更改默认文件关联

打开文件时，系统将检查用于打开文件的默认程序（也称为文件关联或处理程序）文件关联选择存储在 Windows 注册表中，可以由具有注册表访问权限的用户、管理员或 程序编辑，也可以由使用内置 assoc 实用程序的管理员编辑。 应用程序可以修改给定文件扩展名的文件关联，以便在打开具有特定扩展名的文件时调用任意程序。 系统文件关联列在HKEY_CLASSES_ROOT.[extension], for example HKEY_CLASSES_ROOT.txt. 条目指向位于 HKEY_CLASSES_ROOT[handler] 的扩展处理程序。然后在 HKEY_CLASSES_ROOT[handler]\shell[action]\命令中将各种命令作为子键列在 shell 键下面。例如： HKEY_CLASSES_ROOT\txtfile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\print\command* HKEY_CLASSES_ROOT\txtfile\shell\printto\command 列出的键值是句柄打开文件扩展名时执行的命令。攻击者可以修改这些值以持续执行任意命令。

缓解

不建议直接缓解此技术，因为它是用户可以针对软件首选项执行的合法功能。遵循 Microsoft 的文件关联最佳实践。 使用白名单 工具识别和拦截可能由此技术执行的潜在恶意软件，如 AppLocker， 或软件限制策略 。

检测

收集和分析注册表项的更改，这些更改将文件扩展名与要执行的默认应用程序相关联，并将该进程与未知进程的启动或不寻常的文件类型相关联。 用户文件关联首选项存储在[HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts 下，并覆盖 [HKEY_CLASSES_ROOT] 中配置的关联。用户首选项的更改将发生在该条目的子键下。 还要查找异常流程调用树，以执行可能与披露 (Discovery）操作或其他技术相关的其他命令。