SettingContent-ms文件類型

SpecterOps的安全研究員Matt Nelson表示，2015年Windows10中引入的新文件類型可能被濫用于運行惡意應用程序。風險在于黑客可能利用文件格式繞過操作系統防御并運行任意和惡意代碼。

此文件擴展名為“SettingContent-ms”，主要用于創建Windows設置頁面的快捷方式。微軟的動機是創建一個控制面板選項的替代品。

如何惡意使用它？

SettingContent-ms只是一個XML文件，其中包含指向不同Windows設置頁面的路徑。架構中的一個元素是DeepLink元素。它包含雙擊文件時執行的完整二進制路徑。最初它本來是Windows 10設置頁面的位置。但是，可以編輯DeepLink值并將其替換為要運行的其他任意二進制文件。例如，cmd.exe，Powershell.exe等。

問題是，一旦打開了SettingContent-ms文件，就會執行DeepLink標記中指定的二進制文件，而不會向用戶發出任何通知或警告。從Internet下載文件時會出現相同的行為。

此外，該文件可以使用OLE（對象鏈接和嵌入）嵌入Microsoft Office文檔中。此方法繞過Microsoft對文件嵌入的限制。

SentinelOne如何處理此場景？

SentinelOne Behavioral AI Engine可檢測濫用此文件格式的攻擊，并根據有效負載本身對其進行分類。引擎從打開此類文件開始跟蹤執行流程，并檢測由此產生的任何惡意行為。然而，不會檢測到也不會阻止SettingContent-ms格式的合法用法。

以下是精心設計的SettingContent-ms文件示例，該文件導致運行惡意PowerUp腳本。

在SentinelOne管理控制臺，攻擊被檢測為無文件攻擊，因為PowerUp本身在內存中執行，文件系統上沒有任何痕跡。

新的Windows10文件類型可能會被濫用以運行惡意應用程序首先出現在SentinelOne上。

訪問：