Kötü amaçlı yazılımlar LNK dosyalarında nasıl gizlenebilir ve kuruluşlar kendilerini nasıl koruyabilir?
Siber suçlular güvenlik savunmalarına saldırmak için her zaman yenilikçi teknikler ararlar. Kötü amaçlı yazılım ne kadar gizli olursa, tespit edilmesi ve kaldırılması da o kadar zor olur. Tehdit aktörleri bu taktikten yararlanarak tespit edilmesi zor kötü amaçlı yazılımları kısayol dosyalarına (LNK dosyaları) ekler ve güvenilir bir uygulamayı tehlikeli bir tehdit haline getirir.
Bir aydan kısa bir süre önce, LinkedIn'deki profesyonelleri hedef alan ve bir iş teklifinin içine gizlenmiş "more_eggs" adlı sofistike bir arka kapı truva atı içeren yeni bir kimlik avı kampanyası başlatıldı.
LinkedIn adayları, LinkedIn profillerinde kurbanların iş unvanlarının adını taşıyan kötü amaçlı ZIP arşiv dosyaları aldı. Kurbanlar sahte iş tekliflerini açtıklarında, farkında olmadan dosyasız arka kapı "more_eggs "in gizlice yüklenmesini başlatmış oldular. Bir cihaza yüklendikten sonra, sofistike arka kapı daha fazla kötü amaçlı eklenti getirebilir ve bilgisayar korsanlarına kurbanların bilgisayarlarına erişim sağlayabilir.
Truva atı bilgisayar sistemine girdikten sonra, tehdit aktörleri sisteme sızabilir ve fidye yazılımı gibi diğer kötü amaçlı yazılım türlerini bulaştırabilir, verileri çalabilir veya verileri dışarı sızdırabilir. Golden Eggs, bu kötü amaçlı yazılımın arkasındaki tehdit grubu, müşterilerinin faydalanması için MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) olarak sattı.
LNK dosyaları nedir?
LNK, Windows'ta yerel dosyaların kısayolları için kullanılan bir dosya adı uzantısıdır. LNK dosya kısayolları, kullanıcılar programın tam yolunda gezinmeden yürütülebilir dosyalara (.exe) hızlı erişim sağlar.
Shell Link Binary File Format (.LNK) içeren dosyalar, hedef uygulamanın orijinal yolu da dahil olmak üzere yürütülebilir dosya hakkında meta veriler içerir.
Windows bu verileri uygulamaların başlatılmasını, senaryoların bağlanmasını ve uygulama referanslarının bir hedef dosyaya depolanmasını desteklemek için kullanır.
Hepimiz LNK dosyalarını Masaüstü, Denetim Masası, Görev Menüsü ve Windows Gezgini'nde kısayol olarak kullanırız.
Kötü Amaçlı Yazılımlar En Zayıf LNK'nizde Gizlenebilir
LNK dosyaları bir dosyayı açmak için uygun bir alternatif sunduğundan, tehdit aktörleri bunları komut dosyası tabanlı tehditler oluşturmak için kullanabilir. Bu yöntemlerden biri PowerShell kullanımıdır.
PowerShell, Microsoft tarafından geliştirilen sağlam bir komut satırı ve kabuk komut dosyası dilidir. PowerShell arka planda göze batmadan çalıştığından, bilgisayar korsanlarının kötü amaçlı kod eklemesi için mükemmel bir fırsat sağlar.Birçok siber suçlu, LNK dosyalarında PowerShell komut dosyalarını çalıştırarak bundan yararlanmıştır.
Bu tür saldırı senaryoları yeni değildir. LNK dosyası istismarları 2013 yılında yaygındı ve bugün hala aktif bir tehdit olmaya devam ediyor. Yakın tarihli bazı senaryolar arasında COVID-19 ile ilgili belgelere kötü amaçlı yazılım eklemek veya kimlik avı e-postasına gizlenmiş PowerShell virüsü içeren bir ZIP dosyası eklemek için bu yöntemin kullanılması yer alıyor.
Siber Suçlular LNK Dosyalarını Kötü Amaçlı Olarak Nasıl Kullanıyor?
Tehdit aktörleri, LNK dosyasının hedef yolunun PowerShell komutuna kötü amaçlı bir komut dosyası gizleyebilir.
Bazı durumlarda, kodu Windows Özellikleri altında görebilirsiniz:
Ancak bazen sorunu tespit etmek zordur:
URL yolu zararsız görünüyor. Ancak, Komut İstemi'nden (cmd.exe) sonra bir dizi boşluk vardır. "Hedef" alanı 260 karakter sınırına sahip olduğundan, LNK analiz aracında yalnızca komutun tamamını görebilirsiniz. Kötü amaçlı bir kod, boşluklardan sonra gizlice eklenmiştir:
Kullanıcı LNK dosyasını açar açmaz, kötü amaçlı yazılım bilgisayarına bulaşır ve çoğu durumda kullanıcı yanlış bir şey olduğunun farkına varmaz.
Deep CDR LNK Dosya Saldırılarını Nasıl Önleyebilir?
Deep CDR (Content Disarm and Reconstruction) kuruluşlarınızı dosyaların içine gizlenmiş potansiyel tehditlerden korur. Tehdit önleme teknolojimiz, ağınıza giren tüm dosyaların kötü amaçlı olduğunu varsayar; ardından tüm şüpheli içerikler kaldırılmış olarak her dosyayı yapısöküme uğratır, sterilize eder ve yeniden oluşturur.
Deep CDR LNK dosyalarında bulunan tüm zararlı cmd.exe ve powershell.exe komutlarını kaldırır. Yukarıdaki LinkedIn iş teklifindeki truva atı örneğinde, virüslü LNK dosyası bir ZIP dosyasında gizlenmiştir. Deep CDR birden fazla seviyedeki iç içe geçmiş arşiv dosyalarını işler, virüslü bileşenleri tespit eder ve zararlı içeriği kaldırır. Sonuç olarak, kötü amaçlı yazılım etkisiz hale getirilir ve artık tüketilmesi güvenli dosyalarda çalıştırılamaz.
Ayrıca, OPSWAT kullanıcıların kötü amaçlı yazılımlara karşı ekstra koruma katmanları sağlamak için birden fazla tescilli teknolojiyi entegre etmelerine olanak tanır. Bu örneklerden biri olan Multiscanning, kullanıcıların %100'e yaklaşan tespit oranlarına ulaşmak için 30'dan fazla kötü amaçlı yazılımdan koruma motoruyla (AI/ML, imzalar, sezgisel yöntemler vb. kullanarak) aynı anda tarama yapmasına olanak tanır. Bunu, ortalama olarak virüslerin yalnızca %40-%80'ini tespit edebilen tek bir AV motoruyla karşılaştırın.
Hakkında daha fazla bilgi edinin Deep CDR, Multiscanningve diğer teknolojileri kullanabilir veya Sıfırıncı Gün saldırılarına ve gelişmiş kötü amaçlı yazılımlardan kaynaklanan diğer tehditlere karşı koruma sağlayacak en iyi güvenlik çözümünü keşfetmek için bir OPSWAT uzmanıyla görüşebilirsiniz.
