开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

勒索软件好多都使用恶意LNK链接文件欺骗用户 来看趋势科技分析新型LNK-PowerShell攻击

简介:
+关注继续查看

当你在桌面或者邮件中看到一个熟悉的图标快捷方式,你估计不会想到一个1、2K的文件,就足以让你中招勒索软件。本文就是给你展示这么小的文件中,会包含多少恶意信息。在文章的开头,先让我们来看两个概念,Lnk文件说明是小编加的(具体分析看原文),其它保持文章原有内容。

Powershell是什么

PowerShell是微软公司开发的一种通用命令行和Shell脚本语言,可与多种技术进行集成和交互。PowerShell在后台运行,利用PowerShell,可不借助于任何可执行文件而获取系统信息。总而言之,PowerShell对威胁源起方而言是一个很有吸引力的工具。利用PowerShell,网络犯罪分子已造成了几起引人注目的事件,如2016年3月的PowerWare勒索软件,以及2016年4月的新型Fareit恶意软件变种。因为该类事件有上升趋势,安全管理员已熟知如何防止PowerShell脚本被用于破坏活动。

LNK文件是什么

这个文件类型比较常见,就是Windows中的快捷链接。但是Windows中的链接文件不止这一种,绿盟科技曾经在一篇《 Windows硬链接 软链接 符号链接 快捷方式 》的文章中介绍到,Windows支持4种”链接”机制,分别是shortcut、hard link、junction point、symbolic link。

1) shortcut/快捷方式

以.lnk文件方式存在,适用于Explorer等应用程序。非NTFS内置机制,从Win95开始得到支持。FAT32支持。同时适用于文件、目录。 
只能使用绝对路径。可以跨盘符,可以跨主机,可以使用UNC路径、网络驱动器。删除shortcut,不影响target。

2) (file) hard link硬链接

假设本文读者具有*nix基础,此处不做hard link的语义解释。NTFS内置机制,从Windows NT 4开始得到支持。FAT32不支持。只适用于文件。 
只能使用绝对路径。hard link与target file必须位于同一volume,可以简单理解成不能跨盘符。在Explorer中删除hard link,不影响target file。 

删除target file,不影响hard link。事实上由于hard link的语义,此时剩下的hard link就是原始数据的唯一访问点。

3) (directory) junction point/soft link/reparse point

junction point也叫soft link软链接,NTFS内置机制,从Windows 2000/XP开始得到支持。只适用于目录。只能使用绝对路径。即使创建junction point时使用了相对路径,保存到NTFS中时将隐式转换成绝对路径。在local computer范围内,可以跨盘符。

删除target directory,junction point仍将存在,但失效了,变得不可用。这个很好理解,因为此时junction point指向不存在的目录。

4) symbolic link

symbolic link不是soft link,不要跟着SB瞎起哄。NTFS内置机制,从Vista开始得到支持。同时适用于文件、目录。这是一种超级shortcut。 
可以使用相对、绝对路径。假设创建symbolic link时使用了相对路径,保存到NTFS中的就是相对路径,不会隐式转换成绝对路径。 

可以跨盘符,可以跨主机,可以使用UNC路径、网络驱动器。在Explorer中删除symbolic link,不影响target。删除target,symbolic link仍将存在,但失效了,变得不可用。

恶意LNK链接文件经常在勒索软件中使用

然而,在利用其他方式执行PowerShell脚本(即Windows LNK扩展名)方面,网络犯罪分子却略高一筹。LNK文件通常以快捷方式的形式出现在用户桌面或开始菜单中。实际上,LNK早在2013年已被用作攻击向量。2016年,我们注意到,木马下载器利用.zip文件夹中的.zip文件伪装LNK文件附件,形成Locky勒索软件。

如今,越来越多的攻击中开始利用恶意LNK文件。这些LNK文件使用合法App(如PowerShell)来下载恶意软件或其他恶意文件。下图以一款LNK恶意软件(趋势科技公司将其标识为LNK_DLOADR.*)为例,演示了利用LNK文件作恶的上升趋势。从图中可以看出,自2017年1月以来该软件被检测到的次数飞速上涨,表明这种方法越来越被攻击者青睐。

LNK_Downloader.png

图1 4个月内检测到的 LNK_DLOADR

近期LNK-PowerShell和ChChes攻击

2016年10月,攻击者发起了一系列针对日本政府机构和学术机构的攻击。攻击者利用LNK、PowerShell和BKDR_ChChes恶意软件组合发起攻击, 利用虚假.jpg扩展名掩饰恶意PowerShell文件。

LNK%20Attack.png

图2 2016年10月针对日本目标的攻击

2017年1月,APT10组织(也被称为MenuPass、POTASSIUM、Stone Panda、Red Apollo和CVNX)将类似攻击用于大规模的鱼叉式网络钓鱼活动中。在这些活动中,LNK文件执行了CMD.exe。接下来,CMD.exe下载了隐藏恶意PowerShell脚本的虚假.jpg文件。

APT10组织还在继续改进其网络间谍活动。2017年4月,他们利用类似策略下载了BKDR_ChChes。BKDR_ChChes是一款流行的恶意软件,常用于定向攻击中。

新型LNK-PowerShell攻击

我们发现了一个采用新型、复杂LNK策略的攻击行动,该行动目前可能仍在持续。攻击者似乎利用了命令行、内置工具和Windows工具。他们发送钓鱼邮件,诱骗受害者“双击以查看内容”。这些内容通常是嵌有恶意LNK的DOCX或RTF文件。LNK文件运行MSHTA.exe,而不是直接执行PowerShell。MSHTA.exe是用于打开HTML应用的文件,这里,它会执行Javascript或VBScript代码下载并执行PowerShell脚本。然后,PowerShell将执行反向shell(如Metasploit或Cobalt Strike),完成攻击。

