修改快捷方式

快捷方式或符号链接指向其他文件或应用程序。当其被单击或在系统启动过程中被执行时，将打开或执行被指向的文件或程序。
攻击者可以使用快捷方式执行其持久化工具。他们可以创建一个新的快捷方式作为间接手段，对它进行伪装使其看起来像一个合法的程序。攻击者还可以修改目标路径或完全替换现有快捷方式，以便执行其工具而不是预期的合法程序。

缓解

将可以在 Windows 中创建符号链接的用户的权限限制到适当的组，如 Administrators 和虚拟化所需的组。
这可以通过 GPO 完成：
计算机配置>[策略]> Windows 设置>安全设置>本地策略>用户权限分配：
创建符号链接。

在合适的情况下使用白名单 工具识别和拦截可能通过修改快捷方式执行的未知的潜在的恶意软件，如 AppLocker， 或软件限制策略 。

检测

由于快捷方式的目标路径一般不会改变，因此与已知软件更改，补丁、删除无关的快捷方式文件的修改可能是可疑的。
分析时应尝试将快捷文件更改或事件创建与基于已知攻击者行为的其他潜在可疑事件相关联，例如进行网络连接的未知可执行文件的进程启动。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn