Miért jutnak át még mindig az LNK-alapú támadások?
2025 végén az Arctic Wolf Labs közzétett egy kutatást egy olyan kémkedési kampányról, amely belgiumi, magyarországi és más európai országok diplomáciai szerveit vette célba. A fenyegetést jelentő szereplő – egy UNC6384 néven nyomon követett, Kínához kapcsolódó csoport – spearphishing-e-maileket használt arra, hogy fertőzött Windows-parancsikonokat, azaz LNK-fájlokat juttasson el a célpontokhoz, amelyek témája az Európai Bizottság törvényes ülései és a NATO-val kapcsolatos workshopok voltak.
Amikor a címzett rákattintott a parancsikonra, egy rejtett PowerShell-parancs elindított egy többfázisú fertőzési láncot, amely végül a PlugX távoli hozzáférést biztosító trójai programot telepítette a rendszerre. A kampány a ZDI-CAN-25373 sebezhetőséget használta ki, egy 2025 márciusában nyilvánosságra hozott Windows-parancsikon-sebezhetőséget, amely lehetővé teszi a parancsok rejtett végrehajtását azáltal, hogy azokat az LNK-fájl parancssori argumentumaiban szóközökkel töltve elrejti.
Az UNC6384 esetében ez egy általánosabb problémára hívta fel a figyelmet: a parancsikonfájlok a felhasználók számára még mindig mindennapi dolognak tűnnek, és gyakran kevesebb figyelmet kapnak, mint a futtatható fájlok vagy a makrókat tartalmazó dokumentumok. Amint egy rosszindulatú LNK-fájl elindul, a legveszélyesebb tevékenységek gyakran futásidőben zajlanak le kódolt szkriptek, többszintű archívumok és aláírt bináris fájlok visszaélésszerű felhasználása révén, amivel a statikus vizsgálatok és a hírnév-ellenőrzések nehezen tudnak lépést tartani.
A kampány azóta is folyamatosan fejlődik. 2026 áprilisában a The Hacker News arról számolt be, hogy ugyanaz a fenyegetési csoport – amelyet az iparágban TA416 néven követnek nyomon – 2025 közepétől újra európai kormányzati és diplomáciai szervezeteket vett célba, új terjesztési módszereket alkalmazva, többek között az OAuth-átirányítások visszaélésszerű kihasználását, a Cloudflare Turnstile hitelesítési oldalait és az MSBuild-alapú végrehajtást, miközben továbbra is frissítette PlugX kártékony kódját.
A cikkben bemutatott Arctic Wolf-kutatás egy olyan, mára már dokumentált és jelenleg is folyó művelet egyik szakaszát mutatja be, és rávilágít arra, hogy MetaDefender és a Deep CDR™ technológia együttesen hogyan hidalja át a különbséget az észlelés és a megelőzés között.
Az UNC6384 támadási lánc
Az egész egy olyan fájllal kezdődött, amelyet a legtöbb felhasználó soha nem vonna kétségbe. A kampányban terjesztett „Agenda_Meeting 26 Sep Brussels.lnk” nevű LNK-fájl mindössze 2,58 KB méretű volt, és egy valódi Európai Bizottsági ülésre utalt, amelynek témája az áruk szabad mozgásának elősegítése volt az EU és a Nyugat-Balkán közötti határátkelőhelyeken. Ez egy valódi esemény valódi napirendje volt, egy teljesen szokványosnak tűnő parancsikon kíséretében.
1. szakasz: Elsődleges behatolás rosszindulatú LNK-fájlon keresztül
Amikor a címzett duplán rákattintott a parancsikonra, az észrevétlenül elindította a PowerShell programot egy elrejtett paranccsal, amely dekódolta és kibontotta a tar-tárgyat (rjnlzlkfe.ta) a felhasználó helyi Temp könyvtárába. A PowerShell-parancs ezután a tar.exe segítségével kicsomagolta az archívumot, és elindította annak tartalmát, miközben egy ál-PDF-fájlt is megnyitott, amely a tényleges értekezlet napirendjét tartalmazta. Az áldozat egy dokumentumot látott. A támadó kódvégrehajtási jogot szerzett.
