文章总结： 黑客利用Windows屏幕保护程序(.scr)文件实施新型钓鱼攻击，通过鱼叉式邮件诱导用户下载并执行伪装成商业文档的.scr文件。由于.scr本质是可执行文件(PE)，攻击者借此静默部署合法RMM工具(如SimpleHelp)建立持久化远程控制，利用LivingofftheLand技术规避传统安全检测。防御需限制.scr文件执行、强制RMM白名单策略并监控异常RMM相关痕迹。 综合评分： 82 文章分类： 钓鱼攻击,恶意软件,安全意识,漏洞分析,威胁情报

黑客利用Windows屏幕保护程序漏洞部署RMM工具，获取远程访问权限

网安百色

2026年2月7日 18:29 广西

一种新型钓鱼攻击活动利用被遗忘的文件类型绕过现代防御体系。攻击者正在引诱受害者下载Windows屏幕保护程序(.scr)文件，这些文件会悄无声息地部署合法的远程监控与管理(RMM)软件，从而在目标系统中建立持久化控制。

该活动采用简单而有效的交付机制，旨在规避基于信誉的检测。

攻击始于一封带有商业主题诱饵的鱼叉式钓鱼邮件，例如”InvoiceDetails.scr”或”ProjectSummary.scr”。

这些文件托管在GoFile等公共文件共享平台上，使恶意链接能够绕过可能会标记直接附件或已知恶意域名的标准邮件安全网关。

对普通用户而言，屏幕保护程序文件看似无害。然而，在Windows环境中，.scr文件在技术上是一个可移植可执行文件(PE)，功能与.exe文件完全相同。当用户双击其下载文件夹中的文件时，代码会立即执行。

利用合法RMM工具进行攻击 ReliaQuest观察到，与端点检测系统可能立即识别的自定义恶意软件不同，此活动安装的是合法的RMM代理，如SimpleHelp。

这种”Living off the Land”（白利用）方法因以下两个原因而危险：

• 规避性：安全工具通常信任RMM软件，因为它被IT部门广泛用于合法支持。安装过程不会产生典型的”恶意软件”信号。
• 持久性：一旦安装，RMM工具为攻击者提供交互式、持久的远程访问，即使系统重启后仍能保持连接。

从这一立足点出发，攻击者可以混入正常网络流量，同时提升权限、窃取凭证、外泄敏感数据或为勒索软件部署准备环境。

防御重点 此活动揭示了当前许多安全态势中的关键缺口：对可执行文件类型和远程支持工具缺乏严格管控。

为防御此威胁，组织必须转变对”特权”应用程序的定义。

关键缓解策略包括：

• 限制.scr执行：将屏幕保护程序文件与.exe或.msi文件同等对待。配置应用控制策略（如AppLocker或Windows Defender应用控制），阻止从下载、临时和桌面等用户可写目录执行.scr文件。
• 强制RMM白名单：维护授权远程管理软件的严格白名单。默认情况下应阻止此列表之外的任何RMM工具。
• 监控相关痕迹：安全团队应关注与未知RMM供应商相关的意外计划任务、服务或ProgramData文件夹的创建。

通过加强对被忽视文件扩展名的控制并监控未经授权的远程访问工具，防御者可以在攻击者转向最终目标之前切断此攻击链。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《黑客利用Windows屏幕保护程序漏洞部署RMM工具，获取远程访问权限》