股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
Windows用(yòng)户注意!快捷方式被APT组织滥用(yòng),警惕零日漏洞ZDI-CAN-25373
发布时间 :2025年03月21日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
在当今数字化时代,网络安(ān)全威胁日益复杂且多(duō)样化,零日漏洞的出现更是给全球企业和组织带来了前所未有(yǒu)的挑战。近期,Trend Micro研究团队发现了一个名(míng)為(wèi)ZDI-CAN-25373的严重漏洞,该漏洞被多(duō)个國(guó)家级APT(高级持续性威胁)组织广泛利用(yòng),引发了全球性关注。
ZDI-CAN-25373是一个与Windows快捷方式(.lnk)文(wén)件相关的零日漏洞。攻击者通过精(jīng)心构造的快捷方式文(wén)件,能(néng)够在受害者的机器上执行隐藏的恶意命令。这些恶意命令被嵌入在.lnk文(wén)件的隐藏命令行参数中(zhōng),使得传统的检测手段难以发现其异常行為(wèi)。该漏洞的利用(yòng)不仅增加了数据盗窃和网络间谍活动的风险,还对全球多(duō)个行业的组织构成了严重的威胁。
APT组织的利用(yòng)
自2017年以来,已有(yǒu)近1000个恶意.lnk文(wén)件利用(yòng)了该漏洞。这些攻击行為(wèi)涉及来自朝鲜、伊朗、俄罗斯等11个國(guó)家级APT组织,这些APT组织在攻击链中(zhōng)體(tǐ)现了高度的复杂性,并且他(tā)们都具(jù)有(yǒu)在野滥用(yòng)零日漏洞的历史。此次攻击的主要动机是网络间谍活动和数据盗窃。
利用(yòng) ZDI-CAN-25373 的 APT 组的样本数量
(来源 trendmicro.com)
攻击行业分(fēn)布(来源 trendmicro.com)
技(jì )术细节
Windows快捷方式文(wén)件(.lnk)是一种二进制文(wén)件,用(yòng)于作(zuò)為(wèi)指向文(wén)件、文(wén)件夹或应用(yòng)程序的快捷方式。这种文(wén)件类型受到攻击者的青睐,因為(wèi)可(kě)以在.lnk文(wén)件的Target字段中(zhōng)嵌入命令行参数,从而在受害者的机器上执行代码。
ShellLinkHeader
每个.lnk文(wén)件都以ShellLinkHeader结构开头。其中(zhōng),HeaderSize和LinkCLSID是两个必填字段,它们的值在每个.lnk文(wén)件中(zhōng)都是相同的。这两个字段可(kě)以确定一个文(wén)件是否為(wèi).lnk文(wén)件。
LinkFlags
LinkFlags结构位于HeaderSize和LinkCLSID之后,它包含指定.lnk文(wén)件中(zhōng)还存在哪些其他(tā)结构的标志(zhì),其中(zhōng),HasArguments标志(zhì)尤為(wèi)重要。当此标志(zhì)被设置时,.lnk文(wén)件将包含一个COMMAND_LINE_ARGUMENTS结构。作(zuò)為(wèi) .lnk 二进制格式的一部分(fēn),可(kě)以将其他(tā)COMMAND_LINE_ARGUMENTS传递给 .lnk 文(wén)件的 Target。在恶意.lnk文(wén)件中(zhōng),这些可(kě)能(néng)是额外的命令行参数,用(yòng)于通过 cmd.exe、powershell.exe 或其他(tā) LOLbin 二进制文(wén)件下载和安(ān)装(zhuāng)恶意负载。其经常被攻击者滥用(yòng),他(tā)们将 .lnk 文(wén)件作(zuò)為(wèi)其攻击链的一部分(fēn),并存在于 ZDI-CAN-25373 的利用(yòng)中(zhōng)。
LinkTargetIDList
此结构包含.lnk文(wén)件的目标。当使用(yòng)此结构时,将在LinkFlags部分(fēn)中(zhōng)设置HasLinkTargetIDList标志(zhì)。
COMMAND_LINE_ARGUMENTS
在 LinksFlags 结构中(zhōng)设置 HasArguments 标志(zhì)时,将会出现COMMAND_LINE_ARGUMENTS结构。此结构存储命令行参数,这些参数将在激活快捷方式时传递给指定目标。在基于.lnk文(wén)件的攻击中(zhōng),这通常用(yòng)于代码执行。
ICON_LOCATION
攻击者还经常滥用(yòng)ICON_LOCATION结构来控制.lnk文(wén)件显示的图标。在利用(yòng).lnk文(wén)件的攻击活动中(zhōng),攻击者通常会更改图标,以诱导受害者执行快捷方式。由于Windows始终会隐藏.lnk扩展名(míng),攻击者通常会添加一个“伪装(zhuāng)”扩展名(míng)(如.pdf.lnk)并配上相应的图标,以进一步欺骗用(yòng)户。
应用(yòng)程序的快捷方式。这种文(wén)件类型受到攻击者的青睐,因為(wèi)可(kě)以在.lnk文(wén)件的Target字段中(zhōng)嵌入命令行参数,从而在受害者的机器上执行代码。
漏洞利用(yòng)细节
為(wèi)了利用(yòng)ZDI-CAN-25373,攻击者精(jīng)心构造了带有(yǒu)填充空白字符的.lnk文(wén)件。这些空白字符包括:
当
防护措施及亚信安(ān)全解决方案
面对如此严重的安(ān)全威胁,组织应立即采取行动。首先,应立即扫描并确保对ZDI-CAN-25373漏洞的安(ān)全缓解措施已经到位。其次,组织需要保持对可(kě)疑.lnk文(wén)件的高度警惕,避免点击不明来源的快捷方式文(wén)件。此外,建立健全的端点和网络安(ān)全防护措施。
亚信安(ān)全信桅高级威胁监测系统TDA是一款360度的高级威助检测产(chǎn)品,可(kě)掌握全网络的流量来侦测并响应高级威胁与未知威胁,為(wèi)用(yòng)户提供更全面的网络威胁侦测。其独特的侦测引擎加上定制化沙箱动态模拟分(fēn)析,能(néng)快速发掘井分(fēn)析恶意文(wén)档、恶意软件、恶意网页(yè)、违规外连以及传统防护天法侦测到的内网攻击和定向式攻击活动。TDA的DDI规则已经可(kě)以拦截该漏洞:
5351 - ZDI-CAN-25373 MICROSOFT WINDOWS ZERO DAY VULNERABILITY - HTTP(RESPONSE)
1012182?- Microsoft Windows Zero Day Vulnerability Over HTTP (ZDI-CAN-25373)?
1012183?- Microsoft Windows Zero Day Vulnerability Over SMB (ZDI-CAN-25373)
亚信安(ān)全病毒码版本19.967.60,云病毒码版本19.967.71,全球码版本19.967.00已经可(kě)以检测该漏洞利用(yòng)文(wén)件,并将其命名(míng)為(wèi)LNK_ARGULONG.SMLNK。
ZDI-CAN-25373漏洞的发现再次警示我们,APT组织和复杂的网络犯罪分(fēn)子正对全球数据的保密性、完整性和可(kě)用(yòng)性构成严重威胁。随着地缘政治紧张局势的不断升级,APT组织利用(yòng)零日漏洞的复杂性与频率可(kě)能(néng)会进一步提升。因此,企业和组织亟需采取积极的网络安(ān)全策略,借助先进的技(jì )术手段来守护其关键资产(chǎn)与业務(wù)流程。在当前充满挑战的网络安(ān)全环境下,唯有(yǒu)依靠持续的技(jì )术创新(xīn)与积极的防御策略,我们才能(néng)有(yǒu)效捍卫数字世界,抵御APT组织的侵害。
IOC
SHA1
ca1370a350c2139d3aefaa054bc35d7aea43b954
分(fēn)享到微信
X