קבצי קיצור דרך LNK עלולים להכיל תוכנות זדוניות

כיצד ניתן להסתיר תוכנות זדוניות בקבצי LNK וכיצד ארגונים יכולים להגן על עצמם.

פושעי סייבר תמיד מחפשים טכניקות חדשניות לתקוף הגנות אבטחה. ככל שהתוכנה הזדונית דיסקרטית יותר, כך קשה יותר לזהות ולהסיר אותה. גורמי איום מנצלים טקטיקה זו כדי להכניס תוכנות זדוניות קשות לזיהוי לקבצי קיצור דרך (קבצי LNK), ובכך להפוך אפליקציה אמינה לאיום מסוכן.

לפני פחות מחודש, קמפיין פישינג חדש החל לכוון לאנשי מקצוע בלינקדאין באמצעות סוס טרויאני מתוחכם בשם "more_eggs" שהוסתר בהצעת עבודה .

מועמדים בלינקדאין קיבלו קבצי ארכיון ZIP זדוניים עם שמות תפקידי הקורבנות בפרופילי הלינקדאין שלהם. כאשר הקורבנות פתחו את הצעות העבודה המזויפות, הם יזמו, מבלי דעת, התקנה חשאית של הדלת האחורית חסרת הקובץ "more_eggs". לאחר התקנתה על מכשיר, הדלת האחורית המתוחכמת יכולה לאחזר תוספים זדוניים נוספים ולתת להאקרים גישה למחשבי הקורבנות.

ברגע שהטרויאני נמצא במערכת המחשב, גורמי איום יכולים לחדור למערכת ולהדביק אותה בסוגים אחרים של נוזקות כמו תוכנות כופר, לגנוב נתונים או להוציא נתונים. Golden Eggs, קבוצת האיומים שעומדת מאחורי נוזקה זו, מכרה אותה כ-MaaS (Malware-as-a-Service) עבור לקוחותיה לניצול.

מהם קבצי LNK?

LNK הוא סיומת שם קובץ לקיצורי דרך לקבצים מקומיים ב-Windows. קיצורי דרך לקבצי LNK מספקים גישה מהירה לקבצי הרצה (.exe) מבלי שהמשתמשים ינווטו בנתיב המלא של התוכנית.

קבצים בפורמט קובץ בינארי של Shell Link (.LNK) מכילים מטא-נתונים אודות קובץ ההפעלה, כולל הנתיב המקורי ליישום היעד.

Windows משתמש בנתונים אלה כדי לתמוך בהפעלת יישומים, קישור תרחישים ואחסון הפניות יישומים לקובץ יעד.

כולנו משתמשים בקבצי LNK כקיצורי דרך בשולחן העבודה, בלוח הבקרה, בתפריט המשימות ובסייר Windows.

תוכנות זדוניות יכולות להסתתר ב-LNK החלש ביותר שלך

מכיוון שקבצי LNK מציעים אלטרנטיבה נוחה לפתיחת קובץ, גורמי איום יכולים להשתמש בהם כדי ליצור איומים מבוססי סקריפטים. אחת השיטות הללו היא באמצעות PowerShell.

PowerShell היא שפת סקריפטים חזקה לשורת פקודה וקליפה שפותחה על ידי מיקרוסופט. מכיוון ש-PowerShell פועלת באופן דיסקרטי ברקע, היא מספקת הזדמנות מושלמת להאקרים להכניס קוד זדוני. פושעי סייבר רבים ניצלו זאת על ידי ביצוע סקריפטים של PowerShell בקבצי LNK.

תרחיש התקפה מסוג זה אינו חדש. ניצול קבצי LNK היה נפוץ עוד בשנת 2013 ועדיין מהווה איום פעיל כיום. כמה תרחישים אחרונים כוללים שימוש בשיטה זו כדי להכניס תוכנות זדוניות למסמכים הקשורים ל-COVID-19 או לצרף קובץ ZIP עם וירוס PowerShell מוסווה בדוא"ל פישינג .

כיצד פושעי סייבר משתמשים בקבצי LNK למטרות זדוניות

גורמי איום יכולים להגניב סקריפט זדוני לפקודת PowerShell של נתיב היעד של קובץ ה-LNK.

במקרים מסוימים, ניתן לראות את הקוד תחת מאפייני Windows:

אבל לפעמים קשה לזהות את הבעיה:

כתובת ה-URL של הנתיב נראית לא מזיקה. עם זאת, יש מחרוזת של רווחים לבנים אחרי שורת הפקודה (cmd.exe). מכיוון ששדה "Target" מוגבל ל-260 תווים, ניתן לראות רק את הפקודה המלאה בכלי ניתוח LNK. קוד זדוני נוסף בחשאי אחרי הרווחים:

ברגע שהמשתמש פותח את קובץ ה-LNK, התוכנה הזדונית מדביקה את המחשב שלו, ברוב המקרים מבלי שהמשתמש יבין שמשהו לא בסדר.

אֵיך Deep CDR יכול למנוע התקפות קבצי LNK

Deep CDR (נטרול ושחזור תוכן) מגן על הארגונים שלך מפני איומים פוטנציאליים המוסתרים בתוך קבצים. טכנולוגיית מניעת האיומים שלנו מניחה שכל הקבצים הנכנסים לרשת שלך הם זדוניים; לאחר מכן מפרק, מנקה ובונה מחדש כל קובץ לאחר הסרת כל התוכן החשוד.

Deep CDR מסיר את כל הפקודות המזיקות cmd.exe ו-powershell.exe הקיימות בקבצי LNK. בדוגמה שלמעלה של סוס טרויאני בהצעת עבודה בלינקדאין, קובץ ה-LNK הנגוע הוסתר בקובץ ZIP. Deep CDR מעבד מספר רמות של קבצי ארכיון מקוננים, מזהה רכיבים נגועים ומסיר תוכן מזיק. כתוצאה מכך, התוכנה הזדונית מושבתת ולא ניתן עוד להפעיל אותה בקבצים הבטוחים לצריכה.

בְּנוֹסַף, OPSWAT מאפשר למשתמשים לשלב מספר טכנולוגיות קנייניות כדי לספק שכבות נוספות של הגנה מפני תוכנות זדוניות. דוגמה אחת לכך היא Multiscanning , המאפשר למשתמשים לסרוק בו זמנית עם יותר מ-30 מנועי אנטי-וירוס (תוך שימוש בבינה מלאכותית/למידה מרחוק, חתימות, היוריסטיקות וכו') כדי להשיג שיעורי זיהוי המתקרבים ל-100%. השווה זאת למנוע אנטי-וירוס יחיד, שיכול בממוצע לזהות רק 40%-80% מהווירוסים.

למדו עוד על Deep CDR , Multiscanning וטכנולוגיות אחרות; או שוחחו עם מומחה OPSWAT כדי לגלות את פתרון האבטחה הטוב ביותר להגנה מפני התקפות Zero-day ואיומים אחרים מתוכנות זדוניות מתקדמות.