為何基於 LNK 的攻擊仍能得逞
2025 年底,Arctic Wolf Labs發布了一項研究報告,揭露了一場針對比利時、匈牙利及其他歐洲國家外交機構的間諜行動。該威脅行為者為一個與中國有關聯、代號 UNC6384 的組織,其利用針對性釣魚電子郵件,散佈經過惡意改造的 Windows 捷徑檔(即 LNK 檔案),這些檔案的內容偽裝成合法的歐盟委員會會議及北約相關研討會。
當收件者點擊該捷徑時,一個隱藏的 PowerShell 指令會觸發多階段感染鏈,最終植入 PlugX 遠端存取木馬。此攻擊活動利用了 ZDI-CAN-25373 漏洞——這是一項於 2025 年 3 月披露的 Windows 捷徑漏洞,可透過將指令隱藏在 LNK 檔案命令列參數中的空白字元填充中,實現隱蔽的指令執行。
UNC6384 對此的利用,讓人意識到一個更廣泛的問題:對使用者而言,捷徑檔案仍顯得司空見慣,因此往往比可執行檔或啟用巨集的文件受到更少的審查。一旦惡意 LNK 檔案執行,最危險的活動通常會在執行階段透過編碼腳本、分階段解壓縮檔案以及濫用簽名二進位檔等方式展開,而靜態掃描和信譽檢查往往難以及時跟上。
此項攻擊行動自此便持續演變。2026年4月,《The Hacker News》報導指出,業界追蹤代號為TA416的同一威脅群體,自2025年年中起再度將歐洲政府及外交機構列為攻擊目標,不僅不斷更新其PlugX載荷,更不斷嘗試新的傳遞方式,包括濫用OAuth重定向、利用Cloudflare Turnstile驗證頁面,以及基於MSBuild的執行機制。
本文探討的「北極狼」研究,記錄了這項現已獲得證實且仍在進行中的行動中的某個階段,並展示了MetaDefender 與 Deep CDR™ 技術如何協同合作,彌合偵測與預防之間的差距。
UNC6384 攻擊鏈
一切始於一個多數使用者絕不會起疑的檔案。這場攻擊活動中散佈的 LNK 檔案名為「Agenda_Meeting 26 Sep Brussels.lnk」,大小僅 2.58 KB,內容提及一場真實存在的歐盟委員會會議,主題是促進歐盟與西巴爾幹邊境口岸的貨物自由流動。這是一場真實活動的真實議程,其捷徑外觀看似尋常。
第一階段:透過惡意 LNK 檔案進行初始入侵
第二階段:透過合法簽名的二進位檔進行 DLL 旁載
解壓縮後的檔案夾內含三個檔案:cnmpaui.exe、cnmpaui.dll 以及 cnmplog.dat。第一個檔案是佳能(Canon)的正規印表機輔助程式,由佳能公司(Canon Inc.)使用賽門鐵克(Symantec)簽發的憑證進行數位簽章。由於該簽章是在憑證仍處於有效期間內進行時間戳記的,因此簽章仍屬有效;這意味著即使憑證本身已於 2018 年過期,Windows 系統仍會繼續信任該二進位檔(Arctic Wolf)。
這正是精準度至關重要的關鍵所在。該 EXE 檔案並非惡意程式,而是佳能(Canon)的真實工具程式,卻被濫用於特定目的:當cnmpaui.exe執行時,它會先在自身目錄中搜尋 cnmpaui.dll,然後才檢查系統路徑。UNC6384 透過將同名的惡意 DLL 檔案放置在合法二進位檔旁,篡改了該搜尋順序,並將其自身程式碼載入到受信任的程序中。
第三階段:有效載荷解密與 PlugX 執行
惡意程式cnmpaui.dll是一個輕量級載入器,其 2025 年 10 月變種僅有 4 KB,設計目的僅有一項:解密並執行第三個檔案 cnmplog.dat。該檔案是一個經過 RC4 加密的二進位資料塊,其中包含 PlugX 遠端存取木馬。 載入程式會使用硬編碼的 16 位元組金鑰對其進行解密,並將解密後獲得的有效載荷直接映射至合法 cnmpaui.exe 程序的記憶體空間中。
從此之後,PlugX 便會在一個經過簽名且受信任的二進位檔內運行。 它透過名為「CanonPrinter」的登錄檔「Run」鍵建立持久性,建立名為「SamsungDriver」或「DellSetupFiles」等隱藏目錄以融入環境,並透過 443 埠的 HTTPS 與指揮控制基礎架構進行通訊,同時使用隨機化的 URL 路徑及偽造的 Internet Explorer 使用者代理字串,以混入正常的網路流量中。
從首次點擊到後門啟動,這條鏈條中的每個環節乍看之下都無明顯惡意跡象,而多數真正可疑的行為僅在執行階段才會顯現。每個階段都經過精心設計,使其在靜態分析下看似正常,並在傳統過濾器無法偵測的區域執行。
