Des chercheurs de Cisco Talos ont détaillé jeudi comment la décision de Microsoft l’année dernière de bloquer les macros a incité les acteurs de la menace à passer des macros malveillantes à l’exploitation des fichiers Shell Link (LNK).
Dans un article de blog, les chercheurs de Cisco Talos ont expliqué que les fichiers LNK sont la façon dont le système d’exploitation Microsoft Windows référence les objets de fichiers dans des emplacements de disque locaux ou distants. Ils peuvent soit pointer vers un fichier ou un dossier réel, soit vers une commande qui doit être exécutée avec des paramètres spécifiques.
Selon les chercheurs, les acteurs de la menace abusent de ces fonctionnalités pour activer ou instrumenter leurs logiciels malveillants en utilisant des fichiers LNK qui se présentent comme des fichiers bénins intéressant leurs cibles.
Guilherme Venere, chercheur sur les menaces chez Cisco Talos, a déclaré que les acteurs de la menace sont généralement motivés par deux objectifs : soit ils recherchent un gain financier, soit dans le cas des acteurs de l’État-nation, ils obtiennent des informations à des fins d’espionnage. Venere a déclaré que les infections réussies des victimes sont primordiales pour ces campagnes malveillantes.
“Par conséquent, les acteurs de la menace s’adapteront et expérimenteront rapidement de nouvelles techniques et abandonneront les anciennes méthodes au profit de quelque chose de nouveau ou de plus efficace”, a expliqué Venere. « La conclusion de cette recherche est que parfois ces acteurs oublient de brouiller les pistes. Un délai d’exécution rapide et des techniques en constante évolution conduisent à des indicateurs résiduels dans les artefacts malveillants qui peuvent être exploités par les défenseurs pour suivre et bloquer ces menaces.
Mike Parkin, ingénieur technique senior chez Vulcan Cyber, a déclaré que nous avons vu les acteurs de la menace évoluer rapidement en réponse aux changements dans les défenses de leur cible ou aux changements dans la surface d’attaque. Parkin a déclaré que les macros Office avaient été un vecteur favori, il n’était donc pas surprenant que les attaquants aient trouvé autre chose à utiliser sous la forme de fichiers LNK.
“Ces fichiers sont liés à divers” objets “et sont souvent utilisés comme raccourcis, mais peuvent contenir pas mal d’informations supplémentaires”, a déclaré Parkin. “En concevant soigneusement ces fichiers LNK, les acteurs de la menace peuvent les amener à contourner certaines des protections en place et leur faire exécuter le téléchargement et l’exécution de code malveillant, entre autres choses. Le changement rapide d’approche des attaquants des macros aux fichiers LNK indique que nous avons affaire à des adversaires qui peuvent être assez créatifs pour trouver de nouvelles façons d’abuser des fonctionnalités existantes.”
Phil Neray, vice-président de la stratégie de cyberdéfense chez CardinalOps, a ajouté que l’accès initial via des fichiers LNK malveillants est une technique intelligente qui est utilisée depuis des années, y compris dans les attaques Stuxnet qui ont été découvertes pour la première fois en 2010. Neray a déclaré que c’est une technique efficace car elle exploite une fonctionnalité fondamentale de Windows, qui lance automatiquement des exécutables à l’aide des métadonnées stockées dans le fichier LNK.
“Dans ces exemples, l’exécutable est un script PowerShell qui télécharge et exécute ensuite un binaire malveillant à partir d’un hôte distant contrôlé par l’adversaire”, a déclaré Neray. « Pour se protéger contre ce type de livre de jeu adverse, les organisations doivent utiliser des contrôles de point de terminaison pour restreindre l’accès aux fichiers LNK et empêcher l’exécution suspecte de code PowerShell, ainsi que la sécurité des e-mails pour analyser les pièces jointes à la recherche de fichiers malveillants et la surveillance du réseau pour empêcher l’accès aux hôtes suspects. ”
Jerrod Piker, analyste en veille concurrentielle chez Deep Instinct, a déclaré que les attaquants utilisent de nombreuses méthodes pour inciter les utilisateurs à lancer des fichiers LNK pointant vers des logiciels malveillants, tels qu’Emotet et Trickbot, parmi d’autres familles malveillantes.
“Les e-mails de phishing et les URL malveillants ont été utilisés ces derniers mois par les acteurs de la menace à cette fin”, a déclaré Piker. “Étant donné que les fichiers LNK peuvent inclure des paramètres de commande dans leurs propriétés de lancement ou pointer vers des applications de script telles que PowerShell, un utilisateur peut même ne pas être conscient de ce qui se passe lorsqu’il interagit avec un fichier LNK.”
