黑客利用 Windows 屏保部署 RMM 工具并获取系统远程访问权限
网络安全威胁不断演变,最近的一项活动突出了一种欺骗性的新策略,攻击者利用 Windows 屏幕保护程序(.scr)文件来破坏系统。
网络安全威胁不断演变,最近的一项活动突出了一种欺骗性的新策略,攻击者利用 Windows 屏幕保护程序(.scr)文件来破坏系统。
这种做法允许威胁行为者部署合法的远程监控和管理(RMM)工具,从而获得持久的远程访问权限,同时有效绕过标准安全控制。
通过利用可信软件和云服务,这些攻击者可以将他们的恶意活动与正常网络流量混合,使安全运营中心更难检测。
攻击通常以一封定向钓鱼邮件开始,邮件引导用户访问托管在合法云存储平台(如 GoFile)上的链接。
受害者被诱骗下载伪装成常规商业文档的文件,文件名通常为“InvoiceDetails.scr”或“ProjectSummary.scr”,以显得真实可信。
Reliaquest 分析师指出,这种使用商业主题诱饵来传递.scr 文件的做法标志着策略上的显著转变,因为屏幕保护程序文件通常会被用户忽视,而他们并未意识到这些文件是完全功能的可执行文件。
一旦不知情的用户执行了该文件,一个合法的 RMM 代理,例如 SimpleHelp,就会在系统上静默安装。
这个立足点为攻击者提供了交互式控制,使他们能够窃取敏感数据、横向移动网络,甚至部署勒索软件有效载荷。
规避和持久化的机制
此次行动的核心效力在于其能够将恶意意图隐藏在可信基础设施之后。
通过使用合法的云托管服务进行交付,并使用经批准的 RMM 软件进行命令和控制,攻击者有效地规避了基于声誉的防御。
.scr 文件格式特别危险,因为 Windows 将其视为可移植可执行文件(PE),然而许多组织未能像对待.exe 或.msi文件那样对屏保文件实施同样的严格控制。
当 RMM 代理被安装时,它会与攻击者的基础设施建立加密连接。由于这种流量模拟合法的管理活动,它通常能够绕过防火墙规则和入侵检测系统。
这种“living-off-the-land”的方法减少了攻击者对定制恶意软件的需求,降低了他们的开发成本,同时增加了防御者区分授权和未授权远程访问的难度。
为了防御这种威胁,组织必须像对待其他可执行文件一样对.scr 文件保持谨慎。
安全团队应严格阻止或限制从用户可写位置(如下载文件夹)执行屏幕保护程序文件,以防止初始感染。
此外,维护严格的已批准 RMM 工具白名单,并调查任何意外的远程管理软件安装,对于确保快速识别和移除未经授权的代理至关重要。
关于作者
评论2次
### 结论 攻击者通过伪装成商业文档的`.scr`屏保文件绕过执行控制,利用合法RMM工具(如SimpleHelp)建立持久化后门。关键威胁点在于: 1. **可信基础设施滥用**:云存储(GoFile)作为恶意文件投递渠道,规避静态检测; 2. **格式伪装漏洞**:`.scr`文件被误认为无害文档,实为可执行PE文件; 3. **合法工具滥用**:RMM代理的加密通信与管理流量混淆,逃逸行为检测。 --- ### 分析路径(T00ls方法论) #### **L1 攻击面识别** - **执行链**:钓鱼邮件 → 云存储链接 → 下载`.scr`文件 → 双击执行 → RMM静默安装 → C2通信建立 - **关键攻击面**: - 用户可写目录(下载路径)的文件执行权限; - 对`.scr`文件类型缺乏沙箱/哈xi校验; - RMM工具白名单配置漏洞(未限制安装来源/版本); - 网络层未拦截加密RMM流量的异常行为(如非授权C2域名)。 #### **L2 假设与验证** **假设**:`.scr`文件通过伪装绕过终端防护,触发合法RMM安装。 **验证路径**: 1. **行为追溯**: - 检查`AppLocker`/`EDR`日志,确认`.scr`文件在用户目录执行的记录; - 提取可疑`.scr`文件,用`peviewer`/`strings`分析PE结构,确认是否包含RMM下载/执行指令。 2. **RMM安装验证**: - 检查`%APPDATA%\Roaming`或`Program Files`目录是否存在未授权的RMM组件; - 调用`Get-ItemProperty HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*`搜索异常注册表项。 #### **L3 边界/异常场景** - **异常执行路径**: - 屏保文件从`%USERPROFILE%\Downloads`或`Temp`目录直接执行(非可信路径); - RMM代理在非运维时段安装(如夜间无人值守)。 - **边界测试**: 1. 在受控环境部署`.scr`文件,监控其是否触发以下行为: - 下载并执行远程可执行文件(`curl`/`bitsadmin`等); - 向非企业管理域的IP/域名建立HTTPS连接; - 创建计划任务/服务实现持久化。 #### **L4 防御反推与修复** **攻击者视角漏洞利用链**: ``` ScreenSaver.SCR (Source) → 本地执行 → 调用RMM安装器 → C2通信 (Sink漏洞: 未受控的远程代码执行) ``` **防御修复点**: 1. **阻断执行源头**: - 通过组策略禁用`.scr`文件执行: ``` HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveActive = 0 禁用所有用户下载目录的执行权限(AppLocker规则:.scr文件路径白名单仅允许Windows目录) ``` 2. **行为监控**: - 使用`Sysmon`监控以下事件: - ProcessCreation(ImagePath=*.scr且ParentImage非合法屏保进程); - NetworkConnect(目标端口为RMM默认端口如443但非授权域名)。 3. **RMM控制**: - 建立白名单机制,仅允许受信任的RMM代理版本安装; - 配置防火墙规则,拦截未注册的RMM C2服务器IP/域名。 --- ### 验证步骤(最小可执行) 1. **文件分析**: ``` certutil -hashfile InvoiceDetails.scr SHA256 dumppe.exe InvoiceDetails.scr -r > exports.txt # 检查导出函数是否包含恶意API调用 ``` 2. **进程溯源**: ``` Get-WmiObject -Class Win32_Process | Where-Object { $_.Name -eq "InvoiceDetails.scr" } # 检查父进程是否为explorer.exe(用户误触发) ``` 3. **网络流量捕获**: 使用Wireshark过滤`http.host contains "simplehelp"`或`tls.sni`匹配可疑域名。 --- ### 修复建议 1. **立即行动**: - 阻断所有`.scr`文件在用户目录的执行权限(组策略+EDR规则); - 禁止从非可信云服务(如GoFile)下载文件的权限(CASB/防火墙策略)。 2. **长期防御**: - 部署行为分析xi统(UEBA),监控RMM工具的异常使用模式(如非授权功能调用); - 定期扫描注册表和启动项,确保无未知服务/计划任务(`Get-ScheduledTask`)。
制作1个漂亮的屏幕保护程序,经不住诱惑的人就上钩了。