为什么你的LNK快捷方式无法突破杀毒软件,我将从原理上介绍这一原因。
一、lnk恶意软件的兴起
2022年,微软开始对Office产品推出更新,默认阻止 VBA 宏运行。传统的VBA宏利用已经被封死,由于宏被限制,攻击者转向了LNK,由于其天然优势,包括支持复杂命令,支持伪装,使其成为新的突破口。
二、杀毒软件的是如何检测lnk的?
还是那句话,想要绕过,先要了解杀毒软件的检测机制,对于lnk快捷方式这种文件的检测机制是什么?
静态检测规则:
检测LNK 文件扩展名,比如*.pdf.lnk
检测LNK 文件元数据,比如指向 cmd.exe、powershell.exe
动态检测规则:
检测 LNK 文件是否触发可疑进程链,比如explorer.exe → cmd.exe → powershell.exe(常见于恶意 LNK)
那么截至目前,大多数检测用什么?YARA 规则。这是一个简单的YARA规则用于检测lnk中是否含有powershell相关命令,一旦检测到相关字符串则触发告警。
rule PS_in_LNK
{
meta:
id = "5PjnTrwMNGYdZahLd6yrPa"
fingerprint = "d89b0413d59b57e5177261530ed1fb60f0f6078951a928caf11b2db1c2ec5109"
version = "1.0"
creation_date = "2020-01-01"
first_imported = "2021-12-30"
last_modified = "2021-12-30"
status = "RELEASED"
sharing = "TLP:WHITE"
source = "BARTBLAZE"
author = "@bartblaze"
description = "Identifies PowerShell artefacts in shortcut (LNK) files."
category = "INFO"
strings:
$ = ".ps1" ascii wide nocase
$ = "powershell" ascii wide nocase
$ = "invoke" ascii wide nocase
$ = "[Convert]" ascii wide nocase
$ = "FromBase" ascii wide nocase
$ = "-exec" ascii wide nocase
$ = "-nop" ascii wide nocase
$ = "-noni" ascii wide nocase
$ = "-w hidden" ascii wide nocase
$ = "-enc" ascii wide nocase
$ = "-decode" ascii wide nocase
$ = "bypass" ascii wide nocase
condition:
isLNK and any of them
}三、使用YRAR检测LNK
接下来,我将使用我们的[高级lnk快捷方式武器化]这个项目,使用YARA规则检测它,包含15个YARA子规则。
显然,我们无法还原,我们需要编写一个脚本进一步处理:
结果显而易见,我们的lnk中含有PowerShell,zip,NOP,bypass等字符串,导致被YRAR检测到。
还有一些其他的YARA规则,如CDN_in_LNK、Download_in_LNK等等,代表了对常规的cmd,powershell等命令的监控。由于不同杀毒软件收录的规则不同,因此也导致了有些杀软产生遗漏,也就是绕过。
四、绕过
由于传统的cmd,powershell均被yara标记,我们不得不寻找不在YRRA规则中的命令替代。
[高级lnk快捷方式新技术]产生,它完全不在上述YRRA检测规则中,该方案公开资料极少,由于规则更新也存在周期,目前仍处于绕过。该方案可轻易绕过卡巴斯基small ofiice,360安全卫士等绝大多数杀毒软件,是红队人员高级武器。
回复20250520获取规则及处理脚本。
五、免责声明
本文涉及方案仅限合法授权的安全研究、渗透测试用途,使用者须确保符合《网络安全法》及相关法规。具体条款如下:
- 仅可用于已获得书面授权的目标系统测试;
- 遵守法律法规,不得用于侵犯他人隐私或数据窃取;
本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。
推荐阅读
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
