LNKファイルにマルウェアがどのように隠されているのか、そして組織はどのように身を守ることができるのか。
サイバー犯罪者は常に、セキュリティ防御を攻撃する革新的なテクニックを探している。マルウェアが目立たないものであればあるほど、検出や駆除が難しくなります。脅威行為者は、この手口を利用して、検出が困難なマルウェアをショートカットファイル(LNKファイル)に挿入し、信頼性の高いアプリケーションを危険な脅威へと操作します。
1カ月も前に、LinkedInのプロフェッショナルを標的に、求人情報に隠された「more_eggs」と呼ばれる巧妙なバックドア型トロイの木馬を使った新たなスピアフィッシング・キャンペーンが始まった。
LinkedInの候補者は、LinkedInのプロフィールに被害者の役職名が記載された悪意のあるZIPアーカイブファイルを受け取りました。被害者が偽の求人情報を開くと、知らず知らずのうちにファイルレスのバックドア「more_eggs」の密かなインストールが開始されました。いったんデバイスにインストールされると、この巧妙なバックドアはさらに悪質なプラグインを取得し、ハッカーに被害者のコンピュータへのアクセスを許可する。
トロイの木馬がコンピュータ・システムに侵入すると、脅威者はシステムに侵入し、ランサムウェアのような他のタイプのマルウェアに感染させたり、データを盗んだり、データを流出させたりすることができる。このマルウェアの背後にいる脅威グループGolden Eggsは、顧客が悪用できるようにMaaS(Malware-as-a-Service)としてこのマルウェアを販売していました。
LNKファイルとは何ですか?
LNKは、Windowsのローカルファイルへのショートカット用のファイル名拡張子です。LNKファイルのショートカットは、ユーザーがプログラムのフルパスをナビゲートすることなく、実行可能ファイル(.exe)にすばやくアクセスできるようにします。
シェルリンクバイナリファイルフォーマット(.LNK)のファイルには、ターゲットアプリケーションのオリジナルパスを含む、実行可能ファイルに関するメタデータが含まれています。
Windowsはこのデータを使って、アプリケーションの起動、シナリオのリンク、ターゲットファイルへのアプリケーション参照の保存をサポートする。
私たちは皆、LNKファイルをデスクトップ、コントロールパネル、タスクメニュー、Windowsエクスプローラーのショートカットとして使っている。
マルウェアは最も脆弱なLNKに潜む
LNKファイルは、ファイルを開く代わりに便利な代替手段を提供するため、脅威当事者は、スクリプトベースの脅威を作成するためにLNKファイルを使用することができます。このような方法の1つに、PowerShellを使用する方法があります。
PowerShellは、Microsoftによって開発された堅牢なコマンドラインおよびシェルスクリプト言語です。PowerShellはバックグラウンドで目立たないように実行されるため、ハッカーにとっては悪意のあるコードを挿入する絶好の機会となります。多くのサイバー犯罪者は、LNKファイルでPowerShellスクリプトを実行することで、これを利用しています。
この種の攻撃シナリオは新しいものではない。LNKファイルを悪用した攻撃は2013年に流行し、現在でも活発な脅威となっています。最近のシナリオとしては、この手法を使ってCOVID-19関連の文書にマルウェアを挿入したり、PowerShellウイルスを偽装したZIPファイルをフィッシングメールに添付したりするものがあります。
サイバー犯罪者がLNKファイルを悪用する手口
脅威者は、LNKファイルのターゲットパスのPowerShellコマンドに悪意のあるスクリプトを忍び込ませることができます。
場合によっては、Windowsのプロパティでコードを見ることができる:
しかし、問題を発見するのが難しい場合もある:
パスのURLは無害に見える。しかし、コマンドプロンプト(cmd.exe)の後に空白の文字列があります。Target」フィールドには260文字の制限があるため、LNK分析ツールではコマンドの全文しか見ることができません。空白の後に悪意のあるコードがこっそりと挿入されています:
ユーザーがLNKファイルを開くとすぐにマルウェアがコンピュータに感染し、ほとんどの場合、ユーザーは何も気付かないまま、異常が発生する。
CDR™テクノロジーがLNKファイル攻撃をどの程度防げるか
Deep CDR™テクノロジー(コンテンツ無害化と再構築)は、ファイル内部に潜む潜在的な脅威から組織を保護します。当社の脅威防止技術は、ネットワークに流入する全ファイルを悪意あるものと見なし、疑わしいコンテンツをすべて除去した上で、各ファイルを分解・無害化・再構築します。
Deep CDR™テクノロジーは、LNKファイル内に存在するすべての有害なcmd.exeおよびpowershell.exeコマンドを除去します。LinkedInの求人オファーに潜むトロイの木馬の事例では、感染したLNKファイルがZIPファイル内に隠されていました。Deep CDR™テクノロジーは、複数階層のネストされたアーカイブファイルを処理し、感染したコンポーネントを検出し、有害なコンテンツを除去します。その結果、マルウェアは無効化され、安全に消費可能なファイル内で実行できなくなります。
さらに、OPSWAT では、マルウェアからの保護をさらに強化するために、複数の独自技術を統合することができる。その一例として、Multiscanning 、30以上のマルウェア対策エンジン(AI/ML、シグネチャ、ヒューリスティックなどを利用)で同時にスキャンを行い、100%に近い検出率を達成することができます。平均してウイルスの40%~80%しか検出できない単一のAVエンジンと比較してください。
Deep CDR™テクノロジーの詳細はこちら Multiscanningその他の技術について詳しく知るか、 OPSWAT 相談して、高度な回避型マルウェアによるゼロデイ攻撃やその他の脅威から保護する最適なセキュリティソリューションを発見してください。
