MOTW Bypass

admin 2024年6月22日23:41:27评论20 views字数 1287阅读4分17秒阅读模式

你或许在从互联网上下载一些可执行文件并执行它们时看到过此屏幕。

MOTW Bypass

这个东西叫Microsoft Defender SmartScreen 是一种安全机制,旨在保护最终用户免于运行潜在的恶意应用程序。

SmartScreen 主要采用基于信誉度的方法,这意味着不常下载的应用程序将触发 SmartScreen,从而警告并阻止最终用户执行该文件(尽管仍然可以通过单击更多信息 -> 运行来执行该文件)。

那具体怎么判断信誉度呢?
Windows使用web标记(MotW)来指示文件来自Internet,本质是一个名为 Zone.Identifier 的NTFS 备用数据流,它是在从互联网下载文件时自动创建的,同时会附带下载文件的 URL。防病毒(AV)和端点检测和响应(EDR)产品可以使用此信息来进一步检测
使用dir /R + more查看此信息

MOTW Bypass

Microsoft 为浏览器、电子邮件客户端等提供了IAttachmentExecute 接口,用于写入Zone.Identifier流,Chrome 浏览器与 IAttachmentExecute 交互的示例可在https://chromium.googlesource.com/chromium/src/+/6ab174bd663c2e6ef4e620eee1af40c6adcfa399/components/download/quarantine/quarantine_win.cc找到。
当调用AssocIsDangerous函数并返回 true时,扩展程序被视为高风险,以下扩展程序默认被视为高风险:

.ade, .adp, .app, .asp, .cer, .chm, .cnt, .crt, .csh, .der, .fxp, .gadget, .grp, .hlp, .hpj, .img, .inf, .ins, .iso, .isp, .its, .js, .jse, .ksh, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh1xml, .msh2, .msh2xml, .mshxml, .msp, .mst, .msu, .ops, .pcd, .pl, .plg, .prf, .prg, .printerexport, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psm1, .pst, .scf, .sct, .shb, .shs, .theme, .tmp, .url, .vbe, .vbp, .vbs, .vhd, .vhdx, .vsmacros, .vsw, .webpnp, .ws, .wsc, .wsf, .wsh, .xnk

MotW 用作备用数据流 (ADS)的底层支持是 NTFS 文件系统,为了绕过此安全功能,可以使用不支持 NTFS 的容器文件格式,如ISO或VHD文件。
PackMyPayload是一种将程序打包到输出容器中以逃避 Mark-of-the-Web 的非常棒的工具。

原文始发于微信公众号(老鑫安全):MOTW Bypass

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月22日23:41:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MOTW Bypasshttp://cn-sec.com/archives/2845196.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息