det0405-detection-strategy-for-lnk-icon-smuggling

# DET0405 — Detection Strategy for LNK Icon Smuggling ## Descrição O LNK Icon Smuggling é uma técnica de evasão em que adversários criam arquivos de atalho Windows (`.lnk`) com ícones personalizados que apontam para recursos remotos (WebDAV, SMB, HTTP), forçando o Windows Explorer a autenticar automaticamente ao navegar na pasta que contém o arquivo. Isso permite captura de hashes NTLMv2 via ferramentas como Responder sem interação direta do usuário — apenas abrir a pasta é suficiente. A técnica também é utilizada para disfarçar payloads maliciosos: arquivos `.lnk` com ícones de documentos legítimos (PDF, Word, Excel) que, ao serem clicados, executam comandos PowerShell ou scripts em vez de abrir o documento esperado. Campanhas de spear-phishing frequentemente entregam esses arquivos via ZIP ou ISO para contornar proteções de Mark-of-the-Web. Grupos como [[s0650-qakbot|qbot]], [[s0367-emotet]] e [[g0032-lazarus-group]] têm utilizado LNK files extensivamente como vetor de acesso inicial. A detecção requer análise do conteúdo binário dos arquivos `.lnk` para identificar destinos suspeitos em `TargetPath`, além do monitoramento de autenticações NTLM para shares remotos não catalogados disparadas por processos Explorer. ## Indicadores de Detecção - Arquivos `.lnk` com `TargetPath` apontando para UNC paths externos (`\\attacker-ip\share\`) ou URLs HTTP - Autenticações NTLM ou Kerberos para hosts não presentes no inventário da organização disparadas por `explorer.exe` - Arquivos `.lnk` dentro de archives ZIP ou ISO entregues por email com ícones de documentos comuns - `TargetPath` em arquivos `.lnk` apontando para `%TEMP%`, `%APPDATA%` ou caminhos com múltiplas extensões - Tamanho de arquivo `.lnk` inusualmente grande (> 10KB) indicando payload embutido ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1187-forced-authentication|T1187 — Forced Authentication]] - [[t1221-template-injection|T1221 — Templaté Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an1134-analytic-1134|AN1134 — Analytic 1134]] --- *Fonte: [MITRE ATT&CK — DET0405](https://attack.mitre.org/detectionstrategies/DET0405)*