LNK dosyaları, Windows’ta bir programa veya dosyaya bağlanan kısayol dosyalarıdır. Bilgisayar korsanları, LNK dosyalarını meşru kısayollar olarak gizleyerek, bilmeden bu dosyalara tıklayan kullanıcılardan yararlanarak ve kötü amaçlı kod yürütülmesine izin vererek, kötü amaçlı yükler dağıtmak için LNK dosyalarından yararlanabilir.
Yıllar geçtikçe, kötü amaçlı yazılım dağıtım yöntemleri gelişti ve siber tehditler alanında daha karmaşık hale geldi. Son veri analizleri, siber suçluların kötü amaçlı yazılım dağıtmak için artık yalnızca Microsoft Office belge dosyalarına güvenmediğini ortaya koyuyor.
Bunun yerine, kötü amaçlı yazılım dağıtmak için tercih edilen araç haline gelen Windows Yardım dosyalarının (*.chm) ve LNK dosyalarının kullanımında önemli bir artış oldu.
Son zamanlarda, AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik uzmanları, kendisini farklı bir dosya adı olarak gizleyerek ve saldırıya uğramış yasal web siteleri aracılığıyla yayılarak kullanıcıları kandırarak onu başlatmaya yönlendiren bir kötü amaçlı yazılım türü keşfetti.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Dağıtılmış Dosya Adları
Aşağıda, dağıtılan tüm dosya adlarından bahsettik: –
- Pomerium Projesiyle İlgili Sorgulama Data.txt.lnk
- 2023 İris Anlaşması Öncesi Değişiklik Başvurusuna İlişkin Veriler.txt.lnk
- Suyeon Oh Beyanı Data.txt.lnk
- Sorgulama Confirmation.txt.lnk hakkında
- Deep Brain AI Röportaj Rehberi.txt.lnk
- İşe Alımla İlgili Bilgiler.txt.lnk
Silahlandırılmış LNK Dosyaları
Kötü amaçlı yazılım, aynı adlara sahip sıkıştırılmış dosyalar yoluyla yayılıyor ve kullanıcıları bu dosyaları indirip çalıştırmaya teşvik ediyor. Bilgisayar korsanları dağıtım için yasal web sitelerini ihlal ediyor ve kolay değişiklik için PE olmayan dosyaları tercih ediyor.
Tehdit normal olarak çalışan web sitelerinde gizlendiğinden, güvende kalmak için kullanıcıların davranış tabanlı günlük kaydı ve algılama özelliğine sahip EDR’ye ihtiyacı vardır.
Sıkıştırılmış indirilen dosya, aşağıdakileri barındıran bir Not Defteri simgesine sahip gizlenmiş bir .txt.lnk dosyası oluşturur: –
LNK dosyası, HTML betiğini mshta aracılığıyla tetikleyerek, VBS betiğinin karmaşık bir şekilde çalıştırılmasına yol açar. Hem LNK’den gelen mshta komutları hem de HTML içindeki şifresi çözülmüş VBS komut dosyası komutları sırayla çalışır.
Temel eylemler arasında PowerShell’in LNK dosyasını okuması, yerleşik CAB dosyasını bırakması ve genişletme işlemi yoluyla yürütmesi yer alır. Algılama, bırakılan CAB dosyasının genişletilmiş sıkıştırılmış işlemine odaklanır.
Sıkıştırılmış CAB betiği, aşağıda bahsettiğimiz kötü amaçlı özellikleri sergiliyor: –
- Başka bir komut dosyasını çalıştırır
- Sistem verilerini toplar
- Otomatik çalıştırmada kaydolur
- Veri gönderir
Diğer eylemler, diğer özelliklerin yanı sıra dosyaların indirilmesini, kod çözülmesini ve “certutil” olarak bilinen bir komut satırı programı aracılığıyla çalıştırılmasını içerir.
Tehdit aktörleri, kullanıcıları, ihlal edilen yasal web sitelerinde farklı adlara sahip dosyaları yürütmeleri için kandırır ve bu, kötü amaçlı yazılım indirmelerinin tespit edilmesini zorlaştırır.
Bu tür dağıtım yöntemlerini tespit etmek için V3 uç nokta kötü amaçlı yazılımdan korumada davranış algılamayı etkinleştirin. Ancak virüs bulaşmışsa, EDR aracılığıyla ayrıntıları analiz ettiğinizden ve tehdidi azaltmak için gerekli güvenlik önlemlerini aldığınızdan emin olun.
IOC’ler
[Behavior Detection]
- Yürütme/MDP.Powershell.M2514
- Enjeksiyon/EDR.Davranış.M3695
- Dosyasız/EDR.Powershell.M11335
[File Detection]
- İndirici/BAT.Agent.SC194060
- Bilgi hırsızı/BAT.Agent.SC194061
- İndirici/BAT.Agent.SC194060
[HASH]
- 04d9c782702add665a2a984dfa317d49
- 453e8a0d9b6ca73d58d4742ddb18a736
- 8f3dcf4056be4d7c8adbaf7072533a0a
- c2aee3f6017295410f1d92807fc4ea0d
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.