Исследователи из Cisco Talos в четверг подробно рассказали, как прошлогоднее решение Microsoft заблокировать макросы побудило злоумышленников перейти от вредоносных макросов к использованию файлов Shell Link (LNK).
В Сообщение блога, исследователи Cisco Talos объяснили, что файлы LNK — это способ, с помощью которого операционная система Microsoft Windows ссылается на файловые объекты на локальном или удаленном диске. Они могут либо указывать на реальный файл или папку, либо на команду, которую необходимо выполнить с определенными параметрами.
По словам исследователей, злоумышленники злоупотребляют этими функциями, чтобы активировать или оснастить свое вредоносное ПО, используя файлы LNK, которые выдаются за безопасные файлы, представляющие интерес для их целей.
Гильерме Венере, исследователь угроз в Cisco Talos, сказал, что субъекты угроз обычно преследуют две цели: они либо ищут финансовую выгоду, либо, в случае субъектов национального государства, получают информацию для шпионажа. Венере сказал, что успешное заражение жертв имеет первостепенное значение для этих вредоносных кампаний.
«Поэтому злоумышленники будут быстро адаптироваться и экспериментировать с новыми методами и отказываться от старых методов в пользу чего-то нового или более эффективного», — пояснил Венере. «Вывод из этого исследования заключается в том, что иногда эти актеры забывают заметать следы. Быстрое время обработки и постоянно меняющиеся методы приводят к остаточным индикаторам вредоносных артефактов, которые могут использоваться защитниками для отслеживания и блокировки таких угроз».
Майк Паркин, старший технический инженер Vulcan Cyber, сказал, что мы наблюдаем быстрое развитие злоумышленников в ответ на изменения в защите их цели или изменения поверхности атаки. Паркин сказал, что макросы Office были излюбленным вектором, поэтому неудивительно, что злоумышленники нашли что-то еще для использования в виде файлов LNK.
«Эти файлы связаны с различными «объектами» и часто используются в качестве ярлыков, но могут содержать довольно много дополнительной информации», — сказал Паркин. «Тщательно создавая эти LNK-файлы, злоумышленники могут заставить их обойти некоторые существующие меры безопасности и заставить их выполнять загрузку и выполнение вредоносного кода, среди прочего. Быстрое изменение подхода злоумышленников с макросов на LNK-файлы указывает на то, что мы имеем дело с злоумышленниками, которые могут быть весьма изобретательны в поиске новых способов злоупотребления существующими функциями».
Фил Нерай, вице-президент по стратегии киберзащиты в CardinalOps, добавил, что первоначальный доступ через вредоносные файлы LNK — это хитрый метод, который использовался в течение многих лет, в том числе в атаках Stuxnet, впервые обнаруженных в 2010 году. Нерай сказал, что это эффективный метод, потому что он использует фундаментальную функцию Windows, которая автоматически запускает исполняемые файлы, используя метаданные, хранящиеся в файле LNK.
«В этих примерах исполняемый файл представляет собой скрипт PowerShell, который затем загружает и запускает вредоносный двоичный файл с удаленного, контролируемого злоумышленником хоста», — сказал Нерай. «Чтобы защититься от этого типа злоумышленников, организациям следует использовать элементы управления конечными точками для ограничения доступа к файлам LNK и предотвращения подозрительного выполнения кода PowerShell, а также средства безопасности электронной почты для сканирования вложений на наличие вредоносных файлов и сетевой мониторинг для предотвращения доступа к подозрительным хостам. ”
Джеррод Пайкер, аналитик конкурентной разведки в Deep Instinct, сказал, что злоумышленники используют множество методов, чтобы заставить пользователей запускать LNK-файлы, которые указывают на вредоносное ПО, такое как Emotet и Trickbot, среди других неприятных семейств.
«В последние месяцы с этой целью злоумышленники использовали фишинговые электронные письма и вредоносные URL-адреса», — сказал Пайкер. «Поскольку файлы LNK могут включать параметры команд в свои свойства запуска или указывать на приложения для сценариев, такие как PowerShell, пользователь может даже не знать, что происходит, когда он взаимодействует с файлом LNK».