绕过网页标记

对手可能会滥用特定文件格式来规避网页标记 (MOTW) 控制。在 Windows 中，从 Internet 下载的文件会被标记为具有特定值的隐藏 NTFS 替代数据流 (ADS)，称为 MOTW。(引用: Microsoft Zone.Identifier 2020) 标记为 MOTW 的文件受到保护，无法执行某些操作。例如，从 MS Office 10 开始，如果 MS Office 文件具有 MOTW，它将以受保护视图打开。标记为 MOTW 的可执行文件将由 Windows Defender SmartScreen 处理，SmartScreen 会将文件与知名可执行文件的允许列表进行比较。如果文件未知/不受信任，SmartScreen 将阻止执行并警告用户不要运行它。(引用: Beek Use of VHD Dec 2020)(引用: Outflank MotW 2020)(引用: Intezer Russian APT Dec 2020) 对手可能会滥用容器文件，例如压缩/归档 (.arj, .gzip) 和/或磁盘映像 (.iso, .vhd) 文件格式来传递可能未标记为 MOTW 的恶意有效载荷。从 Internet 下载的容器文件将被标记为 MOTW，但其中的文件在提取和/或挂载后可能不会继承 MOTW。MOTW 是 NTFS 功能，许多容器文件不支持 NTFS 替代数据流。容器文件提取和/或挂载后，其中包含的文件可能被视为磁盘上的本地文件并在没有保护的情况下运行。(引用: Beek Use of VHD Dec 2020)(引用: Outflank MotW 2020)