Windowsショートカットファイルの悪用

様々な種類が存在するマルウェアの中には、悪質なファイルやスクリプトの起動に各種方法でショートカットファイルを悪用するものがあります。その手口について、今回は取り上げます。


ショートカット(.lnk)は小さなバイナリファイルであり、内部にはアプリケーションなどを指すパスと、場合によってアプリケーションへ渡す引数が記載されています。アプリケーションを実行するために使用するファイルで、ユーザーがアクセスしやすいWindowsのデスクトップやアプリケーションランチャーなどに置かれています。またWindowsの起動時にアプリケーションを自動実行することができるように、スタートアップフォルダにも入れることが多くあります。大抵のユーザーは、実行可能ファイルほどショートカットファイルを危険視しません。そのため、間接的にアプリケーションを実行できるこの方法は、マルウェア作者にとっても魅力的なことが多いのが現状です。 その手口を以下に3件紹介します。

  1. マルウェアファイルを指すショートカットファイルを作成
  2. ユーザー操作やWindows再起動でマルウェアを簡単に起動できます。ショートカットファイルは、デスクトップやネットワーク共有フォルダ、スタートアップフォルダ内に作成します。トロイの木馬「Spy-Agent.bw」の数ある亜種のある一つが、この手口で起動を試みています。

  3. ショートカットに対する寄生
  4. ウイルス「W32/Mokaksu 」は、デスクトップ上の全ショートカットファイルを改変することで、ショートカット本来のパスにW32/Mokaksuファイルへのパスを追加します。

    上記スクリーンショットは、「Adobe Acrobat Reader」を指すショートカットがマルウェアに感染した例です。「AcroRd32.exe」を指す本来のパス(黄色枠内)の前に、マルウェアファイル「Config.Msi.exe」へのパス(赤枠内)が追加されています。このショートカット内で、元々あったパスはマルウェアファイルに渡るパラメータとして処理されます。ユーザーがショートカットをクリックすると、本来のファイル(この例ではAdobe Acrobat Reader)の起動時にW32/Mokaksuもバックグラウンドで動き出します。このショートカットの指しているアプリケーションだけが動いているように見えるため、感染したことが非常に気付かれにくいのが実情です。

  5. ショートカットへのスクリプト挿入
  6. ショートカットを使用して実行可能なトロイの木馬ファイルを指すのではなく、コマンドプロンプト「cmd.exe」用のスクリプトをショートカットに挿入する例も多くあります。この手口の代表としては、トロイの木馬「Downloader-BMF」があげられます。

    ユーザーがこのショートカットをクリックすると、挿入されたスクリプトが密かにFTP処理スクリプトを生成し、FTPサーバーからVisual Basic Script(VBS)形式のスクリプトをダウンロードします。そして、このVBSスクリプトがトロイの木馬をダウンロードするのです。

1と2は、ショートカットを単なるマルウェア起動手段として使用しています。これに対し3は、ショートカットファイル自体が独立した悪質なファイルであり、本物のcmd.exeさえあれば攻撃用の実行ファイルを必要としません。3のようなショートカットファイルは、メールに添付して送信することやWebサイトで配布することが可能です。つまり、これまで以上にショートカットファイルを警戒する必要があります。ショートカットファイルは、プロパティを調べるか、バイナリエディタで表示すれば簡単に検査することができます。

怪しい文字列に気が付いたら、そのショートカットファイルを決してクリックしないでください。

関連記事

※本ページの内容はMcAfee Blogの抄訳です。
原文:Abusing Shortcut files

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。