win10由于此类型的文件可能会损害你的设备被阻止,win10因为文件包含病毒或潜在垃圾软件
SettingContent-ms文件类型
SpecterOps的安全研究员马特纳尔逊(Matt Nelson)表示,2015年Windows S10中引入的新文件类型可能会被滥用来运行恶意应用程序。风险在于黑客可能利用文件格式绕过操作系统的防御,运行任意恶意代码。
这个文件的扩展名是“SettingContent-ms”,主要用于创建Windows设置页面的快捷方式。微软的动机是创造一个控制面板选项的替代品。
如何恶意使用它?
SettingContent-ms只是一个XML文件,带有不同Windows设置页面的路径。模式中的一个元素是DeepLink元素。它包含双击文件时执行的完整二进制路径。它最初是Windows 10设置页面的位置。但是,您可以编辑DeepLink值,并将其替换为您想要运行的任何其他二进制文件。例如,cmd.exe、Powershell.exe等。
问题是,一旦打开SettingContent-ms文件,DeepLink标签中指定的二进制文件将在没有任何通知或警告用户的情况下执行。从互联网下载文件时也会出现同样的情况。
此外,该文件可以使用OLE(对象链接和嵌入)嵌入到Microsoft Office文档中。这种方法绕过了微软对文件嵌入的限制。
SentinelOne如何处理此场景?
SentinelOne Behavioral AI Engine可以检测到滥用这种文件格式的攻击,并根据有效载荷本身对其进行分类。该引擎从打开此类文件开始跟踪执行过程,并检测由此导致的任何恶意行为。但是,不会检测或阻止SettingContent-ms格式的合法使用。
以下是一个精心设计的SettingContent-ms文件的示例,该文件会导致恶意的加电脚本运行。
在SentinelOne管理控制台中,该攻击被检测为无文件攻击,因为PowerUp本身是在内存中执行的,文件系统上没有任何痕迹。
新的windows10文件类型可能被滥用来运行恶意应用程序,它首先出现在SentinelOne上。
访问:
原始Microsoft Win10 iso映像