Editor Top
Argumentos ocultos de la línea de comandos
Más allá de la suplantación de objetivos, Beukema demostró una técnica para ocultar instrucciones de línea de comandos maliciosas detrás de ejecutables legítimos. Los archivos LNK pueden iniciar archivos binarios confiables de Windows mientras pasan instrucciones controladas por el atacante a través de argumentos integrados, lo que permite la ejecución «viviendo de la tierra» (LOLBIN) sin apuntar directamente al malware.
Según el investigador, esto se puede hacer manipulando la entrada pasada a ciertos campos dentro de la sección «ExtraData» de LNK que determina metadatos de destino adicionales. Habilitar el indicador «HasExpString» y configurar «EnvironmentVariableDataBlock» con campos «TargetANSI/TargetUnicode» llenos de bytes nulos produce lo que describió como resultados «inesperados».
«En primer lugar, desactiva el campo de destino, lo que significa que el campo de destino se vuelve de sólo lectura y no se puede seleccionar», dijo Beukema. «En segundo lugar, oculta los argumentos de la línea de comandos; sin embargo, cuando se abre el LNK, todavía los transmite». El comportamiento se puede aprovechar para iniciar un componente inofensivo del sistema mientras se ejecutan en secreto comandos arbitrarios, como descargar cargas útiles o ejecutar scripts.
