惡意軟體如何隱藏在 LNK 檔案中以及組織如何保護自己。
網路犯罪分子一直在尋找創新技術來攻擊安全防禦。惡意軟體越隱蔽,就越難檢測和刪除。威脅行為者利用這種策略將難以檢測的惡意軟體插入到快捷方式檔(LNK 檔)中,操縱可靠的應用程式成為危險的威脅。
不到一個月前,一場新的魚叉式網路釣魚活動開始針對LinkedIn專業人士,在 工作機會中隱藏著一個名為“more_eggs”的複雜後門木馬。
LinkedIn候選人在其LinkedIn個人資料中收到了帶有受害者職位名稱的惡意ZIP存檔檔。當受害者打開虛假的招聘機會時,他們在不知不覺中發起了無檔後門“more_eggs”的秘密安裝。一旦安裝到設備上,複雜的後門程式就可以獲取更多惡意外掛程式,並使駭客能夠存取受害者的電腦。
一旦特洛伊木馬進入電腦系統,威脅行為者就可以滲透系統並用其他類型的惡意軟體(如勒索軟體)感染它、竊取資料或泄露資料。Golden Eggs 是該惡意軟體背後的威脅組織,將其作為 MaaS(惡意軟體即服務)出售,供其客戶利用。
什麼是 LNK檔?
LNK 是 Windows 中本地檔快捷方式的檔案副檔名。LNK 檔案快捷方式提供對可執行檔 (.exe) 的快速存取,而無需使用者瀏覽程式的完整路徑。
Shell 連結二進位檔案格式 (.LNK) 包含有關可執行檔的元資料,包括目標應用程式的原始路徑。
Windows 使用此資料來支援啟動應用程式、連結方案以及儲存對目標檔的應用程式引用。
我們都使用 LNK 檔作為桌面、控制面板、任務功能表和 Windows 資源管理員中的快捷方式。
惡意軟體可能潛伏在您最薄弱的 LNK 中
由於 LNK 檔提供了一種方便的替代檔,因此威脅參與者可以使用它們來創建基於腳本的威脅。其中一種方法是使用PowerShell。
PowerShell 是 Microsoft 開發的一種強大的命令行和 shell 腳本語言。由於 PowerShell 在後台不顯眼地運行,因此它為駭客提供了插入惡意代碼的絕佳機會。 許多網路犯罪分子透過在 LNK 檔案中執行 PowerShell 腳本來利用這一點。
這種類型的攻擊場景並不新鮮。LNK 檔漏洞利用 早在 2013 年 就很普遍,至今仍是一種活躍的威脅。最近的一些方案包括使用此方法在與 COVID-19 相關的檔案 中插入惡意軟體,或 在網路釣魚電子郵件中附加帶有偽裝的 PowerShell 病毒的 ZIP 檔。
網路犯罪分子如何將 LNK 檔用於惡意目的
威脅參與者可以在 LNK 檔目標路徑的 PowerShell 命令中潛入惡意腳本。
在某些情況下,可以在「Windows 屬性」下看到代碼:
但有時很難發現問題:
路徑 URL 看起來無害。但是,命令提示符 (cmd.exe) 後有一串空格。由於「目標」欄位的字元限制為 260,因此您只能在 LNK 分析工具中看到完整命令。在空格後悄悄地插入了惡意代碼:
一旦使用者打開 LNK 檔,惡意軟體就會感染他們的電腦,在大多數情況下,用戶沒有意識到有什麼不對勁。
Deep CDR(檔案無毒化) 如何防止 LNK 檔案攻擊
Deep CDR(檔案無毒化)(內容撤防和重建)可保護您的組織免受隱藏在檔中的潛在威脅。我們的威脅防禦技術假定進入您網路的所有檔都是惡意的;然後解構、清理和重建每個檔,並刪除所有可疑內容。
Deep CDR(檔案無毒化) 刪除 LNK 檔案中存在的所有有害的 cmd.exe 和 powershell.exe 命令。在上面的LinkedIn工作機會中的特洛伊木馬示例中,受感染的 LNK 檔案隱藏在 ZIP 檔案中。Deep CDR 可處理多級嵌套存檔檔案,檢測受感染的元件,並刪除有害內容。因此,惡意軟體被停用,無法再在安全使用的檔案中執行。
此外 OPSWAT 允許使用者整合多種專有技術,以提供額外的惡意軟體保護層。其中一個例子是多防毒引擎掃描,它允許使用者同時掃描 30+ 反惡意軟體引擎(利用 AI/ML、簽名、啟發式等),以實現接近 100% 的檢測率。相比之下,單個AV引擎平均只能檢測到40%-80%的病毒。
瞭解有關 Deep CDR(檔案無毒化)、 多防毒引擎掃描和其他技術的更多資訊;或 與 OPSWAT 專家 ,以發現最佳安全解決方案,以防範來自高階規避惡意軟體的零時差攻擊和其他威脅。
