FileFix 是一種新興的攻擊技術,它利用 Windows 和 Web 瀏覽器管理 HTML 網頁保存流程的方式,有效規避 Windows 內建的安全措施。如果成功實施,此方法可能導致嚴重的安全漏洞,包括勒索軟體部署、憑證竊取以及各種惡意軟體的安裝。在本指南中,我們將探討保護您的電腦免受潛在 FileFix 威脅的關鍵策略。
了解 FileFix 攻擊的機制
安全專家 mr.d0x 發現的 FileFix 攻擊會操縱本機 HTML 應用程式檔案的處理方式以及 Windows 中的 Web 標記 (MoTW) 安全功能。當使用者在網頁上使用「另存為」選項時,瀏覽器通常無法使用 MoTW 標記,而 MoTW 標記旨在提醒 Windows 安全中心等安全系統掃描檔案中是否有惡意內容。
此外,當檔案以.hta(HTML 應用程式檔案)副檔名儲存時,它可以在目前使用者帳戶下立即執行,而無需經過安全檢查。惡意網站可以誘騙使用者將其儲存為.hta 文件,從而允許插入的有害程式碼在文件開啟後立即運行,從而逃避 Windows 安全系統的檢測。
雖然誘騙使用者保存惡意檔案本身就頗具挑戰性,但類似 EDDIESTEALER 所使用的策略卻並非不可行。這些策略包括利用社會工程學方法,誘騙用戶保存帶有誤導性.hta 擴展名的敏感資訊(例如 MFA 代碼)。
有許多預防措施可以有效阻止這種攻擊媒介。以下是一些關鍵策略。
避開可疑網頁
FileFix 攻擊的第一步是儲存惡意網頁;因此,避免造訪此類網站可以完全阻止攻擊。請務必使用 Chrome、Edge 或 Firefox 等最新版本的瀏覽器,這些瀏覽器整合了網路釣魚偵測和惡意軟體防護功能。在 Google Chrome 上,啟用增強保護可以提供即時的 AI 驅動威脅偵測。
許多惡意網站透過偽裝成合法來源的網路釣魚郵件進行傳播。識別這些郵件至關重要,避免與它們互動可以顯著降低遭受各種網路威脅的風險。如果您不小心造訪了可疑網站,有一些有效的方法來評估其合法性。
Windows 中檔案副檔名的可見性
在 Windows 11 中,檔案副檔名預設為隱藏,導致使用者忽略從.html 到.hta 的變更。為了解決這個問題,建議將檔案副檔名設為可見,以確保使用者能夠識別實際的檔案類型,而不受任何誤導性命名的影響。
若要啟用檔案副檔名的可見性,請依照下列步驟操作:
- 開啟檔案總管。
- 點擊查看更多按鈕(三個點)並選擇選項。
- 導航至「檢視」標籤並取消選取標有「隱藏已知檔案類型的副檔名」的方塊。
透過此更改,即使在儲存網頁時下載視窗內也會顯示檔案副檔名。
將記事本設定為.hta 檔的預設程序
Mshta 是負責執行.hta 檔案的預設應用程式。透過將.hta 檔案關聯重新指派給記事本,這些檔案將以文字文件而不是執行腳本的形式打開,從而阻止潛在有害內容的執行。
此調整不太可能對一般使用者造成影響,因為.hta腳本主要由IT專業人員或特定企業應用程式使用。若要實現此更改,請執行以下操作:
- 訪問 Windows 設定並導航至應用程式->預設應用程式。
- 在「設定檔案類型或連結類型的預設值」下的搜尋欄中,輸入「.hta」。
停用 Mshta 以防止 HTML 執行
另一種預防方法是完全停用 Mshta 應用程序,以阻止所有.hta 腳本的執行。這可以透過將“mshta.exe”檔案重新命名為“mshta.exe.disabled”來實現。若要執行此更改,使用者必須確保檔案副檔名可見。
在「C:\Windows\System32」和「C:\Windows\SysWOW64」目錄中找到 Mshta 文件,並以管理員身份登錄,將「mshta.exe」重新命名為「mshta.exe.disabled」。如有必要,請取得該文件的所有權。撤銷此變更只需恢復原始檔案名稱即可。
隨著對此漏洞的認識不斷加深,微軟可能會在未來的更新中增強與 MoTW 應用相關的修改。請務必確保您的 Windows 作業系統已更新,並保持預設安全功能處於啟動狀態,以便在有害腳本執行期間偵測到它們。
發佈留言