win7系统下载
当前位置: 首页 > win10系统教程 > 详细页面

新的Windows10文件分类也许会被用于恶意应用

发布时间:2023-01-05 文章来源:深度系统下载 浏览:

Windows 10是美国微软公司研发的跨平台及设备应用的操作系统。是微软发布的最后一个独立Windows版本。Windows 10共有7个发行版本,分别面向不同用户和设备。截止至2018年3月7日,Windows 10正式版已更新至秋季创意者10.0.16299.309版本,预览版已更新至春季创意者10.0.17120版本

SettingContent-ms文件类型

SpecterOps的安全研究员Matt Nelson表示,2015年Windows10中引入的新文件类型可能被滥用于运行恶意应用程序。风险在于黑客可能利用文件格式绕过操作系统防御并运行任意和恶意代码。

此文件扩展名为“SettingContent-ms”,主要用于创建Windows设置页面的快捷方式。微软的动机是创建一个控制面板选项的替代品。

 

如何恶意使用它?

SettingContent-ms只是一个XML文件,其中包含指向不同Windows设置页面的路径。架构中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。最初它本来是Windows 10设置页面的位置。但是,可以编辑DeepLink值并将其替换为要运行的其他任意二进制文件。例如,cmd.exe,Powershell.exe等。

问题是,一旦打开了SettingContent-ms文件,就会执行DeepLink标记中指定的二进制文件,而不会向用户发出任何通知或警告。从Internet下载文件时会出现相同的行为。

此外,该文件可以使用OLE(对象链接和嵌入)嵌入Microsoft Office文档中。此方法绕过Microsoft对文件嵌入的限制。

 

SentinelOne如何处理此场景?

SentinelOne Behavioral AI Engine可检测滥用此文件格式的攻击,并根据有效负载本身对其进行分类。引擎从打开此类文件开始跟踪执行流程,并检测由此产生的任何恶意行为。然而,不会检测到也不会阻止SettingContent-ms格式的合法用法。

以下是精心设计的SettingContent-ms文件示例,该文件导致运行恶意PowerUp脚本。

 

新的Windows10文件类型可能会被用于恶意应用1.jpg

 

在SentinelOne管理控制台,攻击被检测为无文件攻击,因为PowerUp本身在内存中执行,文件系统上没有任何痕迹。

 

新的Windows10文件类型可能会被用于恶意应用2.png

 

新的Windows10文件类型可能会被滥用以运行恶意应用程序首先出现在SentinelOne上。

访问:

 

 


新技术融合:在易用性、安全性等方面进行了深入的改进与优化。针对云服务、智能移动设备、自然人机交互等新技术进行融合。Windows 10所新增的Windows Hello功能将带来一系列对于生物识别技术的支持。除了常见的指纹扫描之外,系统还能通过面部或虹膜扫描来让你进行登入。当然,你需要使用新的3D红外摄像头来获取到这些新功能。