Spiderlabs - blog

+

File LNK in Email malware distribuzione Recentemente ho notato più uso di file. lnk utilizzati nella distribuzione del malware via e-mail. Questi file sono file di Windows Shortcut, tipicamente utilizzati per i collegamenti sul vostro sistema, come ad esempio sul desktop. L'uso dei file. lnk nelle e-mail non è nuova, ma un campione di recente catturato la mia attenzione e ho preso uno sguardo più attento. L'e-mail originale, come sembrerebbe al destinatario, si presentava così, che pretendono di essere da un individuo a Automatic Data Processing, e che contiene quello che sembra essere un documento PDF e un archivio ZIP. Tuttavia, il nostro stwave Secure Email Gateway aveva una visione leggermente diversa del messaggio, che identifica il file "statement. pdf" come un file eseguibile, e mostrando un numero di file. lnk in archivio ZIP, così come un'altra copia del file eseguibile. Allora, cosa sta succedendo qui? Le mie domande iniziali erano il motivo per rinominare il file eseguibile con estensione. pdf in quanto non eseguirà per l'utente? Inoltre, perché tutti i file. lnk? Uno sguardo più da vicino i file lnk mostrano che essi sono identici. Le loro proprietà rivelano un indizio per quello che sta succedendo. Il cmd. exe targetns nella directory corrente ed esegue "statement. pdf" con un opzione / c, che significa semplicemente "Effettuare themand specificato dalla stringa e poi terminare". Quando viene cliccato uno dei file lnk, esso effectivelyns l'eseguibile "Statement. pdf", indipendentemente dal fatto che si ha una estensione. pdf. Perché dovrebbe essere così? Si scopre che questa è una caratteristica di cmd. exe, documentata da Microsoft qui. Cmd. exe utilizza la funzione API CreateProcess Kernel32 che esamina il contenuto del file per le intestazioni eseguibili, e se trovato, esegue il file indipendentemente dalla sua estensione. Quindi, supponendo che l'utente fa clic su "Statement. pdf" prima, e scopre che non succede nulla, l'utente può allora feelpelled per estrarre il contenuto del file zip e vedere una serie di "parti". Queste parti non mostrano l'estensione. lnk perché questi sono nascosti in Windows (si pensi dei vostri collegamenti sul desktop). Ma quando si fa clic, il malware viene eseguito e il computer dell'utente è ormai infetto. In questo caso, il malware è stato un downloader Upatre, rapporto VsTotal qui per coloro che sono interessati. C'è da chiedersi quanti utenti sarebbero effettivamente passare attraverso che molti passi per controllare una e-mail non-sollecitati! Ma questi ha un paio di cose andare per esso. L'e-mail sarebbe bypassare qualsiasi gateway di posta elettronica che cercano di eseguibili di blocco basate proprio sulla estensione del file, al contrario di esaminare il contenuto del file. E se l'email arriva all'utente, i file allegati sembrano essere un "innocuo" file PDF. I file. lnk forniscono un modo per richiamare cmd. exe tonnellata l'eseguibile rinominato. File di collegamento sono stati osservati anche da altri in questi attacchi e-mail mirati, ad esempio, vedi qui e qui. Chiaramente, sono qualcosa di bloccare nella vostra politica gateway di posta. La gente non dovrebbe avere troppo bisogno di e-mail file di collegamento in youranization, e se lo fanno, poi trovare un altro modo per amodate il trasferimento di file. Il stwave Secure Email Gateway blocca tutti i file. lnk per impostazione predefinita.