Argumentos de linha de comando ocultos
Além da falsificação de alvos, Beukema demonstrou uma técnica para ocultar instruções maliciosas de linha de comando atrás de executáveis legítimos. Os arquivos LNK podem iniciar binários confiáveis do Windows enquanto passam instruções controladas pelo invasor por meio de argumentos incorporados, permitindo a execução “living-off-the-land” (LOLBINs) sem apontar diretamente para malware.
Segundo o pesquisador, isso pode ser feito manipulando a entrada passada em determinados campos da seção “ExtraData” do LNK que determina metadados de destino adicionais. Habilitar o sinalizador “HasExpString” e configurar “EnvironmentVariableDataBlock” com campos “TargetANSI/TargetUnicode” preenchidos com bytes nulos produz o que ele descreveu como resultados “inesperados”.
“Primeiro, ele desativa o campo de destino, o que significa que o campo de destino se torna somente leitura e não pode ser selecionado”, disse Beukema. “Em segundo lugar, ele esconde os argumentos da linha de comando; mas quando o LNK é aberto, ele ainda os transmite.” O comportamento pode ser explorado para iniciar um componente de sistema inofensivo enquanto executa secretamente comandos arbitrários, como download de cargas ou execução de scripts.
Fonte: Computer World
