为何基于LNK的攻击仍能得逞
2025年底,Arctic Wolf Labs发布了一项研究,揭露了一起针对比利时、匈牙利及其他欧洲国家外交机构的情报窃取行动。该威胁行为者是一个与中国有关联的组织,代号为UNC6384,其利用鱼叉式网络钓鱼邮件,以欧盟委员会的正规会议和北约相关研讨会为主题,传播经过恶意改造的Windows快捷方式(即LNK文件)。
当收件人点击该快捷方式时,一个隐藏的 PowerShell 命令便会触发多阶段感染链,最终植入 PlugX 远程访问木马。该攻击活动利用了 ZDI-CAN-25373 漏洞——这是 2025 年 3 月披露的一个 Windows 快捷方式漏洞,它通过将命令隐藏在 LNK 文件命令行参数中的空格填充中,从而实现隐蔽的命令执行。
UNC6384对该技术的利用揭示了一个更广泛的问题:对用户而言,快捷方式文件仍显得司空见惯,因此往往比可执行文件或启用了宏的文档受到更少的审查。一旦恶意LNK文件被执行,最危险的活动通常会在运行时通过编码脚本、分阶段解压的存档以及签名二进制文件的滥用而展开,而静态扫描和信誉检查往往难以及时应对。
此后,该行动一直在不断演变。2026年4月,《The Hacker News》报道称,该威胁团伙(业内代号为TA416)自2025年年中起重新将欧洲政府及外交机构作为攻击目标,不断尝试新的传播方式,包括滥用OAuth重定向、利用Cloudflare Turnstile验证页面以及基于MSBuild的执行方式,同时持续更新其PlugX有效载荷。
本文探讨的“北极狼”研究揭示了这一现已得到证实且仍在进行中的行动的一个阶段,并展示了MetaDefender 与Deep CDR™技术如何协同作用,弥合检测与预防之间的差距。
UNC6384 攻击链
一切始于一个大多数用户绝不会起疑的文件。此次攻击活动中传播的LNK文件名为“Agenda_Meeting 26 Sep Brussels.lnk”,大小仅为2.58 KB,其内容涉及欧盟委员会关于促进欧盟与西巴尔干国家边境口岸货物自由流动的一次真实会议。这是真实活动的一份真实议程,而该快捷方式看起来也十分寻常。
第一阶段:通过恶意LNK文件进行初始入侵
第二阶段:通过合法的已签名二进制文件进行 DLL 旁加载
解压后的压缩包包含三个文件:cnmpaui.exe、cnmpaui.dll 和 cnmplog.dat。第一个文件是佳能(Canon)官方的打印机辅助工具,由佳能公司(Canon Inc.)使用赛门铁克(Symantec)签发的证书进行了数字签名。该签名有效,因为其时间戳生成时证书仍处于有效期内,这意味着尽管证书本身已于 2018 年过期(Arctic Wolf),Windows 系统仍会继续信任该二进制文件。
此时,精确性至关重要。该EXE文件本身并非恶意程序。它是一款真正的佳能实用工具,却被用于特定目的:当cnmpaui.exe运行时,它会在检查系统路径之前,先在其所在目录中搜索cnmpaui.dll。通过在合法二进制文件旁边植入一个同名的恶意DLL文件,UNC6384篡改了该搜索顺序,并在受信任的进程中加载了其自身的代码。
第三阶段:有效载荷解密与PlugX执行
恶意文件cnmpaui.dll是一个轻量级加载器,其 2025 年 10 月变种仅 4 KB 大,设计目的只有一个:解密并执行第三个文件 cnmplog.dat。该文件是一个经过 RC4 加密的二进制数据块,其中包含 PlugX 远程访问木马。 加载器使用一个硬编码的 16 字节密钥对其进行解密,并将生成的有效载荷直接映射到合法的 cnmpaui.exe 进程的内存空间中。
从那时起,PlugX 便在经过签名且受信任的二进制文件中运行。 它通过名为“CanonPrinter”的注册表 Run 键建立持久化机制,创建名为“SamsungDriver”或“DellSetupFiles”等隐藏目录以融入环境,并通过 443 端口的 HTTPS 与指挥控制基础设施通信,利用随机生成的 URL 路径和伪造的 Internet Explorer 用户代理字符串,使其混入正常的网络流量中。
从首次点击到后门激活,这一系列操作乍看之下没有任何明显恶意迹象,而大多数真正可疑的行为仅在运行时才会显现。每个阶段都经过精心设计,旨在通过静态分析时显得正常,并在传统过滤器无法检测到的位置执行。
为什么静态防御难以应对这一链式攻击
