2018-09-11 16:30:15作者:系统之家
如何恶意使用它?
SettingContent-ms只是一个XML文件,其中包含指向不同Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是Windows 10设置页面的位置。但是,可以编辑DeepLink值并将其替换为要运行的其他任意二进制文件。例如,cmd.exe,Powershell.exe等。
问题是,一旦打开了SettingContent-ms文件,就会执行DeepLink标记中指定的二进制文件,而不会向用户发出任何通知或警告。从Internet下载文件时会出现相同的行为。
此外,该文件可以使用OLE(对象链接和嵌入)嵌入Microsoft Office文档中。此方法绕过Microsoft对文件嵌入的限制。
SentinelOne如何处理此场景?
SentinelOne Behavioral AI Engine可检测滥用此文件格式的攻击,并根据有效负载本身对其进行分类。引擎从打开此类文件开始跟踪执行流程,并检测由此产生的任何恶意行为。然而,不会检测到也不会阻止SettingContent-ms格式的合法用法。
以下是精心设计的SettingContent-ms文件示例,该文件导致运行恶意PowerUp脚本。
在SentinelOne管理控制台,攻击被检测为无文件攻击,因为PowerUp本身在内存中执行,文件系统上没有任何痕迹。
以上就是新的Windows10文件类型可能会被滥用以运行恶意应用程序首先出现在SentinelOne上的介绍,希望今天的分享能给大家带来帮助。
如何制作U盘安装介质?Win10系统U盘安装介质制作步骤讲解
Win7电脑如何安装SQL2008|Win7电脑安装SQL Server2008教程
Win10系统安装软件提示没有访问目录的权限的解决方法
电脑出现runtime error怎么办?|分享解决系统出现runtime error问题方法
一键安全给戴尔 XPS 14z(XPSZ14D-118)安装windows系统教程分享
win10系统提示“rsdfense.exe应用程序错误”解决方法分享【图文教程】
win7系统设置网易云为默认播放器方法分享【图文教程】
图文演示简单给联想ThinkPad E450 20DCA04XCD重装win10系统教程
神舟K480N-M10 D1免费安装系统教程分享【图文】