Crédit : Dreamstime
Pendant de nombreuses années, les attaquants ont en fait utilisé des documents Workplace avec des macros destructrices comme l’une des principales approches pour infecter les ordinateurs avec des logiciels malveillants.
Microsoft a finalement pris des mesures pour désactiver ces scripts par défaut dans les documents téléchargés sur le Web, obligeant de nombreux groupes à modifier leurs tactiques et à choisir progressivement les soumissions LNK (moyen plus rapide) en tant que système de livraison.
Cette tendance a conduit à la production d’outils et de services payants dédiés au développement de fichiers LNK destructeurs. Certains de ces sous-traitants incluent MLNK Contractor, Quantum Home Builder, Macropack, LNKUp, Lnk2pwn, SharPersist et RustLnkBuilder, mais leur utilisation peut offrir des opportunités de détection plus facile par les éléments de sécurité.
Pourquoi les agresseurs passent à LNK
LNK, abréviation du format de fichier binaire Shell Link de Microsoft, est un format qui permet le système d’exploitation ou une application pour accéder à des éléments de données sur le système. Les fichiers LNK sont fréquemment utilisés pour les raccourcis d’application – un fichier qui ouvre une application à partir d’un emplacement spécifié sur le système de fichiers.
Néanmoins, les fichiers LNK sont plus compliqués que cela. Ils peuvent inclure des paramètres qui gèrent le comportement de l’application, transmettent des spécifications de configuration uniques à l’application et consistent en d’autres métadonnées dans divers domaines.
L’utilisation des fichiers LNK pour disperser les logiciels malveillants n’est pas nouvelle. Auparavant, c’était extrêmement courant avec les vers qui se copiaient sur des clés USB et dépendaient des utilisateurs pour les ouvrir. Au cours des dernières années, les stratégies consistant à emballer des applications malveillantes ou des DLL (bibliothèques binaires) malveillantes via des fichiers LNK ont en fait considérablement progressé.
Les macros VBA (Visual Basic Application), en revanche, sont une technologie qui permet aux utilisateurs de Workplace d’automatiser les procédures et les workflows dans leurs dossiers. C’est une fonction puissante qui a été incroyablement populaire auprès des entreprises, en particulier dans des départements tels que la comptabilité et la finance. Pour ce facteur, Microsoft a hésité à perturber les flux de travail de l’entreprise en apportant des modifications à l’expérience utilisateur des macros.
Depuis plusieurs années maintenant, Microsoft Workplace a instantanément désactivé les macros et affiché une mise en garde sur les dangers du matériel nuisible en haut du document qui permettait aux utilisateurs de les réactiver. Les attaquants ont alors commencé à utiliser de nombreuses astuces d’ingénierie sociale via le contenu de leurs fichiers malveillants pour encourager les utilisateurs à autoriser manuellement l’exécution des macros.
L’année dernière, la société a pris une mesure plus sévère et a choisi de désactiver les macros par défaut sans aucun choix de le contourner pour les documents obtenus à partir de sources Web, telles que les e-mails ou téléchargés via le navigateur Internet. Le système d’exploitation peut actuellement marquer ces fichiers avec une « marque du Web ».
La toute nouvelle restriction a atteint la disponibilité générale en juin, mais Microsoft a rapidement annulé la modification pour la réactiver un mois plus tard. Depuis, à mesure que de plus en plus d’utilisateurs mettaient à jour leurs versions d’Office, les assaillants ont découvert moins de succès dans leurs projets utilisant des fichiers avec des macros, ils se sont donc tournés vers d’autres techniques, telles que les fichiers LNK ou les fichiers de compléments Excel (XLL).
Les compléments Excel sont essentiellement des DLL développées avec le package d’avancement logiciel Excel qui permet aux utilisateurs ou aux développeurs d’étendre les performances d’Excel et d’inclure des fonctions définies par l’utilisateur. Il existe également des outils gratuits comme Excel-DNA qui permettent aux utilisateurs de développer des compléments Excel à l’aide d’autres langages d’émission comme.NET.
» En particulier, comme il est complémentaire, les auteurs de logiciels malveillants ont adopté Excel-DNA comme l’un des outils typiques pour développer des fichiers XLL nuisibles « , ont déclaré des scientifiques de Cisco Talos dans un rapport en décembre.