2. lépés: DLL-fájlok oldalról történő betöltése egy érvényes, aláírt bináris fájl segítségével
A kibontott archívum három fájlt tartalmazott: cnmpaui.exe, cnmpaui.dll és cnmplog.dat. Az első egy legitim Canon nyomtató-segédprogram, amelyet a Canon Inc. a Symantec által kiállított tanúsítvánnyal digitálisan aláírt. Az aláírás érvényes, mivel az időbélyegzés akkor történt, amikor a tanúsítvány még érvényben volt, vagyis a Windows továbbra is megbízik a bináris fájlban, annak ellenére, hogy maga a tanúsítvány 2018-ban lejárt (Arctic Wolf).
Itt jön képbe a pontosság. Az EXE-fájl nem rosszindulatú. Valódi Canon segédprogramról van szó, amelyet egy konkrét célra használnak fel visszaélésszerűen: amikor a cnmpaui.exe elindul, a rendszerútvonalak ellenőrzése előtt először a saját könyvtárában keresi a cnmpaui.dll fájlt. Azáltal, hogy egy azonos nevű rosszindulatú DLL-fájlt helyeztek el a legitim bináris fájl mellé, az UNC6384 megkerülte ezt a keresési sorrendet, és saját kódját egy megbízható folyamaton belül töltötte be.
3. szakasz: A hasznos adat dekódolása és a PlugX futtatása
A rosszindulatú cnmpaui.dll egy könnyűsúlyú betöltőprogram, amelynek 2025. októberi változatának mérete mindössze 4 KB, és egyetlen feladatot lát el: a harmadik fájl, a cnmplog.dat visszafejtését és futtatását. Ez a fájl egy RC4-titkosítású adatcsomag, amely a PlugX távoli hozzáférést biztosító trójai programot tartalmazza. A betöltő egy beépített 16 bájtos kulccsal visszafejteti, és a kapott hasznos adatot közvetlenül a legitim cnmpaui.exe folyamat memóriaterületébe helyezi.
Ettől a ponttól kezdve a PlugX egy aláírt, megbízható bináris fájlban fut. A program a „CanonPrinter” nevű rendszerleíró adatbázis Run kulcsán keresztül biztosítja a perzisztenciát, „SamsungDriver” vagy „DellSetupFiles” nevű rejtett könyvtárakat hoz létre, hogy beleolvadjon a környezetbe, és a 443-as porton HTTPS-en keresztül kommunikál a parancs- és vezérlő infrastruktúrával, véletlenszerű URL-útvonalakat és hamisított Internet Explorer felhasználói ügynök-karakterláncot használva, hogy beleolvadjon a normál webes forgalomba.
Az első kattintástól az aktív hátsóajtóig e lánc egyetlen eleme sem tűnt első pillantásra nyíltan rosszindulatúnak, és a valóban gyanús viselkedés nagy része csak futás közben jelentkezett. Minden egyes szakaszt úgy terveztek, hogy statikus vizsgálat során normálisnak tűnjön, és olyan helyeken futtassák, ahol a hagyományos szűrők nem keresnek.
Miért nem tudnak a statikus védelmi rendszerek megbirkózni ezzel a lánccal?
A statikus védelmi rendszereknek nehézséget okoz ez a lánc, mivel minden egyes szakasz úgy van kialakítva, hogy önmagában elfogadhatónak tűnjön. A támadási kampány hatékonyságát nem egy nyilvánvalóan rosszindulatú fájl biztosítja, hanem olyan, megbízhatónak tűnő összetevők sorozata, amelyek valódi célja csak futáskor válik nyilvánvalóvá. Ez a módszer nem korlátozódik a parancsikonfájlokra: a támadók látszólag ártalmatlan képfájlokba is elrejtettek már hasznos adatokat, és ezeket LNK-alapú terjesztéssel kombinálták, hogy kijátszhassák a hagyományos víruskeresők észlelését.
