2024 年新的网络攻击趋势：LNK 文件和 SSH 命令

最近，网络攻击者不断升级其攻击手段，利用各种工具和技术来逃避检测并入侵系统。其中一种趋势引起了安全专家的注意，那就是越来越多地使用恶意LNK文件与SSH命令结合使用。

这些文件通常被伪装成合法的快捷方式，已成为威胁行为者（TA）武器库中的有效武器，使他们能够渗透系统并部署各种恶意负载。网络研究和情报实验室（CRIL）密切调查了这些威胁不断增加，发现在 2024 年，使用 LNK 作为文件感染广告的情况正在增加。

攻击目标的转变：LNK文件作为入口点

在调查中，CRIL发现了一个趋势，即攻击者越来越多地使用LNK文件来渗透目标系统。这些快捷方式文件通常设计为指向计算机上的特定应用程序或位置，通常伪装成无害的文档或文件来诱骗用户执行它们。一旦打开，它们就会启动一系列恶意活动，导致部署更复杂的恶意软件，净化网络犯罪分子能够在受感染的环境中建立立足点。

越来越多地使用LNK文件作为网络攻击的传递机制，这是威胁行为者所采用的策略广泛研究的一部分。通过利用这些快捷方式文件，者旨在绕过传统的安全防御措施，包括防病毒程序和端点检测和响应（EDR）解决方案。

Living-Off-the-Land二进制文件(LOLBins)和规避技术 

在这些基于LNK的活动中，攻击者使用的主要技术之一是使用Living-off-the-Land二进制文件(LOLBins)。这些是受信任的系统二进制文件，已存在于操作系统中，通常用于然而，当网络犯罪分子利用它们时，它们可以成为执行恶意命令的强大工具，从而部署外部恶意软件。在许多此类攻击中，攻击者利用各种LOLBins下载或执行其他恶意负载，进一步推进他们的攻击链。

尽管现代EDR解决方案旨在检测涉及LOLBins的可疑活动，但这些攻击的复杂性仍在不断提高。攻击者已经改进了绕过检测的方法，因此组织必须实施更先进的检测机制，以识别对受信任系统实用程序的恶意使用。

恶意 LNK 文件中的 SSH 命令：新的复杂程度 

在最近的活动中观察到一个更有趣的发展能够将SSH命令写入到恶意LNK文件中。SSH命令传统上用于系统之间的安全通信，现在已被攻击者利用来建立持久连接、执行恶意负载并保持对受感染系统的控制。

CRIL 的研究发现了一些攻击活动，其中 SSH 命令（特别是使用安全复制协议 (SCP) 的命令）被用于 LNK 文件中。SCP 允许攻击者将恶意文件从远程服务器下载到受感染的系统，然后在其中执行这些文件以进一步发起攻击。

一旦文件被下载，它就会被执行，从而实现攻击者的目标。这种技术尤其令人担忧，因为在 Windows 系统上，使用 SSH 进行此类操作并不常见，因此，传统安全系统无法检测到这种活动。

通过 SSH 利用 PowerShell 和 CMD 

除了使用 SCP 下载文件外，威胁行为者还使用 SSH 命令通过 LNK 文件间接执行恶意 PowerShell 或 CMD 命令。这些命令可以配置为加载并执行其他有效负载或利用其他系统实用程序。

CRIL 观察到的此类攻击涉及一个恶意 LNK 文件，该文件使用 SSH 命令触发 PowerShell 脚本，然后调用 mshta.exe 从远程 URL 下载恶意负载。恶意 PowerShell 脚本的执行导致在感染系统上配置有害文件。

另外，攻击者还利用cmd.exe和rundll32命令加载并执行恶意DLL文件，进一步增加了检测难度。在一个案例中，攻击者使用LNK文件执行一系列命令，最终启动包含诱饵文档的PDF文件，该文件在打开后触发恶意代码的执行。

高级持续性威胁（APT）组织采用的策略 

随着这些攻击的复的使用表明他们不断改进攻击方法。

值得注意的是，著名的APT组织Transparent Tribe通过类似的技术部署窃取恶意软件。在这些攻击中，恶意负载通常使用Go进行编译，这使得它们更加难以检测和分析。

需要提高防护并加强检测 

LNK文件和SSH命令的组合对全球组织构成了重大威胁。随着攻击者不断改进其方法，安全团队必须实施能够识别异常活动的监控策略和检测系统，例如恶意使用受信任的系统二进制文件。

EDR 解决方案必须不断发展，以检测恶意 SSH 和 SCP 活动的严格程度，尤其是在通常不使用 SSH 的环境中。通过密切监控合法的 SSH 实用程序将其使用限制在授权人员范围内，组织可以降低被利用的风险。此外，在不需要的系统上取消不必要的功能（例如OpenSSH），可以帮助限制攻击面。

原文始发于微信公众号（OSINT研习社）：2024 年新的网络攻击趋势：LNK 文件和 SSH 命令