» Un fichier XLL écrit dans un langage .NET est assemblé dans un fichier autonome composé de shim fonctions qui mappent les exportations natives vers les fonctions CLR incluses dans une DLL d’assemblage définie par l’utilisateur intégrée dans la section des ressources du fichier produit par Excel-DNA. «
La bonne nouvelle est que Microsoft prévoit également de limiter cette fonction pour les fichiers téléchargés à partir d’Internet de la même manière qu’elle restreignait les macros dans les fichiers Word. Ce changement devrait être présenté en mars, selon une toute nouvelle entrée sur la feuille de route de Microsoft pour Excel. Cela poussera probablement encore plus d’opposants vers des formats de fichiers alternatifs à abuser tels que LNK.
Métadonnées LNK et absence de métadonnées comme techniques de détection
L’abus de LNK a se développe depuis 2015, selon des scientifiques de Cisco Talos, qui ont en fait vu un certain nombre de groupes d’agresseurs y tourner. Parmi ces groupes se trouve l’origine de la famille de logiciels malveillants de longue date Qakbot (également appelée Qbot ou Pinkslipbot).
» Qakbot est connu pour développer et adapter son fonctionnement en fonction des approches d’expédition et des techniques de défense populaires actuelles, » ont déclaré les chercheurs dans un nouveau rapport.
» Pas plus tard qu’en mai 2022, leur approche de distribution choisie consistait à pirater les fils de messagerie collectés auprès de fabricants compromis et à insérer des accessoires contenant des documents Office XLSB intégrés à des macros destructrices. .
« Après que Microsoft a annoncé des modifications de la manière dont les macros étaient exécutées par défaut sur le contenu téléchargé sur le Web, Talos a découvert que Qakbot s’éloignait progressivement des fichiers XLSB au profit de fichiers ISO constitués d’un fichier LNK, qui téléchargeait et effectuer la charge utile. «
Les fichiers LNK comportent de nombreuses zones et incluent de nombreuses métadonnées sur les machines qui les ont produits, laissant des traces distinctes pouvant être associées à des campagnes d’attaque ou à des groupes d’attaquants particuliers.
L’année dernière, un projet de phishing utilisant des fichiers LNK contre des entités ukrainiennes qui étaient d’abord associées à un tout nouveau groupe d’adversaires a finalement été connecté au Gamaredon, un groupe APT russe qui est actif depuis au moins 2013 et utilise des fichiers LNK dans son attaque depuis au moins 2017.
« En évaluant le contenu des métadonnées du fichier LNK dans le rapport, Talos a associé les ID de machine où les fichiers ont été créés, aux fichiers associés à l’APT Gamaredon », le ont déclaré les scientifiques. » Sur la base de ces métadonnées, Talos a identifié un nouveau projet ciblant les organisations ukrainiennes qui a débuté vers le 8 août 2022. «
Non seulement les métadonnées LNK peuvent être utilisées pour associer de toutes nouvelles attaques à des groupes connus, cependant, il peut également être utilisé d pour trouver de tout nouveaux projets d’attaque en explorant des échantillons recueillis par des services comme VirusTotal.
Dans une autre enquête, les métadonnées du fichier LNK ont été utilisées pour établir des connexions entre une famille de logiciels malveillants appelée Bumblebee et les chevaux de Troie IcedID et Qakbot.
Conscient que les métadonnées sont progressivement utilisées de cette manière par les chercheurs, quelques-uns des outils de structure nuisibles de LNK en éliminent quelques-uns pour ensuite produire des fichiers destructeurs. Néanmoins, l’absence de certaines métadonnées peut également être utilisée comme signe d’activité suspecte, car les fichiers LNK légitimes sont censés contenir ces champs de données.
» Dans le paysage des cyberrisques, tout nouveau détail sur l’adversaire pourrait être vital pour renforcer les défenses « , ont déclaré les chercheurs.
» En évaluant et en suivant les informations divulguées via les métadonnées et en corrélant ces informations avec les méthodes, stratégies et procédures d’autres acteurs, les protecteurs peuvent établir de bien meilleures détections et même prévoir le comportement futur, pour se préparer à une attaque. «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
