了解 Windows 系统中 LNK 文件的安全风险以及保持安全的方法

了解 Windows 系统中 LNK 文件的安全风险以及保持安全的方法

恶意攻击者持续利用 LNK 文件发起恶意软件攻击,利用其隐藏有害内容这一根本性漏洞。由于微软尚未修复此漏洞,因此在处理 LNK 文件时必须保持警惕。本指南提供了防范此类文件滥用的关键步骤。

了解 LNK 文件:它们带来的风险

LNK 文件通常在 Windows 操作系统中以快捷方式的形式生成,其扩展名为.lnk。您可能熟悉如何创建或允许应用程序创建这些桌面快捷方式;但是,需要注意的是,Windows 会隐藏.lnk 扩展名,并将其替换为一个独特的侧向箭头图标。

这些快捷方式会将用户直接引导至指定的文件或应用程序,但它们却隐藏着一个令人担忧的功能——其目标字段可以被篡改,从而包含命令行指令。这一特性使得网络犯罪分子能够执行恶意脚本,这些脚本常用于无文件攻击,例如 Astaroth 等恶意软件就利用了这种攻击手段。

尤其危险的是,攻击者可以利用目标字段中过多的空格来隐藏恶意脚本。因此,用户可能只会看到一个看似无害的目标地址,而恶意指令却在后台执行。此漏洞的编号为:CVE-2025-9491。

通常,具有欺骗性的.lnk 文件隐藏在压缩包中,并使用类似“Instructions.pdf.ink”这样的误导性文件名。由于 Windows 系统默认不显示文件扩展名,用户可能会误将其识别为“Instructions.pdf”,并在打开文件时不知不觉地触发攻击。

在 Windows 系统中显示 LNK 文件扩展名

抵御此类威胁的第一道防线是识别 LNK 文件,将其视为快捷方式而非真实文件。由于 LNK 文件设计用于本地或网络环境,因此任何来自外部来源的未经请求的 LNK 文件都可能是网络钓鱼攻击。

为了更好地识别 LNK 文件,您可以配置 Windows 显示.lnk 扩展名。这需要修改注册表,因为标准的文件扩展名切换选项不适用于.lnk 文件。首先,在系统设置中启用“显示文件扩展名”选项,然后应用以下注册表更改:

重要提示:在对注册表进行任何更改之前,请务必备份注册表。错误的更改可能会导致系统不稳定或数据丢失。

访问注册表并导航至:

HKEY_CLASSES_ROOT\lnkfile

找到并删除该NeverShowExt字符串。重启电脑以使更改生效。之后,所有快捷方式都将显示.lnk 扩展名。请务必小心,不要打开任何声称是.ink 文件的文件。

在 Windows 中删除注册表字符串

分析 LNK 文件安全性

如果遇到可疑的 LNK 文件,建议仔细检查其目标字段。右键单击该文件,然后选择“属性”。在“快捷方式”选项卡中,仔细查看“目标”字段。

LNK 文件目标字段显示 Nvidia 应用程序位置

合法的快捷方式应该用引号括起来,显示可执行文件的确切路径。如果路径指向 cmd.exe、powershell.exe 或 mshta.exe 等命令行工具,则可能表明存在恶意意图。此外,字符串末尾出现随机字符或二进制序列也可能暗示存在恶意活动。

禁用自动播放和文件预览

历史上,Windows 的 USB 驱动器自动播放功能和文件资源管理器中的文件预览选项一直存在利用 LNK 文件进行攻击的漏洞。尽管微软已经改进了安全措施,但这些功能仍然存在风险。如果这些功能并非您工作流程的必要组成部分,请考虑禁用它们以提高安全性。

要禁用自动播放,请依次进入Windows 设置蓝牙和设备自动播放,然后关闭开关。有关管理文件预览设置的信息,请参阅我们的完整指南。

在 Windows 设置中禁用自动播放

启用受控文件夹访问权限

受控文件夹访问是 Windows 的一项功能,旨在保护关键文件夹(例如“文档”、“图片”和“桌面”)免受未经授权的更改,尤其是勒索软件攻击。鉴于许多 LNK 文件攻击都以这些目录为目标进行恶意操作,启用此功能可增加至关重要的安全保障。有关激活的详细说明,请参阅我们的指南。

加强 PowerShell 安全性

LNK 文件攻击通常利用 PowerShell 命令执行恶意操作。为降低此风险,请将 PowerShell 操作限制为仅对已签名脚本执行操作。在 Windows 搜索栏中键入“powershell”,右键单击该应用程序,然后选择“以管理员身份运行”。输入以下命令,然后键入“y”确认更改。

Set-ExecutionPolicy AllSigned

请注意,此设置可能会影响依赖自定义 PowerShell 脚本的工作流程,尤其是在企业环境中。要撤销此更改,请使用:

Set-ExecutionPolicy Undefined

此外,请参阅我们的指南,了解有关进一步保护 PowerShell 的补充技巧。

一条明智的做法是:除非您创建了 LNK 文件,或者通过可信应用程序授权创建,否则请避免打开这些文件。对于从互联网下载的文件,这一点尤为重要。务必启用 Windows 安全功能以获得最大程度的保护,尤其是在某些安全功能被禁用的情况下。

了解更多并查看图片

相关文章:

任天堂已安排在周三举行《超级马里奥银河》电影直面会。
任务管理器开发商声称 Windows 11 已演变为各种产品的销售平台

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注