日常工作中，電腦桌面和開始菜單中的快捷方式對于大家來說并不陌生，點擊之后就可進入相應的應用程序。由于快捷方式自身不是可執(zhí)行文件，多數(shù)情況只起到了跳轉作用，同時在大多數(shù)用戶慣性思維的加持下，很容易讓人放松安全警惕。即使在點擊后，殺毒軟件提示發(fā)現(xiàn)病毒，但仍然會有用戶手動信任，甚至臨時關閉殺毒軟件。

　　近日，360安全大腦就檢測到一批特殊的快捷方式，其利用社會工程學進行別有用心的偽裝后，大肆實施釣魚攻擊。該類釣魚病毒不僅具備與快捷方式極其相似的高隱蔽性;同時因為其多使用腳本語言開發(fā)，所以也擁有著開發(fā)周期短和易混淆的特點;而且由于其一般不需要考慮環(huán)境和版本差異，使得無數(shù)用戶頻繁中招。

　　那么，如何才能不被這些披著快捷方式外衣的釣魚病毒欺騙呢?在此，360安全大腦就為大家拆穿一些常見花招。

　　招式一：表里不一

　　試想，如果看到一份“外貌”正常的文檔圖標，你會對它進行防備么?而事實上，此類表里不一的偽裝卻可能是快捷方式病毒最常用的伎倆。將惡意程序和快捷方式放在同一目錄下，并使用docx后綴和文檔圖標進行偽裝，很容易讓用戶覺得這就是一個普通文檔。

　　然而，如果你信以為真，就意味著將不幸中招了。經分析，這個偽裝成文檔的快捷方式實際執(zhí)行的命令，是通過cmd執(zhí)行目錄下一個修改了后綴的可執(zhí)行文件svchost.rtf，而此文件正是遠控木馬。

　　同樣，變幻多端的快捷方式病毒，也可能偽裝成常用的文件夾圖標。如下圖，同一個zip壓縮包里包含了一個修改為文件夾圖標的快捷方式，和一個通過后綴名改為jpg偽裝成圖片的隱藏可執(zhí)行文件。

　　如果稍不慎雙擊打開了偽裝的文件夾快捷方式，則會通過執(zhí)行如下命令，最終運行名稱偽裝為JPG圖片的木馬程序。

　　由此可見，該類手法就是利用了用戶通過圖標含義理解文件類型的思維習慣，來實施攻擊。所以，當我們接收到陌生可疑文件或文件夾時，不妨注意以下幾點：

　　1)右鍵查看快捷方式“屬性”–“目標”一欄里是否有可疑字符串，確保與期待的目標文件相一致;

　　2)觀察快捷方式同目錄下是否存在其他可疑文件或者隱藏文件，若存在需確認是否為危險文件。

　　招式二：綿里藏針

　　除了要當心壓縮包里同時包含快捷方式和隱藏文件的情況之外，如果壓縮包里只有一個快捷方式也不要掉以輕心，因為惡意腳本或者資源可以全部內嵌到快捷方式中。如下圖，該病毒將名稱偽裝成圖片Credit Card Back.jpg，圖標卻偽裝成了docx文檔。

　　通過查看快捷方式的目標屬性就可發(fā)現(xiàn)，這明顯不是普通的快捷方式，而這段代碼的主要功能是最終釋放具有執(zhí)行遠程命令、盜取隱私等木馬行為的JS文件。

　　面對這種綿里藏針的釣魚快捷方式病毒，用戶只要保持警惕性，實際很容易識破，因為惡意代碼都嵌入在快捷方式中，所以最終的快捷方式文件通常比較大，如果發(fā)現(xiàn)文件大小異常或者查看屬性發(fā)現(xiàn)有可疑字符串，那就一定要當心了。

　　招式三：藏形匿影

　　基于腳本語言的特點，一些快捷方式病毒會利用各種方式，將核心代碼“隱藏起來”，而這些為了躲避殺毒軟件檢測的“潛伏”手段則是花樣百出。

　　有的不法分子會通過超長命令行，來隱藏數(shù)據。

　　該快捷方式指向一段CMD命令，使用環(huán)境變量進行解密后的命令如下圖所示：

　　但是，命令開啟mshta.exe后，沒有任何參數(shù)，也不會運行任何腳本，那其它數(shù)據到底藏到了哪里呢?

