红队攻防实战：深入解析与绕过Windows标记网络（MotW）技术

红队攻防101：绕过Windows标记网络 (Mark of the Web)（第二部分）

作者：Abdellaoui Ahmed
阅读时间：3 分钟
发布日期：2024年10月7日

攻击场景

在本文中，我将从第一部分继续讲解。在第一部分中，我们创建了一个类似于合法图像的恶意快捷方式 (LNK)。当受害者点击它时，会下载两个文件：有效负载（第一阶段）和一个用于替换已删除快捷方式的合法图像。在该场景中，我们假设我们的有效负载不会被杀毒软件 (AV) 或端点检测和响应 (EDR) 系统标记为恶意。

然而，即使在这种情况下，Windows 也会对下载的文件应用"网络标记" (Mark-of-the-Web， MotW)，以表明它们来自互联网。这会触发 Windows Defender SmartScreen 的额外检查，可能会将文件标记为可疑，或者向用户提示警告，尤其是在涉及高风险文件扩展名时。

什么是网络标记 (Mark-of-the-Web)？

MotW 通过附加一个 Zone.Identifier 备用数据流 (ADS) 应用于下载的文件，该数据流跟踪文件的来源，包括 URL 和可选的引用 URL。杀毒软件和 EDR 系统可以利用这些信息执行额外的检查和信誉查找。

MotW 的局限性与绕过方法

MotW 系统虽然有用，但也存在攻击者可以利用的局限性。以下是对这些局限性和技术的总结…
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyHGBWzDly+YOZhN8Cc0niZyC4Gb0ezG2nHn5bnz/mIxwZrUj0Gse88uzXmuRQpr3C1/zLU5ZsFqoZUjGPrYpIVsfY5fgvjSI969+5ijKmcU3g==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）