W ciągu ostatnich kilku miesięcy wzrosło wykorzystanie plików LNK w kampaniach malware. Format ten jest wykorzystywany przez wirusy od lat i choć dziś jest już blokowany przez większość internetowych narzędzi, w 2022 roku powrócił jako zagrożenie. Dlaczego?
Głównym powodem będzie zapewne to, że Windows właśnie staje się bezpieczniejszy. Chociaż trudno w to uwierzyć, od ponad dwóch dekad główne metody wykonywania złośliwego kodu pozostają w Windowsach te same. Są to makra Office, domyślnie wykonywane skrypty Visual Basic Script oraz silnik HTA.
Nowsze wersje Windows dodały do tego PowerShella i kiepskie ustawienia domyślne Kontroli Konta Użytkownika. Microsoft zdecydował się rozwiązać jeden z tych problemów: w najnowszych wersjach Office, makra będą domyślnie wyłączone. Przestępcy zaczęli więc szukać zastępstwa.
Czym jest LNK
Plik skrótu to przepis na uruchomienie programu poza jego lokalizacją docelową. Innymi słowy, zamiast przechodzić do katalogu z programem albo (o zgrozo!) kopiować go, możemy stworzyć plik, który przygotuje środowisko, wybierze odpowiedni katalog, przekaże parametry wiersza poleceń, uruchomi program i wyświetli właściwą ikonę. Skróty są zaimplementowane w Windows od wersji 95 i z biegiem czasu ukazały one szereg wad.
Po pierwsze, są binarne. Możliwa jest ich (skomplikowana) obsługa przez VBS, ale nie zmienia to faktu, że trudno się je czyta, a ich format sprzyja "chowaniu" kluczowych części w nietypowych miejscach pliku. Po drugie, są słabo obsługiwane przez systemowy Eksplorator Plików, który odpowiada za ich uruchamianie i wyświetlanie.
Format LNK pozwala zapisać parametry wiersza polecenia o długości do 4096 bajtów, ale okienko Właściwości wyświetla poprawnie tylko pierwsze 256. Gdy długość pola "Element docelowy" jest większa, z pola znikają parametry i wyświetlany jest jedynie plik wykonywalny. To za mało, ponieważ pozwala to ukryć złośliwy kod.
Office
Pliki LNK są w dodatku możliwe do osadzenia w dokumentach Office jako obiekt. Funkcja ta działa także przy wyłączonych makrach (to zupełnie inna technologia). Zatem serwer (i program) pocztowy mogą blokować wysyłanie plików LNK... ale celem obejścia wystarczy je wstawić do Worda. Wtedy już się da. I trochę trudno to zmienić.
Format dokumentów Office zezwala na osadzanie obiektów by design, tak ma być, usunięcie tej funkcji to złamanie przenośności formatu. A to przecież usidlenie klienta i przywiązanie go do formatu jest niemałym źródłem napędzającym sprzedaż pakietu Office.
Co poradzić na złośliwe LNK, jeżeli poczta, Office i Windows nie mogą ich "odsiać"? Wydaje się, że nie pozostaje nic poza ostrożnością. Ale to nie do końca jedyna dostępne rozwiązanie. Z pomocą mogą przyjść nam reguły redukcyjne Defendera. Jedna z nich ma na celu powstrzymanie aplikacji pakietu Office przed tworzeniem procesów potomnych. Polecenie
Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled
włączy ją, co pozwoli uniknąć choć części złośliwych skrótów. Ale obsługa plików LNK jest zawarta w powłoce (explorer.exe), a ten wcale nie musi być procesem potomnym względem Office'a. Pozostaje nam ostrożność.
Co robić?
W kwestii "samodzielnych" plików LNK, niezagnieżdżonych w dokumentach, dobrą praktyką może być ustawienie w Opcjach Folderów funkcji wyświetlania rozszerzeń nazw plików. Skróty zawsze je ukrywają. Ale zawsze mają też symbol strzałki w lewym dolnym rogu ikony. Jeżeli jakiś plik ma "niewinne" rozszerzenie oraz symbol strzałki, zapewne jest do rozszerzenie podwójne, a ikony lepiej nie klikać.
Obsługa LNK jest newralgicznym elementem Windowsa, więc środki zaradcze będą wprowadzane powoli. Ale coś będzie musiało się zmienić. Inaczej wiele mechanizmów zabezpieczeń będzie się po prostu marnować, a malware - wyważać otwarte drzwi przez format LNK.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl