SettingContent-ms文件類型

SpecterOps的安全研究員Matt Nelson表示，2015年Windows10中引入的新文件類型可能被濫用于運(yùn)行惡意應(yīng)用程序。風(fēng)險(xiǎn)在于黑客可能利用文件格式繞過(guò)操作系統(tǒng)防御并運(yùn)行任意和惡意代碼。

此文件擴(kuò)展名為“SettingContent-ms”，主要用于創(chuàng)建Windows設(shè)置頁(yè)面的快捷方式。微軟的動(dòng)機(jī)是創(chuàng)建一個(gè)控制面板選項(xiàng)的替代品。

如何惡意使用它？

SettingContent-ms只是一個(gè)XML文件，其中包含指向不同Windows設(shè)置頁(yè)面的路徑。架構(gòu)中的一個(gè)元素是DeepLink元素。它包含雙擊文件時(shí)執(zhí)行的完整二進(jìn)制路徑。最初它本來(lái)是Windows 10設(shè)置頁(yè)面的位置。但是，可以編輯DeepLink值并將其替換為要運(yùn)行的其他任意二進(jìn)制文件。例如，cmd.exe，Powershell.exe等。

問(wèn)題是，一旦打開(kāi)了SettingContent-ms文件，就會(huì)執(zhí)行DeepLink標(biāo)記中指定的二進(jìn)制文件，而不會(huì)向用戶發(fā)出任何通知或警告。從Internet下載文件時(shí)會(huì)出現(xiàn)相同的行為。

此外，該文件可以使用OLE（對(duì)象鏈接和嵌入）嵌入Microsoft Office文檔中。此方法繞過(guò)Microsoft對(duì)文件嵌入的限制。

SentinelOne如何處理此場(chǎng)景？

SentinelOne Behavioral AI Engine可檢測(cè)濫用此文件格式的攻擊，并根據(jù)有效負(fù)載本身對(duì)其進(jìn)行分類。引擎從打開(kāi)此類文件開(kāi)始跟蹤執(zhí)行流程，并檢測(cè)由此產(chǎn)生的任何惡意行為。然而，不會(huì)檢測(cè)到也不會(huì)阻止SettingContent-ms格式的合法用法。

以下是精心設(shè)計(jì)的SettingContent-ms文件示例，該文件導(dǎo)致運(yùn)行惡意PowerUp腳本。

在SentinelOne管理控制臺(tái)，攻擊被檢測(cè)為無(wú)文件攻擊，因?yàn)镻owerUp本身在內(nèi)存中執(zhí)行，文件系統(tǒng)上沒(méi)有任何痕跡。

新的Windows10文件類型可能會(huì)被濫用以運(yùn)行惡意應(yīng)用程序首先出現(xiàn)在SentinelOne上。

訪問(wèn)：