红队攻防101:绕过Windows标记网络 (Mark of the Web)(第二部分)
作者:Abdellaoui Ahmed
阅读时间:3 分钟
发布日期:2024年10月7日
攻击场景
在本文中,我将从第一部分继续讲解。在第一部分中,我们创建了一个类似于合法图像的恶意快捷方式 (LNK)。当受害者点击它时,会下载两个文件:有效负载(第一阶段)和一个用于替换已删除快捷方式的合法图像。在该场景中,我们假设我们的有效负载不会被杀毒软件 (AV) 或端点检测和响应 (EDR) 系统标记为恶意。
然而,即使在这种情况下,Windows 也会对下载的文件应用"网络标记" (Mark-of-the-Web, MotW),以表明它们来自互联网。这会触发 Windows Defender SmartScreen 的额外检查,可能会将文件标记为可疑,或者向用户提示警告,尤其是在涉及高风险文件扩展名时。
什么是网络标记 (Mark-of-the-Web)?
MotW 通过附加一个 Zone.Identifier 备用数据流 (ADS) 应用于下载的文件,该数据流跟踪文件的来源,包括 URL 和可选的引用 URL。杀毒软件和 EDR 系统可以利用这些信息执行额外的检查和信誉查找。
MotW 的局限性与绕过方法
MotW 系统虽然有用,但也存在攻击者可以利用的局限性。以下是对这些局限性和技术的总结…
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyHGBWzDly+YOZhN8Cc0niZyC4Gb0ezG2nHn5bnz/mIxwZrUj0Gse88uzXmuRQpr3C1/zLU5ZsFqoZUjGPrYpIVsfY5fgvjSI969+5ijKmcU3g==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