　　原來，在Windows系統(tǒng)中屬性的“目標”只能查看260個字符，而命令行參數(shù)的最大長度為4096個字符，惡意文件正是利用這個特性隱藏了位于260個字符以后的數(shù)據。通過對完整代碼解密后便會發(fā)現(xiàn)，該代碼主要是在通過打開誘餌文檔蒙蔽用戶后，加載惡意代碼。

　　有的不法分子則會對嵌入的腳本進行高強度混淆，不免讓人頭暈目眩。

　　然而，從經過多次去除混淆得到最終的腳本代碼中可以看出，該代碼最終將通過CMD執(zhí)行惡意PowerShell腳本。

　　還有的不法分子會將快捷方式病毒同攻擊載荷打包到一個壓縮文件，壓縮文件末尾添加有附加數(shù)據。

　　如上圖，壓縮包里面有兩個文件，一個是正常PDF文檔，另一個為偽裝成圖片的快捷方式。如果打開快捷方式，則會通過執(zhí)行如下命令來釋放惡意腳本，最后還會打開正常PDF文件迷惑用戶。

　　而面對以上這些藏形匿影的釣魚快捷方式病毒，大家盡可以注意以下幾點，以實現(xiàn)見招拆招：

　　1)單一快捷方式可以檢查文件大小，正?？旖莘绞街挥袔譑大小，體積過大請勿執(zhí)行;

　　2)壓縮包中的快捷方式可以先解壓，然后查看快捷方式是否通過CMD執(zhí)行同目錄的其他文件。

　　招式四：聲東擊西

　　看過以上招式后，如果你覺得僅通過判斷目標文件，就能識別快捷方式病毒的話，那你就大錯特錯了。部分攻擊者也會通過Link Resolution機制來重定位目標，這種情況下，乍一看指向的目標文件不存在，實際上是在聲東擊西迷惑用戶。

　　在快捷方式的文件結構中有一個RELATIVE_PATH字段，如果存在這樣的值，打開快捷方式就會嘗試修復快捷方式的指向。如下快捷方式的RELATIVE_PATH值為.DeviceConfigManager.vbs，執(zhí)行時會被修復為當前目錄下的VBS腳本文件，而這，恰恰就為病毒的釋放提供了執(zhí)行路徑。

　　所以，在面對該類聲東擊西的快捷方式病毒之時，大家切記要對其中暗藏的殺機加以防范，在點擊開啟前：

　　1)可以首先右鍵查看快捷方式“屬性”，并查看其“目標”指向的文件是否存在;

　　2)若不存在此文件，還需要判斷快捷方式同目錄下的文件與其指向的文件是否具有相同文件名，若存在此種情況，需要高度警惕，否則極易中招。

　　縱觀以上案例后不難發(fā)現(xiàn)，快捷方式病毒既可以通過內嵌腳本執(zhí)行惡意功能，也可以通過調用指向的文件來進行攻擊，形式靈活，手段多變。最重要的是，不法分子主要利用了用戶的認知習慣，使得該類攻擊方式極具威脅。

　　而事實上，著名黑客凱文·米特尼克在其著作《欺騙的藝術》就曾提到，人為因素才是安全的軟肋，就此也提出了社會工程學的概念。不同于找到存在于程序或者服務器之內的漏洞以攻克目標的方式，社會工程學則是利用人性弱點這一安全漏洞，通過欺騙受害者的手段來實施對計算機系統(tǒng)的網絡攻擊。甚至在有些情況下，往往一些技術并不復雜的攻擊方式，反而因此而屢試不爽。

　　所以，在明白“人是網絡安全中的薄弱環(huán)節(jié)”這一道理后，廣大用戶一定要時刻謹記提高網絡安全防范意識，以避免為不法分子提供可乘之機。除此之外，大家也可以及時前往weishi.#下載安裝360安全衛(wèi)士，在360安全大腦的極智賦能下，360安全衛(wèi)士可全面攔截各類釣魚木馬攻擊，心動的小伙伴不妨親自一試。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。