T1027.012: Внедрение данных в файлы ярлыков (LNK)
Злоумышленники могут внедрять команды для загрузки полезной нагрузки в обход фильтров контента, пряча их в безопасных на первый взгляд файлах ярлыков Windows. Файлы ярлыков Windows (с расширением .lnk) содержат множество полей метаданных, в том числе поле расположения значка (также известное как IconEnvironmentDataBlock), указывающее путь к файлу значка, который должен отображаться для этого LNK-файла в каталоге хоста.
Злоумышленники могут использовать эти метаданные LNK-файлов для загрузки полезной нагрузки. Например, было замечено, что злоумышленники используют LNK-файлы в качестве полезных нагрузок при фишинге для доставки вредоносного ПО. После обращения к этим LNK-файлам (например, при использовании техники Вредоносный файл) могут быть загружены полезные нагрузки, ссылки на которые содержатся во внешних URL-адресах в поле расположения значка LNK-файла. Обращение к этим полезным нагрузкам также может происходить через аргументы интерпретатора командной строки и сценариев или системного бинарного файла в поле пути к целевому объекту LNK-файла.
Внедрение данных в файлы ярлыков (LNK) может также использоваться после компрометации, например когда вредоносные сценарии запускают LNK-файл на зараженном хосте для загрузки дополнительных полезных нагрузок.
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте загруженные вредоносные файлы. Подобрать правила для разных типов файлов с различными схемами кодирования и (или) шифрования может быть очень сложно. По возможности отслеживайте файлы, загруженные из интернета (возможно, посредством внедрения данных в файлы ярлыков (LNK)), и анализируйте их на предмет подозрительной активности. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте контекстные данные файла, которые могут указывать на наличие встроенного вредоносного содержимого. Эти данные могут включать имя, содержимое (подпись, заголовки, данные или встроенные объекты), размер и другие параметры. Соотносите эту информацию с другим подозрительным поведением, чтобы уменьшить количество ложных срабатываний. |
|---|
Меры противодействия
| ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Используйте сигнатуры или эвристику для обнаружения вредоносных LNK и последующих загруженных файлов. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить выполнение потенциально обфусцированных сценариев или полезных нагрузок. |
|---|