Datoteke Windows prečica (LNK), koje se tradicionalno koriste za kreiranje brzih veza ka aplikacijama i datotekama, postale su značajan vektor napada u oblasti kibernetičke sigurnosti. Ove naizgled bezazlene datoteke, prepoznatljive po maloj ikoni sa strelicom, sve se više koriste od strane aktera prijetnji za izvršavanje zlonamjernih opterećenja, a sve to zadržavajući fasadu legitimnosti. Fleksibilnost i sveprisutnost LNK datoteka u Windows okruženjima čine ih privlačnim za cyberkriminalce koji žele da zaobiđu tradicionalne sigurnosne mjere. Zlonamjerno iskorištavanje LNK datoteka dostiglo je zabrinjavajuće nivoe, pri čemu istraživači kibernetičke sigurnosti primjećuju dramatičan porast njihovog naoružavanja. Ove datoteke koriste ugrađenu funkcionalnost Windowsa za izvršavanje naredbi, preuzimanje opterećenja i uspostavljanje upornosti na kompromitovanim sistemima. Metodologija napada često uključuje prikrivanje zlonamjernih LNK datoteka kao legitimnih dokumenata manipulacijom njihovih ikona i naziva datoteka kako bi izgledali pouzdano potencijalnim žrtvama. Analitičari kompanije Palo Alto Networks identifikovali su četiri odvojene kategorije LNK malvera kroz sveobuhvatnu analizu 30.000 zlonamjernih uzoraka. Njihovo istraživanje je pokazalo da su akteri prijetnji sistematski organizovali svoje pristupe u eksploatacije LNK datoteka, izvršavanje zlonamjernih datoteka, izvršavanje skripti u argumentima i tehnike izvršavanja sadržaja preklapanja. Ova kategorizacija pokazuje sofisticiran evoluciju napada zasnovanih na LNK-u i raznolike metodologije koje cyberkriminalci primjenjuju. Nalazi istraživanja ukazuju na to da PowerShell i Komandni upit služe kao primarni načini izvršavanja za LNK malver, čineći više od 80% ukupnog iskorištavanja ciljeva sistema. Konkretno, powershell.exe se koristi u 59,4% slučajeva, dok se cmd.exe koristi u 25,7% zlonamjernih uzoraka. Ovo snažno oslanjanje na izvorne Windows uslužne programe omogućava napadačima da izvršavaju opterećenja bez potrebe za dodatnim alatima. Izvršavanje skripti u argumentima predstavlja jednu od najrasprostranjenijih tehnika koje koriste operatori LNK malvera. Ova metoda uključuje ugrađivanje zlonamjernih skripti direktno u polje COMMAND_LINE_ARGUMENTS LNK datoteke, efektivno pretvarajući prečicu u mehanizam isporuke za zlonamjerna opterećenja. Tehnika iskorištava urođeno povjerenje koje korisnici imaju u datoteke prečica, a istovremeno koristi Windows interpretatore komandne linije. Implementacija često uključuje Base64 kodiranje za obmanjivanje zlonamjernog sadržaja. Tipična struktura komandnih naredbi PowerShell-a izgleda kao: `powershell.exe -Nonl -W Hidden -NoP -Exec Bypass -EncodedCommand [Base64_String]`. Nakon dekodiranja, ove naredbe često sadrže upute za preuzimanje zlonamjernih DLL-ova sa udaljenih servera i izvršavanje sekundarnih opterećenja. Sofisticiranost je poboljšana tehnikama obmanjivanja, uključujući sastavljanje komandi i stratešku upotrebu varijabli Windows okruženja.
Sve veći broj zlonamjernih napada iskorištava datoteke prečica na Windows operativnim sistemima, poznatije kao LNK datoteke. Ove datoteke, koje inače služe za brzo otvaranje aplikacija ili dokumenata, sada se koriste za pokretanje štetnog softvera. Prema analizi kompanije Palo Alto Networks, zabilježen je porast od 50% u korištenju ovih datoteka u svrhu napada.
Stručnjaci za kibernetičku sigurnost primijetili su da napadači sve češće koriste LNK datoteke kao sredstvo za dostavu zlonamjernih programa. Ovo je posljedica njihove svestranosti i jednostavnosti korištenja u operativnim sistemima Windows. LNK datoteke mogu se prerušiti u legitimne dokumente, a njihova mala ikona sa strelicom može prevariti korisnike da ih otvore. Jednom kada korisnik klikne na takvu datoteku, ona može pokrenuti zlonamjerne komande koje preuzimaju i izvršavaju opasni softver na računaru žrtve. Na ovaj način, napadači mogu lako zaobići tradicionalne sigurnosne mjere.
Istraživači su identificirali četiri glavne kategorije zlonamjernog korištenja LNK datoteka: direktno iskorištavanje LNK datoteka, izvršavanje zlonamjernih datoteka, izvršavanje skripti unutar argumenta i izvršavanje sadržaja preklapanja. Ova klasifikacija pokazuje napredak u metodama koje cyberkriminalci koriste.
U većini slučajeva, napadači se oslanjaju na alate poput PowerShell i Komandnog upita (Command Prompt) za izvršavanje svog štetnog sadržaja. Prema podacima, PowerShell je odgovoran za 59,4% ovih napada, dok Komandni upit učestvuje sa 25,7%. Upotreba ovih ugrađenih Windows alata omogućava napadačima da izvrše svoje planove bez potrebe za dodatnim, sumnjivim softverom.
Posebno je uočljiva tehnika poznata kao “izvršavanje skripti u argumentu”. Ovom metodom, zlonamjerni kod se ugrađuje direktno u parametre komandne linije unutar LNK datoteke. Na taj način, datoteka prečice postaje alat za isporuku zlonamjernog sadržaja, koristeći povjerenje koje korisnici imaju u ove datoteke i snagu Windows interpretatora komandne linije. Kako bi se prikrio štetni kod, često se koristi Base64 kodiranje. Tipična komanda izgleda ovako: `powershell.exe -Nonl -W Hidden -NoP -Exec Bypass -EncodedCommand [kodirani_sadržaj]`. Nakon dekodiranja, ove naredbe nalažu sistemu preuzimanje štetnih datoteka sa udaljenih servera i pokretanje dodatnih zlonamjernih operacija. Napadači dodatno usavršavaju svoje metode koristeći tehnike obmanjivanja, poput sastavljanja komandi i manipulacije varijablama okruženja Windowsa.
