Windows shortcut fájlok (LNK) rosszindulatú felhasználásának elemzése
A támadók egyre gyakrabban használják ki a Windows parancsikonfájlokat (LNK) rosszindulatú programok terjesztésére. A Unit 42 telemetriái 2023-ban 21 098 rosszindulatú LNK-mintát azonosítottak, ami 2024-ben 68 392-re emelkedett. A Unit 42 30 000 friss minta elemzése alapján készített egy cikket, ami a kártékony LNK fájlokat vizsgálja.
A Windows parancsikonfájlok a .lnk fájlkiterjesztést használják, és virtuális hivatkozásként funkcionálnak, amely lehetővé teszi, hogy könnyen hozzáférjünk más fájlokhoz anélkül, hogy több mappában kellene navigálni a Windowson. Az LNK-fájlok rugalmassága miatt hatékony eszköz a támadók számára, mivel egyszerre képesek rosszindulatú tartalmakat végrehajtani és legitim fájloknak álcázni magukat, hogy megtévesszék az áldozatokat, akik így akaratlanul rosszindulatú programokat futtathatnak. Az rosszindulatú LNK fájlok ismerős ikonokkal vagy nevekkel rendelkezhetnek, amelyek alapján megbízható alkalmazásoknak vagy dokumentumoknak tűnnek és így rávehetik a felhasználókat a megnyitásukra. Az ilyen fenyegetések azonosításához alaposan meg kell vizsgálni a fájl tulajdonságait, különösen a célhelyét. Ha a cél szokatlannak tűnik (pl. ismeretlen könyvtárakra mutat, vagy szokatlanul hosszú), valószínűleg egy kártékony LNK fájlról van szó.
A Unit 42 szerint a kártékony LNK fájlok négy kategóriába sorolhatók: kihasználás végrehajtására, fájlok lemezen történő végrehajtására, szkriptek futtatására, overlay végrehajtására.
A kártékony LNK fájlok első fő típusa az exploit. Ezek olyan LNK binárisok, amelyeket a Windows kihasználására terveztek. Mivel a Windows feldolgozza az LNK-fájlokat, amint megnyitja a benne lévő mappát, ezek az exploit-alapú LNK-fájlok kihasználhatják az operációs rendszer összetevőinek sérülékenységeit. Mivel a Microsoft a modern Windows-verziókat úgy javította, hogy megakadályozza ezeket a kihasználásokat, az ilyen típusú rosszindulatú LNK fájlok egyre ritkábban fordulnak elő. Az exploit-alapú LNK fájlok a Unit 42 elemzései szerint a leggyakorabban a CVE-2010-2568 sérülékenységet próbálják kihasználni.
A második felhasználási módja a rosszindulatú LNK fájloknak, amikor kártékony kódot tartalmaznak. Az LNK malware olyan rosszindulatú fájlokat (szkripteket vagy bináris fájlokat) képes végrehajtani, amelyeket a támadók már elmentettek a lemezre az áldozat gépén. Az ilyen típusú LNK malware vagy egy rosszindulatú fájlra , vagy egy olyan rendszercélpontra mutat, amely segíthet a rosszindulatú fájl végrehajtásában. A kártékony LNK fájlok ezen típusának célja egyszerű: egy rosszindulatú fájl végrehajtása a lemezen.
Az LNK fájlokat felhasználhatjál szkriptek futtatására is. A COMMAND_LINE_ARGUMENTS mező bármilyen méretű karakterláncot tartalmazhat, beleértve egy rosszindulatú szkriptet is. Ha az LNK-fájl célpontját egy parancsértelmezőre vagy egy parancsok végrehajtására alkalmas segédprogramra irányítja, az LNK-fájl képes végrehajtani a COMMAND_LINE_ARGUMENTS mezőben elmentett rosszindulatú szkriptet.
A Unit 42 kutatói sok esetben azonosítottak a rosszindulatú LNK-fájlok feltételezett vége után csatolt extra adatokat. Mivel az adatok LNK-fájlhoz való csatolása nem okoz elemzési problémákat, az LNK-kártékony programok egy másik típusa rosszindulatú szkripteket vagy más típusú hasznos terheket csatol a legitim LNK-fájlokhoz. Ezeket az adatokat „overlay tartalomnak” nevezik. A Windows az LNK-fájl feltételezett vége után mindent figyelmen kívül hagy.
