T1027.012: Внедрение данных в файлы ярлыков (LNK)

Злоумышленники могут внедрять команды для загрузки полезной нагрузки в обход фильтров контента, пряча их в безопасных на первый взгляд файлах ярлыков Windows. Файлы ярлыков Windows (с расширением .lnk) содержат множество полей метаданных, в том числе поле расположения значка (также известное как IconEnvironmentDataBlock), указывающее путь к файлу значка, который должен отображаться для этого LNK-файла в каталоге хоста.

Злоумышленники могут использовать эти метаданные LNK-файлов для загрузки полезной нагрузки. Например, было замечено, что злоумышленники используют LNK-файлы в качестве полезных нагрузок при фишинге для доставки вредоносного ПО. После обращения к этим LNK-файлам (например, при использовании техники Вредоносный файл) могут быть загружены полезные нагрузки, ссылки на которые содержатся во внешних URL-адресах в поле расположения значка LNK-файла. Обращение к этим полезным нагрузкам также может происходить через аргументы интерпретатора командной строки и сценариев или системного бинарного файла в поле пути к целевому объекту LNK-файла.

Внедрение данных в файлы ярлыков (LNK) может также использоваться после компрометации, например когда вредоносные сценарии запускают LNK-файл на зараженном хосте для загрузки дополнительных полезных нагрузок.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for downloaded malicious files, though developing rules for the different variants, with a combination of different encoding and/or encryption schemes, may be very challenging. Consider monitoring files downloaded from the Internet, possibly by LNK Icon Smuggling, for suspicious activities. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor contextual data about a file that may highlight embedded malicious content, which may include information such as name, the content (ex: signature, headers, or data/media), file size, etc.; correlate with other suspicious behavior to reduce false positives.

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Use signatures or heuristics to detect malicious LNK and subsequently downloaded files.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent execution of potentially obfuscated scripts or payloads.