MastaStealer利用Windows LNK启动PowerShell并绕过Defender

Windows LNK文件仍然是攻击者在目标系统上建立初始访问的首选载体。最近，安全研究人员发现了一个复杂的MastaStealer活动，利用这些快捷方式文件提供全功能的C2信标，同时关闭关键的端点防护。

感染始于包含单个.lnk文件的ZIP归档的鱼叉式网络钓鱼邮件。当受害者执行快捷方式时，攻击会分多个阶段展开，旨在保持低调的同时建立持久性。

LNK文件在前台启动Microsoft Edge并导航至anydesk[.]com，制造合法应用程序的假象。这种社会工程策略分散用户对后台活动的注意力，同时恶意软件从anydesk[.]net（合法AnyDesk域名的仿冒变体）静默下载MSI安装程序。

检测与MSI部署

安全团队通过Windows Installer事件日志发现入侵，当时MSI安装在缺乏本地管理员权限的系统上失败。失败的安装生成了应用程序事件ID 11708，触发了关联规则并启动快速事件响应。如果用户拥有提升的权限，攻击将在未被检测到的情况下继续进行。

成功执行后，MSI会将其内容解压缩到%LOCALAPPDATA%\Temp\MW-\files.cab的临时目录中，然后将实际有效负载dwm.exe投放到%LOCALAPPDATA%\Microsoft\Windows。此可执行文件作为C2信标，为攻击者提供对受感染系统的直接远程访问。

此活动最令人担忧的方面涉及在MSI安装期间执行PowerShell命令以创建Windows Defender排除项：

1

Add-MpPreference -ExclusionPath "C:\Users\admin\AppData\Local\Microsoft\Windows\dvm.exe"

此命令将恶意可执行文件添加到Defender排除列表，有效地使Windows Defender对C2信标的存在视而不见。通过禁用恶意软件安装路径的实时保护，攻击者确保其持久性机制对自动安全扫描和事件响应活动保持不可见。

组织应实施监控LNK文件执行、针对安全排除项的可疑PowerShell命令以及未签名MSI安装的控制措施。恶意软件与两个命令控制服务器通信：

这些域利用随机命名约定来规避域信誉过滤和基于DNS的威胁情报平台。

此活动展示了攻击者如何将多种规避技术链接在一起以绕过分层防御。基于LNK的执行、基于MSI的部署和Defender排除项的组合创建了复杂的攻击序列，需要警惕的端点检测和响应能力。

此外，监控Windows Installer事件日志中的失败仍然是关键检测机制，可在攻击者改进其方法之前捕获未成功的入侵尝试。