【安全圈】不用浏览器也能中招：Windows资源管理器成隐秘后门

关键词

网络攻击

Cofense Intelligence近日披露，一种利用Windows系统遗留功能实施攻击的恶意活动正在上升。攻击者不再依赖浏览器下载木马，而是滥用Windows文件资源管理器对WebDAV协议的原生支持，将其变成投递远程控制木马（RAT）的隐蔽通道。由于整个过程绕过浏览器环境，许多传统网页安全防护与部分终端检测机制难以及时拦截。

WebDAV是一种基于HTTP的远程文件管理协议，虽然在现代云存储兴起后已较少使用，但Windows文件资源管理器仍默认支持通过该协议访问远程服务器。攻击者通过发送伪装成发票、通知或共享文件的.url或.lnk快捷方式文件，引导受害者打开一个看似普通的远程文件夹界面。该界面与本地目录几乎无差异，用户往往难以察觉文件实际上来自外部恶意服务器，从而降低警惕性。

更具隐蔽性的是，当URL快捷方式中嵌入UNC路径时，用户即便只是浏览包含该文件的目录，也可能触发系统自动向攻击者控制的基础设施发起DNS请求。这种“无点击”行为可用于确认受害主机在线状态，为后续攻击做准备。攻击者还大量滥用Cloudflare Tunnel等合法云服务基础设施作为中继节点，使恶意流量混杂在正常加密流量之中，增加溯源和检测难度。

一旦连接建立，攻击链通常会投递多种远程控制木马作为最终载荷。报告显示，约87%的相关攻击样本最终投放多个RAT变种，实现持久化控制、凭据窃取与横向移动。攻击活动主要针对欧洲企业环境，其中相当比例使用德语伪装财务邮件，其次为英语、意大利语和西班牙语。

该事件再次表明，操作系统中的历史协议和默认功能同样可能成为攻击入口。企业应限制或禁用不必要的WebDAV访问，监控异常UNC路径请求与DNS外联行为，加强终端日志审计，并对员工进行针对.url与.lnk文件风险的安全意识培训。仅依赖浏览器层防护已难以覆盖此类攻击面，必须在网络、终端与身份层面构建多层防御体系。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！