保护您的 PC 免受绕过 Windows MoTW 的新 FileFix 攻击

保护您的 PC 免受绕过 Windows MoTW 的新 FileFix 攻击

FileFix 是一种新兴的攻击技术,它利用 Windows 和 Web 浏览器管理 HTML 网页保存过程的方式,有效规避 Windows 内置的安全措施。如果成功实施,此方法可能导致严重的安全漏洞,包括勒索软件部署、凭证窃取以及各种恶意软件的安装。在本指南中,我们将探讨保护您的计算机免受潜在 FileFix 威胁的关键策略。

了解 FileFix 攻击的机制

安全专家 mr.d0x 发现的 FileFix 攻击会操纵本地 HTML 应用程序文件的处理方式以及 Windows 中的 Web 标记 (MoTW) 安全功能。当用户在网页上使用“另存为”选项时,浏览器通常无法使用 MoTW 标记,而 MoTW 标记旨在提醒 Windows 安全中心等安全系统扫描文件中是否存在恶意内容。

此外,当文件以.hta(HTML 应用程序文件)扩展名保存时,它可以在当前用户帐户下立即执行,而无需经过安全检查。恶意网站可以诱骗用户将其保存为.hta 文件,从而允许插入的有害代码在文件打开后立即运行,从而逃避 Windows 安全系统的检测。

虽然诱骗用户保存恶意文件本身就颇具挑战性,但类似 ​​EDDIESTEALER 所用的策略却并非不可行。这些策略包括利用社会工程学方法,诱骗用户保存带有误导性.hta 扩展名的敏感信息(例如 MFA 代码)。

有许多预防措施可以有效阻止这种攻击媒介。以下是一些关键策略。

避开可疑网页

FileFix 攻击的第一步是保存恶意网页;因此,避免访问此类网站可以完全阻止攻击。请始终使用 Chrome、Edge 或 Firefox 等最新版本的浏览器,这些浏览器集成了网络钓鱼检测和恶意软件防护功能。在 Google Chrome 上,启用增强保护可以提供实时的 AI 驱动威胁检测。

许多恶意网站通过伪装成合法来源的网络钓鱼邮件进行传播。识别这些邮件至关重要,避免与它们互动可以显著降低遭受各种网络威胁的风险。如果您不小心访问了可疑网站,有一些有效的方法来评估其合法性。

Windows 中文件扩展名的可见性

在 Windows 11 中,文件扩展名默认隐藏,导致用户忽略从.html 到.hta 的更改。为了解决这个问题,建议将文件扩展名设置为可见,以确保用户能够识别实际的文件类型,而不受任何误导性命名的影响。

要启用文件扩展名的可见性,请按照以下步骤操作:

  • 打开文件资源管理器。
  • 点击查看更多按钮(三个点)并选择选项
  • 导航到“查看”选项卡并取消选中标有“隐藏已知文件类型的扩展名”的框。
在 Windows 文件资源管理器选项中启用文件扩展名

通过此更改,即使在保存网页时下载窗口内也会显示文件扩展名。

显示文件扩展名的 Windows 下载对话框

将记事本设置为.hta 文件的默认程序

Mshta 是负责执行.hta 文件的默认应用程序。通过将.hta 文件关联重新分配给记事本,这些文件将以文本文档而不是运行脚本的形式打开,从而阻止潜在有害内容的执行。

此调整不太可能对普通用户造成影响,因为.hta脚本主要由IT专业人员或特定企业应用程序使用。要实现此更改,请执行以下操作:

  • 访问 Windows 设置并导航到应用程序->默认应用程序
  • 在“设置文件类型或链接类型的默认值”下的搜索栏中,输入“.hta”。
在 Windows 设置中将记事本设置为默认应用程序

禁用 Mshta 以防止 HTML 执行

另一种预防方法是完全禁用 Mshta 应用程序,以阻止所有.hta 脚本的执行。这可以通过将“mshta.exe”文件重命名为“mshta.exe.disabled”来实现。要执行此更改,用户必须确保文件扩展名可见。

在“C:\Windows\System32”和“C:\Windows\SysWOW64”目录中找到 Mshta 文件,并以管理员身份登录,将“mshta.exe”重命名为“mshta.exe.disabled”。如有必要,请获取该文件的所有权。撤销此更改只需恢复原始文件名即可。

在 Windows 11 中更改 Mshta 应用程序名称

随着对此漏洞的认识不断加深,微软可能会在未来的更新中增强与 MoTW 应用相关的修改。请务必确保您的 Windows 操作系统已更新,并保持默认安全功能处于激活状态,以便在有害脚本执行期间检测到它们。

来源和图片

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注