Модификация ярлыков - это изменение файлов ярлыков Windows (LNK-файлов), которые по сути являются указателями на исполняемый файл. Эта техника предполагает изменение свойств ярлыка, например целевого пути, чтобы перенаправить пользователя на программу или сценарий, отличный от первоначального. Модификация может быть тонкой, часто сохраняя оригинальный значок и имя ярлыка, что затрудняет пользователям заметить изменение.
Использование злоумышленниками модификации ярлыков
Изменяя целевой путь ярлыка или полностью заменяя его, злоумышленники могут обманом заставить пользователей запустить вредоносное ПО под видом знакомой программы.
В APT-кампании Ferocious Kitten эта техника использовалась для достижения стойкости путем использования поведения файлов ярлыков Windows (.LNK). Злоумышленники развернули вредоносную полезную нагрузку под названием «update.exe», которая первоначально была сброшена в общедоступный каталог. Позже эта полезная нагрузка была переименована в «svehost.exe» для имитации легитимных системных файлов и скопирована в папку Windows Startup. Используя свойственное папке Startup поведение, которое автоматически выполняет файлы, помещенные в нее при входе в систему, злоумышленники гарантировали, что их полезная нагрузка будет запускаться каждый раз, когда жертва перезагружает систему.
Несмотря на то что в данной кампании создавался новый ярлык, а не модифицировался существующий, она подпадает под технику модификации ярлыков, поскольку манипулирует свойствами ярлыка, перенаправляя его выполнение на вредоносную программу. Злоумышленники также использовали такие тонкие методы, как обманчивые соглашения об именах, чтобы избежать обнаружения, сохраняя устойчивость и смешиваясь с легитимными процессами системы.