ClickOnce 技术的新型滥用
CrowdStrike 研究人员发现一种针对 ClickOnce 技术的新型攻击手法,攻击者利用该技术绕过安全检测并分发恶意软件。本系列第一部分详细分析了 ClickOnce 的工作原理、攻击者如何滥用其部署机制,以及相关的检测与防护建议。
背景速读
- ClickOnce 是微软 .NET 框架的一项技术,允许用户通过单次点击从网页启动 Windows 应用程序;它常被用于软件分发(如企业内应用、更新推送),但在 Windows 中默认签名机制较弱。
- CrowdStrike 是一家美国网络安全公司(NASDAQ: CRWD),以其端点检测与响应平台 Falcon 闻名;该博客是其安全研究团队发布技术发现的渠道。
- 该文揭示攻击者如何滥用 ClickOnce 部署恶意软件:伪装成合法安装程序(如 PDF 阅读器、办公工具),用户点击后执行 PowerShell 脚本下载木马或勒索软件。
- 常见手法包括:利用数字证书自签发、结合社交工程(伪装成税务文件或发票)、以及绕过 .NET 信任提示的变种攻击——该系列文章将分步分析这些手法。