LNK dosya silahlandırmasında%50 artış, dört ana kötü amaçlı yazılım türünü körükleyerek

Telemetri verilerine göre, 2023’te 21.098’den 2024’te 68.392’ye yükselen tehlikeli örnekler ile, kötü amaçlı yazılım dağıtımı için Windows kısayol (LNK) dosyalarının silahlandırılması%50 arttı.

Genellikle karmaşık klasör yapılarında gezinmeden dosyalara veya uygulamalara erişmek için sanal bağlantılar olarak kullanılan bu LNK dosyaları, esneklikleri nedeniyle siber suçlular için güçlü bir araç haline gelmiştir.

Kötü niyetli LNK örneklerinde dramatik artış

Saldırganlar, kötü amaçlı yükler yürütmek ve bunları meşru dosyalar olarak gizlemek için bu kısayolları kullanır ve kullanıcıları kötü amaçlı yazılım başlatmaya kandırır.

Yakın tarihli 30.000 örneğin derinlemesine bir analizine dayanarak, bu araştırma LNK kötü amaçlı yazılımların arkasındaki sofistike teknikleri ve hem siber güvenlik uzmanları hem de günlük Windows kullanıcıları arasında kritik farkındalık ihtiyacı ortaya koymaktadır.

Araştırma, LNK kötü amaçlı yazılımları dört farklı tipte sınıflandırır, her biri sistemleri tehlikeye atmak için benzersiz mekanizmalardır.

Dört ölümcül LNK kötü amaçlı yazılım kategorisi

Birincisi, istismar yürütme, yamalı sistemlerde daha az yaygın olsa da, CVE-20110-2568 gibi Windows bileşenlerindeki güvenlik açıklarını hedefleyen bozuk LNK ikili dosyalarını içerir.

İkincisi, Disk-on-disk yürütme, yükleri tetiklemek için genellikle powerShell.exe veya cmd.exe gibi sistem araçlarını kullanarak kurbanın sisteminde bulunan kötü amaçlı komut dosyalarına veya ikili dosyalara işaret eden LNK dosyalarını görür.

Üçüncüsü, argüman komut dosyası yürütme, kötü amaçlı komut dosyalarını doğrudan LNK dosyasının komut satırı bağımsız değişkenlerine yerleştirir, PowerShell veya Conhost.exe gibi tercümanları kullanır.

Son olarak, Overlay Yürütme, gizli komut dosyalarını veya ikili dosyaları çıkarmak ve patlatmak için FindStr veya Mshta.exe gibi yardımcı programlardan yararlanarak, hatta bazen kullanıcılara yanlış yönlendiren PDF’ler gibi iyi huylu dekoy içeriği gömmek için kötü niyetli içerik ekler.

Bu teknikler, özelleştirilebilir simgeler ve gizli .lnk uzantıları (yalnızca komut satırı araçlarında görülebilir) olan LNK dosyalarının aldatıcı sadeliğini vurgulayan, onları sosyal mühendislik saldırıları için ideal hale getirerek, genellikle “fatura” veya “parola_here.txt” gibi güvenilir dosya adlarını taklit eder.

LNK dosyalarının yapısal analizi, hedefleri belirtmek için LinkTarget_idlist kullanan numunelerin% 99’undan fazlası ile kötü amaçlı hedef çözünürlük ve yürütmenin merkezi olarak LinkTarget_Idlist, Relative_Path ve Command_line_arguments gibi temel alanları ortaya çıkarır.

Bu, şüpheli hedefleri veya bilinmeyen dizinlere işaret eden alışılmadık derecede uzun argümanları tanımlamak için sağ tıklayıp “özellikleri” seçerek erişilebilir dosya özelliklerini incelemenin önemini vurgulamaktadır.

LNK dosyaları kötü amaçlı yazılım dağıtımı için popülerlik kazandıkça, bilinmeyen kısayolları, özellikle de internetten indirilenleri ele alırken dikkatli olun.

Palo Alto Networks, yeni nesil güvenlik duvarı, gelişmiş orman yangını ile prizma erişimi, gerçek zamanlı istismar tespiti için gelişmiş tehdit önleme ve çok katmanlı çok katman sonrası savunma için Cortex XDR/XSIAM gibi çözümler yoluyla korumayı destekliyor.

Uzlaşma Göstergeleri (IOCS)

Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt