Quantum Builder
網絡安全研究人員揭示了一種名為 Quantum Builder(Quantum Software)的強大威脅工具,該工具允許威脅參與者創建武器化的 .lnk 文件。 LNK 是 Windows 系統上可以攜帶損壞代碼的快捷方式文件。威脅參與者可以濫用此功能來利用在被破壞系統上發現的合法工具,例如 PowerShell 或 MSHTA(用於執行 Microsoft HTML 應用程序文件)。
研究人員發布的一份報告中公佈了有關 Quantum Builder 的詳細信息。他們發現威脅被出售給潛在的威脅參與者。價格定為每月 189 歐元,兩個月 335 歐元,六個月 899 歐元。對於終生訪問,潛在的犯罪分子需要一次性支付 1,500 歐元。該構建器帶有一個圖形界面和一組廣泛的選項和參數,以方便創建損壞的 LNK。
此外,Quantum 被宣傳為完全無法檢測到,這意味著沒有反惡意軟件引擎或網絡安全保護機制能夠將其標記為潛在的可疑或直接威脅。此外,它還可以繞過 Windows UAC(用戶帳戶控制)以及 Windows Smartscreen。該威脅還具有使用單個 LNK 文件加載多個威脅有效載荷的能力。除了 LNK,Quantum Builder 還允許攻擊者創建 HTA 文件甚至 ISO 檔案,這些檔案通常被用作將所有有害組件打包到磁盤映像中的手段。
研究人員發現了 Quantum Builder 的另一個顯著特徵。顯然,該威脅可能允許攻擊者通過 dogwalk n-day 漏洞執行任意代碼執行。該漏洞影響 Microsoft 支持診斷工具 (MSDT)。
