ショートカットファイル(LNKファイル)に含まれるマルウェア

LNK ファイルに潜むマルウェアと組織の対策

サイバー犯罪者は、セキュリティ防御を攻撃するための新たな技術を常に探しています。マルウェアは、目立たないものであればあるほど、検知・削除が難しくなります。脅威アクターは、この手口を利用して、検知が困難なマルウェアをショートカットファイル( LNK ファイル)に潜ませ、信頼できるアプリケーションを危険な脅威にします。

1ヶ月程前に、LinkedIn 上の専門家を標的に、求人情報に隠された「more_eggs」と呼ばれる巧妙なバックドア型トロイの木馬を使った新しいスピアフィッシングキャンペーンが開始されました。

被害者となった LinkedIn の対象者は、LinkedIn 上のプロフィールの肩書が記載された、悪意のある ZIP アーカイブファイルを受け取りました。被害者が偽の求人情報を開くと、無意識のうちにファイルレスバックドア「more_eggs」のインストールがひそかに開始されました。端末にインストールされると、巧妙なバックドアは、より多くの悪意のあるプラグインを入手し、攻撃者が被害者の端末にアクセスできるようにします。

トロイの木馬がコンピュータシステムに仕込まれると、脅威アクターはシステムに侵入し、ランサムウェアなどの他の種類のマルウェアに感染させたり、データの盗難やデータを流出させることができます。このマルウェアの背後にある脅威グループ Golden Eggs は、攻撃を企てるサイバー犯罪者が利用できるように MaaS(Malware-as-a-Service) として販売しました。

LNK ファイルとは?

LNK は、Windows のローカルファイルへのショートカットのファイル拡張子です。 LNK ファイルのショートカットを使用すると、ユーザーがプログラムのフルパスを操作することなく、実行ファイル(.exe)にすばやくアクセスすることができます。

シェルリンク(Shell Link (.LNK) Binary File Format)ファイルには、ターゲットアプリケーションのオリジナルパス等、実行可能ファイルに関するメタデータが含まれています。

Windows は、このデータを、アプリケーションの起動、シナリオのリンク、アプリケーションのターゲットファイルへの参照の保存等のサポートに使用します。

私たちは、LNK ファイルをデスクトップ、コントロールパネル、タスクメニュー、Windows エクスプローラーのショートカットとして使っています。

マルウェアは脆弱な LNK に潜むことができます

LNK ファイルは、ファイルを開くための便利な代替機能を提供するため、脅威アクターはこれを利用して、スクリプトベースの脅威を作成することができます。その1つが、PowerShell を利用する方法です。

PowerShell は、Microsoft 社が開発した堅牢なコマンドラインおよびシェルスクリプト言語です。PowerShell は、目立つことなくバックグラウンドで実行されるため、攻撃者にとっては、悪意のあるコードを挿入する絶好の機会です。多くのサイバー犯罪者は、それを利用して LNK ファイルで PowerShell スクリプトを実行しています。

このタイプの攻撃シナリオは新しいものではありません。LNK ファイルのエクスプロイトは 2013 年に流行し、現在でも活発な脅威として使われています。最近のシナリオには、この方法を用いて COVID-19 関連の文書にマルウェアを挿入したり、フィッシングメールに PowerShell ウイルスを偽装した ZIP ファイルを添付したりするものがあります。

Shortcut LNK Files May Contain Malware - OPSWAT

サイバー犯罪者が LNK ファイルを悪用する方法

脅威アクターは、LNK ファイルのターゲットパスの PowerShell コマンドに、悪意のあるスクリプトを忍び込ませる可能性があります。

Windows のプロパティでコードを確認できる場合もあります。

How Cybercriminals Use LNK Files for Malicious Purposes - Windows Properties

ただし、問題を特定するのが難しい場合があります。

How Cybercriminals Use LNK Files for Malicious Purposes - Windows Properties

一見、URL パスは無害に見えますが、コマンドプロンプト(cmd.exe)の後に空白の文字列があります。“Target” フィールドの文字数制限は 260 であるため、完全なコマンドの表示には LNK の解析ツールが必要です。空白の後に悪意のあるコードが密かに挿入されています。

LNK Malware Analysis

ユーザーが LNK ファイルを開くとすぐに、マルウェアはコンピュータに感染します。ほとんどの場合、ユーザーは異常に気づきません。

OPSWAT Deep CDR が LNK ファイル攻撃を防ぐ方法

OPSWAT Deep CDR(コンテンツの非武装化と再構築)は、ファイル内に隠された潜在的な脅威から組織を保護します。OPSWAT の脅威防止テクノロジーは、組織ネットワークに入るすべてのファイルに悪意のあると仮定し、ファイルを分解、無害化(サニタイズ)し、疑わしいコンテンツをすべて削除して再構築します。

Deep CDR は、LNK ファイルに存在する有害な cmd.exe および powershell.exe コマンドをすべて削除します。上記の LinkedIn の求人情報に含まれるトロイの木馬の例では、感染した LNK ファイルは ZIP ファイル内に隠されていました。Deep CDR は、複数レベルにネストされたアーカイブファイルを処理し、感染したコンポーネントを検出し、有害なコンテンツを削除します。その結果、マルウェアは不活性化されるため実行されることなく、ファイルを安全に利用することができます。

さらに、ユーザーは、複数の OPSWAT の技術を統合することで、マルウェアからの保護を強化することができます。その一例がマルチスキャンです。ユーザーは 30 種類以上のマルウェア対策エンジン(AI/機械学習、シグネチャ、ヒューリスティックなどを活用)で同時にファイルをスキャンし、100% 近い検知率を達成することが可能です(当社調査)。単一の AV エンジンの平均の検知率 40% ~ 80% と比較してみてください。

OPSWAT Deep CDR, マルチスキャン、その他のテクノロジー、また、ゼロデイ攻撃や高度な回避型マルウェア等の脅威から組織を保護するための最適なセキュリティソリューションについて、OPSWAT にお気軽にご相談ください。

Sign up for Blog updates
Get information and insight from the leaders in advanced threat prevention.