恶意软件如何隐藏在 LNK 文件中,以及组织如何自我保护。
网络犯罪分子一直在寻找创新技术来攻击安全防御系统。恶意软件越隐蔽,就越难被发现和清除。威胁者利用这种策略,将难以检测的恶意软件植入快捷方式文件(LNK 文件),将可靠的应用程序操纵成危险的威胁。
不到一个月前,一个新的鱼叉式网络钓鱼活动开始针对 LinkedIn 上的专业人士,在招聘信息中隐藏了一个名为"more_eggs "的复杂后门木马。
LinkedIn 应聘者在其 LinkedIn 个人资料中收到了带有受害者职位名称的恶意 ZIP 压缩文件。当受害者打开这些虚假招聘信息时,他们在不知情的情况下偷偷安装了无文件后门 "more_eggs"。一旦安装到设备上,这个复杂的后门就可以获取更多的恶意插件,让黑客进入受害者的电脑。
木马一旦进入计算机系统,威胁者就可以侵入系统并感染其他类型的恶意软件(如勒索软件)、窃取数据或外泄数据。这种恶意软件背后的威胁组织 Golden Eggs 将其作为 MaaS(恶意软件即服务)出售,供客户利用。
什么是 LNK 文件?
LNK 是 Windows 中本地文件快捷方式的文件扩展名。LNK 文件快捷方式可让用户快速访问可执行文件(.exe),而无需浏览程序的完整路径。
Shell Link 二进制文件格式(.LNK)文件包含可执行文件的元数据,包括目标应用程序的原始路径。
Windows 使用这些数据来支持应用程序的启动、场景链接以及将应用程序引用存储到目标文件。
我们都在桌面、控制面板、任务菜单和 Windows 资源管理器中使用 LNK 文件作为快捷方式。
恶意软件可能潜伏在你最薄弱的 LNK 中
由于 LNK 文件提供了打开文件的便捷替代方法,威胁行为者可以利用它们创建基于脚本的威胁。其中一种方法就是使用 PowerShell。
PowerShell 是微软开发的一种强大的命令行和 shell 脚本语言。由于 PowerShell 在后台运行时并不引人注目,因此为黑客提供了插入恶意代码的绝佳机会。许多网络犯罪分子利用这一点,在 LNK 文件中执行 PowerShell 脚本。
这类攻击场景并不新鲜。LNK 文件漏洞早在 2013 年就很普遍,如今仍是一种活跃的威胁。最近出现的一些情况包括使用这种方法在与 COVID-19 相关的文档中插入恶意软件,或在钓鱼电子邮件中附加带有伪装 PowerShell 病毒的 ZIP 文件。
网络犯罪分子如何利用 LNK 文件达到恶意目的
威胁行为者可以在 LNK 文件目标路径的 PowerShell 命令中潜入恶意脚本。
在某些情况下,您可以在 Windows 属性下看到代码:
但有时很难发现问题:
路径 URL 看起来没有问题。但是,命令提示符 (cmd.exe) 后面有一串空格。由于 "目标 "字段的字符数限制为 260,因此在 LNK 分析工具中只能看到完整的命令。在空格后偷偷插入了恶意代码:
一旦用户打开 LNK 文件,恶意软件就会感染他们的计算机,在大多数情况下,用户不会意识到任何问题。
Deep CDR 如何防止 LNK 文件攻击
Deep CDR (内容解除和重建)可保护您的组织免受隐藏在文件中的潜在威胁。我们的威胁防御技术假定进入网络的所有文件都是恶意文件,然后对每个文件进行解构、消毒和重建,并删除所有可疑内容。
Deep CDR 删除 LNK 文件中所有有害的 cmd.exe 和 powershell.exe 命令。在上述 LinkedIn 招聘信息中的木马示例中,受感染的 LNK 文件隐藏在 ZIP 文件中。Deep CDR 会处理多层嵌套压缩文件,检测受感染的组件,并删除有害内容。结果,恶意软件失活,无法再在安全消费文件中执行。
此外,OPSWAT 允许用户集成多种专有技术,提供额外的恶意软件保护层。其中一个例子是Multiscanning ,它允许用户同时使用 30 多种反恶意软件引擎(利用人工智能/移动处理、签名、启发式等)进行扫描,从而实现接近 100% 的检测率。相比之下,单个反病毒引擎平均只能检测到 40%-80% 的病毒。
了解更多 Deep CDR, Multiscanning和其他技术;或与OPSWAT 专家交谈,了解最佳安全解决方案,以防范零日攻击和其他来自高级逃避型恶意软件的威胁。
