微软Surface笔记本电脑与网络威胁

关键要点

在2017年5月2日的微软发布会上，我们看到了微软Surface笔记本电脑的身影。照片由Drew Angerer/Getty Images提供

思科Talos的研究人员在周四详细阐述了微软去年决定默认阻止宏后，威胁行为者如何转向利用Shell LinkLNK文件作为攻击载体。

在一篇博客文章中，思科Talos的研究人员解释了LNK文件是Microsoft Windows操作系统如何引用本地或远程磁盘位置中的文件对象的方式。它们可以指向实际的文件或文件夹，或是需要以特定参数执行的命令。

研究人员指出，威胁行为者利用这些特性，通过伪装成其目标感兴趣的无害文件的LNK文件来激活或操控其恶意软件。

思科Talos的威胁研究员古尔赫尔维内雷表示，威胁行为者通常被两个目标所驱动：要么是寻找经济利益，要么是国家级行为者寻求间谍信息。维内雷表示，成功感染受害者对这些恶意活动至关重要。

“因此，威胁行为者会迅速调整和尝试新技术，并放弃旧方法，以追求更高效的方式，”维内雷解释道。“这项研究的要点是，有时这些行为者忘记了掩盖他们的踪迹。快速的周转时间和不断变化的技术会导致恶意物品中留下残留指标，这可能被防御者利用来追踪和阻止此类威胁。”

Vulcan Cyber的高级技术工程师迈克帕金表示，我们已经看到威胁行为者迅速演变，以应对其目标防御措施的变化或攻击面变化。帕金表示，Office宏是他们常用的攻击方式，所以攻击者找到LNK文件作为替代也就不足为奇。

“这些文件链接到各种‘对象’，经常作为快捷方式使用，但可能包含大量额外信息，”帕金说。“通过精心设计这些LNK文件，威胁行为者可以让它们绕过一些现有的安全措施，执行下载和运行恶意代码等操作。攻击者迅速从宏转向LNK文件的改变表明我们面对的是能够非常创造性地寻找利用现有功能新方式的对手。”

CardinalOps的网络防御策略副总裁菲尔内雷补充道，通过恶意LNK文件进行初步访问是一种巧妙的技术，这种技术已经使用了多年， 包括2010年首次揭露的Stuxnet攻击。内雷表示，这是一种有效的技术，因为它利用了Windows的基本特征，即使用存储在LNK文件中的元数据自动启动可执行文件。

“在这些例子中，该可执行文件是一个PowerShell脚本，然后从远程对手控制的主机下载并执行恶意二进制文件，”内雷说。“为了防御这类对手的行动，组织应使用终端控制来限制对LNK文件的访问，并防止可疑的PowerShell代码执行，同时使用电子邮件安全工具扫描附件的恶意文件，以及网络监控以防止访问可疑主机。”

Deep Instinct的竞争情报分析师杰罗德派克表示，攻击者通过多种方法欺骗用户启动指向恶意软件的LNK文件，如Emotet和Trickbot等恶意家族。

“在最近的几个月中，威胁行为者使用网络钓鱼电子邮件和恶意网址来实现这一目的，”派克说。“由于LNK