Cách phần mềm độc hại có thể được ẩn trong các tệp LNK và cách các tổ chức có thể tự bảo vệ mình.
Tội phạm mạng luôn tìm kiếm các kỹ thuật sáng tạo để tấn công hệ thống phòng thủ an ninh. Phần mềm độc hại càng kín đáo thì càng khó phát hiện và loại bỏ. Các tác nhân đe dọa tận dụng chiến thuật này để chèn phần mềm độc hại khó phát hiện vào các tệp lối tắt (tệp LNK), thao túng một ứng dụng đáng tin cậy trở thành mối đe dọa nguy hiểm.
Chưa đầy một tháng trước, một chiến dịch lừa đảo mới bắt đầu nhắm mục tiêu vào các chuyên gia trên LinkedIn với một trojan cửa hậu tinh vi được gọi là " more_eggs" được giấu trong một lời mời làm việc.
Các ứng viên LinkedIn đã nhận được các tệp lưu trữ ZIP độc hại với tên chức danh công việc của nạn nhân trên hồ sơ LinkedIn của họ. Khi các nạn nhân mở lời mời làm việc giả, họ đã vô tình bắt đầu cài đặt lén lút cửa hậu "more_eggs". Sau khi được cài đặt vào thiết bị, backdoor tinh vi có thể tìm nạp nhiều plugin độc hại hơn và cho phép tin tặc truy cập vào máy tính của nạn nhân.
Khi trojan nằm trên hệ thống máy tính, các tác nhân đe dọa có thể xâm nhập vào hệ thống và lây nhiễm nó với các loại phần mềm độc hại khác như ransomware, đánh cắp dữ liệu hoặc trích xuất dữ liệu. Golden Eggs, nhóm đe dọa đằng sau phần mềm độc hại này đã bán nó dưới dạng MaaS (Malware-as-a-Service) để khách hàng của họ khai thác.
Tệp LNK là gì?
LNK là một phần mở rộng tên tệp cho các phím tắt đến các tệp cục bộ trong Windows. Các phím tắt tệp LNK cung cấp quyền truy cập nhanh vào các tệp thực thi (.exe) mà không cần người dùng điều hướng đường dẫn đầy đủ của chương trình.
Các tệp có Định dạng tệp nhị phân liên kết vỏ (. LNK) chứa siêu dữ liệu về tệp thực thi, bao gồm đường dẫn ban đầu đến ứng dụng đích.
Windows sử dụng dữ liệu này để hỗ trợ khởi chạy ứng dụng, liên kết các kịch bản và lưu trữ các tham chiếu ứng dụng đến tệp đích.
Tất cả chúng ta đều sử dụng các tệp LNK làm phím tắt trong Máy tính để bàn, Bảng điều khiển, Tác vụ Menuvà Windows Explorer.
Phần mềm độc hại có thể ẩn nấp trong LNK yếu nhất của bạn
Vì các tệp LNK cung cấp một giải pháp thay thế thuận tiện để mở tệp, các tác nhân đe dọa có thể sử dụng chúng để tạo các mối đe dọa dựa trên tập lệnh. Một trong những phương pháp này là thông qua việc sử dụng PowerShell.
PowerShell là một dòng lệnh mạnh mẽ và ngôn ngữ kịch bản shell được phát triển bởi Microsoft. Bởi vì PowerShell chạy kín đáo trong nền, nó cung cấp một cơ hội hoàn hảo cho tin tặc chèn mã độc. Nhiều tội phạm mạng đã lợi dụng điều này bằng cách thực thi các tập lệnh PowerShell trong các tệp LNK.
Kiểu kịch bản tấn công này không mới. Khai thác tệp LNK đã phổ biến trở lại vào năm 2013 và vẫn là một mối đe dọa hoạt động cho đến ngày nay. Một số tình huống gần đây bao gồm sử dụng phương pháp này để chèn phần mềm độc hại vào các tài liệu liên quan đến COVID-19 hoặc đính kèm tệp ZIP có vi-rút PowerShell ngụy trang trong email lừa đảo.
Cách tội phạm mạng sử dụng tệp LNK cho mục đích xấu
Tác nhân đe dọa có thể lẻn vào một tập lệnh độc hại trong lệnh PowerShell của đường dẫn đích của tệp LNK.
Trong một số trường hợp, bạn có thể thấy mã trong Thuộc tính Windows:
Nhưng đôi khi rất khó để phát hiện ra vấn đề:
URL đường dẫn trông vô hại. Tuy nhiên, có một chuỗi khoảng trắng sau Dấu nhắc lệnh (cmd.exe). Vì trường "Mục tiêu" có giới hạn ký tự là 260, bạn chỉ có thể xem lệnh đầy đủ trong công cụ phân tích LNK. Một mã độc đã lén lút được chèn vào sau khoảng trắng:
Ngay sau khi người dùng mở tệp LNK, phần mềm độc hại sẽ lây nhiễm vào máy tính của họ, trong hầu hết các trường hợp mà người dùng không nhận ra bất cứ điều gì không ổn.
Làm sao Deep CDR Có thể ngăn chặn các cuộc tấn công tệp LNK
Deep CDR (Giải trừ và Tái thiết Nội dung) bảo vệ tổ chức của bạn khỏi các mối đe dọa tiềm ẩn bên trong các tệp. Công nghệ phòng ngừa mối đe dọa của chúng tôi giả định rằng tất cả các tệp nhập vào mạng của bạn đều là tệp độc hại; sau đó giải mã, vệ sinh và xây dựng lại mọi tệp với tất cả nội dung đáng ngờ đã bị xóa.
Deep CDR xóa tất cả các lệnh cmd.exe và powershell.exe có hại có trong các tệp LNK. Trong ví dụ trên về trojan trong một lời mời làm việc trên LinkedIn, tệp LNK bị nhiễm đã được ẩn trong tệp ZIP. Deep CDR xử lý nhiều cấp độ tệp lưu trữ lồng nhau, phát hiện các thành phần bị nhiễm và xóa nội dung có hại. Do đó, phần mềm độc hại bị vô hiệu hóa và không thể thực thi trong các tệp an toàn để sử dụng.
Ngoài ra, OPSWAT cho phép người dùng tích hợp nhiều công nghệ độc quyền để cung cấp thêm các lớp bảo vệ khỏi phần mềm độc hại. Một ví dụ như vậy là Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý , cho phép người dùng quét đồng thời với hơn 30 trình quét phòng chống mã độc (sử dụng AI/ML, chữ ký, phương pháp tìm kiếm, v.v.) để đạt được tỷ lệ phát hiện gần 100%. So sánh với một công cụ AV duy nhất, trung bình chỉ có thể phát hiện 40%–80% vi-rút.
Tìm hiểu thêm về Deep CDR , Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý và các công nghệ khác; hoặc trao đổi với chuyên gia OPSWAT để khám phá giải pháp bảo mật tốt nhất giúp chống lại các cuộc tấn công Zero-day và các mối đe dọa khác từ phần mềm độc hại tiên tiến.