Miért nem tudnak a statikus védelmi rendszerek megbirkózni ezzel a lánccal?
| Színpad | A védő szemszögéből | Miért felel meg az ellenőrzésen? |
|---|---|---|
| Rosszindulatú LNK-fájl | Egy 2,58 KB méretű parancsfájl, amely egy diplomáciai találkozóra utal | Az LNK fájlok alapértelmezés szerint alacsony kockázatúak; a ZDI-CAN-25373 a PowerShell-parancsot olyan szóközökkel töltött kiegészítések mögé rejti, amelyeket a legtöbb metaadat-ellenőrző nem értelmez. |
| Aláírta: Canon EXE | Egy hiteles PE32 bináris fájl, amely egy elismert kiadótól származó, érvényes, időbélyeggel ellátott digitális aláírással rendelkezik | A blokkolás minden olyan környezetet jelölne meg, amelyben Canon nyomtatószoftver fut. A hírnév-értékelő rendszereknek nincs okuk arra, hogy ne bízzanak benne. |
| 4 KB-os betöltő DLL | Egy minimális DLL, amely nem tartalmaz nyilvánvalóan gyanús importokat, és amelynek egyetlen feladata az adatok beolvasása, visszafejtése és a végrehajtás átadása | A YARA-szabályok képesek felismerni az ismert változatokat, de egy másik kulccsal vagy visszafejtési eljárással újrafordított betöltő elkerüli a statikus lefedettséget. |
| Titkosított PlugX hasznos adat | Egy átlátszatlan .dat-fájl, amely dekódolt formában soha nem kerül a merevlemezre | A fájlalapú vizsgálat soha nem ellenőrzi a rosszindulatú programot. A kártékony kód közvetlenül a megbízható Canon-folyamat memóriaterületébe töltődik be. |
Az a különbség, amely a statikus eszközökkel ellenőrizhető dolgok és a futásidőben ténylegesen zajló események között fennáll, éppen az a terület, ahol a kiszámíthatatlan támadási kampányok virágoznak. Ennek a résnek a megszüntetéséhez olyan észlelési módszerre van szükség, amely képes a teljes végrehajtási útvonalat nyomon követni – a fájl első indításától kezdve minden további szakaszon át –, és amely a látszat helyett a viselkedés alapján hoz döntést.
Hogyan tárja fel MetaDefender a teljes láncot
MetaDefender OPSWAT egységes zero-day-észlelési megoldása, amely négy elemzési réteget ötvöz, hogy minden fájlt több szempontból is megvizsgáljon, mielőtt egyetlen megbízható eredményt adna.
- A fenyegetési hírnév-ellenőrzés a fájl hash-értékeit, metaadatait és beágyazott mutatóit több mint 50 milliárd mutatóból származó globális hírszerzési adatokkal vet össze. Ez a folyamat segít azonosítani a már ismert elemeket, és kontextust adni az ismeretlenekhez.
- Adaptive ezután egy emulált környezetben futtatja a fájlt, és figyelemmel kíséri a futási sorrendet: az LNK fájl elindítja a PowerShell-t, a kódolt parancs kibontja a tar-archívumot, az aláírt Canon bináris fájl betölti az aláírás nélküli DLL-t, majd a visszafejtett PlugX hasznos teher megteremti a tartós jelenlétet, és kapcsolatba lép a C2 (parancs- és vezérlő) infrastruktúrával.
- A fenyegetésértékelés ezeket az eredményeket, a hírnévvel kapcsolatos jelzéseket és a kivont mutatókat egy súlyozott kockázati pontszámba egyesíti, amely figyelembe veszi a viselkedés teljes kontextusát.
- A gépi tanuláson alapuló hasonlóságkeresés összehasonlítja a fájlt és annak viselkedését az ismert kártevőcsaládokkal és a kapcsolódó tevékenységekkel, így segítve a PlugX-változatokhoz vagy hasonló DLL-oldalsóbetöltési kampányokhoz fűződő kapcsolatok feltárását.
A rendszer együttesen akár 99,9%-os hatékonyságot biztosít a zero-day támadások észlelésében, és fájlonként egyetlen, megbízható értékelést ad, így a SOC-elemzőknek nem kell a különálló jelentéseket manuálisan összehangolniuk. Ez különösen fontos, amikor a csapatok naponta több száz fájlt vizsgálnak át e-mailek, MFT, ICAP, kioszkok, tárolók és doménközi munkafolyamatok keretében.
Ennek a megoldásnak egyik legfontosabb megkülönböztető jellemzője az utasítás-szintű emuláció. A hagyományos, virtuális gépen alapuló homokozók nem mindig képesek felismerni azokat a kártevő programokat, amelyek virtuális gépek kijátszására szolgáló technikákat, időzítési késleltetéseket és környezeti ellenőrzéseket alkalmaznak a teljes végrehajtás elkerülése érdekében. MetaDefender adaptív homokozója utasítás-szinten emulálja a CPU és az operációs rendszer viselkedését, ami segít feltárni a teljes LNK-PowerShell-DLL oldalsó betöltési folyamatot.
