Trusted Design

T1023 - Shortcut Modification

概要

Shortcuts or symbolic links are ways of referencing other files or programs that will be opened or executed when the shortcut is clicked or executed by a system startup process. Adversaries could use shortcuts to execute their tools for persistence. They may create a new shortcut as a means of indirection that may use Masquerading to look like a legitimate program. Adversaries could also edit the target path or entirely replace an existing shortcut so their tools will be executed instead of the intended legitimate program.

管理者によるコメント

T1023「Shortcut Modification」（ショートカットの改ざん） は、Windowsのショートカットファイル（.lnk）やURLショートカット（.url）の内容を書き換え、ユーザーが正規のプログラムを起動したつもりで、裏で悪意のあるコマンドを実行させる手法です。

「永続化（Persistence）」の手段として非常によく使われる、シンプルながらも効果的な攻撃です。

1. 概要

この手法で攻撃者は、「ユーザーの日常的な操作をトリガーにした、マルウェアの再実行」を実現します。

何を実現できるのか

• 永続化:
  ユーザーがブラウザやExcelなどを開くたびにマルウェアが起動するため、スタートアップフォルダ等への登録よりも目立ちにくく、確実に動作し続けます。

• 検知の回避:
  実行ファイル自体（.exe）を置き換えるのではなく、それを指し示す「リンク先」を書き換えるだけなので、アンチウイルスソフトによるファイルの整合性チェックをすり抜けやすくなります。

2. 攻撃の流れ

攻撃者は、既にシステムに侵入し、ショートカットファイルを編集できる権限を得た後に実行します。

1. ターゲットの選定:
   ユーザーが頻繁に使うアプリ（Chrome, Outlook, Wordなど）のショートカットを特定します。

2. リンク先の改ざん:
   ショートカットのプロパティにある「リンク先（Target）」の項目を書き換えます。

   • 例: 本来の C:\Program Files\Chrome\chrome.exe を以下のように変更します。
   • cmd.exe /c "start chrome.exe & powershell.exe -ExecutionPolicy Bypass -File C:\path\to\malware.ps1"

3. アイコンの維持:
   アイコン画像（Icon Location）は元のアプリのままにしておくため、ユーザーは異変に気づきません。

4. 実行:
   ユーザーがデスクトップやタスクバーのアイコンをダブルクリックすると、正規のアプリが立ち上がると同時に、バックグラウンドで攻撃者のスクリプトが実行されます。

3. 防御・対策

「ショートカットの整合性」と「不自然な親子プロセス」の監視が重要です。

• ショートカットファイルの監視:
  デスクトップ、スタートメニュー、クイック起動バーなどにある .lnk ファイルの変更を監視します。特に「リンク先」に cmd.exe や powershell.exe、ネットワークパスが含まれていないかチェックします。

• EDRによるプロセスツリーの分析:
  正規のアプリケーション（例：chrome.exe）が起動する際に、本来発生しないはずの cmd.exe や powershell.exe が子プロセスとして生成されていないか監視・遮断します。

• Autorunsの活用:
  Sysinternalsの Autoruns ツールを使用すると、システム内のショートカットのリンク先を一覧で確認でき、異常な引数（Arguments）がついたものを特定できます。

• 書き込み権限の制限:
  重要なショートカットが配置されているディレクトリへの書き込み権限を制限し、一般ユーザー権限では変更できないようにします。

4. 重要ポイント

• 「引数（Arguments）」の悪用:
  .exe 自体は正規のものを指定しつつ、その後に長い引数を付けて難読化されたスクリプトを実行させるパターンが多いです。

• ソーシャルエンジニアリングとの組み合わせ:
  攻撃者がメールで「請求書.lnk」というファイルを送り、ユーザーにクリックさせてマクロやスクリプトを実行させる初期侵入（Initial Access）の手法としても使われます。

5. 関連する主なCWE

• CWE-427: Uncontrolled Search Path Element:
  プログラムの呼び出しパスが制御されておらず、意図しない場所にあるバイナリが実行されてしまう問題。

• CWE-73: External Control of File Name or Path:
  外部（攻撃者）によってファイルパスや実行コマンドが制御されてしまう不備。

6. 関連する代表的な事例

• Gootkit / Emotet:
  過去の大規模なマルウェアキャンペーンにおいて、ショートカットを改ざんしてPowerShellスクリプトを呼び出し、永続化を図る手法が多用されました。

• APT29 (Cozy Bear):
  高度な標的型攻撃グループが、ショートカットファイルを巧みに操り、正規のシステムツールを介してマルウェアをロードさせる手法（Living off the Land）の一部として利用しています。

実務上のアドバイス

普段使っているブラウザの起動が妙に遅かったり、一瞬だけ黒いウィンドウ（コマンドプロンプト）が出たりする場合は、ショートカットのプロパティを開いて「リンク先」に変なコマンドが追加されていないか確認してみてください。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2013-3660
• CVE-2008-1436

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る