跳转至

控制面板

对手可能会滥用control.exe来代理执行恶意有效负载。Windows控制面板进程二进制文件(control.exe)处理控制面板项的执行,这些项是允许用户查看和调整计算机设置的实用程序。 控制面板项是注册的可执行文件(.exe)或控制面板(.cpl)文件,后者实际上是重命名的动态链接库(.dll)文件,导出CPlApplet函数。(引用: Microsoft Implementing CPL)(引用: TrendMicro CPL Malware Jan 2014) 为了便于使用,控制面板项通常包括在注册并加载到控制面板后可供用户使用的图形菜单。(引用: Microsoft Implementing CPL) 控制面板项可以直接从命令行执行,通过应用程序编程接口(API)调用程序化执行,或通过双击文件执行。(引用: Microsoft Implementing CPL) (引用: TrendMicro CPL Malware Jan 2014)(引用: TrendMicro CPL Malware Dec 2013) 恶意控制面板项可以通过网络钓鱼活动传递(引用: TrendMicro CPL Malware Jan 2014)(引用: TrendMicro CPL Malware Dec 2013)或作为多阶段恶意软件的一部分执行。(引用: Palo Alto Reaver Nov 2017) 控制面板项,特别是CPL文件,还可能绕过应用程序和/或文件扩展名允许列表。 对手还可以将恶意DLL文件(.dll)重命名为控制面板文件扩展名(.cpl)并将它们注册到HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls。即使这些注册的DLL不符合CPL文件规范并且不导出CPlApplet函数,它们仍会通过其DllEntryPoint在控制面板执行时加载和执行。不导出CPlApplet的CPL文件不能直接执行。(引用: ESET InvisiMole June 2020)