為何靜態防禦難以應對這條鏈
靜態防禦機制難以應對這種連鎖攻擊,因為每個階段在孤立檢視時都看似無害。這波攻擊之所以有效,並非因為某個明顯惡意的檔案,而是因為一系列看似可信的元件,其真實意圖直到執行時才會顯現。這種模式不僅限於捷徑檔案:攻擊者也將有效載荷隱藏在看似無害的圖像檔案中,並結合基於 LNK 的傳遞方式,以規避傳統防毒軟體的偵測。
為何靜態防禦難以應對這條鏈
| 舞台 | 守護者所見 | 為何能通過檢驗 |
|---|---|---|
| 惡意 LNK 檔案 | 一個大小為 2.58 KB 的捷徑檔案,內容涉及一場外交會議 | LNK 檔案預設為低風險;ZDI-CAN-25373 將 PowerShell 指令隱藏在空白字元填充中,而大多數元資料檢查工具並不會解析這些空白字元。 |
| 經 Canon EXE 簽署 | 一個合法的 PE32 二進位檔,附有來自公認發行者的有效且帶有時間戳記的數位簽章 | 若將其封鎖,所有運行佳能印表機軟體的環境都會被標記。聲譽引擎沒有理由對其產生懷疑。 |
| 4 KB 載入程式 DLL | 一個極簡的 DLL,沒有明顯可疑的進口函式,其唯一功能就是讀取、解密並移交執行權限 | YARA 規則雖能偵測已知的變種,但若載入器經過重新編譯且採用不同的金鑰或解密程序,便能躲過靜態分析的偵測。 |
| 經過加密的 PlugX 有效載荷 | 一個不透明的 .dat 資料塊,其解密後的形式從未接觸過磁碟 | 基於檔案的掃描從不檢查實際的惡意軟體。該有效載荷會直接載入至受信任的 Canon 程序的記憶體空間中。 |
靜態分析工具所能檢測的範圍與執行時實際發生的情況之間存在著落差,而這正是迴避型攻擊活動得以肆虐的溫床。要彌合此落差,必須採用一種能完整觀察執行路徑的偵測方法——從初始檔案啟動到後續每個階段,並根據行為而非表象來做出判斷。
MetaDefender 如何揭示完整鏈路
MetaDefender 是OPSWAT統一式零日漏洞偵測解決方案,結合四層分析機制,從多角度檢視每個檔案,最終給出單一可信的判定結果。
- 威脅聲譽分析會將檔案的雜湊值、元資料及內嵌指標,與源自超過 500 億個指標所彙整的全球情報進行比對。在此流程中,這有助於識別已知威脅,並為未知威脅提供背景資訊。
- 隨後Adaptive 模擬環境中執行該檔案,並觀察其執行流程:LNK 檔案啟動 PowerShell、經加密的指令解碼 tar 壓縮檔、經簽名的 Canon 二進位檔載入未簽名的 DLL,以及經解密後的 PlugX 有效載荷建立持久化機制並連線至 C2(命令與控制)基礎架構。
- 威脅評分將這些結果、聲譽訊號及提取的指標整合為一個加權風險分數,該分數能全面反映行為背景。
- 基於機器學習的相似性搜尋會將該檔案及其行為與已知的惡意軟體家族及相關活動進行比對,有助於找出與 PlugX 變種或類似 DLL 旁載攻擊活動的關聯。
這套解決方案能提供高達 99.9% 的零日漏洞偵測效能,並針對每個檔案提供單一可信的判定結果,而非迫使 SOC 分析師必須手動彙整各份獨立報告。當團隊每天需針對電子郵件、MFT、ICAP、資訊站、儲存裝置及跨網域工作流程中的數百個檔案進行分級處理時,這一點至關重要。
此鏈路的一大關鍵差異點在於指令級模擬。傳統基於虛擬機的沙箱可能無法偵測到那些利用反虛擬機迴避技術、時序延遲及環境檢查來避免完全執行的惡意軟體。MetaDefender 自適應沙箱能在指令級模擬 CPU 和作業系統的行為,有助於完整揭露從 LNK 到 PowerShell 再到 DLL 的側載序列。
對 SOC 團隊而言,其回報是切實的:
- 由於評分結果已進行關聯分析並映射至 MITRE 分類系統,因此能加快分流流程
- 更精準的封鎖決策,因為該判定反映的是執行時行為,而非僅僅是靜態聲譽
- 由於MetaDefender 能夠區分遭惡意利用的合法簽名二進位檔與真正惡意的載荷,因此降低了誤報率
- 應在這些攻擊侵入環境的檔案導入點,加強對零日漏洞的防備
Deep CDR™ 技術如何消除觸發因素
Deep CDR™ 技術透過無效化那個引發一切的檔案,在惡意鏈條尚未啟動前便將其扼殺於萌芽狀態。MetaDefender 專注於揭露惡意檔案在執行時的行為,而 Deep CDR™ 技術則能確保該檔案根本沒有機會被執行。
