Windows işletim sistemindeki bir kısayol dosyası türü olan LNK dosyaları, programlara, klasörlere veya web sitelerine kolay erişim sağlar.
Kısayol oluşturma sırasında otomatik olarak veya kullanıcılar tarafından manuel olarak oluşturulan LNK dosyaları, hedef konumu ve tehdit istihbaratı için yararlı diğer bilgileri içerir.
LNK’nin oluşturulduğu makine tanımlayıcısı, birim etiketleri ve sürücü seri numaraları gibi ayrıntıları içerir; .lnk uzantısı ise Windows’ta varsayılan olarak gizlenir ve tanımlamanın kullanıcı farkındalığına veya komut satırı sorgularına dayanmasını sağlar.
Saldırganlar, algılamayı atlamak ve meşru dosyalar (yürütülebilir dosyalar veya PDF’ler) gibi görünen Qakbot, Rhadamanthys, Remcos ve Amadey gibi kötü amaçlı yazılımları dağıtmak ve kullanıcıları bunlara tıklamaları için kandırmak için bir kısayol dosyası biçimi olan LNK dosyalarından yararlanır.
Bu, kullanıcının sistemini veya ağını tehlikeye atar ve aktif LNK kimlik avı kampanyalarını analiz ederek, savunucular saldırganın taktiklerini öğrenebilir ve saldırıyı daha iyi anlamak amacıyla LNK içeriğini çıkarmak için LECmd gibi araçları kullanabilir.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Tehdit aktörleri, kötü amaçlı yazılım dağıtmak ve keşif yapmak için kimlik avı kampanyalarında LNK dosyalarından yararlanır ve bu, LNK’ye kötü amaçlı komut dosyaları veya komutlar yerleştirerek yapılır.
Kullanıcı etkileşimi üzerine LNK, kötü amaçlı yazılım indirebilen, verileri çalabilen veya sistem bilgilerini toplayabilen bu komut dosyalarını tetikler.
Örnekler arasında, AsyncRAT veya Rhadamanthys truva atını indirmek için LNK’nin kullanılması, düzeltme işareti sembolleri gibi teknikler kullanılarak PowerShell komut dosyalarının gizlenmesi ve LNK’lerin PDF gibi meşru dosyalara benzeyecek şekilde işlenmesi yer alır; bu, kullanıcıları kötü amaçlı LNK’ye tıklamaları için kandırma başarısını artırır.
Kötü amaçlı bir LNK dosyası, LNK içindeki kodlanmış verilerin şifresini çözen ve kötü amaçlı bir CAB arşivinin yanında sahte bir DOCX dosyası oluşturan, karmaşık komutları yürüten bir PowerShell betiğini başlatmak için dosyalar için LOLBIN’den yararlanır.
PowerShell betiği daha sonra bir VBScript, toplu iş dosyaları ve yasal bir unzip.exe yardımcı programını içeren CAB dosyasını ayıklamak için extend.exe’yi kullanır.
VBScript, kayıt defteri değişikliği yoluyla kalıcılık sağlayan ve kötü amaçlı yükleri indiren, sistem bilgilerini çalan ve C2 sunucularıyla iletişim kuran ek toplu iş dosyalarını yürüten bir toplu iş dosyasını yürütmek için bir COM nesnesinden yararlanır.
Splunk tarafından yapılan araştırma, kurumsal savunmaları test etmek amacıyla LNK kimlik avı kampanyalarını simüle etmek için üç yöntem tanımlıyor. İlk yöntem, kullanıcı oturum açtığında bir komut istemini tetikleyen başlangıç klasörüne bir LNK yazmak için Atomic Red Team’in Invoke-AtomicTest’ini kullanır.
İkinci yöntem, çeşitli işlevlere sahip masaüstü kısayolları oluşturmayı kolaylaştıran LNK Oluşturucuyu kullanır.
Örnekler arasında bir MSI paketini indirip çalıştıran bir CMD kısayolu veya PowerShell komut dosyası kısayolu oluşturulması yer alır.
Üçüncü yöntem, bir CAB dosyasına gömülü kötü amaçlı bir LNK dosyasını simüle etmek için Atomic Red Team testlerinden yararlanır ve güvenlik analistleri, gerçek dünyadaki kötü amaçlı LNK dosyalarını inceleyerek algılama yeteneklerini geliştirmek ve test etmek için öngörüler kazanabilir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free