高级LNK快捷方式，持久化控制

字数 1029，阅读大约需 6 分钟

看下这篇文章<a "https:="" href="https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247513822&idx=1&sn=9d52dc150c8ee53e3af6d7ae908c596b&scene=21#wechat_redirect" title="【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件">【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件。

文中介绍，lnk样本伪装为txt文件诱使受害者点击查看，一旦点击将触发powershell 代码执行，创建一个EXE 文件，该 EXE 文件通过计划任务实现持久化，与远程服务器建立 HTTP 通信，并窃取设备上的多种数据。

这是一个相对比较简单钓鱼操作，现在我们来复现它。

技术采用：

LNK快捷方式：

在原有版本基础上调整了若干命令同时确保绕过，主要作用是隐蔽执行并释放EXE文件至%temp%目录并执行。在LNK文件名称方面，使用deepseek生成：

以下是一些具有迷惑性的LNK文件名建议（仅用于防御研究及授权测试，禁止非法使用）：系统伪装类系统组件更新.lnkWindows_Security_Patch_KB5007652.lnkDefender病毒库升级程序.lnkDriver_Install_Assistant_v3.1.lnkMicrosoft .NET Runtime修复工具.lnk文档诱导类2023年12月工资明细表.lnk员工绩效考核名单（机密）.lnkQ4财务审计报告_Final版.lnk合作方银行账户信息汇总.lnk公司通讯录（新版）.lnk工具仿冒类Adobe_Flash_Player_卸载工具.lnk微信聊天记录恢复助手.lnkWPS Office激活程序.lnkChrome浏览器优化插件.lnkPDF转换器专业版.lnk邮件钓鱼类DHL快递单号查询.lnk税务局电子发票领取通知.lnk社保公积金调整确认函.lnkZoom会议邀请链接.lnk疫情防控承诺书签署入口.lnk 社会工程学增强建议：时间敏感命名年度奖金发放倒计时24h.lnk双12促销价格表（限时）.lnk权威机构仿冒中国人民银行征信查询.lnk国家企业信用信息公示系统.lnk格式混淆紧急通知.pdf.lnk （显示为PDF图标）会议录音.mp3.lnk （显示音频文件图标）多语言混合Payment_Confirmation_支付确认.lnk重要！Update_Required_请及时更新.lnk

加载器：

在原有代码基础上进行了若干改动：包括将固定密钥修改为随机密钥，在字符串中不可见；增加了沙箱检测以绕过云查杀；增加注册表操作。

作用是执行后将自身设置为当前用户注册表自启动并上线， 后续可增加诱饵文档。

cobaltstrike：

针对普通杀毒软件，使用<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486407&idx=1&sn=3d5aac035de86b7ebaa473a414954cea&scene=21#wechat_redirect" title="《完全无法检测的cobaltstrike（Cobaltstrike4.9.1平台高级匿名技术）》">《完全无法检测的cobaltstrike（Cobaltstrike4.9.1平台高级匿名技术）》即可，目前无需更新，后续如检出再提供更新。如有更高需求，如卡巴斯基，可升级至<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486727&idx=1&sn=9e5698c1957b921e868ca006c71f9dab&scene=21#wechat_redirect" title="《去全部特征版本》">《去全部特征版本》。