t1547-009-shortcut-modification

# T1547.009 - Shortcut Modification ## Técnica Pai Esta é uma sub-técnica de [[t1547-boot-logon-autostart-execution|T1547 - T1547 - Boot or Logon Autostart Execution]]. ## Descrição A modificação de atalhos (arquivos `.lnk`) é uma técnica de persistência elegante e subestimada que permite ao adversário garantir a execução do malware sempre que o usuário interagir com um atalho aparentemente legítimo - sejá na área de trabalho, na pasta de programas ou nas pastas de inicialização automática do Windows. Um arquivo LNK é fundamentalmente um ponteiro: ao modificar o caminho-alvo desse ponteiro para apontar para um executável malicioso enquanto mantém o ícone e o nome do programa legítimo, o adversário cria um mecanismo de persistência que passa despercebido para usuários e muitas ferramentas de segurança, pois o arquivo LNK em si não contém código executável. A técnica se manifesta de duas formas principais. Na primeira, o adversário cria um novo atalho malicioso na pasta de inicialização automática do Windows (`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup`) que executa o malware a cada login do usuário. Na segunda - mais sofisticada - um atalho legítimo existente é modificado para primeiro executar o malware e depois chamar o programa original, tornando o comportamento do atalho externamente idêntico ao esperado. Essa segunda abordagem é frequentemente combinada com [[t1036-masquerading|Masquerading]] para maximizar a furtividade. O abuso de atalhos na pasta de startup também é compatível com técnicas de [[t1566-001-spearphishing-attachment|Spearphishing Attachment]], onde o arquivo LNK malicioso é entregue como anexo em e-mails de phishing. Os arquivos LNK podem ainda ser aproveitados para modificar extensões de navegador - conforme descrito em [[t1176-001-browser-extensions|Browser Extensions]] - criando atalhos que carregam o navegador com extensões maliciosas adicionadas via linha de comando. Essa variante é particularmente perigosa em ambientes corporativos onde navegadores são o principal vetor de acesso a sistemas internos, portais de RH e bancos online. A técnica-pai [[t1547-*|T1547]] engloba outros mecanismos de autorun do Windows, e o conhecimento desse ecossistema é fundamental para detecção abrangente. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior volume de campanhas de phishing via LNK na América Latina. O malware [[s0531-grandoreiro|Grandoreiro]] - um dos trojans bancários mais ativos na região - utiliza arquivos LNK como vetor de infecção primário em campanhas de e-mail, frequentemente disfarçados como faturas, notificações fiscais da Receita Federal ou comprovantes de pagamento Pix. Grupos como [[g0078-gorgon-group|Gorgon Group]] também distribuem atalhos maliciosos em campanhas direcionadas a empresas brasileiras do setor industrial e de logística. A familiaridade cultural com atalhos na área de trabalho e a alta taxa de uso do Windows no ambiente corporativo brasileiro tornam essa técnica particularmente eficaz na região. ## Attack Flow ```mermaid graph TB A([Entrega via Phishing / Acesso]) --> B([Criação ou Modificação do LNK]) B --> C{Shortcut Modification}:::highlight C --> D([Execução na Inicialização]) D --> E([Persistência Estabelecida]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário cria ou obtém acesso ao sistema-alvo e identifica atalhos de alto valor para modificar - preferêncialmente aqueles na pasta de startup automático ou atalhos de aplicações amplamente usadas na área de trabalho (navegador, cliente de e-mail, VPN). O malware é preparado para ser chamado como primeiro argumento do atalho, com o programa legítimo como segundo argumento para mascarar o comportamento. Em campanhas de phishing, o arquivo LNK malicioso é criado antes do envio e compactado em arquivo ZIP ou ISO para contornar filtros de e-mail que bloqueiam extensões executáveis. ### 2. Execução Quando o usuário clica no atalho modificado ou quando o sistema inicia e processa a pasta de startup, o Windows executa o comando embutido no campo `Target` do arquivo LNK. Um atalho malicioso típico contém algo como: `C:\Windows\System32\cmd.exe /c start %TEMP%\payload.exe && start "C:\Program Files\App\app.exe"`. O usuário vê o programa legítimo abrir normalmente enquanto o payload executa em segundo plano. Técnicas de [[t1036-masquerading|Masquerading]] como uso do ícone correto e nome de exibição idêntico ao original eliminam qualquer indicador visual de comprometimento. ### 3. Pós-execução O malware estabelecido via LNK persiste através de reinicializações sem modificar o registro ou criar serviços - mecanismos mais monitorados por ferramentas de segurança. Para ataques avançados, o adversário pode combinar essa técnica com [[t1027-obfuscated-files-or-information|ofuscação]] do payload e uso de [[t1218-signed-binary-proxy-execution|LOLBins]] (Living-off-the-Land Binaries) no campo Target do atalho, como `mshta.exe`, `wscript.exe` ou `regsvr32.exe`, tornando a execução ainda mais difícil de bloquear por listas de hash. