黑鲨win7系统
电脑教程推荐

当前位置:主页 > 系统教程 >

快速设置win10系统settingContent-ms文件类型被滥用于运行恶意应用程序的教程?

发布时间:2018-06-25     来源:http://www.win7winxp.com  作者:黑鲨win7系统

  快速设置win10系统settingContent-ms文件类型被滥用于运行恶意应用程序的教程?

windows10中引入的新文件类型大概被滥用于运行恶意应用程序,风险在于黑客大概利用文件格式绕过操作系统防御并运行任意和恶意代码。“settingContent-ms”文件主要用于创建windows设置页面的快捷方式。微软的动机是创建一个控制面板选项的替代品。

怎么恶意使用它?

settingContent-ms只是一个xML文件,其中包含指向不同windows设置页面的路径。架构中的一个元素是deepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是windows 10设置页面的位置。但是,可以编辑deepLink值并将其替换为要运行的其他任意二进制文件。例如,cmd.exe,powershell.exe等。

问题是,一旦打开了settingContent-ms文件,就会执行deepLink标记中指定的二进制文件,而不会向网友发出一点通知或警告。从internet下载文件时会出现相同的行为。

此外,该文件可以使用oLE(对象链接和嵌入)嵌入Microsoft office文档中。此办法绕过Microsoft对文件嵌入的限制。

sentinelone怎么解决此场景?

sentinelone Behavioral Ai Engine可检查滥用此文件格式的攻击,并依据有效负载本身对其进行分类。引擎从打开此类文件开始跟踪执行流程,并检查由此产生的一点恶意行为。然而,不会检查到也不会阻止settingContent-ms格式的合法用法。

以下是精心设计的settingContent-ms文件示例,该文件导致运行恶意powerUp脚本。

在sentinelone管理控制台,攻击被检查为无文件攻击,因为powerUp本身在内存中执行,文件系统上无一点痕迹。

新的windows10文件类型大概会被滥用以运行恶意应用程序首先出现在sentinelone上。