LNKファイルにマルウェアがどのように隠されているのか、そして組織はどのように身を守ることができるのか。
サイバー犯罪者は常に、セキュリティ防御を攻撃する革新的なテクニックを探している。マルウェアが目立たないものであればあるほど、検出や駆除が難しくなります。脅威行為者は、この手口を利用して、検出が困難なマルウェアをショートカットファイル(LNKファイル)に挿入し、信頼性の高いアプリケーションを危険な脅威へと操作します。
1カ月も前に、LinkedInのプロフェッショナルを標的に、求人情報に隠された「more_eggs」と呼ばれる巧妙なバックドア型トロイの木馬を使った新たなスピアフィッシング・キャンペーンが始まった。
LinkedInの候補者は、LinkedInのプロフィールに被害者の役職名が記載された悪意のあるZIPアーカイブファイルを受け取りました。被害者が偽の求人情報を開くと、知らず知らずのうちにファイルレスのバックドア「more_eggs」の密かなインストールが開始されました。いったんデバイスにインストールされると、この巧妙なバックドアはさらに悪質なプラグインを取得し、ハッカーに被害者のコンピュータへのアクセスを許可する。
トロイの木馬がコンピュータ・システムに侵入すると、脅威者はシステムに侵入し、ランサムウェアのような他のタイプのマルウェアに感染させたり、データを盗んだり、データを流出させたりすることができる。このマルウェアの背後にいる脅威グループGolden Eggsは、顧客が悪用できるようにMaaS(Malware-as-a-Service)としてこのマルウェアを販売していました。
LNKファイルとは何ですか?
LNKは、Windowsのローカルファイルへのショートカット用のファイル名拡張子です。LNKファイルのショートカットは、ユーザーがプログラムのフルパスをナビゲートすることなく、実行可能ファイル(.exe)にすばやくアクセスできるようにします。
シェルリンクバイナリファイルフォーマット(.LNK)のファイルには、ターゲットアプリケーションのオリジナルパスを含む、実行可能ファイルに関するメタデータが含まれています。
Windowsはこのデータを使って、アプリケーションの起動、シナリオのリンク、ターゲットファイルへのアプリケーション参照の保存をサポートする。
私たちは皆、LNKファイルをデスクトップ、コントロールパネル、タスクメニュー、Windowsエクスプローラーのショートカットとして使っている。
マルウェアは最も脆弱なLNKに潜む
LNKファイルは、ファイルを開く代わりに便利な代替手段を提供するため、脅威当事者は、スクリプトベースの脅威を作成するためにLNKファイルを使用することができます。このような方法の1つに、PowerShellを使用する方法があります。
PowerShellは、Microsoftによって開発された堅牢なコマンドラインおよびシェルスクリプト言語です。PowerShellはバックグラウンドで目立たないように実行されるため、ハッカーにとっては悪意のあるコードを挿入する絶好の機会となります。多くのサイバー犯罪者は、LNKファイルでPowerShellスクリプトを実行することで、これを利用しています。
この種の攻撃シナリオは新しいものではない。LNKファイルを悪用した攻撃は2013年に流行し、現在でも活発な脅威となっています。最近のシナリオとしては、この手法を使ってCOVID-19関連の文書にマルウェアを挿入したり、PowerShellウイルスを偽装したZIPファイルをフィッシングメールに添付したりするものがあります。
サイバー犯罪者がLNKファイルを悪用する手口
脅威者は、LNKファイルのターゲットパスのPowerShellコマンドに悪意のあるスクリプトを忍び込ませることができます。
場合によっては、Windowsのプロパティでコードを見ることができる:
しかし、問題を発見するのが難しい場合もある:
パスのURLは無害に見える。しかし、コマンドプロンプト(cmd.exe)の後に空白の文字列があります。Target」フィールドには260文字の制限があるため、LNK分析ツールではコマンドの全文しか見ることができません。空白の後に悪意のあるコードがこっそりと挿入されています:
ユーザーがLNKファイルを開くとすぐにマルウェアがコンピュータに感染し、ほとんどの場合、ユーザーは何も気付かないまま、異常が発生する。
Deep CDR がLNKファイル攻撃を防ぐ方法
Deep CDR (Content Disarm and Reconstruction)は、ファイル内に潜む潜在的な脅威から組織を保護します。当社の脅威防止技術は、ネットワークに侵入するすべてのファイルが悪意のあるものであると想定し、疑わしいコンテンツをすべて削除した上で、すべてのファイルを分解、サニタイズ、再構築します。
Deep CDR は、LNK ファイルに存在するすべての有害な cmd.exe および powershell.exe コマンドを削除します。上記のLinkedInの求人情報内のトロイの木馬の例では、感染したLNKファイルはZIPファイルに隠されていました。Deep CDR 、ネスト化された複数のレベルのアーカイブファイルを処理し、感染したコンポーネントを検出し、有害なコンテンツを削除します。その結果、マルウェアは不活性化され、安全に消費できるファイルでは実行できなくなります。
さらに、OPSWAT では、マルウェアからの保護をさらに強化するために、複数の独自技術を統合することができる。その一例として、Multiscanning 、30以上のマルウェア対策エンジン(AI/ML、シグネチャ、ヒューリスティックなどを利用)で同時にスキャンを行い、100%に近い検出率を達成することができます。平均してウイルスの40%~80%しか検出できない単一のAVエンジンと比較してください。
詳細はこちら Deep CDR, Multiscanningまた、 OPSWAT のエキスパートにご相談いただければ、ゼロデイ攻撃や高度な回避マルウェアによるその他の脅威から保護するための最適なセキュリティソリューションをご紹介します。
