# T1027.012 - LNK Icon Smuggling ## Técnica Pai Sub-técnica de [[t1027-obfuscated-files-or-information|T1027 - Obfuscaté Files or Information]], que agrupa métodos usados por adversários para disfarçar payloads maliciosos, dificultando a análise e detecção por ferramentas de segurança. ## Descrição Adversários exploram arquivos de atalho do Windows (`.LNK`) para contrabandear comandos de download de payloads maliciosos além de filtros de conteúdo. O mecanismo central é o campo de localização do ícone (`IconEnvironmentDataBlock`), um metadado do arquivo LNK originalmente projetado para indicar o caminho de exibição do ícone no explorador de arquivos. Ao apontar esse campo para uma URL externa em vez de um caminho local, o adversário instrui o Windows a requisitar o recurso remotamente quando o arquivo LNK é processado - sejá por abertura direta pelo usuário (via [[t1204-002-malicious-file|Arquivo Malicioso]]) ou por execução automatizada em scripts pós-comprometimento. O payload baixado pode então ser executado por [[t1059-command-and-scripting-interpreter|Interpretadores de Linha de Comando e Scripts]] ou por [[t1218-system-binary-proxy-execution|Execução via Proxy de Binários do Sistema]]. A técnica é especialmente eficaz contra filtros de e-mail e proxies corporativos porque o arquivo LNK em si não contém código malicioso detectável - o conteúdo suspeito só trafega na rede no momento da execução, e frequentemente utiliza domínios legítimos ou comprometidos para hospedar o payload. ## Como Funciona O arquivo `.LNK` é um formato binário estruturado (Shell Link Binary File Format) que contém múltiplos blocos de dados. O bloco `IconEnvironmentDataBlock` (código `0xA0000007`) permite específicar o caminho do ícone em formato de string, incluindo caminhos UNC (`\\servidor\recurso`) e URLs. **Fluxo de execução:** 1. O adversário cria um arquivo LNK com o campo `IconEnvironmentDataBlock` apontando para uma URL controlada (ex: `http://c2.exemplo.com/icon.ico`) 2. O arquivo LNK é distribuído por phishing, e-mail corporativo comprometido ou mídia removível 3. Quando a vítima acessa a pasta contendo o LNK (mesmo sem clicar), o Windows Explorer pode processar o campo de ícone e realizar a requisição HTTP 4. O servidor C2 responde com um payload disfarçado como arquivo de ícone, que na verdade contém código malicioso (ex: [[t1105-ingress-tool-transfer|transferência de ferramentas]]) 5. O campo `target path` do LNK pode adicionalmente conter argumentos para executar o payload baixado via `mshta.exe`, `wscript.exe`, `certutil.exe` ou outros LOLBins **Variante pós-comprometimento:** Em hosts já comprometidos, scripts maliciosos geram LNKs locais que executam ao ser processados pelo Explorer, funcionando como mecanismo de persistência discreta ou para baixar estágios adicionais sem criar novos processos suspeitos diretamente. ## Attack Flow ```mermaid graph TB A[Criação do arquivo LNK malicioso] --> B[IconEnvironmentDataBlock aponta para URL C2] B --> C[Distribuição via phishing ou e-mail corporativo] C --> D[Vítima recebe o arquivo LNK] D --> E{Vetor de ativação} E --> F[Vítima abre a pasta no Explorer] E --> G[Vítima clica no atalho] F --> H[Windows Explorer processa campo de ícone] G --> H H --> I[Requisição HTTP/HTTPS para servidor C2] I --> J[Download do payload disfarçado de ícone] J --> K[Execução via LOLBin - mshta / wscript / certutil] K --> L[Malware implantado no host] L --> M[Persistência ou movimentação lateral] ``` ## Exemplos de Uso **Kimsuky - Campanhas de Espionagem contra Coreia do Sul e Jápão:** O grupo APT norte-coreano [[g0094-kimsuky|Kimsuky]] utilizou LNK Icon Smuggling em campanhas de spear-phishing contra pesquisadores de política e funcionários governamentais. Os arquivos LNK eram distribuídos como supostos documentos de política internacional, com ícones imitando o Microsoft Word. A requisição de ícone desencadeava o download de um dropper PowerShell. **Gamaredon Group - Operações contra a Ucrânia:** O [[g0047-gamaredon|Gamaredon Group]], APT russo vinculado ao FSB, incorporou LNK smuggling em campanhas massivas de phishing contra entidades governamentais ucranianas. Os LNKs eram distribuídos em arquivos ZIP, e o payload baixado era frequentemente uma variante do malware [[s0147-pteranodon|Pteranodon]]/Pterodo. O grupo explorou a técnica para manter fluxo de comprometimento contínuo durante o conflito em curso. **Mustang Panda - Campanha PlugX na Ásia e Europa:** O [[g0129-mustang-panda|Mustang Panda]] (também conhecido como TA416 e RedDelta) empregou LNKs com icon smuggling para distribuir o [[s1239-toneshell|TONESHELL]] e variantes do [[s0013-plugx|PlugX]] contra organizações diplomáticas e ONGs. Os arquivos LNK imitavam documentos de política de imigração europeia e comúnicados da OTAN, com ícones solicitados de domínios que imitavam serviços legítimos de CDN. ## Detecção ```yaml title: Arquivo LNK com Campo de Ícone Apontando para URL Externa status: experimental logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: '.lnk' filter_legitimate: TargetFilename|startswith: - 'C:\ProgramData\Microsoft\' - 'C:\Windows\System32\' condition: selection and not filter_legitimate falsepositives: - Criação legítima de atalhos por instaladores de software level: low tags: - attack.defense_evasion - attack.t1027.012 ``` ```yaml title: Requisição de Rede Originada pelo Processo Explorer via LNK status: experimental logsource: category: network_connection product: windows detection: selection: Image|endswith: '\explorer.exe' Initiated: 'true' DestinationPort: - 80 - 443 filter_known_good: DestinationHostname|endswith: - '.microsoft.com' - '.windows.com' - '.windowsupdaté.com' condition: selection and not filter_known_good falsepositives: - Explorer fazendo requisições legítimas para previews de thumbnails level: medium tags: - attack.defense_evasion - attack.t1027.012 ``` ```yaml title: LOLBin Executado com Argumento de URL após Abertura de LNK status: experimental logsource: category: process_creation product: windows detection: selection_lolbin: Image|endswith: - '\mshta.exe' - '\wscript.exe' - '\certutil.exe' - '\bitsadmin.exe' CommandLine|contains: - 'http://' - 'https://' selection_parent: ParentImage|endswith: '\explorer.exe' condition: selection_lolbin and selection_parent falsepositives: - Scripts de instalação legítimos invocados pelo Explorer level: high tags: - attack.defense_evasion - attack.t1027.012 - attack.execution - attack.t1218 ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1049 | [[Antimalware]] | Soluções EDR modernas com detecção comportamental identificam a cadeia Explorer → requisição de rede → execução de LOLBin. Manter assinaturas atualizadas e habilitar detecção de LNK maliciosos nos gateways de e-mail. | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Plataformas de proteção de endpoint com análise comportamental (ex: Microsoft Defender for Endpoint, CrowdStrike Falcon) bloqueiam a cadeia de execução mesmo sem assinatura conhecida, detectando o padrão de requisição suspeita originada pelo Explorer. | ## Contexto Brasil/LATAM A técnica LNK Icon Smuggling tem relevância crescente no Brasil e na América Latina pelos seguintes vetores: **Phishing Corporativo em Português:** Campanhas de spear-phishing direcionadas a executivos brasileiros frequentemente distribuem arquivos LNK disfarçados de documentos fiscais (NF-e, boletos, intimações judiciais). A familiaridade dos usuários com arquivos de atalho no Windows e a ausência de treinamento sobre esse vetor específico tornam o ataque especialmente eficaz. **Grupos APT com Interesse na Região:** O [[g0129-mustang-panda|Mustang Panda]] tem histórico de campanhas na América do Sul, especialmente contra entidades governamentais e organizações ligadas ao comércio internacional com a China. A técnica de icon smuggling foi documentada em campanhas direcionadas a países do bloco sul-americano em 2023-2024. **Ecosistema de Crime Financeiro Local:** Operadores de banking trojans brasileiros como o [[s0531-grandoreiro|Grandoreiro]] e o [[mekotio|Mekotio]] adotaram progressivamente técnicas de obfuscação mais sofisticadas, incluindo variantes de smuggling via arquivos LNK e MSI para contornar filtros de e-mail corporativos dos grandes bancos brasileiros (Itaú, Bradesco, Santander, Caixa). **Vetores de Distribuição Regionais:** No contexto LATAM, os LNKs maliciosos frequentemente chegam via WhatsApp Business (plataforma dominante no Brasil), serviços de armazenamento em nuvem brasileiros e portais de emprego, além do vetor tradicional de e-mail. ## Referências - MITRE ATT&CK - T1027.012 (versão 16.2) - Recorded Future - Mustang Panda LNK Campaigns (2024) - ESET Research - Gamaredon Group: A decade of cyberespionage (2022-2024) - Securelist (Kaspersky) - Kimsuky threat actor profile - Microsoft Threat Intelligence - LNK-based delivery campaigns in Eastern Europe *Fonte: MITRE ATT&CK - T1027.012*