Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут проносить команды загрузки вредоносной полезной нагрузки мимо контент-фильтров, скрывая их в безопасных на первый взгляд файлах ярлыков Windows. Файлы ярлыков Windows (.LNK) содержат множество полей метаданных, включая поле расположения значка (также известное как `IconEnvironmentDataBlock`), предназначенное для указания пути к файлу значка, который должен отображаться для файла LNK в каталоге хоста.
Злоумышленники могут использовать эти метаданные LNK для загрузки вредоносной полезной нагрузки. Например, было замечено, что злоумышленники используют файлы LNK в качестве фишинговой полезной нагрузки для доставки вредоносного ПО. После вызова (например, Вредоносный файл) может быть загружена полезная нагрузка, на которую ссылаются внешние URL-адреса в поле расположения значка LNK.Эти файлы также могут быть вызваны с помощью аргументов Command and Scripting Interpreter/System Binary Proxy Execution в поле целевого пути LNK.(Цитата: Unprotect Shortcut)(Цитата: Booby Trap Shortcut 2017)
Контрабанда значков LNK также может быть использована после компрометации, например вредоносные скрипты выполняют LNK на зараженном хосте для загрузки дополнительных вредоносных полезных нагрузок.
https://attack.mitre.org/techniques/T1027/012
Визуализация смежных техник для T1027.012
| № | Техника |
|---|
