विंडोज़ एलएनके फाइलों पर भरोसा नहीं किए जाने के चार नए कारण – कंप्यूटरवर्ल्ड

लक्ष्य स्पूफिंग से परे, बेउकेमा ने वैध निष्पादन योग्य के पीछे दुर्भावनापूर्ण कमांड-लाइन निर्देशों को छिपाने के लिए एक तकनीक का प्रदर्शन किया। एलएनके फाइलें एम्बेडेड तर्कों के माध्यम से हमलावर-नियंत्रित निर्देशों को पारित करते हुए विश्वसनीय विंडोज बायनेरिज़ लॉन्च कर सकती हैं, जो सीधे मैलवेयर की ओर इशारा किए बिना “लिविंग-ऑफ-द-लैंड” (एलओएलबीआईएन) निष्पादन को सक्षम करती हैं।

शोधकर्ता के अनुसार, यह एलएनके “एक्स्ट्राडेटा” अनुभाग के भीतर कुछ क्षेत्रों में पारित इनपुट में हेरफेर करके किया जा सकता है जो अतिरिक्त लक्ष्य मेटाडेटा निर्धारित करता है। “HasExpString” ध्वज को सक्षम करना और “EnvironmentVariableDataBlock” को “TargetANSI/TargetUnicode” फ़ील्ड के साथ शून्य बाइट्स से भरे हुए कॉन्फ़िगर करना, जो उन्होंने “अप्रत्याशित” परिणामों के रूप में वर्णित किया है, उत्पन्न करता है।

बेउकेमा ने कहा, “सबसे पहले, यह लक्ष्य फ़ील्ड को अक्षम कर देता है, जिसका अर्थ है कि लक्ष्य फ़ील्ड केवल पढ़ने के लिए बन जाता है और उसका चयन नहीं किया जा सकता है।” “दूसरी बात, यह कमांड-लाइन तर्कों को छुपाता है; फिर भी जब एलएनके खोला जाता है, तब भी यह उन्हें पास कर देता है।” पेलोड डाउनलोड करने या स्क्रिप्ट चलाने जैसे मनमाने आदेशों को गुप्त रूप से निष्पादित करते समय हानिरहित सिस्टम घटक लॉन्च करने के लिए इस व्यवहार का फायदा उठाया जा सकता है।