現如今,發動網絡攻擊並不一定需要攻擊者掌握高深的黑客技術,因為幾乎所有你所需要的黑客工具都可以在網上買到,而這一切都得益於惡意軟件即服務(MaaS,Malware-as-a-Service)的蓬勃發展。
不過,大多數從網上買來的黑客工具都有一個共同的缺點——很容易被防病毒產品檢測出來。想來也合情合理,畢竟被公開出售,也就意味著被很多人使用,用的多了自然也就被一些防病毒產品給列入黑名單了。
所謂“道高一尺魔高一丈”,為了克服這個缺點,一些惡意軟件即服務提供商開始提供長期技術支持服務,以確保客戶手裡的惡意文件能夠順利繞過安全檢測,其中一個很好的例子便是“mLNK Shortcut Builder”。
mLNK Shortcut Builder簡介
根據網絡安全公司Check Point的說法,他們首次看到mLNK Shortcut Builder的推廣廣告是在一個名為“NativeOne Products”的Discord(一款社交應用)頻道上。
廣告稱,mLNK Shortcut Builder能夠將有效載荷轉換為LNK快捷方式,進而能夠有效地繞過Windows Defender、Windows 10 Smart Screen和UAC等安全解決方案。
在Check Point捕獲的一封垃圾電子郵件中,就包含了一個採用mLNK Shortcut Builder生成的惡意附件。附件被命名為“Doc001.png.lnk”,執行會從s-c[.]live下載HTA有效載荷。
分析表明,最終的有效載荷經過CypherIT(一種用於加密可執行文件的AutoIt打包程序)打包,這可能來源於mLNK Shortcut Builder的開發人員在廣告中給出的建議(建議用戶結合使用CypherIT,以達到最好的效果)。
除文件轉化外,mLNK Shortcut Builder的其他功能還包括延遲有效載荷的執行,或同時打開誘餌文檔,以便讓受害者更加難以發現可疑行為。
mLNK Shortcut Builder的售價分為多個檔次,其中最便宜的一檔是50美元,使用期限是1個月。
據稱,mLNK Shortcut Builder的開發人員截止到目前至少已經獲得了11000美元的收入。
Check Point表示,mLNK Shortcut Builder的推廣渠道除Discord頻道外,還包括各種黑客論壇。
mLNK Shortcut Builder的工作原理
首次運行mLNK Shortcut Builder,我們會看到一個“服務條款”窗口。
接受這些條款後,我們將看到mLNK Shortcut Builder的主窗口。在這裡,你可以輸入有效載荷的路徑、選擇LNK的圖標以及選擇賦予有效載荷何種功能。
如你所見,可選的功能之一是“UAC Bypass”。
根據Windows版本的不同,mLNK Shortcut Builder會使用到兩種不同的技術:
- Event Viewer技術
- Fodhelper技術
如果Windows操作系統版本早於Windows 10,則使用Event Viewer技術,其中有效載荷的路徑將寫入“HKCU\\Software\\Classes\\mscfile\\shell\\open\\command”註冊表項的“Default”值。
當啟動EventViewer時,有效載荷將繞過UAC以高特權運行。
如果Windows操作系統版本是Windows 10或更高版本,則使用Fodhelper技術,其中有效載荷的路徑將寫入“HKCU\\Software\\Classes\\ms-settings\\Shell\\Open\\command”註冊表項的“Default”值。
當啟動Fodhelper時,有效載荷將繞過UAC以高特權運行。
結語
有效載荷可以是任何一種惡意軟件,mLNK Shortcut Builder的主要作用是對它們進行文件轉換和偽裝,以確保它們能夠突破Windows操作系統的防禦,可以說是Windows的剋星、惡意軟件的“最佳拍檔”。
我們想要說的是,mLNK Shortcut Builder只是惡意軟件即服務中的冰山一角。得益於惡意軟件即服務的蓬勃發展,網絡犯罪的門檻必將越來越低,是時候對你的員工進行一場必要的網絡安全培訓了。
閱讀更多 黑客視界 的文章
