关键词
网络攻击
Cofense Intelligence近日披露,一种利用Windows系统遗留功能实施攻击的恶意活动正在上升。攻击者不再依赖浏览器下载木马,而是滥用Windows文件资源管理器对WebDAV协议的原生支持,将其变成投递远程控制木马(RAT)的隐蔽通道。由于整个过程绕过浏览器环境,许多传统网页安全防护与部分终端检测机制难以及时拦截。
WebDAV是一种基于HTTP的远程文件管理协议,虽然在现代云存储兴起后已较少使用,但Windows文件资源管理器仍默认支持通过该协议访问远程服务器。攻击者通过发送伪装成发票、通知或共享文件的.url或.lnk快捷方式文件,引导受害者打开一个看似普通的远程文件夹界面。该界面与本地目录几乎无差异,用户往往难以察觉文件实际上来自外部恶意服务器,从而降低警惕性。
更具隐蔽性的是,当URL快捷方式中嵌入UNC路径时,用户即便只是浏览包含该文件的目录,也可能触发系统自动向攻击者控制的基础设施发起DNS请求。这种“无点击”行为可用于确认受害主机在线状态,为后续攻击做准备。攻击者还大量滥用Cloudflare Tunnel等合法云服务基础设施作为中继节点,使恶意流量混杂在正常加密流量之中,增加溯源和检测难度。
一旦连接建立,攻击链通常会投递多种远程控制木马作为最终载荷。报告显示,约87%的相关攻击样本最终投放多个RAT变种,实现持久化控制、凭据窃取与横向移动。攻击活动主要针对欧洲企业环境,其中相当比例使用德语伪装财务邮件,其次为英语、意大利语和西班牙语。
该事件再次表明,操作系统中的历史协议和默认功能同样可能成为攻击入口。企业应限制或禁用不必要的WebDAV访问,监控异常UNC路径请求与DNS外联行为,加强终端日志审计,并对员工进行针对.url与.lnk文件风险的安全意识培训。仅依赖浏览器层防护已难以覆盖此类攻击面,必须在网络、终端与身份层面构建多层防御体系。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