반응형

LNK 파일이란?

LNK(Link) 파일은 Windows에서 사용하는 바로가기(Shortcut) 파일입니다.

확장자는 .lnk 입니다.

원래는 단순히 프로그램이나 파일을 빠르게 실행하기 위한 파일이지만,

공격자는 LNK 파일을 악성코드 유포 수단으로 자주 악용합니다.


쉽게 이해하기

원래 목적

메모장 바로가기
↓

notepad.lnk
 

정상적인 바로가기입니다.


공격자가 만든 경우

급여명세서.pdf.lnk
 

사용자는 PDF라고 생각하고 클릭하지만,

실제로는

 
powershell.exe
↓

악성 스크립트 실행
↓

C2 서버 연결
 

이 수행됩니다.


왜 위험할까?

LNK 파일은

  • PowerShell 실행
  • CMD 실행
  • LOLBin 실행
  • 악성 DLL 실행
  • 인터넷에서 파일 다운로드

등을 모두 수행할 수 있습니다.

최근 APT 공격에서도 많이 사용됩니다.


공격 과정

피싱 메일

↓

급여명세서.pdf.lnk 첨부

↓

사용자가 실행

↓

PowerShell 실행

↓

악성코드 다운로드

↓

Beaconing

↓

C2 연결
 

SOC에서 탐지 포인트

다음과 같은 경우를 주의합니다.

  • 메일 첨부파일에 .lnk
  • USB에서 실행된 LNK
  • LNK가 PowerShell 호출
  • LNK가 CMD 실행
  • LNK가 mshta.exe 실행
  • LNK가 rundll32.exe 실행

대응 방법

  • 메일에서 LNK 첨부 차단
  • 파일 확장자 숨김 기능 해제
  • PowerShell 실행 제한
  • EDR을 통한 행위 기반 탐지
  • 사용자 보안 교육

관련 용어

  • LOLBin : LNK가 PowerShell, cmd.exe, mshta.exe 같은 정상 프로그램을 실행하는 데 자주 사용됨
  • LotL : LNK를 통해 정상 도구를 악용하는 공격
  • Beaconing : 실행된 악성코드가 C2 서버와 주기적으로 통신
  • EDR : LNK 실행 이후의 비정상적인 행위를 탐지

실무 사례

2024~2025년에도 여러 APT 그룹이 LNK 파일을 이용한 피싱 공격을 지속적으로 사용했습니다. 사용자가 바로가기 파일을 문서로 착각해 실행하면 PowerShell이나 다른 정상 도구를 호출해 악성코드를 설치하는 방식이 대표적입니다.


용어 정의

LNK 파일(Windows Shortcut)
: Windows에서 프로그램이나 파일을 빠르게 실행하기 위한 바로가기 파일(.lnk)이다. 공격자는 LNK 파일에 PowerShell, CMD 등 정상 프로그램 실행 명령을 포함시켜 악성코드를 실행하거나 추가 페이로드를 다운로드하는 데 악용한다.

 

 

 

반응형

+ Recent posts