您当前所在位置:首页安装教程win10安装win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序

win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序

更新:2023-09-25 21:53:27编辑:tooool归类:win10安装人气:132

Windows10中引入的新文件类型可能被滥用于运行恶意应用程序,风险在于黑客可能利用文件格式绕过操作系统防御并运行任意和恶意代码。“SettingContent-ms”文件主要用于创建Windows设置页面的快捷方式。微软的动机是创建一个控制面板选项的替代品。

如何恶意使用它?

SettingContent-ms只是一个XML文件,其中包含指向不同Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是Windows 10设置页面的位置。但是,可以编辑DeepLink值并将其替换为要运行的其他任意二进制文件。例如,cmd.exe,Powershell.exe等。

问题是,一旦打开了SettingContent-ms文件,就会执行DeepLink标记中指定的二进制文件,而不会向用户发出任何通知或警告。从Internet下载文件时会出现相同的行为。

此外,该文件可以使用OLE(对象链接和嵌入)嵌入Microsoft Office文档中。此方法绕过Microsoft对文件嵌入的限制。

SentinelOne如何处理此场景?

SentinelOne Behavioral AI Engine可检测滥用此文件格式的攻击,并根据有效负载本身对其进行分类。引擎从打开此类文件开始跟踪执行流程,并检测由此产生的任何恶意行为。然而,不会检测到也不会阻止SettingContent-ms格式的合法用法。

以下是精心设计的SettingContent-ms文件示例,该文件导致运行恶意PowerUp脚本。

win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序

在SentinelOne管理控制台,攻击被检测为无文件攻击,因为PowerUp本身在内存中执行,文件系统上没有任何痕迹。

win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序

新的Windows10文件类型可能会被滥用以运行恶意应用程序首先出现在SentinelOne上。

相关教程:如何更改文件类型win10您试图保存的文件类型被信任中心

我告诉你msdn版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!

win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序
windows10预览版,Windows10预览版与正式版:功能比较、优缺点分析及使用建议 win7激活工具下载,Win7激活工具下载及小马Win7激活工具下载:免费激活你的Windows 7操作系统