LNK dosya silahlandırmasında%50 artış, dört ana kötü amaçlı yazılım türünü körükleyerek


Telemetri verilerine göre, 2023’te 21.098’den 2024’te 68.392’ye yükselen tehlikeli örnekler ile, kötü amaçlı yazılım dağıtımı için Windows kısayol (LNK) dosyalarının silahlandırılması%50 arttı.

Genellikle karmaşık klasör yapılarında gezinmeden dosyalara veya uygulamalara erişmek için sanal bağlantılar olarak kullanılan bu LNK dosyaları, esneklikleri nedeniyle siber suçlular için güçlü bir araç haline gelmiştir.

Kötü niyetli LNK örneklerinde dramatik artış

Saldırganlar, kötü amaçlı yükler yürütmek ve bunları meşru dosyalar olarak gizlemek için bu kısayolları kullanır ve kullanıcıları kötü amaçlı yazılım başlatmaya kandırır.

Yakın tarihli 30.000 örneğin derinlemesine bir analizine dayanarak, bu araştırma LNK kötü amaçlı yazılımların arkasındaki sofistike teknikleri ve hem siber güvenlik uzmanları hem de günlük Windows kullanıcıları arasında kritik farkındalık ihtiyacı ortaya koymaktadır.

Araştırma, LNK kötü amaçlı yazılımları dört farklı tipte sınıflandırır, her biri sistemleri tehlikeye atmak için benzersiz mekanizmalardır.

Dört ölümcül LNK kötü amaçlı yazılım kategorisi

Birincisi, istismar yürütme, yamalı sistemlerde daha az yaygın olsa da, CVE-20110-2568 gibi Windows bileşenlerindeki güvenlik açıklarını hedefleyen bozuk LNK ikili dosyalarını içerir.

LC Dosyası
Windows LNK dosyaları için simgelerin örnekleri.

İkincisi, Disk-on-disk yürütme, yükleri tetiklemek için genellikle powerShell.exe veya cmd.exe gibi sistem araçlarını kullanarak kurbanın sisteminde bulunan kötü amaçlı komut dosyalarına veya ikili dosyalara işaret eden LNK dosyalarını görür.

Üçüncüsü, argüman komut dosyası yürütme, kötü amaçlı komut dosyalarını doğrudan LNK dosyasının komut satırı bağımsız değişkenlerine yerleştirir, PowerShell veya Conhost.exe gibi tercümanları kullanır.

Son olarak, Overlay Yürütme, gizli komut dosyalarını veya ikili dosyaları çıkarmak ve patlatmak için FindStr veya Mshta.exe gibi yardımcı programlardan yararlanarak, hatta bazen kullanıcılara yanlış yönlendiren PDF’ler gibi iyi huylu dekoy içeriği gömmek için kötü niyetli içerik ekler.

Bu teknikler, özelleştirilebilir simgeler ve gizli .lnk uzantıları (yalnızca komut satırı araçlarında görülebilir) olan LNK dosyalarının aldatıcı sadeliğini vurgulayan, onları sosyal mühendislik saldırıları için ideal hale getirerek, genellikle “fatura” veya “parola_here.txt” gibi güvenilir dosya adlarını taklit eder.

LNK dosyalarının yapısal analizi, hedefleri belirtmek için LinkTarget_idlist kullanan numunelerin% 99’undan fazlası ile kötü amaçlı hedef çözünürlük ve yürütmenin merkezi olarak LinkTarget_Idlist, Relative_Path ve Command_line_arguments gibi temel alanları ortaya çıkarır.

LC Dosyası
Kötü niyetli bir LNK örneğinin özellikleri.

Bu, şüpheli hedefleri veya bilinmeyen dizinlere işaret eden alışılmadık derecede uzun argümanları tanımlamak için sağ tıklayıp “özellikleri” seçerek erişilebilir dosya özelliklerini incelemenin önemini vurgulamaktadır.

LNK dosyaları kötü amaçlı yazılım dağıtımı için popülerlik kazandıkça, bilinmeyen kısayolları, özellikle de internetten indirilenleri ele alırken dikkatli olun.

Palo Alto Networks, yeni nesil güvenlik duvarı, gelişmiş orman yangını ile prizma erişimi, gerçek zamanlı istismar tespiti için gelişmiş tehdit önleme ve çok katmanlı çok katman sonrası savunma için Cortex XDR/XSIAM gibi çözümler yoluyla korumayı destekliyor.

Uzlaşma Göstergeleri (IOCS)

Sha256 karma
A90C87C90E046E68550F9A21EAE3CAD25F461E9E9F16A891E2C7A70A3A59156
08233322eef803317e761c7d380d41fcd1e887f4f9ae5f71a7a590f472205
9D4683A65BE134AFE71F49DBD798A0A4583FE90CF4B440D81EEBCBBFC05CA1CD
A89B344AC85BD27E3638CA3A5437D8CDA03B171570F0D437A63B803B0B20
28fa4a74bbeff43749573695aeb13ec09139c2c7e4980cd7128b3ea17c7fa8
FB792BB72D24C2284652B26797AFD4DED15D175896CA51657C844433AA8A9
f585db05687e29d089442cc7cfa7f84db958af056d9b78c2f7a030f7cd3d
B2FD04602223117194181C97CA8692A09F6F5CFDBC07C87560AAAB821CD29536
86F504DEA07FD952253904C468D83D9014A290E1FF5F2D1059638E07D14B09
d1dc85a875e4fc8ace6d530680fdb3fb2dc6b0f07f892d8714Af472c50d3a237
76D2DD21FFADDAC1D1903AD1A2B52495E5E73AA16AA2DC6FE9F94C5795A45B

Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt



Source link