Datoteke Windows prečica (LNK), koje se tradicionalno koriste za kreiranje brzih veza ka aplikacijama i datotekama, postale su značajan vektor napada u oblasti sajber bezbjednosti. Ove naizgled bezazlene datoteke, prepoznatljive po maloj ikoni sa strelicom, sve se više koriste od strane hakera za izvršavanje malicioznih opterećenja, a sve to zadržavajući fasadu legitimnosti. Fleksibilnost i sveprisutnost LNK datoteka u Windows okruženjima čine ih privlačnim za sajber kriminalce koji žele da zaobiđu tradicionalne bezbjednosne mjere. Maliciozno iskorišćavanje LNK datoteka dostiglo je zabrinjavajuće nivoe, pri čemu istraživači sajber bezbjednosti primjećuju dramatičan porast njihovog naoružavanja. Ove datoteke koriste ugrađenu funkcionalnost Windowsa za izvršavanje naredbi, preuzimanje opterećenja i uspostavljanje upornosti na kompromitovanim sistemima. Metodologija napada često uključuje prikrivanje malicioznih LNK datoteka kao legitimnih dokumenata manipulacijom njihovih ikona i naziva datoteka kako bi izgledali pouzdano potencijalnim žrtvama. Analitičari kompanije Palo Alto Networks identifikovali su četiri odvojene kategorije LNK malvera kroz sveobuhvatnu analizu 30.000 malicioznih uzoraka. Njihovo istraživanje je pokazalo da su hakeri sistematski organizovali svoje pristupe u eksploatacije LNK datoteka, izvršavanje malicioznih datoteka, izvršavanje skripti u argumentima i tehnike izvršavanja sadržaja preklapanja. Ova kategorizacija pokazuje sofisticiranu evoluciju napada zasnovanih na LNK-u i raznolike metodologije koje sajber kriminalci primjenjuju. Nalazi istraživanja ukazuju na to da PowerShell i Komandni upit služe kao primarni načini izvršavanja za LNK malver, čineći više od 80% ukupnog iskorišćavanja ciljeva sistema. Konkretno, powershell.exe se koristi u 59,4% slučajeva, dok se cmd.exe koristi u 25,7% malicioznih uzoraka. Ovo snažno oslanjanje na izvorne Windows uslužne programe omogućava napadačima da izvršavaju opterećenja bez potrebe za dodatnim alatima. Izvršavanje skripti u argumentima predstavlja jednu od najrasprostranjenijih tehnika koje koriste operatori LNK malvera. Ova metoda uključuje ugrađivanje malicioznih skripti direktno u polje COMMAND_LINE_ARGUMENTS LNK datoteke, efektivno pretvarajući prečicu u mehanizam isporuke za maliciozna opterećenja. Tehnika iskorišćava urođeno povjerenje koje korisnici imaju u datoteke prečica, a istovremeno koristi Windows interpretatore komandne linije. Implementacija često uključuje Base64 kodiranje za obmanjivanje malicioznog sadržaja. Tipična struktura komandnih naredbi PowerShell-a izgleda kao: powershell.exe -Nonl -W Hidden -NoP -Exec Bypass -EncodedCommand [Base64_String]. Nakon dekodiranja, ove naredbe često sadrže upute za preuzimanje malicioznih DLL-ova sa udaljenih servera i izvršavanje sekundarnih opterećenja. Sofisticiranost je poboljšana tehnikama obmanjivanja, uključujući sastavljanje komandi i stratešku upotrebu varijabli Windows okruženja.
Sve veći broj malicioznih napada iskorišćava datoteke prečica na Windows operativnim sistemima, poznatije kao LNK datoteke. Ove datoteke, koje inače služe za brzo otvaranje aplikacija ili dokumenata, sada se koriste za pokretanje štetnog softvera. Prema analizi kompanije Palo Alto Networks, zabilježen je porast od 50% u korišćenju ovih datoteka u svrhu napada.
Stručnjaci za sajber bezbjednost primijetili su da hakeri sve češće koriste LNK datoteke kao sredstvo za dostavu malicioznih programa. Ovo je posljedica njihove svestranosti i jednostavnosti korišćenja u operativnim sistemima Windows. LNK datoteke mogu se prerušiti u legitimne dokumente, a njihova mala ikona sa strelicom može prevariti korisnike da ih otvore. Jednom kada korisnik klikne na takvu datoteku, ona može pokrenuti maliciozne komande koje preuzimaju i izvršavaju opasni softver na računaru žrtve. Na ovaj način, napadači mogu lako zaobići tradicionalne bezbjednosne mjere.
Istraživači su identifikovali četiri glavne kategorije malicioznog korišćenja LNK datoteka: direktno iskorišćavanje LNK datoteka, izvršavanje malicioznih datoteka, izvršavanje skripti unutar argumenta i izvršavanje sadržaja preklapanja. Ova klasifikacija pokazuje napredak u metodama koje sajber kriminalci koriste.
U većini slučajeva, napadači se oslanjaju na alate poput PowerShell i Komandnog upita (Command Prompt) za izvršavanje svog štetnog sadržaja. Prema podacima, PowerShell je odgovoran za 59,4% ovih napada, dok Komandni upit učestvuje sa 25,7%. Upotreba ovih ugrađenih Windows alata omogućava napadačima da izvrše svoje planove bez potrebe za dodatnim, sumnjivim softverom.
Posebno je uočljiva tehnika poznata kao “izvršavanje skripti u argumentu”. Ovom metodom, maliciozni kod se ugrađuje direktno u parametre komandne linije unutar LNK datoteke. Na taj način, datoteka prečice postaje alat za isporuku malicioznog sadržaja, koristeći povjerenje koje korisnici imaju u ove datoteke i snagu Windows interpretatora komandne linije. Kako bi se prikrio štetni kod, često se koristi Base64 kodiranje. Tipična komanda izgleda ovako: powershell.exe -Nonl -W Hidden -NoP -Exec Bypass -EncodedCommand [kodirani_sadržaj]. Nakon dekodiranja, ove naredbe nalažu sistemu preuzimanje štetnih datoteka sa udaljenih servera i pokretanje dodatnih malicioznih operacija. Napadači dodatno usavršavaju svoje metode koristeći tehnike obmanjivanja, poput sastavljanja komandi i manipulacije varijablama okruženja Windowsa.
