Анализ вредоносных атак с использованием LNK и BAT-файлов

Два сценария доставки вредоносного ПО: файлы LNK и BAT

В современном ландшафте киберугроз злоумышленники активно используют разнообразные методы доставки вредоносного ПО, усложняя его обнаружение и анализ. В недавно проведённом исследовании были подробно изучены два распространённых сценария, основанных на файлах LNK и BAT, которые традиционно применяются в составе фишинговых кампаний. Анализ подчеркивает, насколько сложными и изощрёнными могут быть даже кажущиеся простыми атаки, и демонстрирует важность глубокого ручного анализа для противодействия таким угрозам.

Метод доставки через файлы LNK

Первый сценарий доставки опирается на файлы LNK, которые выступают в роли промежуточного звена для запуска основной вредоносной программы. Эти файлы часто распространяются через фишинговые письма с вложениями в виде ZIP-архивов, защищённых паролем. При этом пароль обычно указывается в самом тексте письма для обхода автоматических систем фильтрации.

Основные особенности данного метода:

• Файлы LNK используют интерпретаторы команд, такие как CMD или PowerShell, для запуска встроенных сценариев.
• Применяется кодирование, запутывание и шифрование для затруднения обнаружения и анализа.
• В примере вредоносного LNK-файла злоумышленники скрывают важную информацию с помощью шифрования, а аналитики используют PowerShell для расшифровки, заменяя Invoke-Expression на Echo для восстановления полезной нагрузки.
• Однако само вредоносное ПО в ходе исследования оказалось недоступным, что усложняет полное изучение угрозы.

Сценарий с использованием файлов BAT и скриптов на Python

Второй метод основан на файлах BAT, которые запускают вредоносную полезную нагрузку с помощью скомпилированных Python-скриптов. В данном случае кодировка — основной способ обфускации:

• Файл BAT запускает последние загруженные скрипты на Python — FV1.PY–FV6.PY и YAM1.PY–YAM6.PY.
• Эти скрипты расшифровывают шелл-код, выделяют для него память и выполняют его, следуя согласованному алгоритму.
• Динамический анализ выявил, что скрипты запускают несколько экземпляров процесса NOTEPAD.exe, каждый с уникальным идентификатором.
• Злоумышленники реализуют подмену родительского процесса, создавая впечатление, что Explorer.exe является источником запуска, — это существенно усложняет обнаружение вредоносной активности.

Выводы и значение исследования

Анализ этих двух сценариев демонстрирует, что даже сравнительно «простые» методы кибератак могут быть крайне эффективными, если применять многоступенчатое шифрование, кодирование и манипуляции с процессами системы. Особое внимание уделено необходимости тщательного и ручного анализа, который позволяет выявить скрытые тактики злоумышленников, обойти автоматизированные средства защиты и, в конечном итоге, разработать более надёжные методы отражения угроз.

Итогом исследования становится понимание того, что борьба с кибератаками требует постоянного обновления знаний и аналитических навыков, а также интеграции комплексных подходов к обеспечению безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.