Hogyan rejtőzhetnek rosszindulatú programok az LNK-fájlokban, és hogyan védekezhetnek a szervezetek.
A kiberbűnözők mindig innovatív technikákat keresnek a biztonsági védelem megtámadására. Minél diszkrétebb a kártevő, annál nehezebb felderíteni és eltávolítani. A fenyegető szereplők kihasználják ezt a taktikát, hogy nehezen felderíthető rosszindulatú szoftvereket illesztenek be a parancsikonfájlokba (LNK-fájlok), és egy megbízható alkalmazást manipulálva veszélyes fenyegetéssé alakítanak.
Kevesebb mint egy hónappal ezelőtt egy új spear-phishing kampány indult, amely a LinkedIn-en dolgozó szakembereket célozta meg egy kifinomult, "more_eggs" nevű, állásajánlatba rejtett backdoor trójai segítségével.
A LinkedIn jelöltek rosszindulatú ZIP-archív fájlokat kaptak az áldozatok LinkedIn-profilján szereplő munkakörök nevével. Amikor az áldozatok megnyitották a hamis állásajánlatokat, tudtukon kívül kezdeményezték a "more_eggs" fájl nélküli hátsó ajtó alattomos telepítését. Miután települt az eszközre, a kifinomult backdoor további rosszindulatú bővítményeket tud lekérni, és hozzáférést biztosít a hackerek számára az áldozatok számítógépeihez.
Amint a trójai a számítógépes rendszerben van, a fenyegető szereplők behatolhatnak a rendszerbe, és más típusú rosszindulatú szoftverekkel, például zsarolóprogramokkal fertőzhetik meg azt, adatokat lophatnak, vagy adatokat szivárogtathatnak ki. A Golden Eggs, a rosszindulatú szoftver mögött álló fenyegető csoport MaaS (Malware-as-a-Service) néven értékesítette azt ügyfelei számára.
Mik azok a LNK fájlok?
Az LNK egy fájlnévkiterjesztés a Windows helyi fájlok parancsikonjaihoz. Az LNK fájl parancsikonok gyors hozzáférést biztosítanak a futtatható fájlokhoz (.exe) anélkül, hogy a felhasználók a program teljes elérési útvonalán navigálnának.
A Shell Link Binary File Format (.LNK) formátumú fájlok metaadatokat tartalmaznak a futtatható fájlról, beleértve a célalkalmazás eredeti elérési útvonalát.
A Windows ezeket az adatokat az alkalmazások indításának, a forgatókönyvek összekapcsolásának és a célfájlra való alkalmazáshivatkozások tárolásának támogatására használja.
Mindannyian használjuk az LNK fájlokat parancsikonokként az Asztalon, a Vezérlőpulton, a Feladatmenüben és a Windows Intézőben.
Rosszindulatú szoftverek leselkedhetnek a leggyengébb LNK-jára is
Mivel az LNK-fájlok kényelmes alternatívát kínálnak a fájl megnyitásához, a fenyegető szereplők ezeket szkript-alapú fenyegetések létrehozására használhatják. Az egyik ilyen módszer a PowerShell használata.
A PowerShell a Microsoft által kifejlesztett robusztus parancssori és héjszkriptnyelv. Mivel a PowerShell észrevétlenül fut a háttérben, tökéletes lehetőséget nyújt a hackerek számára rosszindulatú kód beillesztésére.Ezt számos kiberbűnöző kihasználta azzal, hogy PowerShell szkripteket hajtott végre az LNK fájlokban.
Ez a fajta támadási forgatókönyv nem új. Az LNK-file exploitok már 2013-ban is elterjedtek voltak, és még ma is aktív fenyegetést jelentenek. Néhány közelmúltbeli forgatókönyv közé tartozik, hogy ezzel a módszerrel rosszindulatú kódokat illesztenek a COVID-19-hez kapcsolódó dokumentumokba, vagy egy ZIP-fájlt csatolnak egy álcázott PowerShell-vírussal egy adathalász e-mailben.
Hogyan használják a kiberbűnözők az LNK fájlokat rosszindulatú célokra
A fenyegető szereplők rosszindulatú szkriptet csempészhetnek az LNK fájl célútvonalának PowerShell parancsába.
Bizonyos esetekben a kódot a Windows tulajdonságai alatt láthatja:
De néha nehéz észrevenni a problémát:
Az URL elérési útvonal ártalmatlannak tűnik. A parancssorozat (cmd.exe) után azonban egy szóközökből álló karakterlánc található. Mivel a "Cél" mezőben 260 karakteres a karakterkorlát, az LNK elemző eszközben csak a teljes parancsot láthatja. A szóközök után alattomosan rosszindulatú kód került be:
Amint a felhasználó megnyitja az LNK fájlt, a rosszindulatú szoftver megfertőzi a számítógépét, a legtöbb esetben anélkül, hogy a felhasználó észrevenné, hogy valami nincs rendben.
Hogyan akadályozhatja meg a Deep CDR az LNK-fájlok elleni támadásokat?
Deep CDR (Content Disarm and Reconstruction) megvédi szervezeteit a fájlokban elrejtett potenciális fenyegetésektől. A fenyegetésmegelőző technológiánk feltételezi, hogy a hálózatába belépő összes fájl rosszindulatú; majd minden fájlt dekonstruál, szanál, és újjáépít minden gyanús tartalmat eltávolítva.
Deep CDR eltávolítja az LNK fájlokban található összes káros cmd.exe és powershell.exe parancsot. A LinkedIn állásajánlatban található trójai fenti példájában a fertőzött LNK fájl egy ZIP fájlban volt elrejtve. Deep CDR feldolgozza a többszintű, egymásba ágyazott archívumfájlokat, felismeri a fertőzött komponenseket, és eltávolítja a káros tartalmakat. Ennek eredményeképpen a kártevő inaktiválódik, és többé nem futtatható a biztonságosan fogyasztható fájlokban.
az OPSWAT emellett lehetővé teszi a felhasználók számára, hogy több saját technológiát is integráljanak, hogy a rosszindulatú szoftverek elleni védelem további rétegeit biztosítsák. Ilyen például a Multiscanning, amely lehetővé teszi a felhasználók számára, hogy egyidejűleg több mint 30 rosszindulatú szoftver elleni motorral (AI/ML, szignatúrák, heurisztikák stb. felhasználásával) végezzenek vizsgálatot, és így 100%-ot megközelítő felismerési arányt érjenek el. Hasonlítsa ezt össze egyetlen AV-motorral, amely átlagosan csak a vírusok 40-80%-át képes felismerni.
Tudjon meg többet a Deep CDR, a Multiscanning és más technológiákról; vagy beszéljen az OPSWAT szakértőjével, hogy felfedezze a legjobb biztonsági megoldást a nulladik napi támadások és más, fejlett, kitérő rosszindulatú szoftverek által jelentett fenyegetések elleni védelemhez.