静态防御机制难以应对这种攻击链,因为每个阶段的设计都使其在孤立状态下看起来无可指摘。该攻击活动之所以有效,并非因为某个明显恶意的文件,而是因为一系列看似可信的组件,其真实意图只有在运行时才会显现。这种模式不仅限于快捷方式文件:攻击者还会将有效载荷隐藏在看似无害的图像文件中,并结合基于 LNK 的传播方式,以此规避传统杀毒软件的检测。
为什么静态防御难以应对这一链式攻击
| 舞台 | 守卫者眼中的景象 | 为何能通过检验 |
|---|---|---|
| 恶意 LNK 文件 | 一个大小为 2.58 KB 的快捷方式文件,指向一次外交会议 | LNK 文件默认风险较低;ZDI-CAN-25373 将 PowerShell 命令隐藏在空格填充中,而大多数元数据检查工具无法解析这些空格。 |
| 已签署的佳能EXE | 一个合法的 PE32 二进制文件,带有来自公认发布者的有效且带有时间戳的数字签名 | 如果将其屏蔽,所有运行佳能打印机软件的环境都会被标记。信誉评估引擎没有理由对其产生怀疑。 |
| 4 KB 加载程序 DLL | 一个极其简约的 DLL,没有明显可疑的导入函数,其唯一作用是读取、解密并传递执行权限 | YARA 规则可以检测已知的变体,但如果加载器经过重新编译且使用了不同的密钥或解密例程,就会逃过静态覆盖检测。 |
| 加密的 PlugX 有效载荷 | 一个不透明的 .dat 数据块,其解密后的形式从未接触过磁盘 | 基于文件的扫描永远不会检查实际的恶意软件。有效载荷会直接加载到受信任的佳能进程的内存空间中。 |
静态分析工具所能检测的内容与运行时实际发生的情况之间存在差距,而这正是规避检测的攻击活动得以肆虐的温床。要弥合这一差距,就需要一种能够观察完整执行路径(从初始文件启动到后续每个阶段)的检测方法,并基于行为而非外观来做出判定。
MetaDefender 如何揭示完整链条
MetaDefender 是OPSWAT统一零日漏洞检测解决方案,它结合了四层分析机制,从多角度对每个文件进行检测,最终给出单一可靠的结果。
- 威胁声誉分析会将文件的哈希值、元数据和嵌入式指标与源自超过500亿条指标的全球情报进行比对。在此过程中,这有助于识别已知威胁,并为未知威胁提供背景信息。
- 随后Adaptive 会在模拟环境中执行该文件,并观察其运行流程:LNK 文件启动 PowerShell,编码命令解码 tar 归档文件,带签名的 Canon 二进制文件加载未签名的 DLL,以及解密后的 PlugX 有效载荷建立持久化连接并连接到 C2(命令与控制)基础设施。
- 威胁评分将这些结果、声誉信号和提取的指标综合起来,形成一个加权风险评分,该评分全面考虑了行为背景。
- 基于机器学习的相似性搜索会将该文件及其行为与已知的恶意软件家族及相关活动进行比对,从而帮助发现其与PlugX变种或类似DLL旁加载攻击活动的关联。
该解决方案可实现高达 99.9% 的零日漏洞检测准确率,并针对每个文件返回单一可信的判定结果,从而避免了安全运营中心 (SOC) 分析师不得不手动核对多份独立报告的情况。当团队每天需要对来自电子邮件、MFT、ICAP、自助终端、存储系统以及跨域工作流的数百个文件进行分级处理时,这一点尤为重要。
该链条的一个关键区别在于指令级仿真。传统的基于虚拟机的沙箱可能无法检测到那些利用反虚拟机规避技术、延时策略和环境检测来避免完全执行的恶意软件。MetaDefender 自适应沙箱技术能在指令级模拟 CPU 和操作系统的行为,从而有助于揭露从 LNK 到 PowerShell 再到 DLL 的完整侧载序列。
对于安全运营中心(SOC)团队而言,其回报是切实的:
- 由于裁决结果已进行关联并映射到MITRE分类,因此分诊速度更快
- 更准确的屏蔽决策,因为该判定反映的是运行时行为,而非仅仅基于静态声誉
- MetaDefender 能够区分被滥用的合法签名二进制文件与真正的恶意有效载荷,从而降低了误报率
- 在文件导入点(即此类攻击进入环境的入口)加强针对零日漏洞的防范准备
Deep CDR™ 技术如何消除触发因素
Deep CDR™ 技术通过无害化处理那个引发一切的文件,在恶意链条尚未启动时便将其扼杀在萌芽状态。MetaDefender 能够揭示恶意文件在运行时的行为,而 Deep CDR™ 技术则能确保该文件根本没有机会被执行。
