黑客利用 Windows 屏保部署 RMM 工具并获取系统远程访问权限
网络安全威胁不断演变,最近的一项活动突出了一种欺骗性的新策略,攻击者利用 Windows 屏幕保护程序(.scr)文件来破坏系统。
网络安全威胁不断演变,最近的一项活动突出了一种欺骗性的新策略,攻击者利用 Windows 屏幕保护程序(.scr)文件来破坏系统。
这种做法允许威胁行为者部署合法的远程监控和管理(RMM)工具,从而获得持久的远程访问权限,同时有效绕过标准安全控制。
通过利用可信软件和云服务,这些攻击者可以将他们的恶意活动与正常网络流量混合,使安全运营中心更难检测。
攻击通常以一封定向钓鱼邮件开始,邮件引导用户访问托管在合法云存储平台(如 GoFile)上的链接。
受害者被诱骗下载伪装成常规商业文档的文件,文件名通常为“InvoiceDetails.scr”或“ProjectSummary.scr”,以显得真实可信。
Reliaquest 分析师指出,这种使用商业主题诱饵来传递.scr 文件的做法标志着策略上的显著转变,因为屏幕保护程序文件通常会被用户忽视,而他们并未意识到这些文件是完全功能的可执行文件。
一旦不知情的用户执行了该文件,一个合法的 RMM 代理,例如 SimpleHelp,就会在系统上静默安装。
这个立足点为攻击者提供了交互式控制,使他们能够窃取敏感数据、横向移动网络,甚至部署勒索软件有效载荷。
规避和持久化的机制
此次行动的核心效力在于其能够将恶意意图隐藏在可信基础设施之后。
通过使用合法的云托管服务进行交付,并使用经批准的 RMM 软件进行命令和控制,攻击者有效地规避了基于声誉的防御。
.scr 文件格式特别危险,因为 Windows 将其视为可移植可执行文件(PE),然而许多组织未能像对待.exe 或.msi文件那样对屏保文件实施同样的严格控制。
当 RMM 代理被安装时,它会与攻击者的基础设施建立加密连接。由于这种流量模拟合法的管理活动,它通常能够绕过防火墙规则和入侵检测系统。
这种“living-off-the-land”的方法减少了攻击者对定制恶意软件的需求,降低了他们的开发成本,同时增加了防御者区分授权和未授权远程访问的难度。
为了防御这种威胁,组织必须像对待其他可执行文件一样对.scr 文件保持谨慎。
安全团队应严格阻止或限制从用户可写位置(如下载文件夹)执行屏幕保护程序文件,以防止初始感染。
此外,维护严格的已批准 RMM 工具白名单,并调查任何意外的远程管理软件安装,对于确保快速识别和移除未经授权的代理至关重要。
关于作者
评论0次