PowerShell 是微軟的多用途命令列和 shell 腳本語言,可以與許多技術整合並且互動。它可以默默地在背景執行,無須執行檔就能夠取得系統資訊。換言之,這是對威脅者相當具有吸引力的工具。有許多網路犯罪分子惡意使用 PowerShell 的知名案例:像是2016年3月的 PowerWare勒索病毒,和2016年4月的新Fareit惡意軟體 變種。因為這看起來是正在上升的趨勢,安全管理員對於如何防止PowerShell腳本造成損害也變得更加熟悉。
不過網路犯罪分子找到另一種方法來執行PowerShell腳本 – Windows LNK(LNK)。使用者常常可以看到的LNK檔案就是捷徑,出現在桌面和開始選單。事實上,LNK檔早在2013年就被用作攻擊載體。而在2017年初,我們注意到有木馬下載程式利用.zip包含.zip來掩飾一個會帶來Locky勒索病毒的LNK檔案。
現在,我們看見越來越多攻擊使用惡意 LNK 檔來利用正常應用程式(如PowerShell)下載惡意軟體或其他惡意檔案。為了說明LNK 的上升使用趨勢,請看看一個LNK 惡意軟體(趨勢科技偵測為LNK_DLOADR.*)如何從2017年一月開始一路飛升。這上升幅度顯示出這樣的方法正在成為流行:
圖1、4個月間的LNK_DLOADR偵測數量
最近的 LNK-PowerShell和 ChChes攻擊
在2016年10月,我們看到攻擊者利用LNK加上PowerShell和BKDR_ChChes來對日本政府機構和學術單位進行針對性攻擊。攻擊中使用了偽裝成假.jpg檔案的惡意PowerShell檔案。
圖2、在2016年十月針對日本目標的攻擊
我們在2017年一月注意到一個駭客集團 APT10(也稱為MenuPass、POTASSIUM、Stone Panda、Red Apollo和CVNX)在一波大規模魚叉式釣魚攻擊(SPEAR PHISHING)使用類似手法。在此起攻擊中,LNK 檔案執行cmd.exe來下載一個隱藏了惡意 PowerShell 腳本的假.jpg檔案。
這個駭客集團繼續發展自己的網路間諜活動,並在2017年4月也利用類似手法來下載BKDR_ChChes,這是個常見於針對性攻擊的惡意軟體。
新LNK-PowerShell攻擊
我們發現了一起很可能仍在進行中的攻擊活動,它使用了新且複雜的LNK手法。這些攻擊似乎使用了好幾層的Windows內建命令列工具。他們寄送了釣魚郵件來誘騙受害者開啟內容,通常是在DOCX或RTF文件內嵌入惡意LNK檔。這LNK檔並不會直接執行PowerShell,而是執行MSHTA.exe(用來開啟HTML檔案的應用程式),它會執行Javascript或VBScript來下載並執行PowerShell腳本。PowerShell接著會執行反向shell(如Metasploit或Cobalt Strike)來完成攻擊。
圖3、利用MSHTA.exe的複雜LNK攻擊
上個月我們發現另一波魚叉式釣魚攻擊(SPEAR PHISHING)擊也利用了LNK跟PowerShell的組合。不過儲存主要有效載荷的命令與控制(C&C)伺服器已經連不上了。
他們的作法看起來沒用那麼多層:LNK檔內嵌在文件中,如果使用者開啟郵件,它會執行PowerShell檔(或類似的Windows命令行工具)來下載另一個腳本。這個腳本再去下載主要有效載荷。
圖4、比較不那麼複雜的LNK-PowerShell攻擊
我們認為此波攻擊可能帶有政治動機,因為誘餌主題跟經濟或爭議話題有關。不過要進行充分分析很困難,因為當C&C伺服器死掉後也會讓追查斷掉。如果沒有得到全貌,很難將這類攻擊與已知攻擊活動進行關聯。
隱藏LNK命令
在許多案例中,這些惡意LNK文件可以揭露有關攻擊者開發環境的珍貴資訊。想要進行快速分析,透過檢視檔案屬性以取得這些資訊是可能的。
但我們看見了命令列參數超長的案例,透過屬性>捷徑視窗也無法完全看見。查看時只能看到目標應用程式(CMD.exe、MSHTA.exe及其他非惡意命令列應用程式)。
圖5、只能看到目標應用程式
我們的測試得出捷徑>屬性>目標的最大長度只有260個字元。超過就看不見。但是命令列參數的最大長度是4096個字元。
攻擊者實際上在惡意參數前加上許多空格或換行符號。使用解析工具可以看到更長的部分(圖6),還是可以正常運作:
圖6、隱藏惡意程式碼的檔案
攻擊者利用這一點來試圖偽裝或隱藏程式碼的惡意部分。這種填充策略可以防止對LNK文件的快速分析,但使用LNK解析工具仍然可以正常提取參數。
建議和最佳實作
惡意軟體作者在持續加強自己的工具和尋找不同方式來派送自己的惡意程式碼。利用這些LNK檔案只是另外一種策略,但是有辦法可以防止和減輕這些威脅:
- 升級PowerShell到版本5,這屬於Windows管理框架的一部分,且包含在Windows 10內,值得推薦。使用群組政策來開啟日誌功能好更加容易檢查是否有外洩事件發生。
- 使用者和企業在執行郵件內的檔案時都必須小心謹慎。*.EXE的檔案通常都會自動被郵件伺服器封鎖,但如果擔心安全問題,管理員應該考慮將*.LNK加入封鎖列表
- 同樣不建議打開來自郵件(或來自本機以外的任何地方)的任何LNK檔案。
要確認是否為LNK檔案:
- 如果是在壓縮檔(如WinRAR,WinZip)內,可以清楚地看到LNK副檔名,還可以看到“類型”(它說是:“捷徑”)。
- 對於任何Windows資料夾,會出現小小的箭頭符號在圖示右上方,這是LNK檔的特徵之一。
另一種方式是:將Windows資料夾切換到“詳細資訊檢視”,然後選“類型”。
- 對於內嵌在Word 的LNK檔,使用者必須了解這些類型的攻擊知道自己要尋找什麼。防禦至少要做到:在沒有確認來源前永遠不要打開這些類型的檔案。如果你的組織不需要任何封裝物件,那麼還可以用編輯註冊表來完全停用該功能。
趨勢科技的Smart Protection for Endpoint利用 XGen 安全防護來結合高保真機器學習加上各種威脅防護技術來涵蓋整個使用者活動及所有端點以消除安全隱患,盡可能廣泛地防護進階攻擊。
趨勢科技的Deep Discovery提供對今日的隱蔽性惡意軟體和針對性攻擊的即時偵測、深入分析和主動回應。它提供量身打造的全面性防禦來保護組織對抗針對性攻擊和進階威脅,透過特製引擎、客製化沙箱和橫跨整個攻擊生命週期的無縫關聯技術,讓它即使沒有更新引擎或病毒碼也能夠偵測威脅。
@原文出處:A Rising Trend: How Attackers are Using LNK Files to Download Malware 作者:Benson Sy(威脅研究員)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。