新的Windows10文件类型可能会被用于恶意应用

   SettingContent-ms文件类型 SpecterOps的平安研究员Matt Nelson示意,2015年Windows10中引入的新文件类型可能被滥用于运行恶意应用程序。风险在于黑客可能行使文件花样绕过操作系统防御并运行随便和恶意代码。 此文件扩展名为“SettingContent-ms”,主要用于确立Windows设置页面的快捷方式。微软的念头是确立一个控制面板选项的替换品。

若何恶意使用它? SettingContent-ms只是一个XML文件,其中包罗指向差异Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包罗双击文件时执行的完整二进制路径。最初它原本是windows 10设置页面的位置。然则,可以编辑DeepLink值并将其替换为要运行的其他随便二进制文件。例如,cmd.exe,Powershell.exe等。 问题是,一旦打开了SettingContent-ms文件,就会执行DeepLink符号中指定的二进制文件,而不会向用户发出任何通知或忠告。从Internet下载文件时会泛起相同的行为。 此外,该文件可以使用OLE(工具链接和嵌入)嵌入Microsoft office文档中。此方式绕过Microsoft对文件嵌入的限制。

SentinelOne若那边理此场景? SentinelOne Behavioral AI Engine可检测滥用此文件花样的攻击,并凭证有用负载自己对其举行分类。引擎从打开此类文件最先跟踪执行流程,并检测由此发生的任何恶意行为。然而,不会检测到也不会阻止SettingContent-ms花样的正当用法。 以下是全心设计的SettingContent-ms文件示例,该文件导致运行恶意PowerUp剧本。

新的Windows10文件类型可能会被用于恶意应用插图

在SentinelOne治理控制台,攻击被检测为无文件攻击,由于PowerUp自己在内存中执行,文件系统上没有任何痕迹。

新的Windows10文件类型可能会被用于恶意应用插图(1)

新的windows10文件类型可能会被滥用以运行恶意应用程序首先泛起在SentinelOne上。 接见:

给TA买糖
共{{data.count}}人
人已赞赏
软件百科

Tracert怎么使用?Win7电脑上使用Tracert的方式

2021-6-3 4:25:25

软件百科

长城嘉翔D台式电脑无法U盘启动怎么办 Bios设置U盘启动的方式

2021-6-3 5:05:56

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索