LNK%20Attack%20new.png

图4 相对简单的 LNK-PowerShell 攻击

我们认为,这种攻击可能是出于政治动机,因为诱饵文件的主题与经济和争议有关。然而,很难进行全面分析,因为C&C服务宕机时痕迹才会消失。若没有全局性的了解,很难将这种攻击与已知攻击活动联系起来。

隐藏LNK命令

很多情况下,这些恶意LNK文件可披露攻击者开发环境之类的重要信息。通过查看文件属性进行快速分析后可获得该信息。

然而,我们也遇到过以下情况:命令行参数太长,在“快捷方式”页面(在“LNK_APT10属性”窗口中点击“快捷方式”页签)中无法完全显示。若查看,只能看到目标应用(如CMD.exe、MSHTA.exe和其他恶意命令行应用)。

hide%20lnk%20properties.png

图5 只能看到目标应用

测试表明,“目标”字段最多只能包括260个字符, 超出的内容不再显示。然而,命令行参数最多可包括4096个字段。

通常,攻击者在恶意参数前填补几个空格或换行符。使用解析工具解析后发现,恶意参数要长得多(如图6所示),但仍可正常工作:

Malware%20lnk%20detail.png

图6 隐藏恶意代码的填补文件

通过这种方法,攻击者试图伪装或隐藏代码中的恶意部分。这种填补策略可防止对LNK文件的快速分析,但使用任何一个LNK分析器都能够轻易提取出这些参数。

建议与最佳实践

恶意软件开发者持续升级工具,并寻找不同的方法来提交恶意载荷。除了利用这些LNK文件外,以下方法也可用于防护和缓解威胁:

建议将PowerShell升级至版本5。部分Windows Management Framework和Windows 10中已包含该版本。使用“组策略开启日志记录”有利于攻击检查。

用户和企业应对通过邮件接收的可执行文件保持谨慎。大多数以*.EXE结尾的文件在邮件服务器上都是自动拒绝的,为安全起见,管理员还应考虑将以*.LNK结尾的文件添加至自动拒绝清单中。

建议不要打开任何通过邮件(或从任何本机以外)接收的LNK文件。

可通过以下方法判断LNK文件:

  1. 在压缩文件WinRAR、WinZip中,能清楚看到LNK扩展名和“类型”(快捷方式)。
  2. 对于任何Windows文件夹,右上角的重叠箭头小图标是LNK文件的标识符之一。另外一种方式是:将窗口切换成详细信息视图,然后查看类型。
  3. 对于Word文档中的嵌套LNK文件,用户须了解这些攻击类型,从而了解需要寻找什么。底线是:一定不要在未核实来源前打开这类文档。若您的组织不需要任何安装包对象,可编辑注册表完全禁用该功能。

趋势科技™智能端点防护(Trend Micro™ Smart Protection for Endpoints)采用Maximum XGen™安全,将高保真的机器学习与多种威胁防护技术相结合,以消除用户活动和端点中的安全空白,这是针对高级攻击最大范围的保护。

趋势科技深度威胁解决方案(Trend Micro™ Deep Discovery™)可针对当今的隐形恶意软件和定向攻击提供实时检测、深度分析和防护响应。这为组织提供了关针对定向攻击和高级威胁的全面防护,可通过专业引擎、自定义沙盒和整个攻击生命周期中无缝关联来实现,这样,即使不更新引擎或模式,组织也能够检测到威胁。


原文发布时间:2017年5月27日

本文由:趋势科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/mallnk-link-file-attack#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
[九]RabbitMQ-客户端源码之Consumer
在[八]RabbitMQ-客户端源码之ChannelN中讲述basicConsume的方法时设计到Consumer这个回调函数,Consumer其实是一个接口,真正实现它的是QueueingConsumer和DefaultConsumer,且DefaultConsumer是QueueingConsumer的父类,里面都是空方法。
1107 0
Git与GitHub学习笔记(七)Windows 配置Github ssh key
前言   SSH是建立在应用层和传输层基础上的安全协议,其目的是专为远程登录会话和其他网络服务提供安全性的保障,用过SSH远程登录的人都比较熟悉,可以认为SSH是一种安全的Shell。SSH登录是需要用户名和密码的,要实现无密码登录,就需要创建SSH 密钥(ssh key),SSH 密钥可以认为是和另一台电脑通信时的唯一的识别证,SSH 密钥对可以让我们方便的登录到 SSH 服务器,而无需输入密码。
1516 0
使用工具快速找出custom work center使用的ui component
使用工具快速找出custom work center使用的ui component
0 0
使用Vmware创建Centos7虚拟机(安装和配置网络环境、xshell连接、防火墙、yum仓库、磁盘挂载、重启命令)
## <font color=red>网络配置 NAT</font> 进入网卡页面: ```bash vim /etc/sysconfig/network-scripts/ifcfg-ens33 ``` 配置网络: ```bash TYPE=Ethernet BOOTPROTO=static NAME=ens33 DEVICE=ens33 ONBOOT=yes IPADDR=192.168.2.10 NETMASK=255.255.255.0 GATEWAY=192.168.2.1 DNS1=114.114.114.114 ``` /etc/init.d/network r
0 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
如何产生威胁情报-高级恶意攻击案例分析
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载