A SOC-csapatok számára az előny gyakorlati jellegű:
- Gyorsabb osztályozás, mivel az ítéletek már össze vannak kapcsolva és MITRE-kóddal ellátva
- Megbízhatóbb blokkolási döntések, mivel az ítélet a futásidejű viselkedést tükrözi, nem csupán a statikus hírnevet
- Csökkent a téves riasztások száma, mivel MetaDefender képes megkülönböztetni a visszaélésszerűen használt, de érvényes aláírással rendelkező bináris fájlokat a valóban rosszindulatú kódtól
- A környezetbe behatoló támadások felvételi pontjain történő jobb felkészültség a zero-day támadásokra
Hogyan semlegesíti a Deep CDR™ technológia a kiváltó tényezőt
A Deep CDR™ technológia még a folyamat megkezdése előtt megakadályozza ezt a láncreakciót azáltal, hogy hatástalanítja azt a fájlt, amely az egészet elindítja. Míg MetaDefender futásidőben tárja fel a rosszindulatú fájl működését, a Deep CDR™ technológia segít biztosítani, hogy a fájlnak esélye se legyen a végrehajtásra.
A mechanizmus az LNK-alapú támadások működési elvére épül. A támadási célra felhasznált parancsikon a rosszindulatú szándékot beágyazott parancssori argumentumokban rejti el; jelen esetben ez a kódolt PowerShell-hívás, amely kibontja a tar-archívumot, és elindítja a kártékony kód láncolatát. A Deep CDR™ technológia felismeri ezt a beágyazott parancsot, és ártalmatlan álparancsra cseréli, így a parancsikon megtisztított formában megmarad, miközben elveszíti azt a képességét, hogy támadási indítóként működjön.
Az eredmény egy megtisztított LNK-munkafolyamat, amelyben az eredeti rosszindulatú viselkedést a végrehajtás előtt semlegesítik. Nincs PowerShell-parancsok futtatása, nincs archívum kibontása, nincs DLL-oldalsó betöltése, nincs PlugX. MetaDefender és a Deep CDR™ technológia együttesen egy kétrétegű védelmi modellt hoz létre.
Kétrétegű védelmi modell
| Réteg | Technológia | Szerepvállalás |
|---|---|---|
| Felismerés és megértés | MetaDefender | Futtatja a fájlt, feltárja a teljes, több lépcsős végrehajtási útvonalat, kinyeri a viselkedésalapú IOC-ket, és egyetlen, megbízható értékelést ad vissza. |
| Fegyvertelenítés és megelőzés | Deep CDR™ technológia | Semlegesíti a rosszindulatú LNK-parancsot, megakadályozva a parancsikon futtatását. |
Ez a különbség a gyakorlatban is jelentős. MetaDefender az olyan fájlok zero-day-fenyegetéseinek felismerésére szolgáló megoldás, amelyek mélyreható elemzést igényelnek, különösen akkor, ha a cél a futásidejű viselkedés megértése és a biztos döntés meghozatala. A Deep CDR™ technológia pedig azoknak a fájloknak a tisztítását és megelőzését szolgálja, amelyek tartalmát a jogos használat megzavarása nélkül biztonságosan hatástalanítani lehet. Együttesen lefedik a probléma mindkét oldalát: megértik, mit tesz a fenyegetés, és biztosítják, hogy soha ne legyen rá lehetősége.
Miért fontos a pontosság?
A pontosság azért fontos, mert egy támadási láncban nem minden fájl rosszindulatú, és ha mindet egyformán kezeljük, az túlzottan széles körű észleléshez vezet, ami aláássa az eszközökbe vetett bizalmat. Ez a kampány ezt világosan megmutatja.
A Canon nyomtatóhoz tartozó, aláírt segédprogram (cnmpaui.exe) egy legitim bináris fájl. Érvényes digitális aláírással rendelkezik, hírneve makulátlan, és a hash-értéke legitim szoftverekhez kapcsolódik. Ha ezt rosszindulatúként jelölnénk meg, az hamis riasztásokat eredményezne olyan környezetekben, ahol Canon nyomtatószoftver van telepítve, és ez arra késztetné a biztonsági központ (SOC) elemzőit, hogy ne higgyenek a kapott riasztásoknak.
