Die Varonis Threat Labs verzeichnen in den letzten Wochen eine steigende Anzahl an Cyberangriffen über bösartige Windows-Verknüpfungen. So wurden unter anderem gezielte Angriffe des Malware-as-a-Service-Anbieters Golden Chickens (auch als Venom Spider bekannt) und breitere Malspam-Kampagnen durch Emotet beobachtet, die diese ältere und bekannte Technik nutzen.
Cyberkriminelle greifen immer wieder auf bewährte Taktiken zurück, auch wenn diese scheinbar schon längst aus der Mode gekommen sind.
„Diese Kampagnen zeigen erneut, dass Cyberkriminelle immer wieder auf bewährte Taktiken zurückgreifen, auch wenn diese scheinbar schon längst aus der Mode gekommen sind“, erklärt Michael Scheffler, Country Manager DACH von Varonis. Verknüpfungsdateien werden verwendet, um eine Verknüpfung zu einer beliebigen Datei oder Ordner herzustellen, aber auch, um benutzerfreundliche Verknüpfungen zu Programmen im Windows-Startmenü zu erstellen. Standardmäßig übernehmen Windows-Verknüpfungen das Symbol des Zieldateityps mit einer kleinen Pfeilmarkierung. Es ist jedoch einfach, dieses Symbol zu ändern, um den Eindruck zu erwecken, dass das Ziel ein anderer, scheinbar legitimer Dateityp ist. Die bösartige Verknüpfung sieht entsprechend wie jede andere, dem Opfer vertraute Verknüpfungsdatei aus und nutzt legitime Dienstprogramme, um einen ersten Stager zu starten (LOLBins/living off the land binaries-Technik). „Auf diese Weise können mit dieser recht einfach gestrickten Social-Engineering-Technik Opfer dazu verleitet werden, bösartige Inhalte aufzurufen. Dabei sind zudem keine komplexen Exploits oder verdächtige Anfangsnutzlasten erforderlich.“
Empfehlungen
Da Windows-Verknüpfungen von den Nutzern in der Regel als gutartig angesehen werden, sollten Sicherheitsverantwortliche aufgrund der in letzter Zeit beobachteten Gemeinsamkeiten der Angriffe folgende Punkte umsetzen, um diese Bedrohungen zu entschärfen:
- Überprüfen Sie E-Mail-Anhänge und isolieren bzw. blockieren Sie verdächtige Inhalte wie komprimierte Dateien mit Windows-Verknüpfungen (.lnk-Dateien).
- Verhindern Sie die Ausführung von unerwarteten Binärdateien und Skripten aus dem %TEMP%-Verzeichnis.
- Beschränken Sie den Benutzerzugriff auf Windows-Skripting-Engines, einschließlich PowerShell und VBScript. Stellen Sie sicher, dass Skripte über Gruppenrichtlinien signiert werden müssen.
- Achten Sie auf die unerwartete Ausführung legitimer LOLbins wie ie4uinit.exe und wmic.exe durch „normale“ User.
Weitere Informationen und Hintergründe finden sich im entsprechenden Blog-Beitrag von Varonis.