趋势科技：Windows 快捷方式漏洞被广泛用作 APT 攻击

根据趋势科技零日计划 (ZDI) 研究人员分析，至少有 11 个高级威胁组织在滥用 Windows 快捷方式文件（.lnk）进行间谍和数据窃取。

快捷方式文件（也称为 LNK 或 .lnk 文件）使用 Shell Link 二进制文件格式来存储用于访问其他数据对象的信息。这些 LNK 文件可以指向文件、文件夹或应用程序。

多年来，威胁组织一直在使用特制的 LNK 文件，其中嵌入了 Cmd 或 PowerShell 的命令行参数，旨在下载和执行恶意软件。

ZDI 已发现近 1,000 个恶意 LNK 文件，这些文件由高级威胁组织和以盈利为目的的网络犯罪分子配置，以便在执行时运行隐藏命令。

受害者需要手动执行恶意快捷方式文件才能触发攻击者命令的执行。为了实现这一点，攻击者通常会将文件伪装成无害文档或其他类型的文件。

ZDI 的分析报告显示，有11 个APT 组织使用了特制的 LNK 文件。攻击目标包括北美、欧洲、亚洲、南美和澳大利亚的政府、金融、智库、电信、能源、军事和国防以及私人组织。

黑客使用 LNK 文件来传播加载程序和其他类型的恶意软件，主要目的通常是网络间谍或数据盗窃。

攻击者依靠填充和大文件大小来阻止目标用户轻松确定 LNK 文件的真实意图。

ZDI 将此问题描述为用户界面 (UI) 对关键信息的误传，认为 Windows UI 在检查文件属性时未能向用户提供关键信息。然而，第三方工具能够对 LNK 文件进行彻底检查，从而揭示隐藏的命令。

ZDI 希望为该问题分配一个 CVE 标识符，但尚未成功，目前跟踪该问题编号为 ZDI-CAN-25373。该公司向微软通报了该风险，希望微软采取行动，但表示这家科技巨头将其评级为“低严重性”，并表示近期不会解决该问题。

ZDI 建议：“各组织应立即扫描并确保针对 ZDI-CAN-25373 采取安全缓解措施，对可疑的 .lnk 文件保持警惕，并确保采取全面的端点和网络保护措施来检测和应对此威胁。”

微软澄清上述说法时称，Windows 将 LNK 文件视为潜在危险的文件类型，尝试打开从互联网下载的此类文件会自动触发安全警告。该公司指出，用户通常不会检查文件的属性，但 Microsoft Defender 能够检测到 LNK 文件中使用此技术的情况。

微软表示：“我们感谢 ZDI 在协调漏洞披露下提交此报告的工作。Microsoft Defender 已设置检测功能来检测和阻止此威胁活动，而智能应用控制则通过阻止来自互联网的恶意文件提供了额外的保护层。作为一项安全最佳实践，我们鼓励客户在从未知来源下载文件时保持谨慎，如安全警告中所示，这些警告旨在识别并警告用户有关潜在有害文件。虽然报告中描述的 UI 体验不符合我们严重性分类指南中立即服务的标准，但我们会考虑在未来的功能版本中解决此问题。”

趋势科技技术报告：

https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html

新闻链接：

https://www.securityweek.com/11-state-sponsored-apts-exploiting-lnk-files-for-espionage-data-theft/