Kötü amaçlı yazılımlar LNK dosyalarında nasıl gizlenebilir ve kuruluşlar kendilerini nasıl koruyabilir?
Siber suçlular güvenlik savunmalarına saldırmak için her zaman yenilikçi teknikler ararlar. Kötü amaçlı yazılım ne kadar gizli olursa, tespit edilmesi ve kaldırılması da o kadar zor olur. Tehdit aktörleri bu taktikten yararlanarak tespit edilmesi zor kötü amaçlı yazılımları kısayol dosyalarına (LNK dosyaları) ekler ve güvenilir bir uygulamayı tehlikeli bir tehdit haline getirir.
Bir aydan kısa bir süre önce, LinkedIn'deki profesyonelleri hedef alan ve bir iş teklifinin içine gizlenmiş "more_eggs" adlı sofistike bir arka kapı truva atı içeren yeni bir kimlik avı kampanyası başlatıldı.
LinkedIn adayları, LinkedIn profillerinde kurbanların iş unvanlarının adını taşıyan kötü amaçlı ZIP arşiv dosyaları aldı. Kurbanlar sahte iş tekliflerini açtıklarında, farkında olmadan dosyasız arka kapı "more_eggs "in gizlice yüklenmesini başlatmış oldular. Bir cihaza yüklendikten sonra, sofistike arka kapı daha fazla kötü amaçlı eklenti getirebilir ve bilgisayar korsanlarına kurbanların bilgisayarlarına erişim sağlayabilir.
Truva atı bilgisayar sistemine girdikten sonra, tehdit aktörleri sisteme sızabilir ve fidye yazılımı gibi diğer kötü amaçlı yazılım türlerini bulaştırabilir, verileri çalabilir veya verileri dışarı sızdırabilir. Golden Eggs, bu kötü amaçlı yazılımın arkasındaki tehdit grubu, müşterilerinin faydalanması için MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) olarak sattı.
LNK dosyaları nedir?
LNK, Windows'ta yerel dosyaların kısayolları için kullanılan bir dosya adı uzantısıdır. LNK dosya kısayolları, kullanıcılar programın tam yolunda gezinmeden yürütülebilir dosyalara (.exe) hızlı erişim sağlar.
Shell Link Binary File Format (.LNK) içeren dosyalar, hedef uygulamanın orijinal yolu da dahil olmak üzere yürütülebilir dosya hakkında meta veriler içerir.
Windows bu verileri uygulamaların başlatılmasını, senaryoların bağlanmasını ve uygulama referanslarının bir hedef dosyaya depolanmasını desteklemek için kullanır.
Hepimiz LNK dosyalarını Masaüstü, Denetim Masası, Görev Menüsü ve Windows Gezgini'nde kısayol olarak kullanırız.
Kötü Amaçlı Yazılımlar En Zayıf LNK'nizde Gizlenebilir
LNK dosyaları bir dosyayı açmak için uygun bir alternatif sunduğundan, tehdit aktörleri bunları komut dosyası tabanlı tehditler oluşturmak için kullanabilir. Bu yöntemlerden biri PowerShell kullanımıdır.
PowerShell, Microsoft tarafından geliştirilen sağlam bir komut satırı ve kabuk komut dosyası dilidir. PowerShell arka planda göze batmadan çalıştığından, bilgisayar korsanlarının kötü amaçlı kod eklemesi için mükemmel bir fırsat sağlar.Birçok siber suçlu, LNK dosyalarında PowerShell komut dosyalarını çalıştırarak bundan yararlanmıştır.
Bu tür saldırı senaryoları yeni değildir. LNK dosyası istismarları 2013 yılında yaygındı ve bugün hala aktif bir tehdit olmaya devam ediyor. Yakın tarihli bazı senaryolar arasında COVID-19 ile ilgili belgelere kötü amaçlı yazılım eklemek veya kimlik avı e-postasına gizlenmiş PowerShell virüsü içeren bir ZIP dosyası eklemek için bu yöntemin kullanılması yer alıyor.
Siber Suçlular LNK Dosyalarını Kötü Amaçlı Olarak Nasıl Kullanıyor?
Tehdit aktörleri, LNK dosyasının hedef yolunun PowerShell komutuna kötü amaçlı bir komut dosyası gizleyebilir.
Bazı durumlarda, kodu Windows Özellikleri altında görebilirsiniz:
Ancak bazen sorunu tespit etmek zordur:
URL yolu zararsız görünüyor. Ancak, Komut İstemi'nden (cmd.exe) sonra bir dizi boşluk vardır. "Hedef" alanı 260 karakter sınırına sahip olduğundan, LNK analiz aracında yalnızca komutun tamamını görebilirsiniz. Kötü amaçlı bir kod, boşluklardan sonra gizlice eklenmiştir:
Kullanıcı LNK dosyasını açar açmaz, kötü amaçlı yazılım bilgisayarına bulaşır ve çoğu durumda kullanıcı yanlış bir şey olduğunun farkına varmaz.
Deep CDR™ Teknolojisi LNK Dosya Saldırılarını Nasıl Önleyebilir?
Deep CDR™ Teknolojisi (İçerik Etkisizleştirme ve Yeniden Yapılandırma), kuruluşunuzu dosyaların içinde gizlenmiş olası tehditlerden korur. Tehdit önleme teknolojimiz, ağınıza giren tüm dosyaların kötü amaçlı olduğunu varsayar; ardından her dosyayı parçalara ayırır, temizler ve şüpheli içeriği kaldırarak yeniden yapılandırır.
Deep CDR™ Teknolojisi, LNK dosyalarında bulunan tüm zararlı cmd.exe ve powershell.exe komutlarını kaldırır. Yukarıdaki LinkedIn iş ilanındaki trojan örneğinde, virüs bulaşmış LNK dosyası bir ZIP dosyasında gizlenmişti. Deep CDR™ Teknolojisi, iç içe geçmiş arşiv dosyalarını çoklu düzeylerde işler, virüs bulaşmış bileşenleri algılar ve zararlı içeriği kaldırır. Sonuç olarak, kötü amaçlı yazılım devre dışı bırakılır ve güvenli dosyalar içinde artık çalıştırılamaz.
Ayrıca, OPSWAT kullanıcıların kötü amaçlı yazılımlara karşı ekstra koruma katmanları sağlamak için birden fazla tescilli teknolojiyi entegre etmelerine olanak tanır. Bu örneklerden biri olan Multiscanning, kullanıcıların %100'e yaklaşan tespit oranlarına ulaşmak için 30'dan fazla kötü amaçlı yazılımdan koruma motoruyla (AI/ML, imzalar, sezgisel yöntemler vb. kullanarak) aynı anda tarama yapmasına olanak tanır. Bunu, ortalama olarak virüslerin yalnızca %40-%80'ini tespit edebilen tek bir AV motoruyla karşılaştırın.
Deep CDR™ Teknolojisi hakkında daha fazla bilgi edinin, Multiscanningve diğer teknolojiler hakkında daha fazla bilgi edinin veya bir OPSWAT görüşerek sıfırıncı gün saldırıları ve gelişmiş kaçak kötü amaçlı yazılımlardan kaynaklanan diğer tehditlere karşı koruma sağlayan en iyi güvenlik çözümünü keşfedin.
- Deep CDR™Teknolojisi ,
- Dosya Yükleme Güvenliği ,
- Multiscanning Teknoloji
