ClickOnce

对手可能会使用ClickOnce应用程序（.appref-ms和.application文件）通过受信任的Windows实用程序代理执行代码。(引用: Burke/CISA ClickOnce BlackHat) ClickOnce是一种部署方式，使用户能够创建自更新的基于Windows的.NET应用程序（即.XBAP、.EXE或.DLL），这些应用程序从文件共享或网页安装和运行，用户交互最少。应用程序作为DFSVC.EXE的子进程启动，DFSVC.EXE负责安装、启动和更新应用程序。(引用: SpectorOps Medium ClickOnce) 由于ClickOnce应用程序仅获得有限的权限，因此它们不需要管理员权限即可安装。(引用: Microsoft Learn ClickOnce) 因此，对手可能会滥用ClickOnce来代理执行恶意代码，而无需提升权限。 ClickOnce可能会以多种方式被滥用。例如，对手可能依赖用户执行。当用户访问恶意网站时，.NET恶意软件伪装成合法软件，并显示ClickOnce弹出窗口以进行安装。(引用: NetSPI ClickOnce) 对手还可能滥用ClickOnce通过Rundll32脚本执行恶意软件，使用命令rundll32.exe dfshim.dll,ShOpenVerbApplication1。(引用: LOLBAS /Dfsvc.exe) 此外，对手可以将ClickOnce应用程序文件移动到远程用户的启动文件夹，以继续部署恶意代码（即注册表运行键/启动文件夹）。(引用: Burke/CISA ClickOnce BlackHat)(引用: Burke/CISA ClickOnce Paper)