LNK Stomping adlı sofistike bir saldırı tekniği, siber suçluların internetten indirilen kötü amaçlı dosyaları engellemek için tasarlanmış Windows güvenlik korumalarını atlamasını sağlıyor.
Teknik, Eylül 2024’te CVE-2024-38217 olarak yamalanan Windows kısayollarındaki bir güvenlik açığından yararlanmaktadır.
LNK dosyaları olarak bilinen Windows kısayolları, Microsoft 2022’de makro engelleme politikalarını güçlendirdiğinden beri giderek daha popüler olan saldırı vektörleri haline geldi.
Saldırganlar genellikle bu kötü niyetli kısayolları e -posta ekleri veya sıkıştırılmış dosyalar aracılığıyla dağıtarak meşru belgeler olarak gizler.
Yürütüldüğünde, LNK dosyaları PowerShell, CMD.EXE veya MSHTA.EXE gibi güvenilir sistem araçlarını çağırır, bu da kötü amaçlı etkinlikleri normal sistem işlemleri olarak görür.
Bu tür saldırılarla mücadele etmek için Windows, Web (MOTW) korumalarının işaretini uygular. Bu güvenlik özelliği, meta verileri İnternet’ten indirilen dosyalara ekleyerek Zone.Indenticifier adlı bir NTFS alternatif veri akışı oluşturur.
SmartScreen ve Akıllı Uygulama Kontrolü gibi Windows Güvenlik Araçları, itibar denetimleri yapmak ve kullanıcıları potansiyel olarak tehlikeli dosyalar hakkında uyarmak için bu meta verileri kullanın.
LNK Stomping nasıl çalışır?
İlk olarak 2024’te Elastik Güvenlik Laboratuarları tarafından açıklanan LNK Stomping, MOTW meta verilerini kaldırmak için Windows Gezgini’nin yol normalleştirme sürecini kullanıyor.
Saldırı, Explorer’ın kısayolu yanlış işlemesine neden olan standart olmayan hedef yollar oluşturarak LNK dosyalarının iç yapısını manipüle eder.
Kullanıcılar kötü niyetli bir LNK dosyasını tıkladığında, Explorer anormal yol yapısını algılar ve kısayoldan tasarruf ederek normalleştirmeye çalışır.
Bu kanonikleştirme işlemi sırasında, sistem MOTW meta verilerini koruyamaz ve herhangi bir itibar kontrolü gerçekleşmeden önce güvenlik etiketini etkili bir şekilde kaldırır.
Teknik yapısal hatalar oluşturmak için üç birincil yöntem kullanır: PathSegment Tipi Manipülasyon, tüm dosya yollarını tek dizi öğelerine yerleştirir, nokta türü yürütme yollarına süreler veya boşluklar ekler ve göreceli türü tam yollar yerine yalnızca dosya adları kullanır.
Güvenlik araştırmacıları, Windows 10 güvenlik kontrollerini atladığını başarıyla gösterdi.
Kontrollü testlerde, tekniği olmayan kötü amaçlı LNK dosyaları akıllı uygulama kontrolü tarafından düzgün bir şekilde bloke edilirken, LNK stomping kullananlar herhangi bir güvenlik uyarısı olmadan yürütüldü.
CISA, 10 Eylül 2024’teki bilinen sömürülen güvenlik açıkları listesine CVE-2024-38217 eklediğinde, vahşi doğada aktif sömürüyü doğruladığında güvenlik açığının önemi belirginleşti.
Elastik Güvenlik Laboratuarlarından Joe Desimone, Virustotal’da çok sayıda LNK stomping örneği keşfetti ve en eski başvurular altı yıl öncesine dayanarak bu tekniğin uzun vadeli yeraltı kullanımını önerdi.
Şu anda, bu güvenlik açığından yararlanmaya resmi olarak hiçbir tehdit grubu atfedilmemiştir.
Bununla birlikte, CISA KEV listesi, saldırganların aktif olarak LNK stomping tekniklerini kullandığını ve onu teorik bir tehditten ziyade kalıcı bir hale getirdiğini göstermektedir.
Kuruluşlar, geleneksel imzaya dayalı korumalar bu kaçakçılık tekniklerine karşı mücadele edebileceğinden, Sistemlerin Eylül 2024 güvenlik yamaları ile güncellenmesini sağlamalı ve şüpheli LNK dosya etkinliğini tanımlamak için davranış tabanlı algılama kuralları uygulamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.