了解 Windows 系統中 LNK 檔案的安全風險以及保持安全的方法

了解 Windows 系統中 LNK 檔案的安全風險以及保持安全的方法

惡意攻擊者持續利用 LNK 檔案發動惡意軟體攻擊,利用其隱藏有害內容這一根本漏洞。由於微軟尚未修復此漏洞,因此在處理 LNK 檔案時必須保持警惕。本指南提供了防範此類文件濫用的關鍵步驟。

了解 LNK 文件:它們帶來的風險

LNK 檔案通常在 Windows 作業系統中以快捷方式的形式生成,其擴展名為.lnk。您可能熟悉如何建立或允許應用程式建立這些桌面捷徑;但是,需要注意的是,Windows 會隱藏.lnk 副檔名,並將其替換為一個獨特的側向箭頭圖示。

這些捷徑會將使用者直接引導至指定的檔案或應用程序,但它們卻隱藏著一個令人擔憂的功能——其目標欄位可以被篡改,從而包含命令列指令。這項特性使得網路犯罪分子能夠執行惡意腳本,這些腳本常用於無檔案攻擊,例如 Astaroth 等惡意軟體就利用了這種攻擊手段。

尤其危險的是,攻擊者可以利用目標欄位中過多的空格來隱藏惡意腳本。因此,使用者可能只會看到一個看似無害的目標位址,而惡意指令卻在背景執行。此漏洞的編號為:CVE-2025-9491。

通常,具有欺騙性的.lnk 檔案隱藏在壓縮套件中,並使用類似「Instructions.pdf.ink」這樣的誤導性檔案名稱。由於 Windows 系統預設不顯示檔案副檔名,使用者可能會誤將其識別為“Instructions.pdf”,並在開啟檔案時不知不覺地觸發攻擊。

在 Windows 系統中顯示 LNK 檔案副檔名

抵禦此類威脅的第一道防線是識別 LNK 文件,將其視為快捷方式而非真實文件。由於 LNK 檔案設計用於本地或網路環境,因此任何來自外部來源的未經請求的 LNK 檔案都可能是網路釣魚攻擊。

為了更好地識別 LNK 文件,您可以配置 Windows 顯示.lnk 副檔名。這需要修改註冊表,因為標準的檔案副檔名切換選項不適用於.lnk 檔案。首先,在系統設定中啟用「顯示檔案副檔名」選項,然後套用下列註冊表變更:

重要提示:在對註冊表進行任何更改之前,請務必備份註冊表。錯誤的更改可能會導致系統不穩定或資料遺失。

訪問註冊表並導航至:

HKEY_CLASSES_ROOT\lnkfile

找到並刪除該NeverShowExt字串。重新啟動電腦以使變更生效。之後,所有快捷方式都會顯示.lnk 副檔名。請務必小心,不要打開任何聲稱是.ink 文件的文件。

在 Windows 中刪除註冊表字串

分析 LNK 檔案安全性

如果遇到可疑的 LNK 文件,建議仔細檢查其目標欄位。右鍵單擊該文件,然後選擇“屬性”。在「快捷方式」標籤中,仔細查看「目標」欄位。

LNK 檔案目標欄位顯示 Nvidia 應用程式位置

合法的捷徑應該用引號括起來,顯示可執行檔的確切路徑。如果路徑指向 cmd.exe、powershell.exe 或 mshta.exe 等命令列工具,則可能表示有惡意意圖。此外,字串末尾出現隨機字元或二進位序列也可能暗示存在惡意活動。

停用自動播放和檔案預覽

歷史上,Windows 的 USB 磁碟機自動播放功能和檔案總管中的檔案預覽選項一直存在利用 LNK 檔案進行攻擊的漏洞。儘管微軟已經改進了安全措施,但這些功能仍然存在風險。如果這些功能並非您工作流程的必要組成部分,請考慮停用它們以提高安全性。

若要停用自動播放,請依序進入Windows 設定藍牙和裝置自動播放,然後關閉開關。有關管理文件預覽設定的信息,請參閱我們的完整指南。

在 Windows 設定中停用自動播放

啟用受控資料夾存取權限

受控資料夾存取是 Windows 的功能,旨在保護關鍵資料夾(例如「文件」、「圖片」和「桌面」)免受未經授權的更改,尤其是勒索軟體攻擊。鑑於許多 LNK 檔案攻擊都以這些目錄為目標進行惡意操作,啟用此功能可增加至關重要的安全性。有關啟動的詳細說明,請參閱我們的指南。

加強 PowerShell 安全性

LNK 檔案攻擊通常利用 PowerShell 指令執行惡意操作。若要降低此風險,請將 PowerShell 操作限制為僅對已簽署腳本執行操作。在 Windows 搜尋列中鍵入“powershell”,右鍵單擊應用程序,然後選擇“以管理員身份執行”。輸入以下命令,然後鍵入“y”確認更改。

Set-ExecutionPolicy AllSigned

請注意,此設定可能會影響依賴自訂 PowerShell 腳本的工作流程,尤其是在企業環境中。若要撤銷此更改,請使用:

Set-ExecutionPolicy Undefined

此外,請參閱我們的指南,以了解進一步保護 PowerShell 的補充技巧。

一個明智的做法是:除非您創建了 LNK 文件,或透過可信任應用程式授權創建,否則請避免開啟這些文件。對於從互聯網下載的文件,這一點尤其重要。請務必啟用 Windows 安全功能以獲得最大程度的保護,尤其是在某些安全功能被停用的情況下。

了解更多並查看圖片

相關文章:

任天堂已安排在周三舉行《超級瑪利歐銀河》電影直面會。
任務管理器開發商聲稱 Windows 11 已演變為各種產品的銷售平台

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *