2018-07-10 記事まとめ

2023-01-10

Windows Settings shortcut files (.SettingContent-ms) について

任意のコマンドをZonID無視で実行できると話題になっていた拡張子「.SettingContent-ms」が OLE package のブロックされる拡張子として登録されたそうです。記事ではこれまでの慣例として Outlook の禁止拡張子にも追加されることになるだろうと書かれていました。

ブロックされる拡張子の一覧は以下から確認できます。ページの最後の方に記載がありました。

WindowsDefender で検知される場合とされない場合

手元の環境で少し試したところ、電卓を起動する PoC が WindowsDefender に「Trojan:O97M/DPlink.A」として検知されるようになっていました。

ただ、記述の仕方によっては検知されない場合があるようだったので、少し実験をしてみました。

拡張子は関係なく「.txt」でも保存時に検知されます。

どのような場合に検知されるのか少しパターンを試したところ、正規の使い方である control.exe を呼び出すものだけは検知されず、それ以外の値は空や無効なパスを含めすべて検知されるようでした。DeepLink 要素に対するホワイトリスト的な挙動のようです。

[-] 検知されない：<DeepLink> 
[-] 検知されない：<DeepLink>%windir%\system32\control.exe</DeepLink>
[+] 検知される　：<DeepLink>%windir%\system32\control.ex</DeepLink>
[+] 検知される　：<DeepLink>%windir%\system32\</DeepLink>
[+] 検知される　：<DeepLink>%windir%</DeepLink>
[+] 検知される　：<DeepLink></DeepLink>
[-] 検知されない：</DeepLink>

これらは下記の正規のパスにファイルを移動させた場合でも同様でした。

%LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\

ただ、いくつか試すなかで手元の環境においてはささいな記述の変更によって ZoneID無視で電卓を起動できる機能はそのままであるにも関わらずWindowsDefender では検知されないケースがありました。

以下はその時の様子です。

これが実際に悪用可能かは検証できていません。
（2018-08-19 追記：2018-08-14 の WindowsUpdate で動作しなくなりました。）

SettingContent-ms 在ったり無かったり問題

「.SettingContent-ms」は元々は以下のパスに格納されていたようなのですが、手元の環境では LocalState の中身が空でした。

%LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\

以下のサイトを参考にすると、Windows 10 のいずれかのバージョンからは新規インストール時に配置されなくなったようです。私の手元の環境では「AllSystemSettings_{253E530E-387D-4BC2-959D-E6F86122E5F2}.xml」だけは発見できました。

APT Trends Report Q2 2018 - Securelist

カスペルスキーのレポート。アジア地域を狙ったAPTの動向が取り上げられていました。

APT:
- Lazarus/BlueNoroff
- Scarcruft/Group123/Reaper
- DarkHotel
- LuckyMouse/APT27/Emissary Panda
- Sofacy/Sandwor/Black Energy
- WhiteWhale
  etc...
Malware
- TYPEFRAME
- VPNFilter
- Olympic Destroyer
  etc...