想必大家对快捷方式文件类型都不陌生，日常办公中桌面快捷方式可以很方便的管理操作软件。本文将站在攻击者的角度引领大家深入探讨攻击者如何利用快捷方式文件进行钓鱼攻击，甚至部分APT组织将LNK文件作为其投递的主要载荷。未知攻，焉知防，本文将站在攻击者的角度，引领大家深入探讨一下攻击者如何利用快捷方式进行钓鱼攻击。

毋庸置疑，对于用户来讲，快捷方式文件是一个非常成功的发明。创建快捷方式非常简单，只需要右键单击要创建快捷方式的文件或程序，然后选择“发送到”>“桌面快捷方式”即可。除了桌面，还可以将快捷方式固定到任务栏或开始菜单，方便快速访问。相比于直接打开文件或程序，使用快捷方式可以极大的提高工作效率。

快捷方式除了可以设置一些特殊的属性，例如“目标”、“起始位置”、“备注”，它还具备几个显而易见的特点：1、支持带参数执行任意目标文件；2、支持显示目标文件的图标；3、支持设置文件启动方式；4、文件名和后缀名可以完全自定义。很明显这些特点是为了帮助用户更好地管理和使用快捷方式，但是利用这些特性，黑客也可以方便的进行网络钓鱼欺骗。

如图，我们只需要简单的几步，就通过快捷方式实现了一个看起来像是“密码.docx”的执行恶意命令的钓鱼文件。稍不留神，即使是具备一定安全意识的人也很容易就被文件名和图标迷惑，而一旦双击就会导致命令被执行。

图：构造执行命令的欺骗性快捷方式

图：双击快捷方式导致命令执行

修改文件大小

图：修改快捷方式的文件大小

修改文件图标

图：修改文件图标解析路径

图：修改后的快捷方式在wps环境下的图标显示

修改文件指向显示

图：修改快捷方式文件LinkTargetIDList结构的ItemID

图：修改快捷方式文件EnvironmentVariableDataBlock中的TargetAnsi及TargetUnicode

图：快捷方式的目标属性已被修改

大部分人可能不了解Internet快捷方式文件类型，简单介绍一下：相比于普通的快捷方式，Internet快捷方式是一种用于连接到互联网上的资源或网站的快捷方式，它同样支持任意图标修改、文件名和后缀名完全自定义。与普通快捷方式相比，Internet快捷方式文件后缀名为.URL，并且支持与网页相关的属性设置。

创建Internet快捷方式很简单，如图，在创建快捷方式的对象位置中输入目标url就能成功创建，系统默认显示为网页类型的图标，通过查看Internet快捷方式的文件内容，可以看到指向目标链接的url属性。

图：创建Internet快捷方式文件

恶意利用

图：利用Internet快捷方式打开远程文件

欺骗伪造

除了url属性外，Internet快捷方式还支持很多其他的属性，攻击者可以通过IconFile、IconIndex来控制文件图标的显示，有个好消息是，由于微软取消了Internet快捷方式的远程ico引用，目前只能显示当前电脑中已存在的图标，不过即使如此攻击者仍然可以构建欺骗性很强的钓鱼文件。

如图，通过修改文件属性将图标显示成了pdf的文件图标。同样，Internet快捷方式仍然可以通过拼接的方式任意改变文件大小。

图：修改Internet快捷方式的文件图标

图：修改Internet快捷方式的文件大小