现如今,发动网络攻击并不一定需要攻击者掌握高深的黑客技术,因为几乎所有你所需要的黑客工具都可以在网上买到,而这一切都得益于恶意软件即服务(MaaS,Malware-as-a-Service)的蓬勃发展。
不过,大多数从网上买来的黑客工具都有一个共同的缺点——很容易被防病毒产品检测出来。想来也合情合理,毕竟被公开出售,也就意味着被很多人使用,用的多了自然也就被一些防病毒产品给列入黑名单了。
所谓“道高一尺魔高一丈”,为了克服这个缺点,一些恶意软件即服务提供商开始提供长期技术支持服务,以确保客户手里的恶意文件能够顺利绕过安全检测,其中一个很好的例子便是“mLNK Shortcut Builder”。
mLNK Shortcut Builder简介
根据网络安全公司Check Point的说法,他们首次看到mLNK Shortcut Builder的推广广告是在一个名为“NativeOne Products”的Discord(一款社交应用)频道上。
广告称,mLNK Shortcut Builder能够将有效载荷转换为LNK快捷方式,进而能够有效地绕过Windows Defender、Windows 10 Smart Screen和UAC等安全解决方案。
在Check Point捕获的一封垃圾电子邮件中,就包含了一个采用mLNK Shortcut Builder生成的恶意附件。附件被命名为“Doc001.png.lnk”,执行会从s-c[.]live下载HTA有效载荷。
分析表明,最终的有效载荷经过CypherIT(一种用于加密可执行文件的AutoIt打包程序)打包,这可能来源于mLNK Shortcut Builder的开发人员在广告中给出的建议(建议用户结合使用CypherIT,以达到最好的效果)。
除文件转化外,mLNK Shortcut Builder的其他功能还包括延迟有效载荷的执行,或同时打开诱饵文档,以便让受害者更加难以发现可疑行为。
mLNK Shortcut Builder的售价分为多个档次,其中最便宜的一档是50美元,使用期限是1个月。
据称,mLNK Shortcut Builder的开发人员截止到目前至少已经获得了11000美元的收入。
Check Point表示,mLNK Shortcut Builder的推广渠道除Discord频道外,还包括各种黑客论坛。
mLNK Shortcut Builder的工作原理
首次运行mLNK Shortcut Builder,我们会看到一个“服务条款”窗口。
接受这些条款后,我们将看到mLNK Shortcut Builder的主窗口。在这里,你可以输入有效载荷的路径、选择LNK的图标以及选择赋予有效载荷何种功能。
如你所见,可选的功能之一是“UAC Bypass”。
根据Windows版本的不同,mLNK Shortcut Builder会使用到两种不同的技术:
- Event Viewer技术
- Fodhelper技术
如果Windows操作系统版本早于Windows 10,则使用Event Viewer技术,其中有效载荷的路径将写入“HKCU\\Software\\Classes\\mscfile\\shell\\open\\command”注册表项的“Default”值。
当启动EventViewer时,有效载荷将绕过UAC以高特权运行。
如果Windows操作系统版本是Windows 10或更高版本,则使用Fodhelper技术,其中有效载荷的路径将写入“HKCU\\Software\\Classes\\ms-settings\\Shell\\Open\\command”注册表项的“Default”值。
当启动Fodhelper时,有效载荷将绕过UAC以高特权运行。
结语
有效载荷可以是任何一种恶意软件,mLNK Shortcut Builder的主要作用是对它们进行文件转换和伪装,以确保它们能够突破Windows操作系统的防御,可以说是Windows的克星、恶意软件的“最佳拍档”。
我们想要说的是,mLNK Shortcut Builder只是恶意软件即服务中的冰山一角。得益于恶意软件即服务的蓬勃发展,网络犯罪的门槛必将越来越低,是时候对你的员工进行一场必要的网络安全培训了。
閱讀更多 黑客視界 的文章
