LNK 图标走私
对手可能会通过将命令隐藏在看似无害的 Windows 快捷方式文件中来绕过内容过滤器,下载恶意有效载荷。Windows 快捷方式文件 (.LNK) 包含许多元数据字段,包括用于指定要在主机目录中显示的 LNK 文件图标文件路径的图标位置字段(也称为 IconEnvironmentDataBlock)。 对手可能会滥用这些 LNK 元数据来下载恶意有效载荷。例如,对手已被观察到使用 LNK 文件作为网络钓鱼有效载荷来投放恶意软件。一旦调用(例如,恶意文件),通过 LNK 图标位置字段中的外部 URL 引用的有效载荷可能会被下载。这些文件也可能通过 LNK 目标路径字段中的命令和脚本解释器/系统二进制代理执行参数调用。 LNK 图标走私也可能在妥协后使用,例如恶意脚本在受感染主机上执行 LNK 以下载其他恶意有效载荷。