此機制專門針對 LNK 型態攻擊的運作方式。經武器化的捷徑會將惡意意圖隱藏在嵌入的命令列參數中,本案例中即為經過編碼的 PowerShell 呼叫指令,該指令會解碼 tar 壓縮檔並啟動有效載荷鏈。Deep CDR™ 技術能識別該嵌入指令,並將其替換為無害的虛假指令,在保留捷徑的淨化版本的同時,消除其作為攻擊觸發器的功能。
其結果是形成了一套經過淨化的 LNK 工作流程,在執行前便已中和原始的惡意行為。不會執行 PowerShell、不會解壓縮檔案、不會進行 DLL 側載,也不會啟動 PlugX。MetaDefender 與 Deep CDR™ 技術相輔相成,共同建構出雙層防禦模型。
雙層防禦模型
| 層 | 技術 | 角色 |
|---|---|---|
| 偵測與理解 | MetaDefender | 觸發檔案執行,揭露完整的多階段執行路徑,提取行為指標 (IOC),並返回單一可信的判定結果。 |
| 解除武裝並防止 | 深度CDR™技術 | 中和惡意 LNK 指令,防止該捷徑執行。 |
在實際應用中,這項區別至關重要。MetaDefender 是一款專為需要深度分析的檔案所設計的零日漏洞偵測解決方案,特別是在需要理解執行時行為並做出確切判斷時。Deep CDR™ 技術則針對那些內容可被安全地進行無害化處理,同時不影響合法使用的檔案,提供淨化與防禦控制。兩者相輔相成,全面涵蓋問題的兩大面向:既要理解威脅的運作方式,也要確保威脅永遠沒有可乘之機。
為何精準度至關重要
精準度至關重要,因為攻擊鏈中的檔案並非全都具有惡意,若將所有檔案一視同仁,將導致偵測範圍過於寬泛,進而削弱使用者對工具的信任。這波攻擊活動清楚地說明了這一點。
這份經過簽名的佳能印表機工具程式(cnmpaui.exe)是合法的二進位檔。它具備有效的數位簽章、良好的聲譽,且其雜湊值與合法軟體相符。若將其標記為惡意軟體,在已安裝佳能印表機軟體的環境中將會產生誤報,並導致安全營運中心(SOC)分析師對收到的警示產生不信任。
主要的 IOC(入侵指標)是惡意 DLL(cnmpaui.dll)及其所觸發的行為鏈:
- 透過硬編碼的 RC4 金鑰進行旁載及解密加密載荷
- 將解密後的 PlugX 二進位檔映射至可信進程的記憶體空間
- 透過「CanonPrinter」執行金鑰建立持久性
- 透過隨機化的 URL 路徑和偽造的 User-Agent 字串,發起 HTTPS C2 流量
這些才是最重要的訊號,而它們只有在偵測工具能夠觀察行為,並區分受信任的二進位檔遭濫用與真正惡意的物件時,才會顯現出來。
這正是MetaDefender 「單一可信判定」功能顯得格外有價值之處。與其對鏈中每個檔案一律貼上「惡意」標籤,這套偵測流程會根據各組件在完整執行環境中的實際行為,對其進行評分。
該簽署過的 EXE 檔案被識別為用於側載的合法二進位檔。而 DLL 及其產生的執行時行為則被標記為真正的威脅。這種區分讓資安團隊能更清楚地掌握情況,並減少了從大量資訊中篩選出有效訊號所需的手動工作量。
針對惡意 DLL 的靜態檢測也可透過 YARA 等針對性規則加以強化,而 Arctic Wolf 針對CanonStager 載入器所發布的 YARA 簽名,便是一個有用的起點。但簽名檢測本質上屬於被動式防護。在這樣的攻擊鏈中,真正的關鍵差異在於行為可視性加上檔案無害化處理。
運用分層檔案安全機制揭露基於 LNK 的攻擊鏈
基於 LNK 的攻擊之所以持續得逞,是因為它們利用了人們每天都會看到、卻很少視為危險的檔案類型。在先前的文章中,我們曾指出 LNK 檔案是普通的 Windows 捷徑,攻擊者可將 PowerShell 或 cmd.exe 指令隱藏其中加以利用,有時這些指令在檔案實際開啟前看起來毫無害處。這正是像 UNC6384 這樣的攻擊活動能持續得逞的原因:捷徑看似熟悉,但它所觸發的行為卻截然不同。
這種模式在多次攻擊行動中都持續存在。在我們關於 Emotet 的報導中,我們曾解釋過為何捷徑檔案難以與一般文件區分,以及 Windows 預設不會顯示其副檔名。這使得它們成為極為有效的傳播載體。此處的教訓同樣適用:當某種常見的檔案類型仍能潛入日常工作流程並啟動多階段感染鏈時,攻擊者根本不需要什麼嶄新的伎倆。
解決方案並非將鏈條中的每個檔案都標記為惡意檔案,而是採用分層檔案安全機制,藉此揭露執行時行為、區分遭濫用的合法二進位檔與惡意載荷,並在觸發機制啟動前予以阻止。歡迎諮詢OPSWAT MetaDefender 與 Deep CDR™ 技術如何協助您的團隊偵測、分析並防範基於 LNK 的攻擊。
