全3757文字
PR

 米マイクロソフトは2022年2月、メールなどのインターネット経由で入手されたOfficeファイルのVBAマクロ機能をデフォルトでブロックする方針を発表した。攻撃者はこれまで侵入の手がかりによく使っていた手口が封じられたわけだ。当然、別の手口を模索することになる。その1つが、今回紹介するWindowsのショートカットファイル(LNKファイル)の悪用である。こうしたマルウエアを「LNKマルウエア」と呼ぶ。

 LNKマルウエアとは、ユーザーがダブルクリックするとそれ自身が不正な挙動を示すLNKファイルや、他のマルウエアに感染させる仕組みを備えるLNKファイルを指す。LNKファイルは、Windowsのエクスプローラーで拡張子を表示するように設定しても拡張子が表示されない。アイコンも簡単に変更でき、ユーザーはあまり警戒しない。一方でリンク先にスクリプトやコマンドを記述できるため、攻撃に悪用しやすい。LNKマルウエア自体は10年以上前から存在するが、その手口は以前よりも巧妙になっている。

ツールで簡単に作成できる

 手口を知ることは防御につながる。攻撃の具体的な手口を見ていこう。LNKマルウエアは簡単に作成できる状況が整い始めている。「LNKマルウエアビルダー」と呼ばれるツールがあるためだ。今回は2種類のツールを紹介する。

 1つは「QuantumBuilder」(図1)。ハッカーフォーラムで月額189ユーロからの使用料(永久ライセンスは2000ユーロ)で販売されている。

図1●LNKマルウエアの作成ツール「QuantumBuilder」
図1●LNKマルウエアの作成ツール「QuantumBuilder」
ショートカットファイル(LNKファイル)を通じて呼び出すHTAファイルを指定する。HTAファイルにはHTMLやJavaScriptでアプリケーションが記述されている。このアプリケーションがEXEファイルをダウンロードして実行させる。こうしたファイルを作成する機能などを備えている。
[画像のクリックで拡大表示]

 QuantumBuilderを使うと、LNKファイルを開いたときにバックグラウンドで実行させるHTAファイルの作成や、その他の様々な設定が数クリックで完了する。300種類以上のアイコンの中からLNKファイルを偽装するアイコンを選べる。またLNKファイルの拡張子を偽装する機能や、LNKファイルをクリックしたときにおとりのファイルを開かせる機能なども備える。

 もう1つは「mLNK Builder」というツールだ(図2)。匿名性が高いSNSなどのアンダーグラウンドで、月額100ドルからの使用料で販売されている。LNKファイルを開いたときに実行するマルウエアやおとりファイルを複数設定できるほか、LNKファイルに埋め込むPowerShellスクリプトやVBScriptを難読化する機能なども備える。

図2●LNKマルウエアの作成ツール「mLNK Builder」
図2●LNKマルウエアの作成ツール「mLNK Builder」
LNKファイルに埋め込むPowerShellスクリプトやVBScriptを難読化する機能などを備える。
[画像のクリックで拡大表示]

 LNKマルウエアは攻撃のきっかけを作る重要な役割を担うが、実用性のあるLNKマルウエアを作成するのはそれなりに骨が折れる。攻撃者からすると、こうしたツールを使わない手はないだろう。