
FileFix 是一种新兴的攻击技术,它利用 Windows 和 Web 浏览器管理 HTML 网页保存过程的方式,有效规避 Windows 内置的安全措施。如果成功实施,此方法可能导致严重的安全漏洞,包括勒索软件部署、凭证窃取以及各种恶意软件的安装。在本指南中,我们将探讨保护您的计算机免受潜在 FileFix 威胁的关键策略。
了解 FileFix 攻击的机制
安全专家 mr.d0x 发现的 FileFix 攻击会操纵本地 HTML 应用程序文件的处理方式以及 Windows 中的 Web 标记 (MoTW) 安全功能。当用户在网页上使用“另存为”选项时,浏览器通常无法使用 MoTW 标记,而 MoTW 标记旨在提醒 Windows 安全中心等安全系统扫描文件中是否存在恶意内容。
此外,当文件以.hta(HTML 应用程序文件)扩展名保存时,它可以在当前用户帐户下立即执行,而无需经过安全检查。恶意网站可以诱骗用户将其保存为.hta 文件,从而允许插入的有害代码在文件打开后立即运行,从而逃避 Windows 安全系统的检测。
虽然诱骗用户保存恶意文件本身就颇具挑战性,但类似 EDDIESTEALER 所用的策略却并非不可行。这些策略包括利用社会工程学方法,诱骗用户保存带有误导性.hta 扩展名的敏感信息(例如 MFA 代码)。
有许多预防措施可以有效阻止这种攻击媒介。以下是一些关键策略。
避开可疑网页
FileFix 攻击的第一步是保存恶意网页;因此,避免访问此类网站可以完全阻止攻击。请始终使用 Chrome、Edge 或 Firefox 等最新版本的浏览器,这些浏览器集成了网络钓鱼检测和恶意软件防护功能。在 Google Chrome 上,启用增强保护可以提供实时的 AI 驱动威胁检测。
许多恶意网站通过伪装成合法来源的网络钓鱼邮件进行传播。识别这些邮件至关重要,避免与它们互动可以显著降低遭受各种网络威胁的风险。如果您不小心访问了可疑网站,有一些有效的方法来评估其合法性。
Windows 中文件扩展名的可见性
在 Windows 11 中,文件扩展名默认隐藏,导致用户忽略从.html 到.hta 的更改。为了解决这个问题,建议将文件扩展名设置为可见,以确保用户能够识别实际的文件类型,而不受任何误导性命名的影响。
要启用文件扩展名的可见性,请按照以下步骤操作:
- 打开文件资源管理器。
- 点击查看更多按钮(三个点)并选择选项。
- 导航到“查看”选项卡并取消选中标有“隐藏已知文件类型的扩展名”的框。

通过此更改,即使在保存网页时下载窗口内也会显示文件扩展名。

将记事本设置为.hta 文件的默认程序
Mshta 是负责执行.hta 文件的默认应用程序。通过将.hta 文件关联重新分配给记事本,这些文件将以文本文档而不是运行脚本的形式打开,从而阻止潜在有害内容的执行。
此调整不太可能对普通用户造成影响,因为.hta脚本主要由IT专业人员或特定企业应用程序使用。要实现此更改,请执行以下操作:
- 访问 Windows 设置并导航到应用程序->默认应用程序。
- 在“设置文件类型或链接类型的默认值”下的搜索栏中,输入“.hta”。

禁用 Mshta 以防止 HTML 执行
另一种预防方法是完全禁用 Mshta 应用程序,以阻止所有.hta 脚本的执行。这可以通过将“mshta.exe”文件重命名为“mshta.exe.disabled”来实现。要执行此更改,用户必须确保文件扩展名可见。
在“C:\Windows\System32”和“C:\Windows\SysWOW64”目录中找到 Mshta 文件,并以管理员身份登录,将“mshta.exe”重命名为“mshta.exe.disabled”。如有必要,请获取该文件的所有权。撤销此更改只需恢复原始文件名即可。

随着对此漏洞的认识不断加深,微软可能会在未来的更新中增强与 MoTW 应用相关的修改。请务必确保您的 Windows 操作系统已更新,并保持默认安全功能处于激活状态,以便在有害脚本执行期间检测到它们。
发表回复