该机制专门针对基于 LNK 的攻击运作方式。经过武器化的快捷方式通过嵌入的命令行参数携带恶意意图,在本例中,即通过解码后的 PowerShell 调用指令来解压 tar 归档文件并启动有效载荷链。Deep CDR™ 技术能够识别该嵌入式命令,并将其替换为无害的虚拟命令,从而在保留快捷方式的同时,消除其作为攻击触发器的功能。
最终形成了一个经过安全处理的 LNK 工作流,其中原始的恶意行为在执行前已被消除。不会执行 PowerShell,不会解压存档,不会进行 DLL 旁加载,也不会调用 PlugX。MetaDefender 与 Deep CDR™ 技术相结合,构建了一个双层防御模型。
双层防御模型
| 层 | 技术 | 角色 |
|---|---|---|
| 检测与理解 | MetaDefender | 触发文件执行,揭示完整的多阶段执行路径,提取行为特征指标,并返回单一可信的判定结果。 |
| 解除武装并防止 | 深度CDR™技术 | 中和恶意 LNK 命令,阻止该快捷方式执行。 |
这种区别在实际应用中至关重要。MetaDefender 是一款针对需要深度分析的文件的零日漏洞检测解决方案,尤其适用于需要理解运行时行为并做出确切判定的情况。Deep CDR™ 技术则针对那些内容可在不影响正常使用的情况下安全清除的文件,提供净化和预防控制。两者结合,全面覆盖了问题的两个方面:既能理解威胁的行为,又能确保其永远无法得逞。
为什么精度很重要
精准性至关重要,因为攻击链中的文件并非全都具有恶意,若对所有文件一视同仁,会导致检测范围过广,从而削弱用户对工具的信任。此次攻击活动充分说明了这一点。
该已签名的佳能打印机实用程序(cnmpaui.exe)是一个合法的二进制文件。它拥有有效的数字签名、良好的信誉记录,且其哈希值与合法软件相关联。若将其标记为恶意软件,在安装了佳能打印机软件的环境中会产生误报,并导致安全运营中心(SOC)分析师对收到的警报产生怀疑。
主要入侵指标(IOCs)包括恶意DLL(cnmpaui.dll)及其触发的行为链:
- 使用硬编码的 RC4 密钥进行旁加载并解密加密有效载荷
- 将解密后的PlugX二进制文件映射到可信进程的内存空间中
- 通过“CanonPrinter”运行键实现持久化
- 使用随机生成的 URL 路径和伪造的用户代理字符串发起 HTTPS C2 流量
这些才是最重要的信号,而只有当检测工具能够观察行为,并区分受信任的二进制文件是否被滥用以及是否存在真正的恶意程序时,这些信号才会显现出来。
正是在这种情况下MetaDefender 单一可信判定显得尤为重要。它不会对链条中的每个文件一概贴上“恶意”标签,而是根据各组件在完整执行上下文中的实际行为,对其进行评分。
该已签名的 EXE 文件被识别为用于侧载的合法二进制文件。而 DLL 及其产生的运行时行为则被标记为真正的威胁。这种区分使安全团队能够更清晰地掌握情况,并减少了在区分有效信号与干扰信息时所需的手动工作量。
还可以通过针对性规则(如 YARA)来加强针对恶意 DLL 的静态检测,Arctic Wolf 发布的针对CanonStager 加载器的YARA 签名便是一个有用的起点。但签名检测本质上是被动的。在这样的攻击链中,真正的关键在于行为可见性加上文件中和。
应用分层文件安全机制以揭示基于 LNK 的攻击链
基于 LNK 的攻击之所以屡试不爽,是因为它们利用了人们每天都会看到、却很少认为其具有危险性的文件类型。在之前的文章中,我们曾指出,LNK文件是普通的Windows快捷方式,攻击者可以通过在其中隐藏PowerShell或cmd.exe命令将其武器化,有时这些命令在文件实际打开之前看起来毫无害处。这正是像UNC6384这样的攻击活动之所以能持续得逞的原因:快捷方式看起来很熟悉,但它触发的行为却截然不同。
这一模式在多次攻击活动中都得到了印证。在我们关于Emotet的报道中,我们曾解释过为何快捷方式文件难以与普通文档区分,并且Windows系统默认情况下不会显示其文件扩展名。这使得它们成为特别有效的传播载体。此处的教训同样适用:当一种常见的文件类型仍能悄然渗入日常工作流程并触发多阶段感染链时,攻击者根本无需使用什么新花招。
解决之道并非将链条中的每个文件都标记为恶意文件,而是要实施分层文件安全防护,从而揭示运行时行为,区分被滥用的合法二进制文件与恶意有效载荷,并在触发机制启动前将其拦截。请咨询OPSWAT ,了解MetaDefender 和 Deep CDR™ 技术如何帮助您的团队检测、分析并防范基于 LNK 的攻击。
