T1027.012: Внедрение данных в файлы ярлыков (LNK)
Злоумышленники могут внедрять команды для загрузки полезной нагрузки в обход фильтров контента, пряча их в безопасных на первый взгляд файлах ярлыков Windows. Файлы ярлыков Windows (с расширением .lnk) содержат множество полей метаданных, в том числе поле расположения значка (также известное как IconEnvironmentDataBlock
), указывающее путь к файлу значка, который должен отображаться для этого LNK-файла в каталоге хоста.
Злоумышленники могут использовать эти метаданные LNK-файлов для загрузки полезной нагрузки. Например, было замечено, что злоумышленники используют LNK-файлы в качестве полезных нагрузок при фишинге для доставки вредоносного ПО. После обращения к этим LNK-файлам (например, при использовании техники Вредоносный файл) могут быть загружены полезные нагрузки, ссылки на которые содержатся во внешних URL-адресах в поле расположения значка LNK-файла. Обращение к этим полезным нагрузкам также может происходить через аргументы интерпретатора командной строки и сценариев или системного бинарного файла в поле пути к целевому объекту LNK-файла.
Внедрение данных в файлы ярлыков (LNK) может также использоваться после компрометации, например когда вредоносные сценарии запускают LNK-файл на зараженном хосте для загрузки дополнительных полезных нагрузок.
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for downloaded malicious files, though developing rules for the different variants, with a combination of different encoding and/or encryption schemes, may be very challenging. Consider monitoring files downloaded from the Internet, possibly by LNK Icon Smuggling, for suspicious activities. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Monitor contextual data about a file that may highlight embedded malicious content, which may include information such as name, the content (ex: signature, headers, or data/media), file size, etc.; correlate with other suspicious behavior to reduce false positives. |
---|
Меры противодействия
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Use signatures or heuristics to detect malicious LNK and subsequently downloaded files. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent execution of potentially obfuscated scripts or payloads. |
---|