-
win10系统SettingContent-ms文件类型被滥用于运行恶意应用程序
- 作者:王美玲 分类:win10 发布时间:2022-11-16 17:53:02
Windows10中引入的新文件类型可能被滥用于运行恶意应用程序,风险在于黑客可能利用文件格式绕过操作系统防御并运行任意和恶意代码。“SettingContent-ms”文件主要用于创建Windows设置页面的快捷方式。微软的动机是创建一个控制面板选项的替代品。 如何恶意使用它? SettingContent-ms只是一个XML文件,其中包含指向不同Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是Windows 10设置页面的位置。...
Windows10中引入的新文件类型可能被滥用于运行恶意应用程序,风险在于黑客可能利用文件格式绕过操作系统防御并运行任意和恶意代码。“SettingContent-ms”文件主要用于创建Windows设置页面的快捷方式。微软的动机是创建一个控制面板选项的替代品。
如何恶意使用它?
SettingContent-ms只是一个XML文件,其中包含指向不同Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是Windows 10设置页面的位置。但是,可以编辑DeepLink值并将其替换为要运行的其他任意二进制文件。例如,cmd.exe,Powershell.exe等。
问题是,一旦打开了SettingContent-ms文件,就会执行DeepLink标记中指定的二进制文件,而不会向用户发出任何通知或警告。从Internet下载文件时会出现相同的行为。
此外,该文件可以使用OLE(对象链接和嵌入)嵌入Microsoft Office文档中。此方法绕过Microsoft对文件嵌入的限制。
SentinelOne如何处理此场景?
SentinelOne Behavioral AI Engine可检测滥用此文件格式的攻击,并根据有效负载本身对其进行分类。引擎从打开此类文件开始跟踪执行流程,并检测由此产生的任何恶意行为。然而,不会检测到也不会阻止SettingContent-ms格式的合法用法。
以下是精心设计的SettingContent-ms文件示例,该文件导致运行恶意PowerUp脚本。
新的Windows10文件类型可能会被滥用以运行恶意应用程序首先出现在SentinelOne上。
猜您喜欢
- 【投屏秘籍】Win10电脑轻松投屏至电视..2024-04-25
- 轻松掌握:Win10局域网共享软件设置步..2024-04-25
- Win10打开文件总弹出应用商店?一招解..2024-04-24
- Win10快速关机秘籍:你知道快捷键是哪..2024-04-24
- Win10ENG输入法秘密大揭秘,轻松切换中..2024-04-24
- 掌握Win10密码策略设置,安全护航你的..2024-04-24
相关推荐
- win10怎么使用蓝屏代码查询器?使用蓝..2017-09-08
- win10电脑桌面怎么添加时钟 win10桌面如..2023-10-11
- win10系统自带显示网速在哪看..2022-10-05
- win10禁止更新怎么设置彻底更新 win10自..2022-02-12
- win10控制面板没有语言怎么办 win10控制..2022-03-11
- Win10系统怎么新建虚拟桌面..2022-09-15