文章总结： Cofense披露攻击者滥用Windows资源管理器对WebDAV的原生支持，通过伪装快捷方式文件投递RAT，绕过浏览器防护。攻击利用UNC路径实现无点击探测，并滥用合法云服务隐藏流量。建议企业限制WebDAV访问、监控异常请求并加强员工培训。 综合评分： 79 文章分类： 威胁情报,恶意软件,终端安全,内网渗透

【安全圈】不用浏览器也能中招：Windows资源管理器成隐秘后门

安全圈

2026年2月28日 19:02 美国

关键词

网络攻击

Cofense Intelligence近日披露，一种利用Windows系统遗留功能实施攻击的恶意活动正在上升。攻击者不再依赖浏览器下载木马，而是滥用Windows文件资源管理器对WebDAV协议的原生支持，将其变成投递远程控制木马（RAT）的隐蔽通道。由于整个过程绕过浏览器环境，许多传统网页安全防护与部分终端检测机制难以及时拦截。

WebDAV是一种基于HTTP的远程文件管理协议，虽然在现代云存储兴起后已较少使用，但Windows文件资源管理器仍默认支持通过该协议访问远程服务器。攻击者通过发送伪装成发票、通知或共享文件的.url或.lnk快捷方式文件，引导受害者打开一个看似普通的远程文件夹界面。该界面与本地目录几乎无差异，用户往往难以察觉文件实际上来自外部恶意服务器，从而降低警惕性。

更具隐蔽性的是，当URL快捷方式中嵌入UNC路径时，用户即便只是浏览包含该文件的目录，也可能触发系统自动向攻击者控制的基础设施发起DNS请求。这种“无点击”行为可用于确认受害主机在线状态，为后续攻击做准备。攻击者还大量滥用Cloudflare Tunnel等合法云服务基础设施作为中继节点，使恶意流量混杂在正常加密流量之中，增加溯源和检测难度。

一旦连接建立，攻击链通常会投递多种远程控制木马作为最终载荷。报告显示，约87%的相关攻击样本最终投放多个RAT变种，实现持久化控制、凭据窃取与横向移动。攻击活动主要针对欧洲企业环境，其中相当比例使用德语伪装财务邮件，其次为英语、意大利语和西班牙语。

该事件再次表明，操作系统中的历史协议和默认功能同样可能成为攻击入口。企业应限制或禁用不必要的WebDAV访问，监控异常UNC路径请求与DNS外联行为，加强终端日志审计，并对员工进行针对.url与.lnk文件风险的安全意识培训。仅依赖浏览器层防护已难以覆盖此类攻击面，必须在网络、终端与身份层面构建多层防御体系。

END

阅读推荐

【安全圈】Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取

【安全圈】罗马尼亚黑客被引渡至美国，承认入侵俄勒冈州政府网络并实施身份盗窃

【安全圈】微软披露新型木马攻击：伪装游戏工具植入RAT，远程窃取数据

【安全圈】新型安卓RAT“Oblivion”曝光：$300即可买断，自动绕过权限与隐藏远程控制

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】不用浏览器也能中招：Windows资源管理器成隐秘后门》