如何进一步滥用SettingContent-ms投递载荷

一、前言

微软的 SettingContent-ms 文件已经成为近期的一个热门话题。在7月份，我们看到有个垃圾邮件攻击活动使用了PDF中内嵌的恶意 SettingContent-ms 文件 来释放远程访问木马（RAT） FlawedAmmyy ，该恶意软件也是Necurs僵尸网络所使用的RAT。此次攻击活动主要针对的是亚洲和欧洲境内的不同银行机构。

SettingContent-ms 是微软软件的新成员，从Windows 10开始首次引入。该文件中的内容采用XML格式（或者语言），正常情况下，这些文件包含Windows功能（比如更新过程以及用来打开特定文件类型的默认应用程序）的一些设置选项。这种文件的最常见用途就是充当老版本Windows控制面板的快捷方式。

图1. SettingContent-ms 文件扩展名及图标

二、DeepLink标签

图2. SettingContent 中 DeepLink 标签的正常用法

除了垃圾邮件攻击活动以外，Specter Ops在7月份还发布了关于微软 SettingContent-ms 文件的一些 概念验证（PoC）研究 。研究人员以及攻击者的成果表明，我们通常可以将 DeepLink 标签下的命令行替换为其他恶意内容，这样就能滥用 SettingContent-ms 文件。当微软从研究人员处获知这种方法时，他们并不认为这是一个操作系统漏洞。但在2018年8月，微软发布了一个补丁来修复这个问题： CVE-2018-8414 。

图3. 隐藏在 DeepLink 标签中的恶意命令行

从图3中我们可以看到如何滥用 SettingContent-ms 的一个典型样例。在 DeepLink 标签中的恶意命令行可以执行 PowerShell 脚本，从恶意站点下载并执行攻击载荷。

进一步分析这种攻击方法后，我们发现这种方法存在一定缺陷。单独使用 DeepLink 的优缺点如下：

优点：

1、容易部署；

2、文件大小较小（乍一看不容易引起怀疑）。

缺点：

1、最大只能接受517个字符；

2、仅限于某些命令执行技术，比如

命令提示符
PowerShell
MSHTA
Certutil
Bitsadmin
WMI

基于这些信息，我们进一步做了一些研究，探索是否可以使用 SettingContent-ms 来部署其他技术。之前研究人员 提到过 可以利用 Icon 标签来承载恶意载荷。为了验证这种技术是否有效，我们创建了一个 SettingContent PoC样本，其中同时使用了 DeepLink 以及 Icon 标签来安装载荷。

三、Icon标签

在这种恶意场景中， DeepLink 标签必须仅包含能够调用 Icon 标签内容（主载荷）的一个命令行。在PoC例子中，我们将经过大量混淆的一个脚本存放在 Icon 标签中，如下图所示。

图4. DeepLink 调用 Icon 标签内容

图5. Icon 标签中包含的恶意PowerShell脚本（已去混淆处理）

我们测试了这种基于 Icon 的载荷能否适用于较长的、复杂的或者经过混淆的脚本，事实证明的确如此。在PoC样本 Icon 标签中的PowerShell脚本来自于之前的某个恶意软件（ TROJ_PSINJECT.A ），能够下载 ANDROM/GAMARUE 恶意软件。

即便填充这些数据后，文件的图标貌似不会受到影响（如图1所示），并且我们发现不管往 Icon 标签写入任何内容，文件图标总是会以空白图标的方式呈现。

如果这种技术在未来可能成为潜在的安全风险，我们认为这种方法也有一些优缺点。

优点

1、易于部署；

2、 Icon 标签可接受无限长的字符；

3、不限于简单的命令执行，可以用来部署其他脚本技术，如 ReflectivePEInjection 、后门等等。

缺点

文件大小较大，乍一看容易引起怀疑。

四、解决方案

这种技术表明网络犯罪分子可以使用各种 工具 来部署有效且复杂的载荷。在本文中，我们首先描述了如何利用 SettingContent-ms 中的 DeepLink 标签来执行简单的恶意命令，随后我们发现可以通过 Icon 标签部署更加复杂且更长的载荷。

与 SettingContent-ms 类似，还有许多正常文件可能会被攻击者滥用，因此我们必须继续研究不同的应用，保持对攻击者以及安全威胁的领先地位。

为了防护类似滥用 SettingContent-ms 的安全威胁，我们需要采用具备行为监控功能的解决方案，可以在恶意载荷在受害者主机上运行之前，识别并阻止这些文件中的恶意命令。