LNK — это гораздо больше, чем просто ярлык к файлу
emeritus 33 минуты назад LNK — это гораздо больше, чем просто ярлык к файлу Средний 19 мин 1.1K Блог компании Angara Security Информационная безопасность * Туториал Я просто дельфин, верь мнеСодержаниеВведениеФорматКак...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. emeritus 33 минуты назад LNK — это гораздо больше, чем просто ярлык к файлу Средний 19 мин 1. 1K Блог компании Angara Security Информационная безопасность * Туториал Я просто дельфин, верь мнеСодержаниеВведениеФорматКак система находит файлУязвимостиКак используют злоумышленникиКак исследоватьУтилитыСсылкиВыводыВведениеLNK-файлы или попросту «ярлыки» представляют собой специальный файлы Windows, предназначенные для обеспечения быстрого доступа к другим файлам и объектам системы. Как и обычный файл, они могут быть запущены простым двойным кликом.
Однако за привычной функциональностью скрывается один из наиболее востребованных инструментов в арсенале современных злоумышленников. В последние годы интенсивность использования LNK-файлов в массовых вредоносных рассылках и таргетированных APT-атаках возросла многократно, что обусловлено тем, как их обрабатывает операционная система. Основная опасность LNK-файлов заключается в возможности скрытого исполнения кода.
Технические детали
Маскируя ярлык под легитимный документ или папку, атакующие внедряют в аргументы командной строки вызовы системных интерпретаторов, таких как PowerShell или cmd. Использование обфусцированных скриптов позволяет загружать вредоносную полезную нагрузку из сети или локальных ресурсов, эффективно обходя традиционные антивирусные решения. Поскольку запуск происходит через доверенные бинарные файлы Windows, сама активность часто воспринимается защитными механизмами как легитимная.
Более того, эксплуатация специфических уязвимостей Windows позволяет реализовать сценарии Zero-Click атак, при которых вредоносный код активируется автоматически в момент простого открытия папки или отображения иконки ярлыка. Важно учитывать, что значительная часть данных, хранящихся в бинарной структуре LNK, остается остаётся недоступной для анализа через стандартные графические средства Windows. Это делает детальное исследование внутренних метаданных ярлыка критически важным этапом в процессе расследования компьютерных инцидентов.
Пример свойств Firefox LNKФормат и количество хранимой информации отличается отличаются в зависимости от того, на что сделан LNK-файл и от версии операционной системы. LNK могут указывать не только на файлы, но и на другие компьютеры и устройства. Пример ярлыка для принтераВ большинстве случаев из LNK можно извлечь:полный путь к файлу;временные метки создания, модификации и последнего доступа к файлу;информация о логическом томе, на котором расположен целевой файл;сетевое имя компьютера, на котором расположен файл;идентификатор пользователя, который создал файл ярлыка;метаданные файла (тип, размер, название).
Рассмотрим, чем могут быть полезны LNK-файлы при расследовании компьютерных атак, как их исследовать и на что обратить внимание. В качестве подробной справочной информации, какие структуры и для чего есть в LNK, подготовил подробное детальное описание формата. Но, чтобы сильное не перегружать, спрятал его под спойлер.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
