LNK 图标走私

对手可能会通过将命令隐藏在看似无害的 Windows 快捷方式文件中来绕过内容过滤器，下载恶意有效载荷。Windows 快捷方式文件 (.LNK) 包含许多元数据字段，包括用于指定要在主机目录中显示的 LNK 文件图标文件路径的图标位置字段（也称为 IconEnvironmentDataBlock）。 对手可能会滥用这些 LNK 元数据来下载恶意有效载荷。例如，对手已被观察到使用 LNK 文件作为网络钓鱼有效载荷来投放恶意软件。一旦调用（例如，恶意文件），通过 LNK 图标位置字段中的外部 URL 引用的有效载荷可能会被下载。这些文件也可能通过 LNK 目标路径字段中的命令和脚本解释器/系统二进制代理执行参数调用。 LNK 图标走私也可能在妥协后使用，例如恶意脚本在受感染主机上执行 LNK 以下载其他恶意有效载荷。