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | Descrição | |----------|-------|-----------| | 11 | Sysmon | FileCreaté - criação de arquivo .lnk em pasta de startup | | 1 | Sysmon | Criação de processo filho anômalo de atalho na startup | | 4688 | Security | Criação de processo - cmd.exe ou powershell.exe como filho de explorer.exe via LNK | | 4663 | Security | Acesso a objeto - modificação de arquivo .lnk em diretórios monitorados | | 4698 | Security | Tarefa agendada criada - frequentemente combinada com LNK para persistência dupla | **Regra Sigma - Modificação de atalho em pasta de inicialização:** ```yaml title: Shortcut Modification in Startup Folder id: c8d3e4f5-9a0b-1c2d-3e4f-5a6b7c8d9e0f status: stable description: Detecta criação ou modificação de arquivos .lnk nas pastas de inicialização automática do Windows logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\Microsoft\Windows\Start Menu\Programs\Startup\' - '\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\' TargetFilename|endswith: '.lnk' filter_legitimate: Image|contains: - '\Windows\Installer\' - '\Program Files\' condition: selection and not filter_legitimate falsepositives: - Instaladores legítimos que criam atalhos de inicialização - Ferramentas de gerenciamento de endpoint (SCCM, Intune) level: high tags: - attack.persistence - attack.t1547.009 ``` ## Mitigação | ID | Mitigação | Aplicação Prática para Organizações Brasileiras | |----|-----------|------------------------------------------------| | [[m1018-user-account-management\|M1018 - User Account Management]] | Princípio do menor privilégio | Restringir permissão de escrita nas pastas de startup a administradores; usuários padrão não devem ter permissão de criar ou modificar arquivos nessas pastas | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Controle de aplicações (AppLocker/WDAC) | Implementar políticas AppLocker que bloqueiem execução de processos cujo processo-pai sejá um arquivo .lnk com destinos fora de caminhos confiáveis | | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Permissões de filesystem | Configurar ACLs restritivas nas pastas de startup do usuário e do sistema; auditar mudanças via Group Policy com Event ID 4663 | | Monitoramento de LNK | Detecção ativa | Implementar regras Sysmon (Event ID 11) para alertar criação de arquivos .lnk fora de fluxos de instalação legítimos, especialmente em pastas de startup | | Filtragem de e-mail | Prevenção de entrega | Bloquear arquivos .lnk, .iso e .zip contendo .lnk em gateways de e-mail - principal vetor de entrega no Brasil (campanhas Grandoreiro, NFe falsa, Receita Federal) | | Conscientização | Treinamento de usuário | Treinar usuários para não clicar em atalhos recebidos por e-mail ou mensagem; simular campanhas de phishing com LNK em exercícios de red team internos | ## Threat Actors - [[g0087-apt39|APT39]] - APT iraniano (Charming Kitten) que usa modificação de LNK em campanhas de espionagem contra telecomúnicações e viagens, frequentemente combinado com [[t1566-001-spearphishing-attachment|Spearphishing Attachment]] para entrega inicial - [[g0065-leviathan|Leviathan]] - APT chinês (APT40) que emprega atalhos maliciosos em campanhas contra setores marítimo e de defesa, usando LNK para carregar implantes BADFLICK e PHOTO - [[g0032-lazarus-group|Lazarus Group]] - APT norte-coreano que utiliza LNK maliciosos extensivamente em campanhas financeiras e de espionagem, incluindo ataques a exchanges de criptomoeda e setores de defesa - [[g0078-gorgon-group|Gorgon Group]] - grupo paquistanês que usa atalhos LNK como vetor primário em campanhas de commodity malware distribuídas por phishing massivo, com alvos recorrentes no Brasil e Argentina ## Software Associado - [[s0531-grandoreiro|Grandoreiro]] - trojan bancário brasileiro que usa LNK como vetor de infecção primário em campanhas direcionadas a bancos brasileiros, frequentemente disfarçado como nota fiscal eletrônica - [[s0270-roguerobin|RogueRobin]] - backdoor do APT39 distribuído via LNK em documentos de phishing, usa DNS tunneling para comunicação C2 - [[s0153-redleaves|RedLeaves]] - malware do grupo APT10 que usa atalhos modificados para persistência, com capacidades de keylogging e captura de tela - [[s0439-okrum|Okrum]] - backdoor do grupo ESET Ke3chang que estabelece persistência via LNK na pasta de startup do usuário - [[s0172-reaver|Reaver]] - malware do APT33 que combina modificação de LNK com DLL side-loading para persistência furtiva - [[s0170-helminth|Helminth]] - implante do OilRig que usa LNK na startup para garantir execução após reinicialização em alvos de longo prazo - [[s0652-markirat|MarkiRAT]] - RAT iraniano atribuído ao Ferocious Kitten que usa atalhos do Telegram modificados para persistência em sistemas de dissidentes - [[s0339-micropsia|Micropsia]] - malware do APT-C-30 que modifica atalhos de aplicações legítimas para estabelecer persistência em campanhas de espionagem no Oriente Médio - [[s0058-sslmm|SslMM]] - implante usado pelo Leviathan que combina LNK modification com comunicação C2 cifrada via SSL - [[s0244-comnie|Comnie]] - backdoor do grupo Tropic Trooper que usa atalhos maliciosos em campanhas contra governo e saúde em países do Pacífico e LATAM --- *Fonte: [MITRE ATT&CK - T1547.009](https://attack.mitre.org/techniques/T1547/009)*