תקיפת LNK File - מדריך¶
קובץ קיצור - Shortcut - הוא מהדברים הכי לא מעוררי חשד שיש. סמל קטן, שם מוכר, ולחיצה כפולה שאמורה רק לפתוח תוכנית או תיקייה. בדיוק בגלל זה הוא הפך לאחד הכלים האהובים על תוקפים לביצוע התקפות פישינג ממוקדות - קובץ LNK יכול להסתיר בתוכו הרבה יותר ממה שהמשתמש הרגיל מצפה לו.
מה זה בעצם קובץ LNK¶
קובץ LNK הוא פורמט הקיצורים המובנה של ווינדוס. במבט ראשון הוא רק מצביע על תוכנית או קובץ אחר, אבל בפועל הוא מכיל שדה שלם שמגדיר בדיוק איזו פקודה להריץ בלחיצה - כולל נתיב מלא לתוכנית, וגם ארגומנטים (parameters) שיועברו לאותה תוכנית. וכאן בדיוק נמצא הפוטנציאל לניצול - אם אפשר לשלוט בארגומנטים האלה, אפשר לגרום לקיצור להריץ כמעט כל פקודה שרוצים, בלי שהמשתמש יבין שזה לא באמת פותח את מה שהוא חשב.
איך משתמשים בזה בתקיפה¶
תוקף בונה קובץ LNK שמוצג עם סמל מוכר - למשל של מסמך Word או תיקייה - אבל בפועל שדה היעד שלו מפנה למשהו כמו PowerShell, עם ארגומנטים שמריצים סקריפט זדוני. הקובץ נשלח בדרך כלל בתוך קובץ ZIP או כקובץ מצורף למייל פישינג, ולעיתים אפילו בתוך התקן USB שמופץ בכוונה. כשהקורבן לוחץ פעמיים על מה שנראה כמו קובץ תמים, הוא בפועל מפעיל שורת פקודה שיכולה להוריד ולהריץ תוכנה זדונית, ליצור חיבור חוזר לתוקף, או להתחיל שלב ראשוני של השתלטות על המחשב.
למה זה כל כך יעיל¶
- מראה מוכר - סמל וסיומת קובץ יכולים להיראות בדיוק כמו קובץ Office רגיל, במיוחד אם סיומות קבצים מוסתרות בהגדרות המערכת, מה שקורה כברירת מחדל בהרבה מחשבים.
- אין דרישה לחולשה טכנית - בניגוד להתקפות שדורשות ניצול באג ספציפי, כאן משתמשים בפונקציונליות לגיטימית של ווינדוס - הרצת פקודה מקובץ קיצור זה משהו שהמערכת עושה בכוונה, רק שהתוקף שולט בתוכן.
- עוקף חלק מהבקרות - כי הקובץ עצמו הוא לא קובץ הרצה (exe), הוא לפעמים עובר בקרות אבטחה שמתמקדות בזיהוי קבצים הרצים חשודים.
איך בודקים את זה בבדיקת חדירות¶
כחלק מסימולציית פישינג מבוקרת ומאושרת מראש, אפשר לבנות קובץ LNK בדיקתי שמדגים את הפוטנציאל של ההתקפה, בלי לגרום נזק אמיתי - למשל, קיצור שרק פותח חלון עם הודעה, כדי להוכיח שהטכניקה עובדת ולתעד את זה בדוח. חשוב מאוד להדגיש - זה סוג של בדיקה שדורש אישור מפורש ומתועד מהלקוח מראש, בדיוק כמו כל תרחיש הנדסה חברתית אחר.
איך מזהים ומתגוננים¶
- הגדרת המערכת להציג סיומות קבצים באופן קבוע, כדי שקובץ LNK עם שם מטעה יבלוט.
- חסימת פתיחת קבצי LNK ממקורות לא מהימנים ברמת מדיניות ארגונית, במיוחד מתוך קבצי ZIP שמגיעים במייל.
- הדרכת עובדים לזהות דפוסים חשודים - קובץ קיצור שמגיע ממייל חיצוני הוא כבר סימן אזהרה בפני עצמו.
- ניטור הרצות PowerShell או שורת פקודה חשודות שמקורן בקובץ קיצור, דרך כלי ניטור נקודות קצה.
איך לומדים את זה נכון¶
תקיפות LNK הן חלק מתחום רחב יותר של וקטורי כניסה ראשוניים בבדיקות חדירות. מי שרוצה להבין את כל שרשרת התקיפה - מהכניסה הראשונית ועד השתלטות מלאה - יכול להתחיל מקורס בדיקות החדירות שלנו.
לסיכום¶
קובץ LNK מזכיר שלא כל תקיפה דורשת חולשה מתוחכמת - לפעמים מספיק לנצל את האמון הבסיסי שמשתמשים נותנים לסמלים מוכרים. הבנה של הטכניקה הזו חשובה גם למגן וגם לתוקף המורשה, כי היא ממחישה כמה קרוב יכול להיות הפער בין קובץ תמים לחדירה מלאה.
רוצים לדבר על תרחישי הנדסה חברתית אחרים? בואו לקהילה שלנו.