Windows用户注意！快捷方式被APT组织滥用，警惕零日漏洞

在当今数字化时代，网络安全威胁日益复杂且多样化，零日漏洞的出现更是给全球企业和组织带来了前所未有的挑战。近期，Trend Micro研究团队发现了一个名为ZDI-CAN-25373的严重漏洞，该漏洞被多个国家级APT（高级持续性威胁）组织广泛利用，引发了全球性关注。

漏洞概述

ZDI-CAN-25373是一个与Windows快捷方式（.lnk）文件相关的零日漏洞。攻击者通过精心构造的快捷方式文件，能够在受害者的机器上执行隐藏的恶意命令。这些恶意命令被嵌入在.lnk文件的隐藏命令行参数中，使得传统的检测手段难以发现其异常行为。该漏洞的利用不仅增加了数据盗窃和网络间谍活动的风险，还对全球多个行业的组织构成了严重的威胁。

APT组织的利用

自2017年以来，已有近1000个恶意.lnk文件利用了该漏洞。这些攻击行为涉及来自朝鲜、伊朗、俄罗斯等11个国家级APT组织，这些APT组织在攻击链中体现了高度的复杂性，并且他们都具有在野滥用零日漏洞的历史。此次攻击的主要动机是网络间谍活动和数据盗窃。

利用 ZDI-CAN-25373 的 APT 组的样本数量

（来源 trendmicro.com）

受影响的行业和地区

ZDI-CAN-25373的攻击目标涉及政府、金融、电信、军事和能源等多个关键行业。这些行业由于其数据的敏感性和重要性，成为了APT组织的主要攻击目标。从地区上看，北美、欧洲、亚洲、南美洲和澳大利亚都受到了不同程度的影响。其中，受影响最严重的是北美地区。

攻击行业分布（来源 trendmicro.com）

技术细节

向上滑动查看所有内容

ZDI-CAN-25373漏洞的核心在于Windows系统对.lnk文件内容的显示方式。攻击者通过在.lnk文件的COMMAND_LINE_ARGUMENTS结构中填充大量空白字符（如空格、制表符、换行符等），使得Windows界面无法正确显示这些恶意命令行参数。用户在查看.lnk文件的属性时，无法看到隐藏的恶意命令，从而执行了攻击者的恶意代码。

MS-SHLLINK (.lnk) 文件格式

Windows快捷方式文件（.lnk）是一种二进制文件，用于作为指向文件、文件夹或应用程序的快捷方式。这种文件类型受到攻击者的青睐，因为可以在.lnk文件的Target字段中嵌入命令行参数，从而在受害者的机器上执行代码。

ShellLinkHeader

每个.lnk文件都以ShellLinkHeader结构开头。其中，HeaderSize和LinkCLSID是两个必填字段，它们的值在每个.lnk文件中都是相同的。这两个字段可以确定一个文件是否为.lnk文件。

LinkFlags

LinkFlags结构位于HeaderSize和LinkCLSID之后，它包含指定.lnk文件中还存在哪些其他结构的标志，其中，HasArguments标志尤为重要。当此标志被设置时，.lnk文件将包含一个COMMAND_LINE_ARGUMENTS结构。作为 .lnk 二进制格式的一部分，可以将其他COMMAND_LINE_ARGUMENTS传递给 .lnk 文件的 Target。在恶意.lnk文件中，这些可能是额外的命令行参数，用于通过 cmd.exe、powershell.exe 或其他 LOLbin 二进制文件下载和安装恶意负载。其经常被攻击者滥用，他们将 .lnk 文件作为其攻击链的一部分，并存在于 ZDI-CAN-25373 的利用中。

LinkTargetIDList

此结构包含.lnk文件的目标。当使用此结构时，将在LinkFlags部分中设置HasLinkTargetIDList标志。

COMMAND_LINE_ARGUMENTS

在 LinksFlags 结构中设置 HasArguments 标志时，将会出现COMMAND_LINE_ARGUMENTS结构。此结构存储命令行参数，这些参数将在激活快捷方式时传递给指定目标。在基于.lnk文件的攻击中，这通常用于代码执行。

ICON_LOCATION

攻击者还经常滥用ICON_LOCATION结构来控制.lnk文件显示的图标。在利用.lnk文件的攻击活动中，攻击者通常会更改图标，以诱导受害者执行快捷方式。由于Windows始终会隐藏.lnk扩展名，攻击者通常会添加一个“伪装”扩展名（如.pdf.lnk）并配上相应的图标，以进一步欺骗用户。

漏洞利用细节

为了利用ZDI-CAN-25373，攻击者精心构造了带有填充空白字符的.lnk文件。这些空白字符包括：

当用户在查看.lnk文件属性时，无法在属性界面查看到恶意参数。该漏洞利用的真正目的是，隐藏.lnk文件将要执行的命令行参数，使用户无法看到执行的参数。

防护措施及亚信安全解决方案

面对如此严重的安全威胁，组织应立即采取行动。首先，应立即扫描并确保对ZDI-CAN-25373漏洞的安全缓解措施已经到位。其次，组织需要保持对可疑.lnk文件的高度警惕，避免点击不明来源的快捷方式文件。此外，建立健全的端点和网络安全防护措施。

亚信安全信桅高级威胁监测系统TDA是一款360度的高级威助检测产品,可掌握全网络的流量来侦测并响应高级威胁与未知威胁，为用户提供更全面的网络威胁侦测。其独特的侦测引擎加上定制化沙箱动态模拟分析，能快速发掘井分析恶意文档、恶意软件、恶意网页、违规外连以及传统防护天法侦测到的内网攻击和定向式攻击活动。TDA的DDI规则已经可以拦截该漏洞：

• 5351 - ZDI-CAN-25373 MICROSOFT WINDOWS ZERO DAY VULNERABILITY - HTTP(RESPONSE)

• 1012182 - Microsoft Windows Zero Day Vulnerability Over HTTP (ZDI-CAN-25373) 

• 1012183 - Microsoft Windows Zero Day Vulnerability Over SMB (ZDI-CAN-25373)

亚信安全病毒码版本19.967.60，云病毒码版本19.967.71，全球码版本19.967.00已经可以检测该漏洞利用文件，并将其命名为LNK_ARGULONG.SMLNK。

ZDI-CAN-25373漏洞的发现再次警示我们，APT组织和复杂的网络犯罪分子正对全球数据的保密性、完整性和可用性构成严重威胁。随着地缘政治紧张局势的不断升级，APT组织利用零日漏洞的复杂性与频率可能会进一步提升。因此，企业和组织亟需采取积极的网络安全策略，借助先进的技术手段来守护其关键资产与业务流程。在当前充满挑战的网络安全环境下，唯有依靠持续的技术创新与积极的防御策略，我们才能有效捍卫数字世界，抵御APT组织的侵害。

IOC

SHA1

ca1370a350c2139d3aefaa054bc35d7aea43b954