污染共享内容

对手可能通过向共享存储位置（如网络驱动器或内部代码库）添加内容来将有效负载传递到远程系统。存储在网络驱动器或其他共享位置的内容可能会通过向有效文件添加恶意程序、脚本或漏洞利用代码而被污染。一旦用户打开共享的污染内容，恶意部分可以执行以在远程系统上运行对手的代码。对手可能会使用污染的共享内容进行横向移动。 目录共享枢纽是此技术的一种变体，它使用几种其他技术在用户访问共享网络目录时传播恶意软件。它使用目录 .LNK 文件的快捷方式修改，这些文件使用伪装看起来像真实目录，通过隐藏文件和目录隐藏真实目录。恶意的基于 .LNK 的目录具有嵌入的命令，该命令在目录中执行隐藏的恶意软件文件，然后打开真实的预期目录，以便用户的预期操作仍然发生。当与经常使用的网络目录一起使用时，该技术可能导致频繁的重新感染和广泛访问系统以及可能的新和更高权限的帐户。(引用: Retwin Directory Share Pivot) 对手还可能通过二进制感染来破坏共享网络目录，通过将其代码附加或前置到共享网络目录上的健康二进制文件中。恶意软件可能会修改健康二进制文件的原始入口点（OEP），以确保在合法代码之前执行。感染可能会通过新感染的文件在远程系统执行时继续传播。这些感染可能针对以 .EXE、.DLL、.SCR、.BAT 和/或 .VBS 等扩展名结尾的二进制和非二进制格式。