Trend: Angreifer nutzen häufiger LNK-Dateien zum Schadsoftware-Download

Originalbeitrag von Benson Sy, Threats Analyst

PowerShell ist eine vielseitige Befehlszeilen- und Shell-Skripting-Sprache von Microsoft, die mit einer Vielfalt von Technologien zusammenarbeiten kann. Sie läuft unauffällig im Hintergrund, und darüber lassen sich Systeminformationen ohne ein Executable sammeln. Natürlich machen all diese Eigenschaften PowerShell auch zu einem attraktiven Tool für Bedrohungsakteure. Es gab bereits ein paar Vorfälle, in denen Cyberkriminelle die Skripting-Sprache missbrauchten: im März 2016 mit der PowerWare Ransomware und in einer neuen Fareit-Malware-Variante im April 2016. Sicherheitsadministratoren lernten zwar immer besser, PowerShell Skripts daran zu hindern Schaden anzurichten, doch auch die Cyberkriminellen sind nicht untätig und setzen auf Alternativen für die Ausführung der Skripts — Windows LNK (LNK)-Extensions.

LNK-Dateien gelten bei Nutzern üblicherweise als Shortcuts und werden an Orten wie Desktops und Start Menüs verwendet. LNK wurde bereits 2013 als Angriffsvektor eingesetzt. Anfang 2017 beobachteten die Sicherheitsforscher, wie Trojaner-Downloader ein .zip in einem .zip verwendeten, um einen LNK-Dateianhang zu verbergen, der zur Locky Ransomware führte.

Jetzt ist ein Anstieg bei Angriffen zu beobachten, die bösartige LNK-Dateien einsetzen, die legitime Apps wie PowerShell nutzen, um Schadsoftware oder andere bösartige Dateien herunterzuladen. Dieser Trend lässt sich anhand einer einzelnen LNK-Malware (LNK_DLOADR.*) illustrieren, deren Erkennungszahlen seit Januar 2017 steil nach oben gehen.

Bild 1. Im Laufe von vier Monaten entdeckte LNK_DLOADR

Jüngste LNK-PowerShell- und ChChes-Angriffe

Im Oktober 2016 beobachtete Trend Micro Angreifer, die eine Kombination aus LNK-, PowerShell- und der BKDR_ChChes-Schadsoftware in gezielten Angriffen gegen japanische Regierungsbehörden und gegen Bildungseinheiten nutzten. Der Angriff setzte eine gefälschte .jpg-Extension ein, um die bösartige PowerShell-Datei zu tarnen.

Bild 2. Angriff auf japanische Ziele im Oktober 2016

Im Januar 2017 entdeckten die Forscher die Gruppe APT10 (auch MenuPass, POTASSIUM, Stone Panda, Red Apollo und CVNX genannt), die ähnliche Angriffe in einer weit gestreuten Spear Phishing-Kampagne einsetzte. In dieser Version führt die LNK-Datei CMD.exe aus, die dann eine gefälschte .jpg-Datei herunterlädt, in der sich ein bösartiges PowerShell Skript versteckt.

Die Gruppe entwickelte ihre Cyberspionage-Aktivitäten weiter, und im April nutzte sie eine ähnliche Strategie, um BKDR_ChChes herunterzuladen, eine sehr beliebte Malware in gezielten Angriffen.

Neue LNK PowerShell-Attacken

Die Sicherheitsforscher von Trend Mico entdeckten eine Kampagne, die immer noch läuft, die eine neue, komplizierte LNK-Strategie verfolgt. Die Angreifer scheinen mehrere Schichten eingebetteter Befehlszeilen-Tools zu nutzen. Sie senden eine Phishing-Mail mit Ködern, die die Opfer dazu bringen, mit einem Doppelklick Inhalte zu bekommen, typischerweise eine docx- oder rtf-Datei, in die ein bösartiges LNK eingebettet ist. Anstatt direkt PowerShell wird die LNK-Datei MSHTA.exe ausgeführt (eine Datei zum Öffnen von HTML-Applikationen). Die wiederum führt einen Javascript- oder VBScript-Code aus, der das PowerShell Skript herunterlädt und ausführt. Die PowerShell dann führt eine Reverse Shell aus (wie Metasploit oder Cobalt Strike), um die Kompromittierung zu vollenden.

Bild 3. Komplexer LNK-Angriff mit MSHTA.exe-Dateien

Im April entdeckten die Forscher eine andere Spear Phishing-Kampagne, die auch eine Kombination aus LNK und PowerShell verwendete. Leider ist der C&C-Server, der die Haupt-Payload enthielt, nicht mehr zugänglich. In diesem Fall scheint die Strategie weniger Schichten zu umfassen. Die Forscher gehen davon aus, dass dieser Angriff politisch motiviert ist. Einzelheiten liefert der Originalbeitrag.

Versteckte LNK-Befehle

In vielen Fällen können die bösartigen LNK-Dateien wertvolle Informationen über die Entwicklungsumgebung der Angreifer preisgeben. Doch gibt es auch Fälle, in denen das Argument der Befehlszeile so lang ist, dass es nicht ganz sichtbar ist.

Bild 4. Nur die Zielanwendung ist sichtbar

Die technischen Details liefert der Originalbeitrag.

Empfehlungen und Best Practices

Zwar entwickeln die Akteure ihre Bedrohungen immer weiter, doch gibt es Möglichkeiten, um sich zu schützen:

  • Upgrade der PowerShell auf Version 5 als Teil des Windows Management Framework oder von Windows 10. Verwenden von Group Policy, um Logging zu aktivieren, erleichtert es, nach Einbrüchen zu suchen.
  • Endnutzer und Unternehmen sollten vorsichtig sein, wenn es um Executables geht, die per Mail kommen. Die meisten Dateien, die auf *.EXE enden, werden von Mail Servern automatisch zurückgewiesen, doch wenn Sicherheit ein Problem darstellt, sollten Administratoren auch *.LNK auf die Liste setzen.
  • Es ist nicht ratsam, eine LNK-Datei, die per Mail oder von außerhalb der eigenen Maschine kommt, zu öffnen.

Feststellen, ob es eine LNK-Datei ist:

  1. Wenn in einem Archiv (z.B. WinRAR, WinZip) die LNK-Extension klar sichtbar sind und der „Type” auch („Shortcut”),
  2. Für jedes Windows-Verzeichnis muss die Registry modifiziert werden, wenn die LNK-Datei angezeigt werden soll. Ein kleiner, nach oben rechts gerichteter Overlay-Pfeil ist einer der Identifier einer LNK-Datei. Eine andere Möglichkeit besteht darin, das Windows-Verzeichnis auf „Detailansicht“ zu setzen und dann den „Typus” zu prüfen.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Trend Micro™ Deep Discovery™ liefert Erkennung, tiefgehende Analyse und proaktive Reaktionsmöglichkeiten in Echtzeit auf heutige getarnte Schadsoftware- und gezielte Angriffe. Die Lösung bietet eine umfassende Verteidigung, die auf den Schutz von Organisationen vor gezielten Angriffen und fortgeschrittenen Bedrohungen zugeschnitten ist. Sie nutzt spezialisierte Engines, anpassbares Sandboxing und bietet eine nahtlose Korrelation über den gesamten Angriffszyklus hinweg, wobei Bedrohungen erkannt werden, auch ohne Engine- oder Pattern-Update.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*