Опасные ярлыки: как LNK-файлы стали главным оружием киберпреступников в 2024 году

information security

Экспоненциальный рост атак через файлы-ярлыки Windows (LNK) превратил эту технологию в одну из самых опасных угроз информационной безопасности. Согласно последним исследованиям Palo Alto Networks, количество вредоносных LNK-образцов выросло втрое: с 21 098 в 2023 году до ошеломляющих 68 392 в первые месяцы 2024 года. Этот тревожный тренд свидетельствует о фундаментальном сдвиге в тактике злоумышленников, эксплуатирующих доверенные элементы операционной системы для скрытой доставки вредоносных программ.

Описание

LNK-файлы, знакомые каждому пользователю Windows по иконкам со стрелкой в левом нижнем углу, изначально создавались для удобства быстрого доступа к приложениям и документам. Однако их гибкая структура стала идеальным инструментом для киберпреступников. Анализ 30 000 образцов выявил четыре ключевых метода злоупотребления: эксплуатация уязвимостей в обработчиках ярлыков, запуск вредоносных файлов с диска, выполнение скриптов через аргументы командной строки и запуск скрытого кода через "наложенное содержимое". Каждый подход представляет уникальные риски, требующие специфических мер противодействия.

Особую опасность представляют LNK-файлы с кастомизированными иконками, маскирующимися под безобидные документы. Классический пример - файл "PASSWORD_HERE.txt.lnk", который в проводнике отображается как текстовый документ с иконкой блокнота, но при запуске выполняет скрипт загрузки трояна. Эксперты настоятельно рекомендуют проверять свойства подозрительных ярлыков через правый клик и пункт "Свойства", обращая особое внимание на поле "Объект". Нетипично длинные пути, ссылки на скриптовые интерпретаторы (PowerShell, cmd) или незнакомые каталоги - явные признаки угрозы.

Технический анализ структуры LNK-файлов выявил три критически важных поля для детектирования угроз: LINKTARGET_IDLIST (присутствует в 99.53% вредоносных образцов), RELATIVE_PATH (75.49%) и COMMAND_LINE_ARGUMENTS (35.52%). Именно через последнее поле злоумышленники внедряют зашифрованные скрипты, используя сложную обфускацию. Например, Base64-кодирование стало стандартом для сокрытия PowerShell-команд, которые скачивают и запускают вредоносные DLL. В 18% случаев атакующие используют конвейерные команды типа findstr для извлечения и выполнения вредоносного кода, скрытого после основной структуры файла.

Среди системных инструментов, используемых для запуска вредоносных сценариев, лидируют PowerShell (59.4%) и cmd.exe (25.7%). Однако настораживает активное применение менее очевидных утилит: conhost.exe для скрытого выполнения кода, forfiles.exe для массового запуска скриптов и mshta.exe для обработки опасных HTA-апплетов. Тренд 2024 года - комбинированные атаки, где LNK-файл служит лишь первым звеном цепочки, загружая многоступенчатые полезные нагрузки из командных центров.

Пользователям необходимо соблюдать предельную осторожность при работе с ярлыками из непроверенных источников - особенно вложенными в фишинговые письма или скачанными с сомнительных сайтов. Регулярное обновление Windows критически важно для защиты от LNK-эксплойтов, подобных печально известной уязвимости CVE-2010-2568. Корпоративным клиентам Palo Alto Networks рекомендует комплексную защиту через Next-Generation Firewall с сервисом Advanced WildFire, Prisma Access для облачной безопасности и платформу Cortex XDR, детектирующую аномалии выполнения процессов в режиме реального времени.

Проблема усугубляется тем, что Windows по умолчанию скрывает расширение .lnk в графическом интерфейсе, делая подделку документов элементарной. Злоумышленники активно эксплуатируют эту особенность, создавая ярлыки с именами "Договор.pdf" или "Выплата_премии.xlsx". После инцидента с LNK-атаками специалисты Unit 42 настоятельно советуют включить отображение расширений файлов через параметры проводника - это простое действие значительно повышает шансы визуального обнаружения подделок.

Киберпреступники постоянно совершенствуют техники обхода защиты. Последнее ноу-хау - использование "наложенного содержимого", когда после корректной структуры LNK-файла добавляется вредоносный скрипт или бинарный код. При этом сам ярлык может указывать на легитимную программу, а команда запуска извлекает и выполняет скрытый фрагмент через системные утилиты. В 48.3% таких случаев используется findstr, в 28.1% - mshta, а в 18% - сложные PowerShell-конструкции. Эксперты отмечают, что подобные гибридные атаки особенно сложны для детектирования сигнатурными методами.

Индикаторы компрометации

SHA256

  • 08233322eef803317e761c7d380d41fcd1e887d46f99aae5f71a7a590f472205
  • 28fa4a74bbef437749573695aeb13ec09139c2c7ee4980cd7128eb3ea17c7fa8
  • 76d2dd21ffaddac1d1903ad1a2b52495e57e73aa16aa2dc6fe9f94c55795a45b
  • 86f504dea07fd952253904c468d83d9014a290e1ff5f2d103059638e07d14b09
  • 9d4683a65be134afe71f49dbd798a0a4583fe90cf4b440d81eebcbbfc05ca1cd
  • a89b344ac85bd27e36388ca3a5437d8cda03c8eb171570f0d437a63b803b0b20
  • a90c87c90e046e68550f9a21eae3cad25f461e9e9f16a8991e2c7a70a3a59156
  • b2fd04602223117194181c97ca8692a09f6f5cfdbc07c87560aaab821cd29536
  • f585db05687ea29d089442cc7cfa7ff84db9587af056d9b78c2f7a030ff7cd3d
  • fb792bb72d24cc2284652eb26797afd4ded15d175896ca51657c844433aba8a9
Комментарии: 0