自动填充与登录信息
  • 用户手工输入过的 URL

1. Windows 上的 IE / Edge 旧痕迹

在老环境或特定内网系统中,IE 相关痕迹仍然值得关注:

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  • Internet 临时文件

TypedURLs 的价值在于:它通常保存的是用户手工输入或主动访问过的网址,对排查钓鱼站、临时恶意站点很有帮助。但要注意:

  • 它不是完整访问历史
  • 它可能被覆盖
  • 只能作为局部线索,不能单独当完整证据

2. Chrome / Edge / Firefox 的现代取证价值更高

现代浏览器更值得关注以下内容:

  • History 数据库中的访问记录
  • Downloads 记录中的源 URL、保存路径、开始时间
  • Cookies 中的登录态与站点关联
  • 缓存目录中的脚本、重定向页面、恶意载荷片段

其中真正的黄金证据往往是:

  • 下载来源 URL
  • 下载落地路径
  • 下载开始 / 完成时间
  • 是否曾被用户打开

这些信息可以直接和主机上的文件时间线、进程日志做关联。

0x03 下载执行链的典型路径

从浏览器痕迹还原攻击时,最常见的是下面这条链:

  1. 用户点击邮件或 IM 中的链接
  2. 浏览器访问恶意站点或跳转页
  3. 页面触发下载或引导下载
  4. 文件落地到 Downloads、桌面或临时目录
  5. 用户双击执行,或浏览器联动脚本执行
  6. 木马释放、外联、持久化

1. 钓鱼文档型

常见表现:

  • 下载 doc, xls, zip, rar, iso, lnk
  • 紧接着出现 Office、wscript.exepowershell.execmd.exe
  • 后续发生网络连接与任务创建

关键分析点:

  • 下载文件名是否伪装为通知、发票、采购单、密码器插件
  • 文件来源域名是否为新注册域名、可疑 CDN、对象存储临时链接
  • 文件落地时间与进程执行时间是否紧邻

2. 脚本投递型

常见表现:

  • 浏览器访问恶意站点后,不一定直接下载 EXE
  • 可能下载 .js, .hta, .ps1, .vbs
  • 后续由 wscript, mshta, powershell, rundll32 触发执行

这种情况下,浏览器记录只说明“用户碰到了入口”,真正恶意动作往往发生在浏览器之后的系统进程里。

3. 浏览器缓存触发型

某些恶意站点不会明显展示“下载完成”,而是通过:

  • 浏览器自动下载
  • 内联脚本拉取二次载荷
  • HTML/JS 重定向
  • 利用浏览器插件或协议处理器

这时缓存文件和访问历史就非常关键,因为它们可能是唯一能证明“浏览器确实访问过恶意资源”的证据。

0x04 如何把浏览器痕迹串成时间线

浏览器取证不能孤立看,建议按下面顺序做关联:

1. 先找访问入口

优先锁定:

  • 钓鱼域名
  • 短链接
  • 下载站
  • 对象存储临时下载 URL
  • 内网被植入后的跳转页面

这一步的目标是确认“恶意访问是否发生”。

2. 再找下载动作

重点确认:

  • 下载时间
  • 保存路径
  • 原始 URL
  • 下载文件名
  • 浏览器是否标记为危险文件

这一步的目标是确认“恶意文件是否真正进入主机”。

3. 再找系统侧执行

将下载记录和以下证据关联:

  • Windows 4688 新进程创建
  • Prefetch
  • Amcache / Shimcache
  • Recent Files
  • Linux 桌面环境的最近打开记录
  • 文件修改 / 解压时间

如果浏览器下载时间和进程创建时间只差几十秒到几分钟,通常就能构成强关联。

4. 最后找后续危害

继续关联:

  • 出站连接
  • 服务、计划任务、启动项
  • 新增用户或公钥
  • 横向连接

这样才能从“下载过一个文件”上升到“这次下载引发了入侵事件”。

0x05 典型恶意特征

浏览器痕迹中,以下场景要重点提高敏感度:

1. 下载路径异常

例如文件被保存到:

  • %TEMP%
  • %AppData%
  • C:\Users\Public\
  • 桌面伪装文件夹
  • 用户目录隐藏路径

这通常意味着文件不是正常办公文档,而是后续会被脚本直接调用的载荷。

2. 文件类型和业务场景不符

例如:

  • 财务岗位下载 .iso.js.hta
  • 运维岗位下载与业务无关的“浏览器更新包”
  • 普通用户下载看似文档实则 rar 包中的 lnk

3. 下载后立即执行

若时间线表现为:

  1. 浏览器下载
  2. 用户目录生成文件
  3. cmd / powershell / Office / wscript 迅速启动

这基本可以判断为下载执行链。

4. 多级重定向

浏览器历史中常见:

  • 短链接 -> 临时跳转域 -> 文件托管域
  • 钓鱼页 -> 云盘下载页 -> 本地文件落地

如果只看最终域名,可能会漏掉真正的引流入口。因此浏览器缓存、历史和网络请求应结合看。

0x06 浏览器痕迹中的反取证信号

攻击者或受害者有时会主动清理浏览器痕迹。常见信号包括:

  • 历史记录明显断层
  • 缓存目录被批量清空
  • 下载记录缺失但文件仍然存在
  • TypedURLs 被清空或只剩少量正常站点
  • 使用 InetCpl.cpl,ClearMyTracksByProcess 清理 IE 痕迹

需要注意的是,清理痕迹不一定是攻击者做的,也可能是:

  • 受害者误操作
  • 浏览器自动清理策略
  • 安全软件优化功能

因此依旧要结合时间、身份和其他证据判断。

0x07 两类高价值实战场景

1. 钓鱼邮件落地分析

常见闭环:

  1. 邮件主题诱导点击
  2. 浏览器访问恶意站点
  3. 下载压缩包或脚本
  4. 解压后执行诱饵程序
  5. 后门上线

这里浏览器痕迹是连接“邮件”和“主机执行”的关键桥梁。

2. 管理员工作站被二次利用

常见闭环:

  1. 管理员访问可疑工具站或内网被投毒页面
  2. 下载远控、运维伪装工具或木马更新包
  3. 工具启动后窃取凭据
  4. 再进行横向移动

这类场景中,浏览器下载痕迹往往能解释“高权限账户为何突然参与攻击链”。

0x08 建议的交付方式

建议把浏览器取证结果整理成表:

时间浏览器行为URL/来源本地文件后续动作结论
09:12:04访问页面hxxp://a.example[.]com/invoice跳转下载页钓鱼入口
09:12:22下载文件hxxp://cdn.example[.]com/invoice.zipC:\Users\A\Downloads\invoice.zip30 秒后解压载荷落地
09:13:01打开文件本地双击invoice.lnkpowershell.exe 启动下载执行
09:13:20外联连到陌生 IP木马上线

这比单独罗列浏览器历史更适合报告、复盘和后续加固。

0x09 总结

浏览器痕迹分析真正有价值的地方,不在“用户曾访问过什么”,而在于它能够帮助我们证明:

  • 恶意入口确实被触达
  • 恶意文件确实被下载
  • 本地载荷确实被执行
  • 后续入侵动作与此次下载存在时间闭环

换句话说,浏览器取证不是一项孤立的桌面痕迹检查,而是把钓鱼、下载、执行、驻留、外联串成同一条攻击链的重要一环。这也是它从 0x02 的采集项,升级为 0x03 分析能力的核心意义。