50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务mLNKShortcut Builder简介根据网络安全公司Check Point的说法,他们首次看到mLNK Shortcut Builder

大家好,欢迎来到IT知识分享网。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

现如今,发动网络攻击并不一定需要攻击者掌握高深的黑客技术,因为几乎所有你所需要的黑客工具都可以在网上买到,而这一切都得益于恶意软件即服务(MaaS,Malware-as-a-Service)的蓬勃发展。

不过,大多数从网上买来的黑客工具都有一个共同的缺点——很容易被防病毒产品检测出来。想来也合情合理,毕竟被公开出售,也就意味着被很多人使用,用的多了自然也就被一些防病毒产品给列入黑名单了。

所谓“道高一尺魔高一丈”,为了克服这个缺点,一些恶意软件即服务提供商开始提供长期技术支持服务,以确保客户手里的恶意文件能够顺利绕过安全检测,其中一个很好的例子便是“mLNK Shortcut Builder”。

mLNK Shortcut Builder简介

根据网络安全公司Check Point的说法,他们首次看到mLNK Shortcut Builder的推广广告是在一个名为“NativeOne Products”的Discord(一款社交应用)频道上。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

广告称,mLNK Shortcut Builder能够将有效载荷转换为LNK快捷方式,进而能够有效地绕过Windows Defender、Windows 10 Smart Screen和UAC等安全解决方案。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

在Check Point捕获的一封垃圾电子邮件中,就包含了一个采用mLNK Shortcut Builder生成的恶意附件。附件被命名为“Doc001.png.lnk”,执行会从s-c[.]live下载HTA有效载荷。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

分析表明,最终的有效载荷经过CypherIT(一种用于加密可执行文件的AutoIt打包程序)打包,这可能来源于mLNK Shortcut Builder的开发人员在广告中给出的建议(建议用户结合使用CypherIT,以达到最好的效果)。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

除文件转化外,mLNK Shortcut Builder的其他功能还包括延迟有效载荷的执行,或同时打开诱饵文档,以便让受害者更加难以发现可疑行为。

mLNK Shortcut Builder的售价分为多个档次,其中最便宜的一档是50美元,使用期限是1个月。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

据称,mLNK Shortcut Builder的开发人员截止到目前至少已经获得了11000美元的收入。

Check Point表示,mLNK Shortcut Builder的推广渠道除Discord频道外,还包括各种黑客论坛。

mLNK Shortcut Builder的工作原理

首次运行mLNK Shortcut Builder,我们会看到一个“服务条款”窗口。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

接受这些条款后,我们将看到mLNK Shortcut Builder的主窗口。在这里,你可以输入有效载荷的路径、选择LNK的图标以及选择赋予有效载荷何种功能。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

如你所见,可选的功能之一是“UAC Bypass”。

根据Windows版本的不同,mLNK Shortcut Builder会使用到两种不同的技术:

  • Event Viewer技术
  • Fodhelper技术

如果Windows操作系统版本早于Windows 10,则使用Event Viewer技术,其中有效载荷的路径将写入“HKCU\Software\Classes\mscfile\shell\open\command”注册表项的“Default”值。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

当启动EventViewer时,有效载荷将绕过UAC以高特权运行。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

如果Windows操作系统版本是Windows 10或更高版本,则使用Fodhelper技术,其中有效载荷的路径将写入“HKCU\Software\Classes\ms-settings\Shell\Open\command”注册表项的“Default”值。

当启动Fodhelper时,有效载荷将绕过UAC以高特权运行。

50美元突破Windows防御:解读“mLNK Builder”恶意软件即服务

结语

有效载荷可以是任何一种恶意软件,mLNK Shortcut Builder的主要作用是对它们进行文件转换和伪装,以确保它们能够突破Windows操作系统的防御,可以说是Windows的克星、恶意软件的“最佳拍档”。

我们想要说的是,mLNK Shortcut Builder只是恶意软件即服务中的冰山一角。得益于恶意软件即服务的蓬勃发展,网络犯罪的门槛必将越来越低,是时候对你的员工进行一场必要的网络安全培训了。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/80391.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信