A legfontosabb IOC-k (kompromittáltságra utaló jelek) a rosszindulatú DLL (cnmpaui.dll) és az általa lehetővé tett viselkedési lánc:
- Titkosított adatcsomag oldalról történő betöltése és visszafejtése rögzített RC4-kulccsal
- A visszafejtett PlugX bináris fájl beillesztése egy megbízható folyamat memóriaterületébe
- A „CanonPrinter” futtatási kulcs segítségével történő állandóság beállítása
- HTTPS C2-forgalom kezdeményezése véletlenszerűen generált URL-címekkel és hamisított user-agent-lánccal
Ezek a legfontosabb jelek, és csak akkor jelennek meg, ha az észlelő eszköz képes megfigyelni a viselkedést, és megkülönböztetni a visszaélésszerűen használt, de megbízható bináris fájlt a valóban rosszindulatú fájltól.
Itt válik különösen értékessé MetaDefender egységes, megbízható értékelése. Ahelyett, hogy a láncban szereplő minden fájlra egyszerűen a „rosszindulatú” címkét adná, az észlelési folyamat a teljes futtatási környezetben megfigyelt viselkedés alapján pontozza az egyes elemeket.
Az aláírt EXE-fájlt a rendszer legitim bináris fájlként ismeri fel, amelyet oldalsó telepítésre használnak. A DLL-fájlt és az általa előidézett futásidejű viselkedést jelöli meg valódi fenyegetésként. Ez a megkülönböztetés világosabb képet ad a biztonsági csapatoknak, és csökkenti a zajból a jelek kiszűréséhez szükséges manuális munkát.
A rosszindulatú DLL statikus felismerése célzott szabályokkal, például YARA-val is megerősíthető, és az Arctic Wolf által a CanonStager betöltőhöz közzétett YARA-szignatúrák hasznos kiindulási pontot jelentenek. A szignatúrák alkalmazása azonban természeténél fogva reaktív megoldás. Egy ilyen támadási láncban a valódi különbséget a viselkedésalapú láthatóság és a fájlok semlegesítése jelenti.
Réteges fájlbiztonsági rendszer alkalmazása az LNK-alapú támadási láncok feltárására
Az LNK-fájlokon alapuló támadások azért működnek továbbra is, mert egy olyan fájltípusra épülnek, amelyet az emberek nap mint nap látnak, és ritkán tartanak veszélyesnek. Egy korábbi cikkünkben rámutattunk arra, hogy az LNK-fájlok egyszerű Windows-parancsikonok, amelyeket a támadók fegyverként használhatnak fel úgy, hogy PowerShell- vagy cmd.exe-parancsokat rejtenek el bennük, olykor olyan módon, hogy azok ártalmatlannak tűnnek, amíg a fájlt ténylegesen meg nem nyitják. Pontosan ezért járnak továbbra is sikerrel az UNC6384-hez hasonló kampányok: a parancsikon ismerősnek tűnik, de a viselkedése egyáltalán nem az.
Ez a mintázat több kampány során is megfigyelhető volt. Az Emotetről szóló cikkünkben elmagyaráztuk, miért nehéz megkülönböztetni a parancsfájlokat a szokásos dokumentumoktól, és hogy a Windows alapértelmezés szerint nem jeleníti meg a kiterjesztésüket. Ez tette őket különösen hatékony terjesztési eszközzé. A tanulság itt is ugyanaz: a támadóknak nincs szükségük teljesen új trükkökre, ha egy jól ismert fájltípus is be tud csúszni a mindennapi munkafolyamatokba, és elindíthat egy többfázisú fertőzési láncot.
A megoldás nem az, hogy a láncban szereplő összes fájlt rosszindulatúnak minősítsük. Hanem egy többszintű fájlbiztonsági rendszer alkalmazása, amely képes feltárni a futásidejű viselkedést, megkülönböztetni a visszaélésszerűen használt legitim bináris fájlokat a rosszindulatú kódtól, és megakadályozni a támadás kiváltását, mielőtt az bekövetkezne. Forduljon az OPSWAT , és tudjon meg többet arról, hogyan segíthet MetaDefender és a Deep CDR™ technológia csapatának az LNK-alapú támadások felismerésében, elemzésében és megelőzésében.
